SSL anfällig für Man-in-the-middle-Angriff

Fachleute der Polytechnischen Hochschule von Lausanne haben eine Schwachstelle in SSL entdeckt, die einem Angreifer die Ausspähung von Benutzernamen und Passwort innerhalb einer Stunde ermöglichen.

Das SSL-Protokoll wird in vielen Webseiten zur Verschlüsselung der Benutzerdaten verwendet und galt bisher als relativ sicher. Zwar hat Serge Vaudenay bereits letztes Jahr ein theoretisches Konzept für Angriffe auf symmetrische Algorithmen vorgestellt, die auf dem Cipher Block Chaining (CBC) basieren, aber dazu waren zwei Voraussetzungen nötig:

Es müssen Fehlerpakete vom Server erzeugt werden.

Die Session wird nicht durch einen Fehler unterbrochen, weil ansonsten eine neue Session mit neuem Key aufgebaut wird.

1. Der Angreifer startet dabei einen Man-in-the-Middle-Angriff und fängt den Block ab.

2. An den Server schickt er einen Versuchsblock, den er aus dem Original-Block erzeugt hat.

3. Die (ebenfalls verschlüsselte) Antwort des Servers ist entweder eine Fehlermeldung, dass die Länge nicht stimmt (PAD) oder dass der Message Authentication Code (MAC) nicht stimmt. Im letzteren Fall weiß der Angreifer, dass er gut geraten hat und mit dem nächsten Byte im Block weitermachen kann.

Welche der beiden Fehlermeldungen nun tatsächlich aufgetreten ist, kann der Angreifer nach Angaben der Wissenschaftler ermitteln, indem er das durchschnittliche zeitliche Antwortverhalten des Servers beobachtet. Bei MAC-Fehlern dauert es nämlich etwas länger, da zusätzliche Anweisungen zur Validierung des MAC nötig sind, die bei einem PAD-Fehler erst gar nicht ausgeführt werden.

Nun kann der Angreifer Logins von Anwendungen, die immer wieder dasselbe Paket schicken, angreifen und nach und nach das Passwort ermitteln. Dankbares Opfer ist zum Beispiel eine E-Mail-Anwendung, die sich per IMAP am Server anmeldet. Hier erhält der Hacker eine Vielzahl von Sessions, da der Client sich sehr häufig authentisieren muss.

Den Wissenschaftlern von Lausanne ist es so gelungen, innerhalb einer Stunde die IMAP-Benutzerdaten einer Outlook-Clients zu ermitteln.

Die Entwickler von OpenSSL haben schon auf die Mitteilung aus Lausanne reagiert und die Versionen 0.9.7 und 0.9.6 so gepatcht, dass dieser Angriff nicht mehr möglich ist, weil die MAC-Validierung ganz einfach trotzdem durchgeführt wird, auch wenn vorher bereits ein PAD-Fehler aufgetreten ist.

Weitere Informationen über Verschlüsselungs- und Angriffsverfahren finden Sie in dieser Artikelreihe. (mha)