Sicherheitslücken FREAK und Logjam – was tun?

von Dr. Martin Klein Hennig

Verschlüsselte Kommunikation im Internet, z.B. beim Online-Banking oder –shopping, ist für viele mit dem kleinen Schloss verbunden, das der Browser in der Adresszeile einblendet: Die Kommunikation ist sicher und verschlüsselt. Dass das keineswegs der Fall sein muss haben zwei Sicherheitslücken gezeigt, die im März und Mai 2015 bekannt wurden. Getauft wurden sie auf die Namen „FREAK“ und „Logjam“. Beide Lücken erlauben es einem Angreifer per „Man-in-the-Middle“-Angriff eine verschlüsselte Verbindung zwischen Browser und Webserver auf schwächere Verschlüsselungsverfahren abzuwerten, die leichter geknackt werden können.

Schwache Kryptographie für den Export

FREAK und Logjam nutzen eine 20 Jahre alte Schwachstelle des SSL-Protokolls aus, die ihren Weg auch in das moderne TSL-Protokoll gefunden hat. SSL in der Version 3.0 und TLS 1.0 unterstützen die Funktion, bei Bedarf auf sogenannte Export-Cipher-Suites zurückzugreifen. Diese beschränken die mögliche Schlüssellänge von den üblichen 2048 Bits auf lediglich 512 Bits, wodurch sich der Rechenaufwand für das Knacken verschlüsselter Nachrichten drastisch reduziert. Diese Export-Cipher-Suites wurden in das Protokoll übernommen, um in den 90er Jahren der aktuellen Rechtslage in den USA zu entsprechen (siehe hier). Für den Export in das Ausland durften kryptographische Algorithmen nur bestimmte Schlüssellängen verwenden, um amerikanischen Diensten eine eventuelle Entschlüsselung zu ermöglichen.

FREAK – Factoring RSA Export Keys

Die Unterstützung dieser schwachen Export-Einstellung hat bis in heutige Verschlüsselungsbibliotheken wie z.B. OpenSSL überlebt, ist aber standardmäßig meist deaktiviert. Aktuelle Browser geben eine Warnung aus, wenn schwache Export-Algorithmen verwendet werden ...

Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK