20 Jahre alter Fehler bricht Internetverschlüsselung Wie erkennen Sie, ob Ihr Browser betroffen ist?

20 Jahre alter Fehler bricht Internetverschlüsselung Wie erkennen Sie, ob Ihr Browser betroffen ist? / Sicherheit

In letzter Zeit ist ein neuartiger Verschlüsselungsfehler aufgetaucht, der den Online-Datenschutz gefährden könnte. Getauft “LogJam,” Der Fehler tritt in der TSL (Transport Security Layer) auf, einem Verschlüsselungsprotokoll, das zur Authentifizierung von Servern und zum Verschleiern des Inhalts sicherer Webaktivitäten verwendet wird (wie bei Ihrer Bankanmeldung)..

Der Fehler ermöglicht einem Man-in-the-Middle-Angreifer, Ihren Browser und den Server, mit dem er verbunden ist, dazu zu zwingen, eine schwache Form der Verschlüsselung zu verwenden, die anfällig für Brute-Force-Angriffe ist. Dies bezieht sich auf die 'FREAK'-Sicherheitslücke. SuperFREAK: Neue Sicherheitslücke betrifft Sicherheitslücke für Desktop- und mobile Browser SuperFREAK: Neue Sicherheitslücke für Sicherheitslücke betrifft Sicherheitslücke für Desktop- und mobile Browser Die FREAK-Sicherheitslücke betrifft Ihren Browser und ist nicht darauf beschränkt ein einzelner Browser oder ein einzelnes Betriebssystem. Finden Sie heraus, ob Sie betroffen sind und schützen Sie sich. Lesen Sie mehr, das Anfang des Jahres entdeckt und gepatcht wurde. Diese Bugs folgen katastrophalen Sicherheitsproblemen wie Heartbleed Heartbleed - Was können Sie tun, um sicher zu bleiben? Heartbleed - Was können Sie tun, um sicher zu bleiben? Lesen Sie mehr und ShellShock ist schlimmer als Herzstück? Treffen Sie ShellShock: Eine neue Sicherheitsbedrohung für OS X und Linux, die schlimmer als Herzblut sind? Lernen Sie ShellShock kennen: Eine neue Sicherheitsbedrohung für OS X und Linux Lesen Sie weiter .

Während für die meisten gängigen Browser Patches in den Werken sind, können Tausende von Webservern durch den Fix nicht erreichbar sein, bis sie mit korrigiertem Code aktualisiert werden.

Ein militärisches Erbe

Im Gegensatz zu den meisten Sicherheitslücken, die einfach durch Programmierer verursacht werden, haben 1.000 iOS-Apps einen SSL-Fehler verursacht: Wie prüft man, ob Sie betroffen sind? 1.000 iOS-Apps haben einen SSL-Fehler: Wie prüfen Sie, ob Sie betroffen sind? Der AFNetworking-Fehler gibt iPhone ein Problem Probleme mit iPad und iPad-Nutzern: Tausende von Apps weisen eine Sicherheitsanfälligkeit auf, was dazu führt, dass SSL-Zertifikate korrekt authentifiziert werden, was möglicherweise den Identitätsdiebstahl durch Man-in-the-Middle-Angriffe erleichtert. Lesen Sie weiter, diese Sicherheitsanfälligkeit ist zumindest teilweise beabsichtigt. Zu Beginn der 1990er Jahre, als die PC-Revolution begann, befürchtete die Bundesregierung, der Export starker Verschlüsselungstechnologie an ausländische Mächte könnte seine Fähigkeit beeinträchtigen, andere Nationen auszuspähen. Zu dieser Zeit galt die starke Verschlüsselungstechnologie als eine Form von Waffen. Dies erlaubte der Bundesregierung, ihre Verteilung einzuschränken.

Bei der Entwicklung von SSL (Secure Socket Layer, Vorläufer von TSL) wurde SSL in zwei Varianten entwickelt - in der US-Version, die Schlüssel mit voller Länge von 1024 Bit oder mehr unterstützte, und der internationalen Version, die bei 512 lag -Bit-Schlüssel, die exponentiell schwächer sind. Wenn die zwei verschiedenen Versionen von SSL sprechen, greifen sie auf den 512-Bit-Schlüssel zurück, der leichter zu beschädigen ist. Die Exportregeln wurden aufgrund eines zivilrechtlichen Spiels geändert, aber aus Gründen der Rückwärtskompatibilität unterstützen moderne Versionen von TSL und SSL weiterhin 512-Bit-Schlüssel.

Leider enthält der Teil des TSL-Protokolls einen Fehler, der die zu verwendende Schlüssellänge bestimmt. Dieser Fehler, LogJam, ermöglicht einen Man-in-the-Middle-Angriff Was ist ein Man-in-the-Middle-Angriff? Sicherheitsjargon erklärt Was ist ein Man-in-the-Middle-Angriff? Sicherheitsjargon erklärt Wenn Sie von "Man-in-the-Middle" -Angriffen gehört haben, sich aber nicht ganz sicher sind, was das bedeutet, ist dies der Artikel für Sie. Lesen Sie mehr Angreifer, um beide Kunden dazu zu bringen, zu denken, sie sprechen mit einem Altsystem, das einen kürzeren Schlüssel verwenden möchte. Dies verringert die Stärke der Verbindung und erleichtert das Entschlüsseln der Kommunikation. Dieser Fehler ist seit etwa zwanzig Jahren im Protokoll verborgen und wurde erst kürzlich entdeckt.

Wer ist betroffen??

Der Fehler betrifft derzeit etwa 8% der Top-Million-HTTPS-fähigen Websites und eine große Anzahl von Mail-Servern, auf denen veralteter Code ausgeführt wird. Mit Ausnahme des Internet Explorers sind alle großen Webbrowser betroffen. Betroffene Websites zeigen die grüne https-Sperre oben auf der Seite an, sind jedoch nicht gegen Angreifer geschützt.

Browser-Hersteller haben sich darauf geeinigt, dass die robusteste Lösung für dieses Problem darin besteht, die alte Unterstützung für 512-Bit-RSA-Schlüssel zu entfernen. Leider wird dadurch ein Teil des Internets, einschließlich vieler Mail-Server, erst dann verfügbar, wenn die Firmware aktualisiert wird. Um zu überprüfen, ob Ihr Browser gepatcht wurde, können Sie eine Website besuchen, die von Sicherheitsforschern eingerichtet wurde, die den Angriff entdeckt haben, auf weakdh.org.

Angriffs-Praktikabilität

Wie verwundbar? ist ein 512-Bit-Schlüssel heutzutage? Um dies herauszufinden, müssen wir uns zunächst genau anschauen, was angegriffen wird. Der Diffie-Hellman-Schlüsselaustausch ist ein Algorithmus, mit dem zwei Parteien einen gemeinsam genutzten symmetrischen Verschlüsselungsschlüssel vereinbaren können, ohne ihn mit einem hypothetischen Snooper zu teilen. Der Diffie-Hellman-Algorithmus basiert auf einer im Protokoll integrierten gemeinsamen Primzahl, die seine Sicherheit bestimmt. Die Forscher konnten die am häufigsten vorkommenden Primzahlen innerhalb einer Woche knacken und so etwa 8% des Internetverkehrs entschlüsseln, der mit der schwächeren 512-Bit-Primzahl verschlüsselt wurde.

Damit ist dieser Angriff für einen erreichbar “Angreifer der Kaffeestube” - ein kleiner Dieb, der über öffentliche WLAN-Sitzungen schnüffelt 3 Gefahren beim Anmelden beim öffentlichen WLAN 3 Gefahren beim Anmelden beim öffentlichen WLAN Sie haben gehört, dass Sie PayPal, Ihr Bankkonto und möglicherweise sogar Ihre E-Mail nicht öffnen sollten mit öffentlichem WLAN. Aber was sind die tatsächlichen Risiken? Lesen Sie mehr und brutale Schlüssel, um Finanzinformationen wiederherzustellen. Der Angriff wäre für Konzerne und Organisationen wie die NSA trivial, die möglicherweise erhebliche Anstrengungen unternehmen, um einen Mann im mittleren Angriff zur Spionage einzusetzen. In jedem Fall stellt dies ein glaubwürdiges Sicherheitsrisiko dar, sowohl für normale Menschen als auch für alle, die anfällig für das Schnüffeln durch mächtigere Kräfte sind. Sicherlich sollte jemand wie Edward Snowden auf absehbare Zeit sehr vorsichtig sein, ungesichertes WLAN zu verwenden.

Noch beunruhigender ist, dass die Forscher behaupten, dass Standard-Längen, die als sicher gelten, wie etwa 1024-Bit-Diffie-Hellman, anfällig für Brute-Force-Angriffe durch mächtige Regierungsorganisationen sein könnten. Sie schlagen vor, zu wesentlich größeren Schlüsselgrößen zu migrieren, um dieses Problem zu vermeiden.

Ist unsere Daten sicher??

Der LogJam-Fehler ist eine unerwünschte Erinnerung an die Gefahren der Regulierung der Kryptographie aus Gründen der nationalen Sicherheit. Die Bemühungen, die Feinde der Vereinigten Staaten zu schwächen, haben schließlich allen geschadet und uns alle weniger sicher gemacht. Es kommt zu einer Zeit, in der das FBI Anstrengungen unternimmt, um Technologieunternehmen dazu zu zwingen, Hintertüren in ihre Verschlüsselungssoftware aufzunehmen. Es besteht eine sehr gute Chance, dass die Konsequenzen für die kommenden Jahrzehnte ebenso ernst sein werden, wenn sie gewinnen.

Was denkst du? Sollte es Einschränkungen bei der starken Kryptographie geben? Ist Ihr Browser gegen LogJam geschützt? Lass es uns in den Kommentaren wissen!

Bildnachweise: US Navy Cyberwarfare, Hacker-Tastatur, HTTP, NSA-Zeichen von Wikimedia

Erfahren Sie mehr über: Verschlüsselung, Online-Sicherheit, Webserver.