Eine 1998 von Daniel Bleichenbacher entdeckte Sicherheitslücke in der RSA-Verschlüsselung lässt sich auch im Jahr 2017 in einer modifizierten Variante immer noch ausnutzen.
Anzeige
Die Sicherheitslücke wurden von den Sicherheitsforschern Hanno Böck, Juraj Somorovsky und Craig Young entdeckt und auf der Seite The ROBOT Attack beschrieben. Das Kürzel ROBOT steht für Return of Bleichenbacher's Oracle Threat. Die von Daniel Bleichenbacher entdeckte Sicherheitslücke in der RSA-Verschlüsselung sollte eigentlich längst geschlossen sein.
Aber Sicherheitsforscher stoßen immer wieder auf Varianten dieses Angriffs, die unbemerkt offen blieben. So auch die neu entdeckte Variante. Diese Angriffsmethode ermöglicht, die TLS-Verschlüsselung bei der Kommunikation mit https-Servern aufzubrechen, falls eine RSA-Verschlüsselung verwendet wird. Der Angriff kann beim Schlüsseltausch erfolgt, wenn zusätzlich PKCS #1 1.5 verwendet wird.
Damit besteht theoretisch die Möglichkeit, z.B. Kennwörter auszulesen oder Informationen zu ändern. Bei Entdeckung der Lücke waren Facebook und Paypal betroffen. Viele Hersteller haben bereits begonnen, Updates herauszubringen, um die Schwachstelle abzudichten. Die von den Sicherheitsforschern aufgesetzte Webseite nennt einige Anbieter und enthält eine FAQ mit weiteren Hinweisen.
Leser, die einen deutschsprachigen Text bevorzugen, möchte ich auf diesen Golem-Artikel von Hanno Böck verweisen. Bei heise.de ist ebenfalls eine gekürzte Fassung des Themas zu finden. Danke an Leon für den Hinweis.
2015
