Möglich wird das über einen "Block-wise chosen plaintext"-Angriff auf die entsprechenden Pakete. Die übertragenen Pakete werden dann mit mehreren Tausend zufälligen Versuchen rekonstruiert. Ein Angreifer muss sich dafür per Man-in-the-middle-Attacke in dem gleichen Netzwerk befinden und den Netzverkehr über den eigenen Rechner umleiten. Das Tool BEAST erledigt das durch ein eingeschleustes Java-Applet, dass eine bisher unbekannte Sicherheitslücke in Java ausnutzt.
Das Hauptproblem in der SSL-Verschlüsselung ist schon seit 7 Jahren bekannt. Blockverschlüsselte Daten werden nicht in jedem Block zufällig verschlüsselt. Das soll eigentlich dafür sorgen, dass gleiche Blöcke nicht das gleiche Chiffrat erzeugen und doch tun sie es. Bislang hatte man trotz dieser bekannten Lücke einen Angriff in der Praxis für unmöglich gehalten. Das Tool überzeugt mittlerweile vom Gegenteil und nur TLS 1.1 kann hier für Abhilfe sorgen.
TLS 1.1 wird bisher auf Microsoft Servern unterstützt, in Open SSL fehlt eine solche Unterstützung bisher allerdings. Sicherheitsexperten haben einen alternativen Einsatz von RC4 vorgeschlagen, der zur Verschlüsselung keine Blockverschlüsselung nutzt.
Die Firefox-Entwickler reagierten auf die Sicherheitslücke mit dem Vorschlag generell alle Java-PlugIns zu deaktivieren, bis die Sicherheitslücke in Java geschlossen wurde. Google hat in seinen Browser Chrome einen Patch eingebaut, der dafür sorgt, dass jeder Block auch wirklich zufällig verschlüsselt wird. Dadurch erschwert man einen Angriff allerdings nur und macht ihn nicht unmöglich.
Ob die SSL-Verschlüsselung tatsächlich überdacht werden muss, wird sich wohl erst zeigen, wenn genauere Informationen über den Angriff zu verfügung stehen. In der Praxis wird die Sicherheitslücke bisher aber wohl für keinen Internetnutzer eine wirkliche Gefahr darstellen.
Kommentare
Kommentieren