heise online Logo
Anmelden
Menü
  • c't – Magazin für Computertechnik
  • iX – Magazin für professionelle Informationstechnik
  • MIT Technology Review – Das Magazin für Innovation von Heise
  • c't Fotografie - Das Magazin rund ums digitale Bild
  • Mac & i – Nachrichten, Tests, Tipps und Meinungen rund um Apple
  • Make – Kreativ mit Technik
  • Alle Magazine im Browser lesen
IT News
  • Newsticker
  • heise Developer
  • heise Netze
  • heise Open Source
  • heise Security
Online-Magazine
  • heise+
  • Telepolis
  • heise Autos
  • TechStage
  • tipps+tricks
Services
  • Stellenmarkt heise Jobs
  • Weiterbildung
  • heise Download
  • Preisvergleich
  • Whitepaper/Webcasts
  • DSL-Vergleich
  • Netzwerk-Tools
  • Spielen bei Heise
  • Loseblattwerke
  • iMonitor
  • IT-Markt
Heise Medien
  • heise Shop
  • Abo
  • Veranstaltungen
  • Arbeiten bei Heise
  • Mediadaten
  • Presse
Anzeige Go! Schule morgen
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
heise Security Logo
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • heise Security Pro
    • FAQs zu heise Security Pro
  • Events
  • Kontakt
  1. Security
  2. Hintergrund
  3. Poodle: So funktioniert der Angriff auf die Verschlüsselung

Poodle: So funktioniert der Angriff auf die Verschlüsselung

Hintergrund 15.10.2014 19:22 Uhr Jürgen Schmidt

Der neue Angriff auf Internet-Verschlüsselung kann nicht einfach alle verschlüsselten Daten dechiffrieren. Doch wenn einige Voraussetzungen erfüllt sind, kann der Angreifer durchaus etwa einen Online-Banking-Zugang kapern.

Der Poodle-Angriff richtet sich gegen verschlüsselte Internet-Verbindungen; der Angreifer muss sich dazu grundsätzlich in der Position eines Man in the Middle (MitM) befinden, bei dem alle Netzwerk-Pakete vorbei kommen. Das kann also die NSA mit einem entsprechenden Zugang am Internet-Knoten oder die nette junge Frau mit dem Laptop am Tisch nebenan sein, die ins gleiche WLAN eingebucht ist, wie Sie. Das Erzwingen von SSLv3 funktioniert deshalb, weil nahezu alle Server und Clients das noch als Fallback unterstützen und sich von der Gegenstelle darauf herunter handeln lassen.Verweigert eine der beiden Seiten den Einsatz von SSLv3, ist der Angriff nicht möglich.

Außerdem muss der Angreifer Script-Code auf dem Gerät des Opfers ausführen können. Den kann er als MitM etwa in eine unverschlüsselte Web-Seite einbauen, die der Anwender gerade öffnet. Er ist allerdings dann darauf angewiesen, dass der auch tatsächlich ausgeführt wird. Das dürfte bei den meisten Browsern der Fall sein; bei einem Mail-Programm oder dem Twitter-Client des Smartphones jedoch eher nicht.

Das Problem MAC-than-encrypt
Der MAC-Wert bezieht das Padding nicht mit ein.
Der MAC-Wert bezieht das Padding nicht mit ein.

Basis der SSLv3-Schwäche ist die Tatsache, dass Secure Socket Layer mehrere Aufgaben hat: Es soll die Daten nicht nur verschlüsseln sondern auch deren Integrität sicherstellen – also nachträgliche Änderungen verhindern. Letzteres geschieht über einen so genannten Message Authentication Code (MAC). Die Erfinder des Protokolls mussten sich damals entscheiden, in welcher Reihenfolge das passieren soll und legten sich auf das sogenannte MAC-then-encrypt fest. Dabei wird zunächst an die zu schützenden Klartextdaten der daraus berechnete MAC angehängt und das ganze dann erst verschlüsselt. Dieses MAC-then-encrypt hat sich seither als eine regelmäßige Quelle von Problemen erwiesen.

Beim Cipher Block Chaining werden immer Blöcke fester Größe verschlüsselt.
Beim Cipher Block Chaining werden immer Blöcke fester Größe verschlüsselt. (Bild:  Wikipedia )

Das hat damit zu tun, dass Verschlüsselung sehr oft in Blöcken fester Länge passiert – etwa im Cipher Block Chaining (CBC) mit AES oder 3DES. Da die Länge der Daten nur selten exakt ein Vielfaches der Blockgröße ist, hängt man eben hinter dem MAC noch etwas dran, um den Block auf eine passende Länge aufzufüllen – das sogenannte Padding. Das wird zwar mit verschlüsselt, ist aber nicht durch den MAC geschützt. Anders als beim Nachfolger TLS 1.0 kann ein Angreifer das Padding sogar fast frei wählen; der Empfänger ignoriert die angehängten Daten einfach. Nur das letzte Byte muss die Länge des Paddings korrekt angeben – also zum Beispiel 15 Bytes. Mit einer falschen Längenangabe liest der Empfänger den MAC an der falschen Stelle und dessen Überprüfung schlägt fehl.

Der Angriff funktioniert so, dass der Angreifer als MitM Script-Code in eine Web-Seite einschleust. Der feuert dann sehr viele, fast identische HTTPS-Anfragen an einen Server wie https://meinebank.com ab, die der Browser automatisch mit dem zugehörigen meinebank-Cookie versieht. Der Angreifer weiß dabei, welcher der verschlüsselten Blocks das Cookie enthält, kann den aber erstmal nicht dechiffrieren. In seiner Position als MitM kopiert er diesen Block an das Ende der SSL-Daten, wo normalerweise das verschlüsselte Padding steht.

Durchprobiert

Die Gegenstelle wird diese Daten genau dann akzeptieren, wenn das letzte Byte dekodiert die richtige Länge – im obigen Beispiel also den Wert 15 ergibt. Denn aus diesem Wert ermittelt sie die Position des MAC. Nimmt der Server das Paket also an, weiß der Angreifer, dass dieses Byte des Cookies den Wert 15 hat. Er kann damit sogar systematisch testen: Beschwert sich der Server über einen falschen MAC, probiert der Angreifer einen anderen Wert und sorgt für ein Padding der Länge 14. Außerdem kann er die Position des Cookies innerhalb der Blöcke verschieben und somit andere Bytes testen. Mit ein paar tausend geringfügig variierten https-Anfragen kann der Angreifer auf diesem Weg alle Bytes des Cookies ermitteln. Genauer erklärt Googles Krypto-Spezialist Adam Langley dieses Padding Oracle.

Der Angreifer kann also nicht die ganze SSLv3-Verbindung dechiffrieren sondern Byte-weise ausgewählte Teile davon. Doch mit dem Session-Cookie aus der verschlüsselten https-Verbindung, kann er etwa eine gerade offene Sitzung des Anwenders kapern oder sogar dessen Account komplett übernehmen und damit bereits einigen Schaden anrichten.

Richtig rum

Heute ist klar, dass encrypt-then-MAC, also Verschlüsseln und dann Sichern die bessere Wahl für SSL/TLS gewesen wäre. Doch dieses Wissen stand den Designern des Protokolls damals nicht zur Verfügung und wir müssen heute mit dessen Schwächen leben. TLS 1.0 macht übrigens ebenfalls noch das fatale Mac-then-encrypt und war deshalb auch bereits für BEAST- und Lucky13-Attacken anfällig. Allerdings darf da das Padding nicht frei gewählt werden, sodass zumindest der Poodle-Angriff mit TLS 1.0 nicht möglich ist. Wirklich beseitigt werden diese Probleme erst mit TLS-Version 1.2 durch Authenticated Encryption, bei der Verfahren wie der Galois/Counter Mode (GCM) Integritätsschutz und Verschlüsselung zusammenführen. Wie Sie sich jetzt schon schützen, erklärt der Artikel So wehren Sie Poodle-Angriffe ab (ju)

Mehr zum Thema

  • SSL
  • Verschlüsselung

Forum bei heise online: Verschlüsselung

Teile diesen Beitrag

https://heise.de/-2425250 Drucken
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Krypto-Kampagne
Alerts! alle Alert-Meldungen

Sonicwall SMA-100

Qnap

WordPress Jupiter Theme

VMware

Anzeige
  • Wie IT zu nachhaltigem Wirtschaften beitragen kann
  • MediaMarkt: Der bessere Geschäftskunden-Service
  • Sicher entwickeln im Open-Source-Universum
  • Fujitsu Data & Storage Days 02.06. – 20.07.2022
  • SANS eröffnet Cyber-Ressource Center
  • Kundenservice mit künstlicher Intelligenz
  • Wann lohnt es sich, die IT-Security auszulagern?
  • Weniger Umweltbelastung durch die IT
  • Die richtige Online-Strategie für Unternehmen
  • Klimaschutz durch intelligentes Data-Center-Design
Artikel

Utimaco, der Krypto-Miner und ein Disclosure-Desaster​

Auch Anbieter von Hochsicherheitslösungen sind vor Securityproblemen nicht gefeit. Man sollte sich vorbereiten, bevor man davon erfährt, sagt Jürgen Schmidt.

11 Kommentare
Aufmacher: Kommentar Welt-Passwort-Gedenktag

Kommentar: "Willkommen zum Welt-Passwort-Gedenktag"

Welt-Passwort-Tag: Jürgen Schmidt, Senior Fellow Security bei Heise, hat einen Kommentar aus einer Zukunft ohne Passwörter geschickt.

230 Kommentare
  • Passwortsicherheit – Alles, was Sie wissen müssen
  • Welt-Passwort-Tag: Zugangssicherheit im Fokus

Der Patch-Alptraum: Wenn schnell nicht schnell genug ist

Neben den überbewerteten Zero-Day-Lücken gibt es eine weniger bekannte Bedrohung durch "Beinahe-Zero-Days". Die sind weitverbreitet und brandgefährlich.

95 Kommentare

Neueste Forenbeiträge

  1. Re: WeTransfer und gefährliche Ratschläge
    Wenn ein E-Mail Absender vorgibt, noreply@wetransfer.com zu sein, gibt es zwei Header, in denen er das tun kann. Eines davon ist der From:…

    Forum:  Diverses

    daniel.ranft hat keinen Avatar
    von daniel.ranft; vor 12 Stunden
  2. Re: sudo apt-get update: Signatur abgelaufen
    Hallo Joe, vielen Dank für die Anleitung! Es hat geklappt. Viele Grüße, Michael

    Forum:  Desinfect

    Michael Stammberger hat keinen Avatar
    von Michael Stammberger; vor 14 Stunden
  3. Re: Nvidia Lüfter aus -> Grafikkarte steigt aus
    Ich wollte noch ein kleines Update schreiben. Die Karte kostet zwar nicht den Gegenwert eines normalen Arbeitsplatzrechners, sondern "nur" ca.

    Forum:  Desinfect

    maal1 hat keinen Avatar
    von maal1; Mittwoch, 11:42
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Krypto-Kampagne
  • Datenschutz
  • Cookies & Tracking
  • Impressum
  • Kontakt
  • Barriere melden
  • Mediadaten
  • 1361686
  • Content Management by InterRed
  • Hosted by Plus.line
  • Copyright © 2022 Heise Medien