Ruhr-Uni-Bochum
HGI

Copyright: HGI, stock.adobe.com: chinnarach

Die verräterische Null

Angriffe auf TLS-Protokolle sind selten. Und höchst komplex. Doch die Verschlüsslungsexperten der Ruhr-Universität kommen ihnen immer wieder auf die Schliche.

Robert Merget

Robert Merget hat sich in seiner Forschung auf das Verschlüsselungsprotokoll TLS spezialisiert. Copyright: CASA, Michael Schwettmann

Netzwerkverkehr auf einem Bildschirm

Die Krypto-Experten der Ruhr-Universität Bochum haben den Netzwerkverkehr stets im Auge und arbeiten an TLS-Analyse-Tools. Copyright: CASA, Michael Schwettmann

Robert Merget beim Entschlüsseln

Knifflige Berechnungen: Beim Entschlüsseln kommen mathematische Verfahren aus dem Bereich der Linearen Algebra zum Einsatz. Copyright: CASA, Michael Schwettmann

lehrstuhleigener Server

Die Berechnungen für den RACCOON-Angriff erfolgten auf der lehrstuhleigenen Cloud. Copyright: CASA, Michael Schwettmann

Etwa tausend Seiten umfasst der dicke Wälzer, der alle technischen Details zum Verschlüsselungsprotokoll TLS enthält. Damit ist der TLS-Standard so dick wie drei Harry-Potter-Bände. "Es braucht viel Zeit und Krypto-Knowhow, um alle Features zu verstehen und zu überblicken", weiß Dr. Robert Merget vom Lehrstuhl für Netz- und Datensicherheit der Ruhr-Universität Bochum. Hier hat man sich schon vor Jahren auf die Transport Layer Security, kurz TLS, spezialisiert. Das kryptografische Verschlüsselungsprotokoll sorgt dafür, dass zum Beispiel Verbindungen zwischen Internetbrowsern und Servern oder zwischen verschiedenen E-Mail-Servern sicher sind. Merget und seine Kolleginnen und Kollegen kennen den Standard fast auswendig und beherrschen somit sämtliche Tricks und TLS-Verschlüsselungszauber.

Seit 2015 entwickeln sie ein TLS-Analyse-Tool. Es ermöglicht Unternehmen, TLS möglichst fehlerfrei einzusetzen, sodass keine Sicherheitslücken für Angreifer entstehen. Fast täglich stoßen die Forschenden dabei auf Schwachstellen bei der Implementierung, sogenannte bugs. "Systematische Attacken auf den TLS-Standard hingegen sind eher selten geworden", weiß Merget. Und doch kommen sie vor. 2020 entdeckte der Krypto-Experte einen hoch-spezialisierten Angriff auf einen spezifischen TLS-Algorithmus, und warnte die Fachwelt vor der gefährlichen RACCOON-Attacke, zu Deutsch Waschbär-Angriff.

"Wir verwenden leicht zu merkenden Namen für die sonst recht technisch lautenden Schwachstellen. So können wir in der Community leichter darüber reden", erklärt Merget. Die Community – das sind Forschungsinstitutionen, aber vor allem IT-Unternehmen wie etwa Google, Microsoft oder Cloudflare, die alle ein Interesse daran haben, dass TLS so sicher wie möglich ist, und fortwährend daran mitarbeiten.

Geheimsprache TLS
Das Verschlüsselungsprotokoll TLS ist für alle öffentlich einsehbar. "Die Algorithmen sind öffentlich, aber die Schlüssel, die verwendet werden, sind geheim", betont Merget. "Man muss sich das wie eine Geheimsprache vorstellen." Früher habe man bei Geheimsprachen häufig Buchstaben vertauscht. Wer das genaue Verfahren kannte, also wusste, welcher Buchstabe durch welchen ersetzt werden muss, konnte die Botschaft entschlüsseln. Verfahren geheim zu halten habe sich jedoch als schwierig und unsicher erwiesen. Darum geht man heute anders vor. "Moderne Algorithmen sind öffentlich, aber die Schlüssel für die Algorithmen sind geheim. Bei TLS funktioniert das genauso. Der Feind darf das Verschlüsselungsprinzip kennen, aber die Schlüssel werden geheim gehalten", erklärt Merget. Die TLS-Kryptografie soll vor allem verhindern, dass Dritte mitlesen. Das Protokoll hat darüber hinaus zwei weitere Eigenschaften: Zum einen dient TLS der Authentifikation, zum anderen der Integrität der Daten.

Etwa vier Milliarden Nutzerinnen und Nutzer weltweit verwenden heute TLS. Und alle haben unterschiedliche Wünsche und Ansprüche an das Verschlüsselungsprotokoll. Das erklärt, warum so viele Entwicklerinnen und Entwickler über Jahre am TLS-Standard getüftelt und gefeilt haben – und auch, warum das Protokoll mittlerweile als sicher gilt. Das war jedoch nicht immer so.

"Seit 1994, seitdem es TLS gibt, hat es etliche Angriffe auf das Protokoll gegeben. Vor allem zwischen 2011 und 2016 gab es viele Attacken", berichtet Merget. Der Krypto-Experte betont dabei: "Das ist in der Regel nichts, was der nächste Nachbarschaftshacker machen kann. Das sind schon schwierige High-Tech-Angriffe, wie sie von Geheimdiensten ausgeübt werden könnten. Davor müssen normale Nutzerinnen und Nutzer in der Regel keine Angst haben." Seit 2018, seit der Einführung des modernisierten Standards TLS 1.3, seien die Angriffe deutlich weniger geworden. Und dennoch: Angriffe auf die TLS-Versionen von 1996 bis 2018 kommen noch immer vor. 2020 entdeckte Robert Merget besagte Schwachstelle, die er RACCOON taufte.

Angriff eines Waschbären
Der RACCOON-Angriff greift das sogenannte Diffie-Hellman-Schlüsselaustausch-Protokoll an, also einen ganz bestimmten Algorithmus, der in TLS genutzt werden kann und der sicherstellen soll, dass zum Beispiel eine Bank und eine Bankkundin ein gemeinsames Geheimnis, einen gemeinsamen Schlüssel, austauschen können.

Ganz konkret nutzt der Angreifende eine Timing-Schwachstelle in der Schlüsselableitung aus, wenn der Diffie-Hellman-Algorithmus verwendet wird: Die Dauer der Schlüsselableitung und damit der kryptografischen Weiterverarbeitung des Geheimnisses gibt dem Angreifenden die Info, die er braucht, um die Daten zu entschlüsseln und damit die Vertraulichkeit des Protokolls zu verletzen.

Über die Seite ausspionieren
"Die Zeit ist ein sogenannter Seitenkanal, einer von vielen, der es ermöglicht, Rückschlüsse über den geheimen Schlüssel eines Algorithmus zu ziehen und ihn möglicherweise zu knacken", erklärt Merget. "Nehmen wir an, ich verschlüssle das Wort Hund oder das Wort Katze. Für das Wort Katze brauche ich länger, da es mehr Buchstaben hat. Ein Angreifer kann die Zeit, die ich zum Verschlüsseln brauche, messen und die gemessene Zeit wiederum nutzen, um Rückschlüsse zu ziehen auf das, was verschlüsselt wurde", erläutert Merget. Neben der Zeit würden auch Temperaturanstiege oder der Stromverbrauch von Geräten Auskunft über die Rechenoperationen einer Verschlüsselung geben – auch das seien Seitenkanäle, die es Angreifenden unter Umständen ermöglichen, an Schlüssel zu gelangen.

Die führende Null
Das Konzept hinter dem Waschbär-Angriff sei leicht zu verstehen. "Ganz grob gesagt geht es beim Diffie-Hellman-Schlüssel immer um Rechnen mit Rest", so Merget. In den kniffligen mathematischen Ableitungen des Diffie-Hellman-Schlüsselaustausches wird mit dem Rest ohne führende Nullen weiter gerechnet.

"Kleinere Zahlen zu verarbeiten geht aufgrund der geringeren Datenmenge schneller. Das gibt dem Angreifenden einen Vorteil: Er beobachtet, wie schnell eine Operation war, und schließt dann daraus, ob eine führende Null vorhanden war oder nicht“, erklärt Merget. Das ist die Schwachstelle, die der Angreifende ausnutzt. Aus den gesammelten Informationen kann er dann den geheimen Schlüssel rekonstruieren. "Dazu braucht es jedoch komplizierte mathematische Verfahren aus dem Bereich der Linearen Algebra", weiß Merget.

Sicherheitslücken melden
Um zu schauen, wie verbreitet die Schwachstelle ist, schickte Merget über eine spezielle Internetleitung Datenpakete an etwa 100.000 Server, die TLS nutzen. "Drei Prozent des weltweiten Internets antworteten und waren von dieser anfälligen TLS-Konfiguration betroffen", so Merget.

"Wir haben zunächst alle Entwickler von wichtigen TLS-Implementierungen angeschrieben und gewarnt. Außerdem haben wir den Fall dem Bundesamt für Sicherheit in der Informationstechnik gemeldet und dieses gebeten, uns bei dem sogenannten Responsible Disclosure Prozess zu unterstützen", berichtet Merget. Bei diesem in der IT-Sicherheit etablierten Verfahren zur Offenlegung von Sicherheitslücken geht es darum, die Herstellenden umgehend über Schwachstellen zu informieren sowie Updates und Korrekturen bereitzustellen, bevor die Öffentlichkeit davon erfährt.

Gefahr erkannt, Gefahr gebannt
Wie lässt sich die Schwachstelle beheben? "Die beste Gegenmaßnahme ist es, die neueste und sichere Version von TLS zu verwenden, TLS 1.3", so die Empfehlung Mergets. Insgesamt, davon ist der Wissenschaftler überzeugt, sei das TLS-Protokoll aber sehr sicher: "Es ist äußerst schwierig, noch Schwachstellen zu finden."

---

Die Erfindung des TLS
Das Verschlüsselungsprotokoll TLS wurde 1994 von der Firma Netscape (heute: Firefox) entwickelt und hieß erst SSL (kurz für: Secure Sockets Layer). 1999 benannte die Internet Engineering Task Force SSL in TLS um, da man überzeugt davon war, dass das Protokoll zur Datensicherheit im Internet nicht in den Händen eines Unternehmens liegen darf.

Der Artikel erscheint im Rahmen der Sonderausgabe IT-Sicherheit des Wissenschaftsmagazins Rubin 2022/23.

Zur Outreach-Webseite

Allgemeiner Hinweis: Mit einer möglichen Nennung von geschlechtszuweisenden Attributen implizieren wir alle, die sich diesem Geschlecht zugehörig fühlen, unabhängig vom biologischen Geschlecht.