Angriffe auf Zertifizierungsdiensteanbieter und Auswirkungen



Ähnliche Dokumente
Angriffe auf Zertifizierungsdiensteanbieter und Auswirkungen

Ist das so mit HTTPS wirklich eine gute Lösung?

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk

Professionelle Seminare im Bereich MS-Office

Was meinen die Leute eigentlich mit: Grexit?

Informatik für Ökonomen II HS 09

Kurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11

Allgemeine Erläuterungen zu

Leichte-Sprache-Bilder

Zertifikatssperrliste(n) in Active Directory veröffentlichen

1. Weniger Steuern zahlen

Guide DynDNS und Portforwarding

Bürgernetze Main-Spessart

Was ist Sozial-Raum-Orientierung?

COMPUTER MULTIMEDIA SERVICE

Freie Zertifikate für Schulen und Hochschulen

Die Industrie- und Handelskammer arbeitet dafür, dass Menschen überall mit machen können

5. Testen ob TLS 1.0 auf Ihrem System im Internet-Explorer fehlerfrei funktioniert

Tipp: Proxy Ausschalten ohne Software Tools

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

Installationsanleitung für die h_da Zertifikate

FTP-Leitfaden RZ. Benutzerleitfaden

Public Key Infrastructure (PKI) Funktion und Organisation einer PKI

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Lernwerkstatt 9 privat- Freischaltung

Eva Douma: Die Vorteile und Nachteile der Ökonomisierung in der Sozialen Arbeit

robotron*e count robotron*e sales robotron*e collect Anmeldung Webkomponente Anwenderdokumentation Version: 2.0 Stand:

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Installation des Authorware Webplayers für den Internet Explorer unter Windows Vista

Task: Nmap Skripte ausführen

10. Kryptographie. Was ist Kryptographie?

Nicht über uns ohne uns

Public-Key-Infrastrukturen

Die Invaliden-Versicherung ändert sich

Zeichen bei Zahlen entschlüsseln

Sich einen eigenen Blog anzulegen, ist gar nicht so schwer. Es gibt verschiedene Anbieter. ist einer davon.

Serviceanweisung Austausch Globalsign Ausstellerzertifikate

Persönliche Zukunftsplanung mit Menschen, denen nicht zugetraut wird, dass sie für sich selbst sprechen können Von Susanne Göbel und Josef Ströbl

Vorgestellt von Hans-Dieter Stubben

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

Einrichtung einer eduroam Verbindung unter dem Betriebssystem Android

Das Leitbild vom Verein WIR

Um dies zu tun, öffnen Sie in den Systemeinstellungen das Kontrollfeld "Sharing". Auf dem Bildschirm sollte folgendes Fenster erscheinen:

Fernzugriff auf Kundensysteme. Bedienungsanleitung für Kunden

Schnittstelle DIGI-Zeiterfassung

Reporting Services und SharePoint 2010 Teil 1

Bedienungsanleitung: Onlineverifizierung von qualifiziert signierten PDF-Dateien

WinVetpro im Betriebsmodus Laptop

ICS-Addin. Benutzerhandbuch. Version: 1.0

How to do? Projekte - Zeiterfassung

Step by Step Webserver unter Windows Server von Christian Bartl

Internet online Update (Internet Explorer)

EINFACHES HAUSHALT- KASSABUCH

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

Geld Verdienen im Internet leicht gemacht

BAYERISCHES STAATSMINISTERIUM DES INNERN

Ein Hinweis vorab: Mailkonfiguration am Beispiel von Thunderbird

Internet Explorer Version 6

SSL/TLS-VERBINDUNGEN ZU MOODLE

Öffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:

Partitionieren in Vista und Windows 7/8

A023 DNS Services. IKT-Architekturvorgabe. Ausgabedatum: Version: Ersetzt: 1.01

Anleitung: WLAN-Zugang unter Windows 8 - eduroam. Schritt 1

Was ich als Bürgermeister für Lübbecke tun möchte

Internet online Update (Mozilla Firefox)

Avira Support Collector. Kurzanleitung

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

11. Das RSA Verfahren und andere Verfahren

Wie Sie mit Mastern arbeiten

Eine eigene Seite auf Facebook-Fanseiten einbinden und mit einem Tab verbinden.

DeltaVision Computer Software Programmierung Internet Beratung Schulung

Antrag für ein Schlichtungs-Verfahren

1. Man schreibe die folgenden Aussagen jeweils in einen normalen Satz um. Zum Beispiel kann man die Aussage:

Drägerware.ZMS/FLORIX Hessen

Anbindung des eibport an das Internet

Übung - Arbeiten mit Android

Einrichtung eines Zugangs mit einer HBCI-Chipkarte bei der Commerzbank

vorab noch ein paar allgemeine informationen zur d verschlüsselung:

Lassen Sie sich dieses sensationelle Projekt Schritt für Schritt erklären:

Wordpress: Blogbeiträge richtig löschen, archivieren und weiterleiten

Digital signierte Rechnungen mit ProSaldo.net

Jetzt neu: Online Reporting Schritt für Schritt durch das Online Reporting (OLR) Online Liedmeldung

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

Advoware mit VPN Zugriff lokaler Server / PC auf externe Datenbank

Horstbox VoIP. Stefan Dahler. 1. HorstBox Konfiguration. 1.1 Einleitung

Installationsanleitung SSL Zertifikat

Office 365 Domänen bei 1und1 einrichten. Variante A: P1-Tarif die von MS empfohlene Volldelegation

Einstellungen im Internet-Explorer (IE) (Stand 11/2013) für die Arbeit mit IOS2000 und DIALOG

How to install freesshd

Lösung Fall 8 Anspruch des L auf Lieferung von Panini á 2,-

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

Windows Server 2008 R2 und Windows 7 Stand-Alone Arbeitsplatz per VPN mit L2TP/IPSec und Zertifikaten verbinden.

Windows Server 2012 RC2 konfigurieren


Bevor Sie mit dem Wechsel Ihres Sicherheitsmediums beginnen können, sollten Sie die folgenden Punkte beachten oder überprüfen:

Wichtig ist die Originalsatzung. Nur was in der Originalsatzung steht, gilt. Denn nur die Originalsatzung wurde vom Gericht geprüft.

INDEX. Öffentliche Ordner erstellen Seite 2. Offline verfügbar einrichten Seite 3. Berechtigungen setzen Seite 7. Öffentliche Ordner Offline

Gemeinsam können die Länder der EU mehr erreichen

Programmiertechnik II

Transkript:

Informatiksteuerungsorgan Bund ISB Nachrichtendienst des Bundes NDB Melde- und Analysestelle Informationssicherung MELANI www.melani.admin.ch Technologiebetrachtung Angriffe auf Zertifizierungsdiensteanbieter und Auswirkungen 1. Mai 2012

1 Einleitung In der jüngeren Vergangenheit sind verschiedene etablierte und von den Browser-Herstellern als vertrauenswürdig anerkannte Zertifizierungsdiensteanbieter (CSPs) angegriffen und in mindestens zwei Fällen (Comodo und DigiNotar) auch kompromittiert worden. Dabei ist es den Angreifern gelungen, falsche SSL/TLS-Server-Zertifikate auszustellen, mit denen z.b. in grossem Stil Man-in-the-Middle (MITM) Angriffe durchgeführt werden können. Im Rahmen dieser Technologiebetrachtung wird aufgezeigt, was passiert ist und welche Auswirkungen die Angriffe auf die Ausgestaltung von heutigen und zukünftigen Public Key Infrastrukturen (PKIs) möglicherweise haben werden. 2 Angriffe Nachdem während Jahren die Sicherheit von CSPs und PKIs diskutiert worden ist und dabei primär sowohl die (kryptografische) Fälschungssicherheit von Zertifikaten als auch die Resistenz gegenüber falsch ausgegebenen Code-Signierzertifikaten im Mittelpunkt der Diskussion gestanden sind, hat Comodo 1 im März 2011 bekanntgegeben, dass es Angreifern gelungen ist, über mindestens 2 kompromittierte italienische Reseller (GlobalTrust.it und InstantSSL.it) 9 falsche SSL/TLS-Server-Zertifikate auszustellen. Diese Bekanntgabe hat international grosses Aufsehen erregt und die Sicherheitsdiskussion neu angestossen. Die Bekanntgabe der niederländischen Firma DigiNotar 2, dass sie im Juli 2011 auch Opfer eines grossangelegten Angriffs geworden sei, hat die Diskussion weiter verschärft. DigiNotar betrieb mit PKIoverheid auch eine PKI für den niederländischen Staat (dieser Teil ist vom Angriff allerdings nicht betroffen gewesen). Im Falle von DigiNotar sind 513 falsche SSL/TLS-Server-Zertifikate ausgestellt worden. Zum Teil handelt es sich dabei um Extended Validation (EV) Zertifikate, so dass hier durchaus von einem ernstzunehmenden Vorfall im PKI-Bereich gesprochen werden muss. Kurze Zeit nach Bekanntwerden des Vorfalls hat Vasco DigiNotar liquidiert. In beiden Fällen haben die betroffenen Firmen zunächst argumentiert, dass sie Opfer einer Advanced Persistent Threat (APT) geworden seien, und dass möglicherweise sogar staatliche Stellen hinter den Angriffen stehen würden. Spätere Untersuchungen, die durch die KPMG im Auftrag des niederländischen Staates durchgeführt wurden, haben aber gezeigt, dass die Angriffe weit weniger spektakulär verlaufen sind als ursprünglich angenommen, und dass einmal mehr nicht gepatchte Server-Systeme und zu wenig gut kontrollierte Internet-Verbindungen die Angriffe ermöglicht haben. 3 Auswirkungen Der sichere Einsatz von Kryptosystemen mit öffentlichen Schlüsseln (sog. Public Key - Kryptografie) steht und fällt mit der Sicherheit der entsprechenden CSPs und PKIs 3. Entsprechend ist die Sicherheit von CSPs und PKIs immer schon ein Thema gewesen, mit dem sich Sicherheitstechniker befasst haben. Im Mittelpunkt des Interesses sind dabei Szenarien gestanden, bei denen entweder Zertifikate (über Schwachstellen in der Kollisionsresistenz der eingesetzten kryptografischen Hash-funktionen 4 ) gefälscht oder Code-Signierzertifikate missbraucht werden. Im zweiten Fall erlaubt wie der Stuxnet-Wurm 1 2 3 4 Comodo (http://www.comodo.com) ist ein weltweit führender CSP, der unter anderem auch verschiede-ne Klassen von SSL/TLS-Server-Zertifikaten ausgibt. Schätzungen zufolge liegt der Marktanteil von Comdo hier weltweit bei 20-25%. DigiNotar B.V. (http://www.diginotar.nl) ist eine Tochterfirma von VASCO Data Security International, Inc. (Vasco) gewesen. In diesem Sinne stellen die CSPs bzw. PKIs eine Achillesverse der Public Key -Kryptografie dar. Dieser Punkt wird z.b. in der Technologiebetrachtung: Kollisionsresistenz und Brechung kryptografi-scher Hashfunktionen vom 4. August 2010 vertieft. 2/5

gezeigt hat ein solches Zertifikat z.b. das Einbringen von Malware in Form digital signierter Treibersoftware in ein Betriebssystem. Die jüngsten Angriffe auf CSPs haben nun aber gezeigt, dass auch die Kompromittierung eines CSP zwecks Ausgabe falscher Zertifikate eine reale Bedrohung darstellt. Wie einleitend erwähnt, lassen sich mit Hilfe von falschen SSL/TLS-Server-Zertifikaten grossflächige MITM-Angriffe durchführen. Wenn sich ein Internet-Banking-Kunde mit Hilfe des Secure Sockets Layer (SSL) oder Transport Layer Security (TLS) Protokolls auf einen Bankenserver verbinden will und es einem Angreifer gelingt, den Kunden auf einen von ihm kontrollierten Server umzuleiten und dem Browser im Rahmen des SSL/TLS-Verbindungsaufbaus ein gültiges Zertifikat zuzustellen, dann wird der Browser dieses Zertifikat ohne Rückfrage akzeptieren und der Angreifer kann sich als MITM in die Kommunikationsbeziehung zwischen Browser und Server einbringen. Er hat dann die volle Kontrolle über die übertragenen Daten und kann diese auch entschlüsseln und im Klartext aufzeichnen. Damit können solche Angriffe genutzt werden, um staatliche Überwachungen im Internet durchzusetzen. So sind wahrscheinlich auch die falschen DigiNotar-Zertifikate im Iran zur Überwachung der Kommunikation von Oppositionellen in sozialen Netzwerken (insbesondere Facebook und Twitter) genutzt worden. Wenn wie in den vorliegenden Fällen falsche Zertifikate ausgegeben werden, dann gilt es zunächst einmal zwei Punkte zu beachten: Auf der einen Seite versagen für solche Zertifikate alle im Einsatz stehenden Zertifikatsrevoziermechanismen auf der Basis von Sperrlisten (CRLs und/oder OCSP-Abfragen). Ein falsches (d.h. fälschlicherweise ausgegebenes) Zertifikat ist nicht zwingend gesperrt und entsprechend ist es auch nicht als solches erkennbar. Hier bräuchte es eine Unterscheidungsmöglichkeit für autorisierte (d.h. berechtigterweise ausgegebene) und nicht autorisierte Zertifikate. Allenfalls könnte hier ein Whitelisting oder eine Art Clearance korrekt abgewickelter Bestell- und Bezahlprozesse weiterhelfen. Allerdings wären solche Ansätze auch nicht resistent gegenüber Insider-Angriffen. Auf der anderen Seite hat sich gezeigt, dass das (zentralistische und hierarchische) Vertrauensmodell von ITU-T X.509 grundsätzlich problematisch ist. Wird in diesem Modell ein CSP bzw. eine als vertrauenswürdig anerkannte Root CA kompromittiert, dann sind davon alle Entitäten betroffen, die sich auf diese CA berufen (im Extremfall können das alle Internet-Benutzer sein). Sicherheitstechnisch sitzen alle im gleichen Boot und die Wahrscheinlichkeit, dass eine Root CA kompromittiert wird, steigt mit der Länge der Liste. Werden z.b. n Root CAs CA1,,CAn als vertrauenswürdig anerkannt und wird jede dieser Root CAs mit einer Wahrscheinlichkeit pi (für Root CAi) kompromittiert, dann entspricht die Wahrscheinlichkeit P, dass keine Root CA kompromittiert wird, dem Produkt al-ler (1 - pi) für i = 1,,n, d.h. P = Πi=1,,n(1 - pi). Wenn für alle Root CAs die Wahrscheinlichkeit pi gleich ist, dann lässt sich P auch als (1-pi)n berechnen. Umgekehrt beträgt die Wahrscheinlichkeit1-P, dass Probleme (im Sinne von mindestens einer kompromittierten Root CA) auftreten. Damit ist ein Simulati-onsmodell gegeben, mit dem man unter anderem zeigen kann, dass sich für realistische Werte für pi bzw. p die Wahrscheinlichkeit, dass Probleme auftreten, mit steigendem n relativ schnell 1 annähert. Für p = 0.01 und n = 100 (n = 200) beträgt die Wahrscheinlichkeit z.b. bereits 0.64 (0.87). Nach diesen Vorbemerkungen stellt sich die Frage, welche Vorkehrungen man treffen kann, um unter den gegebenen Umständen MITM-Angriffe bestmöglichst zu verhindern. Weil es nur wenig Lösungsansätze zur Verhinderung von MITM-Angriffen gibt, wird man versuchen müssen, MITM-Angriffe für den Angreifer möglichst schwer und aufwändig zu machen. Dabei gilt es zu unterscheiden, ob man am Vertrauensmodell Änderungen vornehmen kann oder nicht. Kann man am Vertrauensmodell keine Änderungen vornehmen, dann empfiehlt es sich, mit vorwiegend leeren Listen vertrauenswürdiger Root CAs bzw. mit ei-ner selektiven Aufnahme von nur bestimmten Root CAs zu arbeiten. Google nutzt diese 3/5

Möglichkeit bereits seit Chrome Version 13 unter dem Begriff Public Key Pinning. Will man den Ansatz auf beliebige Domänen verallgemeinern, dann bietet sich eine Verbindung zum Domain Name System (DNS) an. So ist z.b. im Rahmen der IETF- Arbeitsgruppe DNS-based Authentifcation of Named Entities (DANE) eine Möglichkeit entwickelt und für die Einreichung in die Internet-Standardisierung vorbereitet worden 5, mit der man im DNS für Domänen bestimmte Zertifikate und/oder öffentliche Schlüssel festlegen und damit autorisieren kann. Kompromittierte CSPs können dann nicht mehr Server-Zertifikate für beliebige Domänen ausstellen, so dass sich die Auswirkungen von erfolgreichen Angriffen in Grenzen halten lassen. Die Abfragen entsprechender TLSA Resource Records sind dann ihrerseits idealerweise mit DNS Security (DNSSEC) abzusichern. Kann man am Vertrauensmodell Änderungen vornehmen, dann kommen grundsätzlich neue Lösungsansätze in Frage. Hier böte sich ein Vertrauensmodell an, in dem Kompromittierungen auch nur lokale Auswirkungen haben. Ein solches Modell muss zwingend verteilt sein und dynamische Vertrauensbeziehungen unterstützen 6. Forscher der Carnegie Mellon Universität haben z.b. gezeigt, dass Angriffe meist lokal stattfinden, und dass man falsche Zertifikate deshalb im Ab-gleich mit geografisch verteilten Notariatsdiensten feststellen kann. Auf dieser Idee basierend haben sie 2008 mit Perspectives 7 eine Prototypimplementierung als Firefox- Erweiterung entwickelt. Die Idee ist 2011 von Moxie Marlinspike aufgegriffen worden, der mit Convergence ebenfalls eine Firefox-Erweiterung entwickelt und an der Black Hat-Konferenz vorgestellt hat. Es wird sich zeigen, ob derart verteilte Ansätze eine brauchbare Alternative zu konventionellen ITU-T X.509-basierten PKIs darstellen. 4 Schlussfolgerungen und Ausblick Wie jedes sozio-technische System verfügt auch ein CSP über Schwachstellen und Verwundbarkeiten, die im Rahmen von Angriffen adressiert und (mehr oder weniger gezielt) ausgenutzt werden können. Dabei beziehen sich die Schwachstellen und Verwundbarkeiten weniger auf die eingesetzten kryptografischen Verfahren und Mechanismen als auf die Schnittstellen zu den entsprechenden Zertifikatsausstell- und -ausgabeprozessen. Angriffe sind hier denkbar und wie die jüngsten Angriffe dokumentieren auch realisierbar. Als Analogie kann man einen Notengeldfälscher betrachten: Dieser kann entweder Notenscheine fälschen oder was allerdings komplizierter und aufwändiger ist in eine Notendruckzentrale einbrechen und die dort installierten Maschinen zur Ausgabe von regulären Notenscheinen missbrauchen. Es liegt auf der Hand, dass die zweite Möglichkeit zwar schwieriger zu realisieren dafür aber umso einträglicher ist. Ein analoger Angriff ist jetzt im PKI-Bereich gelungen und es ist möglich und wahrscheinlich, dass solche und ähnliche Angriffe in Zukunft wieder gelingen werden. Entsprechend lohnt es sich, solche Möglichkeiten in die Überlegungen zur Ausgestaltung zukünftiger PKIs mit einzubeziehen. 5 6 7 Internet-Draft, Using Secure DNS to Associate Certificates with Domain Names for TLS, September 27, 2011, draft-ietfdane-protocol-12 Moxie Marlinspike hat im Rahmen eines Vortrages an der diesjährigen Black Hat-Konferenz dafür den Begriff trust agility also Vertrauensagilität geprägt. http://perspectives-project.org 4/5

Abkürzungen APT Advanced Persistent Threat CRL Certificate Revocation List CSP Certification Service Provider DANE DNS-based Authentication of Named Entities DNS Domain Name System DNSSEC DNS Security EV Extended Validation IETF Internet Engineering Task Force ITU International Telecommunication Union MITM Man-in-the-Middle OCSP Online Certificate Status Protocol PKI Public Key Infrastruktur RR Resource Record SSL Secure Sockets Layer TLS Transport Layer Security 5/5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback