Bevidst svækket 90'er-kryptering rammer NSA-hjemmeside

It-sikkerhedsforskere har opdaget en sårbarhed, der rammer flere TLS/SSL-implementeringer hos blandt andet Android og Apple-brugere. Fejlen gør det muligt at lave man-in-the-middle angreb, når sårbare klienter tilgår visse servere. Det vil sige, at uvedkommende kan lytte med på linjen, selvom der er hængelås i browseren, og alt ser ud til at være i den skønneste orden.

Det fortæller blandt andet Washington Post.

Krypteringsekspert og professor Matthew D. Green ved Johns Hopkins Universitetet, der har hjulpet med at undersøge problemet, har skrevet et længere, detaljeret og ikke mindst pædagogisk blogindlæg om fejlen, som denne artikel i udpræget grad læner sig op ad.

Selve sårbarheden ligger i klientsoftwaren. Men for at den kan udnyttes, forudsætter det, at serveren, som klienten tilgår, understøtter forældet kryptering. Og det er der - til fleres overraskelse - rigtigt mange servere, der viser sig at gøre.

Det gælder eksempelvis hjemmesiden for det amerikanske sikkerhedsagentur NSA, nsa.gov, og server-netværket bag Facebooks like-knap, der jo som bekendt er tilstede på et utal af hjemmesider.

Den aktuelle sårbarhed har fået navnet 'FREAK' (Factoring attack on RSA-EXPORT Keys.)

FREAK-sårbarheden udspringer af amerikansk eksportforbud mod stærk kryptering tilbage i 90’erne, hvilket nogen nok vil finde ironisk, eftersom NSAs hjemmeside ser ud til at have kunnet udnyttes i den forbindelse.

»Tilbage i de tidligere 1990’ere, da SSL blev opfundet ved Netscape Corporation, fastholdt USA et omfattende eksport-regime for at kontrollere krypteringssystemer. For at distribuere krypto uden for USA var det et krav, at virksomheder bevidst ‘svækkede’ styrken på krypteringsnøgler. Det betød for RSA-kryptering, at den maksimale tilladte nøglestyrke var på 512 bits,« forklarer Matthew D. Green i blogindlægget, som fortsætter:

»512-bits eksport-styrke-krypteringen var et kompromis mellem dum og dummere. I teorien var den designet til at sikre, at NSA ville være i stand til at ‘tilgå’ kommunikation, mens den efter sigende gav kryptering, der stadig var ‘godt nok’ til kommercielt brug.«

Dermed var det også nødvendigt for server-software både at understøtte svag og stærk kryptering alt efter, hvad klienten understøtter. Det har dog ikke været aktuelt, siden krypto-eksport-forbuddet blev løftet i slut-90’erne.

Mange servere understøtter svag kryptering

Alligevel har det vist sig, at adskillige den dag i dag stadig understøtter den svage kryptering. Og altså også nsa.gov og netværket bag Facebooks like-knap. Facebook skulle dog have lavet et fiks i mellemtiden.

Forskere fra Universitet i Michigan har således for nylig lavet en scanning, der viser, at eksport-RSA-kryptering er understøttet af op til 36,7 pct. af de 14 mio. sites med certifikater, som browsere har tillid til, fortæller Matthew D. Green.

Og langt størstedelen af disse sites lader til at være content-distributions-netværk såsom Akamai. De er nu ved at fjerne understøttelse for den svage kryptering.

Det er dog heller ikke i sig selv et problem, da klienter i sagens natur - her i 2015 - i udgangspunktet ikke vil spørge serveren om svag kryptering. Men her kommer bug’en ind. Forskere fra blandt andet Microsoft Research og franske INRIA har testet SSL/TLS-implementationer.

Og det viser sig, at flere moderne TLS-klienter kan narres til at acceptere eksport-styrke RSA-krypteringsnøgler fra servere, der måtte tilbyde den slags, selvom klienten ikke har bedt om det.

I praksis foregår det ved, at man-in-the-middle (mitm) opfanger start-kommunikationen fra klienten til serveren. Mitm forespørger nu serveren efter en 512-bit RSA-nøgle. Og en sårbar klient ender - som følge af bug’en - med at acceptere denne nøgle, selvom det ikke var den styrke, klienten bad om til at starte med. Slutresultatet er, at en angriber kan læse kommunikation mellem klient og server i klar tekst, selvom den ser ud til at være krypteret.

Blandt de sårbare klienter er Apples SecureTransport og OpenSSL. Sidstnævnte bliver brugt i Android.

Matthew D. Green påpeger i den forbindelse, at bugs i klientsoftware er ved at blive patched. Blandt andet er Apple i gang. At dømme efter følgende bemærkning, har krypteringseksperten dog tilsyneladende ingen forventninger til, at Android-brugere lige med det første får opdateret klientsoftwaren.

»Klient-bugs bliver snart patched (opdater jeres enheder! Med mindre du har Android, i så fald er du på røven). Med lidt held, så vil servere, der understøtter eksport-styrke RSA-ciffer-suites snart være en kuriøs sjældenhed.«

At FREAK-angrebet er andet en teoretisk, ligger der en stribe videoer på smacktls.com, som demonstrerer. Det er forskerne bag opdagelsen af FREAK, der står bag hjemmesiden.

Det er dog ikke selve sårbarheden, der er Matthew D. Greens hovedpointe i blogindlægget. Han mener FREAK-historien illustrerer, hvorfor det er en rigtig dårlig idé, når myndigheder og politikere for tiden i henholdsvis USA og Europa taler for bagdøre i kryptering - eksempelvis for at bekæmpe kriminalitet.

»Krypteringsbagdøre vil altid vende sig om og bide dig i røven. De er aldrig det værd,« slutter professoren sit blogindlæg.