Bevidst svækket 90'er-kryptering rammer NSA-hjemmeside

Millioner af enheder er sårbare som følge af bevidst dårlig kryptering fra 1990’erne. Blandt andet Googles Android-styresystem og Apple-produkter er sårbare overfor nyopdaget angreb.

It-sikkerhedsforskere har opdaget en sårbarhed, der rammer flere TLS/SSL-implementeringer hos blandt andet Android og Apple-brugere. Fejlen gør det muligt at lave man-in-the-middle angreb, når sårbare klienter tilgår visse servere. Det vil sige, at uvedkommende kan lytte med på linjen, selvom der er hængelås i browseren, og alt ser ud til at være i den skønneste orden.

Det fortæller blandt andet Washington Post.

Krypteringsekspert og professor Matthew D. Green ved Johns Hopkins Universitetet, der har hjulpet med at undersøge problemet, har skrevet et længere, detaljeret og ikke mindst pædagogisk blogindlæg om fejlen, som denne artikel i udpræget grad læner sig op ad.

Selve sårbarheden ligger i klientsoftwaren. Men for at den kan udnyttes, forudsætter det, at serveren, som klienten tilgår, understøtter forældet kryptering. Og det er der - til fleres overraskelse - rigtigt mange servere, der viser sig at gøre.

Det gælder eksempelvis hjemmesiden for det amerikanske sikkerhedsagentur NSA, nsa.gov, og server-netværket bag Facebooks like-knap, der jo som bekendt er tilstede på et utal af hjemmesider.

Den aktuelle sårbarhed har fået navnet 'FREAK' (Factoring attack on RSA-EXPORT Keys.)

FREAK-sårbarheden udspringer af amerikansk eksportforbud mod stærk kryptering tilbage i 90’erne, hvilket nogen nok vil finde ironisk, eftersom NSAs hjemmeside ser ud til at have kunnet udnyttes i den forbindelse.

»Tilbage i de tidligere 1990’ere, da SSL blev opfundet ved Netscape Corporation, fastholdt USA et omfattende eksport-regime for at kontrollere krypteringssystemer. For at distribuere krypto uden for USA var det et krav, at virksomheder bevidst ‘svækkede’ styrken på krypteringsnøgler. Det betød for RSA-kryptering, at den maksimale tilladte nøglestyrke var på 512 bits,« forklarer Matthew D. Green i blogindlægget, som fortsætter:

»512-bits eksport-styrke-krypteringen var et kompromis mellem dum og dummere. I teorien var den designet til at sikre, at NSA ville være i stand til at ‘tilgå’ kommunikation, mens den efter sigende gav kryptering, der stadig var ‘godt nok’ til kommercielt brug.«

Dermed var det også nødvendigt for server-software både at understøtte svag og stærk kryptering alt efter, hvad klienten understøtter. Det har dog ikke været aktuelt, siden krypto-eksport-forbuddet blev løftet i slut-90’erne.

Mange servere understøtter svag kryptering

Alligevel har det vist sig, at adskillige den dag i dag stadig understøtter den svage kryptering. Og altså også nsa.gov og netværket bag Facebooks like-knap. Facebook skulle dog have lavet et fiks i mellemtiden.

Forskere fra Universitet i Michigan har således for nylig lavet en scanning, der viser, at eksport-RSA-kryptering er understøttet af op til 36,7 pct. af de 14 mio. sites med certifikater, som browsere har tillid til, fortæller Matthew D. Green.

Og langt størstedelen af disse sites lader til at være content-distributions-netværk såsom Akamai. De er nu ved at fjerne understøttelse for den svage kryptering.

Det er dog heller ikke i sig selv et problem, da klienter i sagens natur - her i 2015 - i udgangspunktet ikke vil spørge serveren om svag kryptering. Men her kommer bug’en ind. Forskere fra blandt andet Microsoft Research og franske INRIA har testet SSL/TLS-implementationer.

Og det viser sig, at flere moderne TLS-klienter kan narres til at acceptere eksport-styrke RSA-krypteringsnøgler fra servere, der måtte tilbyde den slags, selvom klienten ikke har bedt om det.

I praksis foregår det ved, at man-in-the-middle (mitm) opfanger start-kommunikationen fra klienten til serveren. Mitm forespørger nu serveren efter en 512-bit RSA-nøgle. Og en sårbar klient ender - som følge af bug’en - med at acceptere denne nøgle, selvom det ikke var den styrke, klienten bad om til at starte med. Slutresultatet er, at en angriber kan læse kommunikation mellem klient og server i klar tekst, selvom den ser ud til at være krypteret.

Blandt de sårbare klienter er Apples SecureTransport og OpenSSL. Sidstnævnte bliver brugt i Android.

Matthew D. Green påpeger i den forbindelse, at bugs i klientsoftware er ved at blive patched. Blandt andet er Apple i gang. At dømme efter følgende bemærkning, har krypteringseksperten dog tilsyneladende ingen forventninger til, at Android-brugere lige med det første får opdateret klientsoftwaren.

»Klient-bugs bliver snart patched (opdater jeres enheder! Med mindre du har Android, i så fald er du på røven). Med lidt held, så vil servere, der understøtter eksport-styrke RSA-ciffer-suites snart være en kuriøs sjældenhed.«

At FREAK-angrebet er andet en teoretisk, ligger der en stribe videoer på smacktls.com, som demonstrerer. Det er forskerne bag opdagelsen af FREAK, der står bag hjemmesiden.

Det er dog ikke selve sårbarheden, der er Matthew D. Greens hovedpointe i blogindlægget. Han mener FREAK-historien illustrerer, hvorfor det er en rigtig dårlig idé, når myndigheder og politikere for tiden i henholdsvis USA og Europa taler for bagdøre i kryptering - eksempelvis for at bekæmpe kriminalitet.

»Krypteringsbagdøre vil altid vende sig om og bide dig i røven. De er aldrig det værd,« slutter professoren sit blogindlæg.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jakob Damkjær

http://www.electronista.com/articles/15/03/06/chrome.firefox.for.os.x.sa...

In an advisory published on Thursday, Microsoft has admitted that all versions of its OS and browser are susceptible to the FREAK bug.

Additionally, all BlackBerry devices are also vulnerable.

Neither BlackBarry devices nor Windows devices were intially pegged as susceptible due to a flaw in the coding of the test site.

Google Chrome is safe on Windows and OS X. Firefox is as well.

Chrome for Android is still susceptible, with no timetable on when a fix is forthcoming.

Apple maintains that a patch for modern versions of OS X and iOS is coming next week.

It is unknown on how far back Apple's patches will go. Also not known is when a patch is coming from Microsoft.

  • 2
  • 6
Benny Lyne Amorsen

"In extremis, it has been possible to read someone’s letter, to listen to someone’s call, to listen in on mobile communications. The question remains: are we going to allow a means of communications where it simply is not possible to do that? My answer to that question is: no, we must not."

Cameron er absolut ikke den eneste med den holdning, hverken blandt politikere eller i befolkningen.

Vi kan ikke producere halvt sikre løsninger. Enten er de lavet rigtigt og holder alle ude, også FE/Center for Cybersikkerhed, eller også vil kriminelle udnytte hullerne. Det er vi nødt til at forklare både David Cameron og Martin Lidegaard og alle de andre som så gerne vil holde øje med alt.

  • 14
  • 1
Ulrik Suhr

Du kæmper en forgæves kamp.
Tror de mennesker du referer til reelt ikke kan forstå hvorfor deres teori ikke virker i praksis.
Heller ikke empiri vil imponere disse og derfor vil du i evig tid aldrig få disse mennesker til at forså hvad andre normale mennesker overtid finder indlysende.

Bruce Schneier siger det så let forståeligt at alle kan se det....

  • 6
  • 0
Log ind eller Opret konto for at kommentere