Angriffe auf Cipher Suites zielen darauf ab, die Sicherheitsmechanismen zu schwächen, die zur Verschlüsselung, Authentifizierung und Integritätssicherung in Protokollen wie SSL/TLS verwendet werden. Diese Angriffe versuchen, Schwachstellen in den Verschlüsselungsalgorithmen oder der Implementierung auszunutzen, um Daten abzufangen, zu entschlüsseln oder zu manipulieren. Hier sind einige der bekanntesten Angriffsmethoden auf Cipher Suites:
Welche bekannten Angriffsmethoden gibt es auf Cipher Suites?
1. BEAST (Browser Exploit Against SSL/TLS)
- BEAST ist ein Angriff, der Schwächen in älteren Implementierungen des TLS-Protokolls (insbesondere TLS 1.0 und SSL 3.0) ausnutzt. Der Angriff zielt auf die Blockchiffre-Modi (z.B. Cipher Block Chaining, CBC) ab und nutzt das Fehlen einer ordnungsgemäßen Initialisierungsvektor (IV)-Verwaltung aus.
- Funktionsweise: Der Angreifer platziert sich zwischen Client und Server (MITM) und injiziert gezielt Daten in den verschlüsselten Datenstrom, um schrittweise den Klartext zu entschlüsseln.
- Betroffene Cipher Suites: CBC-basierte Cipher Suites (z.B. AES-CBC).
- Gegenmaßnahme: Die Einführung von TLS 1.1 und TLS 1.2, die eine korrekte Verwaltung von IVs gewährleisten, sowie der Einsatz von AEAD-Chiffren (z.B. AES-GCM).
2. POODLE (Padding Oracle On Downgraded Legacy Encryption)
- POODLE ist ein Angriff auf SSL 3.0, der auf eine Schwachstelle im Padding-Verfahren von CBC-Chiffren zielt. Der Angreifer kann durch Manipulation des Padding-Mechanismus Daten entschlüsseln.
- Funktionsweise: Der Angreifer nutzt eine Schwachstelle bei der Behandlung des Padding durch den Server aus. Dies ermöglicht es ihm, Daten, die mit CBC-Chiffren verschlüsselt sind, Stück für Stück zu entschlüsseln.
- Betroffene Cipher Suites: CBC-Chiffren in SSL 3.0.
- Gegenmaßnahme: Die Deaktivierung von SSL 3.0 und die Vermeidung von CBC-Chiffren in neuen TLS-Implementierungen.
3. Lucky 13
- Der Lucky 13-Angriff zielt ebenfalls auf CBC-basierte Cipher Suites in TLS ab und nutzt das Zusammenspiel zwischen Verschlüsselung und Message Authentication Code (MAC) aus.
- Funktionsweise: Der Angriff basiert auf Timing-Unterschieden, die beim Verarbeiten des Padding und der MAC-Prüfung auftreten. Der Angreifer misst die Zeit, die ein Server benötigt, um eine verschlüsselte Nachricht zu verarbeiten, und kann daraus Informationen über den Klartext gewinnen.
- Betroffene Cipher Suites: CBC-basierte Cipher Suites in TLS 1.0 und TLS 1.1.
- Gegenmaßnahme: Der Einsatz von AEAD-Chiffren (z.B. AES-GCM), die Integrität und Vertraulichkeit in einem Schritt gewährleisten.
4. CRIME (Compression Ratio Info-leak Made Easy)
- CRIME ist ein Angriff auf die Komprimierung von Daten in SSL/TLS-Verbindungen, der das HTTP-Komprimierungsverfahren ausnutzt, um verschlüsselte Informationen wie Session-Cookies zu stehlen.
- Funktionsweise: Der Angreifer misst die Größe der komprimierten Daten, während er gezielt Daten in den verschlüsselten Kanal einspeist. Durch die Analyse der Änderungen in der Komprimierung kann er auf den Inhalt der verschlüsselten Daten schließen.
- Betroffene Cipher Suites: Der Angriff betrifft insbesondere die Komprimierungsfunktion in TLS, nicht direkt die Cipher Suites, kann aber den Schutz von symmetrisch verschlüsselten Daten umgehen.
- Gegenmaßnahme: Deaktivierung der Komprimierung in TLS-Verbindungen.
5. BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext)
- BREACH ist eine Weiterentwicklung des CRIME-Angriffs, der spezifisch auf TLS-komprimierte HTTP-Antworten zielt, um vertrauliche Daten wie CSRF-Token oder Authentifizierungsinformationen zu stehlen.
- Funktionsweise: Ähnlich wie bei CRIME nutzt der Angreifer die Unterschiede in der Komprimierungslänge, um verschlüsselte Daten durch wiederholte Anfragen an den Server zu erraten.
- Betroffene Cipher Suites: Auch hier sind indirekt die Cipher Suites betroffen, da der Angriff auf die Komprimierungsschicht von HTTP/TLS zielt.
- Gegenmaßnahme: Deaktivierung der Komprimierung und Implementierung von Zufallswerten in Tokens (Padding).
6. FREAK (Factoring RSA Export Keys)
- FREAK ist ein Angriff, der auf schwache RSA-Schlüssel zielt, die als Folge von früheren Exportbeschränkungen für kryptografische Software in den USA eingesetzt wurden. Diese schwachen Schlüssel (RSA-512) können durch moderne Rechenleistung leicht faktorisieren werden.
- Funktionsweise: Der Angreifer zwingt den Server, einen Export-Grade RSA-Schlüssel zu verwenden, den er dann faktorisieren kann, um die verschlüsselte Kommunikation zu entschlüsseln.
- Betroffene Cipher Suites: Export-Grade Cipher Suites, insbesondere RSA_EXPORT.
- Gegenmaßnahme: Deaktivierung von Export-Grade Cipher Suites und Verwendung starker RSA-Schlüssel (mindestens 2048 Bit).
7. Logjam
- Logjam ist ein Angriff, der auf Schwächen im Diffie-Hellman-Schlüsselaustausch basiert, insbesondere wenn schwache Diffie-Hellman-Parameter verwendet werden (Export-Grade 512-Bit-DH).
- Funktionsweise: Der Angreifer zwingt die Server-Client-Verbindung dazu, schwache Diffie-Hellman-Parameter zu verwenden. Er kann diese schwachen Schlüssel dann durch Berechnung knacken, um die verschlüsselte Kommunikation mitzulesen.
- Betroffene Cipher Suites: Cipher Suites, die schwache Diffie-Hellman-Parameter verwenden (z.B. DHE_EXPORT).
- Gegenmaßnahme: Deaktivierung von schwachen Diffie-Hellman-Parametern und Verwendung von 2048-Bit DH-Schlüsseln oder besser elliptischen Kurven (ECDHE).
8. RC4 Bias Attack
- RC4 war früher ein weit verbreiteter Stromchiffre in SSL/TLS, ist aber inzwischen als unsicher bekannt, da es statistische Schwächen aufweist, die Angreifern helfen können, Informationen über den Klartext zu gewinnen.
- Funktionsweise: Durch die Analyse mehrerer verschlüsselter Datenströme, die mit RC4 verschlüsselt wurden, kann der Angreifer statistische Muster erkennen und daraus Teile des Klartexts rekonstruieren.
- Betroffene Cipher Suites: Cipher Suites, die den RC4-Algorithmus verwenden (z.B. TLS_RSA_WITH_RC4_128_SHA).
- Gegenmaßnahme: Die Verwendung von RC4 wurde durch modernere Algorithmen wie AES ersetzt. RC4 sollte in TLS-Verbindungen nicht mehr verwendet werden.
9. Downgrade-Angriffe
- Ein Downgrade-Angriff zwingt den Server und Client dazu, ältere und unsicherere Cipher Suites oder Protokollversionen zu verwenden, die anfälliger für Angriffe sind.
- Funktionsweise: Der Angreifer manipuliert die Handshake-Nachrichten zwischen Server und Client, um beide auf eine ältere Version von SSL/TLS oder schwächere Cipher Suites zurückzusetzen. Der Angreifer kann dann bekannte Schwächen dieser älteren Versionen oder Cipher Suites ausnutzen.
- Beispiel: TLS_FALLBACK_SCSV wurde eingeführt, um Downgrade-Angriffe zu verhindern, bei denen Clients und Server gezwungen wurden, zu veralteten Protokollversionen wie SSL 3.0 zurückzukehren.
- Gegenmaßnahme: Die Verwendung von TLS_FALLBACK_SCSV verhindert solche Angriffe. Außerdem sollten veraltete Protokolle wie SSL 3.0 und schwache Cipher Suites deaktiviert werden.
10. Sweet32
- Sweet32 ist ein Angriff auf Blockchiffren mit einer Blocklänge von 64 Bit, insbesondere auf 3DES und Blowfish. Der Angriff basiert darauf, dass bei langen Sessions viele Blöcke wiederverwendet werden, was Kollisionen und die Entschlüsselung von Daten ermöglicht.
- Funktionsweise: Der Angreifer zwingt eine lange verschlüsselte Session und analysiert dann wiederholte Muster (Kollisionen) in den verschlüsselten Blöcken, um Teile des Klartexts zu entschlüsseln.
- Betroffene Cipher Suites: Cipher Suites, die 3DES oder Blowfish verwenden