- Details
Mit Veröffentlichung der neuen OpenSSL-Versionen 1.0.1n und 1.0.2b integrieren die Entwickler einen Client-Schutz vor dem im Mai bekannt gewordenen Logjam-Angriff, der insb. dadurch ermöglicht wird, dass sich Clients auf Diffie-Hellman Parameter geringer Länge (dort 512-Bit) einlassen, auch wenn sie aufgrund der von ihnen vorgeschlagenen Cipher Anderes im Sinn hatten.
OpenSSL-Clients lehnen nun TLS Handshakes mit DH Parametern geringerer Länge als 768 Bit ab, in zukünftigen Versionen soll diese Grenze auf 1024 Bit angehoben werden.
Zu beachten ist dabei, dass die meist verwendeten Browser wie IE (Microsoft hat die Lücke bereits geschlossen, Minimallänge 1024 Bit), Firefox, Chrome nicht auf OpenSSL basieren. Für MTAs im Open Source Bereich ist die Meldung aber interessant, weil die Clients vorher den 512-Bit Primzahlen eines Man-In-The-Middle evtl. schutzlos ausgeliefert waren.
Referenzen:
1. https://weakdh.org/imperfect-forward-secrecy.pdf
2. https://www.openssl.org/news/secadv_20150611.txt
3. https://technet.microsoft.com/en-us/library/security/ms15-055.aspx
- Details
Adrian et al zeigen in ihrem spannenden Paper nicht nur den von ihnen Logjam genannten Angriff, der auf einem Downgrade auf nur 512-Bit Diffie-Hellman Parameter des unsicheren Ciphers DHE_EXPORT (abschalten!) basiert, sondern haben in HTTPs Scans auch beobachtet, dass in TLS vielfach quasi Standard-Gruppen sowohl für 512 als auch für 768 und 1024 Bit verwendet werden, dies sind entweder die Built-ins (dh512_p, dh1024_p) des weit verbreiteten Apache Webservers oder die in RFC 2409 definierten Oakley Gruppen 1 (768 Bit) und 2 (1024 Bit).
Auch wenn sich die Wissenschaftler selbst mit ihren Ressourcen außerstande sehen, 1024-Bit Diffie-Hellman Gruppen zu knacken, muss dies ihren Ausführungen zufolge nicht für Institutionen gelten, die weitaus mehr Geld für derlei Berechnungen ausgeben können. Da zudem die für Logjam verwendete Methode mit weitestgehenden Vorausberechnungen für die 512-Bit Built-in DH Parameter von Apache, die von den Kryptologen in nur einer Woche vorgenommen werden konnten, arbeitet, empfehlen sie den Einsatz eigens erzeugter Diffie-Hellman 2048-Bit Parameter.
Open Source Software arbeitet i.d.R. mit OpenSSL, das die notwendige Sicherheit bzgl. der Diffie-Hellman Parameter bietet. Ein genauer Blick auf die Dokumention und letztlich die Sourcen der eingesetzten Software lohnt sich jedoch und wer selbst bereits 2048-Bit DH Parameter mittels 'openssl dhparam' produziert hat, kann nachvollziehen, dass kein Server diese, nicht einmal 1024-Bit, beim Start erzeugen und trotzdem binnen einer Sekunde für TLS-Verbindungen bereitstehen kann. Wenn man selbst also keine Parameter zum simplen Einlesen für den Server produziert hat, muss er eigene "Tricks" anwenden, z.B. mittels Built-ins, dem Erzeugen geeigneter Primzahlen beim Kompilieren, "einfacheren" DH-Gruppen etc.
Weiterlesen: Sichere Diffie-Hellman Parameter vor und nach Logjam