"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Logjam Vulnerability

mat 20.05.2015 - 16:05 2488 11
Posts

mat

Administrator
Legends never die
Avatar
Registered: Aug 2003
Location: nö
Posts: 25423
Es wurde eine neue Sicherheitslücke in verschlüsselten Verbindungen entdeckt, die auf dem Diffie Hellman-Algorithmus basieren. Das sind HTTPS, SSH, IPsec, SMTPS und alle Protokolle, die auf TLS zurückgreifen. Die Browser-Hersteller sind gerade dabei, Security-Fixes einzuspielen, die den Zugriff auf derartige Webseiten verhindern.

Auf folgender Webseite kann man überprüfen, ob der eigene Browser noch betroffen ist:


Sysadmins sollten nachschauen, ob ihre Server betroffen sind:

InfiX

she/her
Avatar
Registered: Mar 2002
Location: Graz
Posts: 14200
Zitat
Good News! Your browser is safe against the Logjam attack.

FF *hust* 15.0.1...

lagwagon

bierfräser
Avatar
Registered: Jun 2003
Location: OÖ/VB
Posts: 2821
oh oh

20-05-2015-16-15-17_203867.png

Chrome 43.0.2357.65 m
Update von heute

enforcer

What?
Avatar
Registered: Apr 2001
Location: Mäder / Vlbg
Posts: 2422
bei mir auch. Wenigstens sind meine Webserver sicher.

Luka

Administrator
...
Avatar
Registered: Nov 2006
Location: Mödling
Posts: 206
Der Webserver des Forums ist nicht betroffen: Die Export Cipher Suites waren von Anfang an deaktiviert und ich hab auch eigene Diffie-Hellman-Parameter (2048 bit) erzeugt.

wergor

connoisseur de mimi
Avatar
Registered: Jul 2005
Location: vulkanland
Posts: 4095
FF 38.0.1 (android) wird als vulnerable abgezeigt.

schizo

Produkt der Gesellschaft
Avatar
Registered: Feb 2003
Location: Vienna
Posts: 2542
Zitat von luka
und ich hab auch eigene Diffie-Hellman-Parameter (2048 bit) erzeugt.

Ich wäre mir nichtmal so sicher, ob der Einsatz von eigenen DH Parametern soooo sinnvoll ist (zumindest wenn die Funktionsweise von DH nicht bekannt ist). Natürlich besteht andernfalls eine höhere Gefahr des precomputings. Aber die Parameter sind ja nicht aus purer Willkür so gewählt.
Im konkreten Fall gehts ja darum, dass in den meisten Fällen der Exponent 3 oder 65537 verwendet wird, um einen möglichst großen privaten Schlüssel zu erhalten. Da die beidseitig gewählten Primzahlen ja immer unterschiedlich sein sollten führt dies dennoch zu einem relativ großen Möglichkeitsraum.
Wird der Exponent vergrößert dürfte es zwar unwahrscheinlicher sein, dass die Werte in irgendwelchen Tabellen auftauchen, wenn diese zu groß sind führt dies jedoch zu einem kleineren privaten Schlüssel, der wieder einfacher zu berechnen ist.
Und den Ratschlag, auf ECDH zu wechseln, wo praktisch erst recht wieder nur auf eine Kurve zurückgegriffen wird, welche von der NSA empfohlen wurde halte ich in anbetracht der Kritik zu den Standard DH Parametern für etwas zu kurz gegriffen.

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16839
genau genommen wurden die Kurven vom NIST voregeschlagen.
ob hier die NSA Einfluss genommen hat ist unklar - meiner Meinung nach aber irrelevant wenn all dem AES zur Grundlage liegt.
ich denke es geht bei der transportverschlüsselung nur sekundär sich vor Geheimdiensten zu schützen. cryptografie war immer schon ein Mittel um sich mit einem gewissen Aufwand Schutz auf Zeit zu schaffen. diese Zeitdauer kann jemand mit Einsatz von viel Energie und Geld verringern. Wichtig ist immer zu überlegen um welche Information es sich handelt und dann den Schutzbedarf zu definieren.
dieses blinde Hochrüsten der SSL Settings bei nutzloser Information lenkt die energie derjenigen die es brechen wollen lediglich weg von der transportverschlüsselung und wird sie auf sozusagen Bereiche rund um das eigentliche Schloss lenken.
Je sicherer SSL wird umso unsicherer wird der Rest rundherum - ein Bereich der wesentlich schwerer abzusichern wird, technisch teilweise nicht machbar.

schizo

Produkt der Gesellschaft
Avatar
Registered: Feb 2003
Location: Vienna
Posts: 2542
Ja, die sind vom NIST vorgeschlagen worden, welches bei der Entwicklung auf die NSA Intelligence zurückgegriffen hat.
Welche Verfahren noch sicher sind und welche nicht ist Stoff für Spekulationen. Aber wenn als sicher geltende Verfahren angekreidet werden, bei denen am ehesten ein Geheimdienst das Know How besitzt, diese zu knacken und dann bloß auf ein Verfahren verweist, welches in praktischer Verwendung auf Entwicklungen eines solchen basiert ist der Schluß einfach inkonsequent. Es könnten zumindest andere Kurven durch eine Nennung gepushed werden.
Das Pushen von SSL zu verurteilen, weil dadurch die Aufmerksamkeit auf andere Aspekte gelenkt wird halte ich aber auch etwas kurzsichtig. Als ob eine solche Forschung nicht sowieso betrieben wird.

schizo

Produkt der Gesellschaft
Avatar
Registered: Feb 2003
Location: Vienna
Posts: 2542
Weil ich grad drübergestolpert bin und die bedenklichkeit von AES thematisiert wurde:
Laut diesen Datensätzen verwenden noch rund die Hälfte der österreichischen und schweizer Seiten Ciphersuites mit RC4 anstatt AES.
Insofern liegt die praktische vulnerability häufig noch ganz woanders :(

Die praktische Verteilung der Exponenten sieht übrigens wie folgt aus:
65535 | 1
257 | 1
5 | 2
59 | 3
19 | 7
47 | 10
4097 | 10
35 | 21
3 | 115
17 | 149
65537 | 136925

Cuero

Moderator
Registered: Feb 2001
Location: Erde
Posts: 3554
TBL, anyone?

86f959ffac58dc752f9359111dd1fb35_204012.jpg

sk/\r

i never asked for this
Avatar
Registered: Dec 2002
Location: oö
Posts: 10890
hmmm die seite weakdh geht überhaupt nicht. gibts da eine alternative?
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz