Logjam Vulnerability

mat

Administrator
Legends never die

Registered: Aug 2003
Location: nö
Posts: 25416

20.05.2015 - 16:05

Es wurde eine neue Sicherheitslücke in verschlüsselten Verbindungen entdeckt, die auf dem Diffie Hellman-Algorithmus basieren. Das sind HTTPS, SSH, IPsec, SMTPS und alle Protokolle, die auf TLS zurückgreifen. Die Browser-Hersteller sind gerade dabei, Security-Fixes einzuspielen, die den Zugriff auf derartige Webseiten verhindern.

Auf folgender Webseite kann man überprüfen, ob der eigene Browser noch betroffen ist:

Logjam: How Diffie-Hellman Fails in Practice

Tracking the FREAK Attack

Link: weakdh.org

Sysadmins sollten nachschauen, ob ihre Server betroffen sind:

Logjam: PFS Deployment Guide

Our study finds that the current real-world deployment of Diffie-Hellman is less secure than previously believed. This page explains how to properly deploy Diffie-Hellman on your server.

Link: weakdh.org

InfiX

she/her

Registered: Mar 2002
Location: Graz
Posts: 14043

20.05.2015 - 16:09

Zitat
Good News! Your browser is safe against the Logjam attack.

FF *hust* 15.0.1...

lagwagon

bierfräser

Registered: Jun 2003
Location: OÖ/VB
Posts: 2816

20.05.2015 - 16:16

oh oh

Chrome 43.0.2357.65 m
Update von heute

enforcer

What?

Registered: Apr 2001
Location: Mäder / Vlbg
Posts: 2421

20.05.2015 - 17:05

bei mir auch. Wenigstens sind meine Webserver sicher.

Luka

Administrator
...

Registered: Nov 2006
Location: Mödling
Posts: 206

20.05.2015 - 17:18

Der Webserver des Forums ist nicht betroffen: Die Export Cipher Suites waren von Anfang an deaktiviert und ich hab auch eigene Diffie-Hellman-Parameter (2048 bit) erzeugt.

wergor

connoisseur de mimi

Registered: Jul 2005
Location: graz
Posts: 4075

20.05.2015 - 18:32

FF 38.0.1 (android) wird als vulnerable abgezeigt.

schizo

Produkt der Gesellschaft

Registered: Feb 2003
Location: Vienna
Posts: 2538

20.05.2015 - 19:15

Zitat von luka
und ich hab auch eigene Diffie-Hellman-Parameter (2048 bit) erzeugt.

Ich wäre mir nichtmal so sicher, ob der Einsatz von eigenen DH Parametern soooo sinnvoll ist (zumindest wenn die Funktionsweise von DH nicht bekannt ist). Natürlich besteht andernfalls eine höhere Gefahr des precomputings. Aber die Parameter sind ja nicht aus purer Willkür so gewählt.
Im konkreten Fall gehts ja darum, dass in den meisten Fällen der Exponent 3 oder 65537 verwendet wird, um einen möglichst großen privaten Schlüssel zu erhalten. Da die beidseitig gewählten Primzahlen ja immer unterschiedlich sein sollten führt dies dennoch zu einem relativ großen Möglichkeitsraum.
Wird der Exponent vergrößert dürfte es zwar unwahrscheinlicher sein, dass die Werte in irgendwelchen Tabellen auftauchen, wenn diese zu groß sind führt dies jedoch zu einem kleineren privaten Schlüssel, der wieder einfacher zu berechnen ist.
Und den Ratschlag, auf ECDH zu wechseln, wo praktisch erst recht wieder nur auf eine Kurve zurückgegriffen wird, welche von der NSA empfohlen wurde halte ich in anbetracht der Kritik zu den Standard DH Parametern für etwas zu kurz gegriffen.

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16802

20.05.2015 - 23:13

genau genommen wurden die Kurven vom NIST voregeschlagen.
ob hier die NSA Einfluss genommen hat ist unklar - meiner Meinung nach aber irrelevant wenn all dem AES zur Grundlage liegt.
ich denke es geht bei der transportverschlüsselung nur sekundär sich vor Geheimdiensten zu schützen. cryptografie war immer schon ein Mittel um sich mit einem gewissen Aufwand Schutz auf Zeit zu schaffen. diese Zeitdauer kann jemand mit Einsatz von viel Energie und Geld verringern. Wichtig ist immer zu überlegen um welche Information es sich handelt und dann den Schutzbedarf zu definieren.
dieses blinde Hochrüsten der SSL Settings bei nutzloser Information lenkt die energie derjenigen die es brechen wollen lediglich weg von der transportverschlüsselung und wird sie auf sozusagen Bereiche rund um das eigentliche Schloss lenken.
Je sicherer SSL wird umso unsicherer wird der Rest rundherum - ein Bereich der wesentlich schwerer abzusichern wird, technisch teilweise nicht machbar.

schizo

Produkt der Gesellschaft

Registered: Feb 2003
Location: Vienna
Posts: 2538

20.05.2015 - 23:59

Ja, die sind vom NIST vorgeschlagen worden, welches bei der Entwicklung auf die NSA Intelligence zurückgegriffen hat.
Welche Verfahren noch sicher sind und welche nicht ist Stoff für Spekulationen. Aber wenn als sicher geltende Verfahren angekreidet werden, bei denen am ehesten ein Geheimdienst das Know How besitzt, diese zu knacken und dann bloß auf ein Verfahren verweist, welches in praktischer Verwendung auf Entwicklungen eines solchen basiert ist der Schluß einfach inkonsequent. Es könnten zumindest andere Kurven durch eine Nennung gepushed werden.
Das Pushen von SSL zu verurteilen, weil dadurch die Aufmerksamkeit auf andere Aspekte gelenkt wird halte ich aber auch etwas kurzsichtig. Als ob eine solche Forschung nicht sowieso betrieben wird.

schizo

Produkt der Gesellschaft

Registered: Feb 2003
Location: Vienna
Posts: 2538

25.05.2015 - 20:17

Weil ich grad drübergestolpert bin und die bedenklichkeit von AES thematisiert wurde:
Laut diesen Datensätzen verwenden noch rund die Hälfte der österreichischen und schweizer Seiten Ciphersuites mit RC4 anstatt AES.
Insofern liegt die praktische vulnerability häufig noch ganz woanders

Die praktische Verteilung der Exponenten sieht übrigens wie folgt aus:
65535 | 1
257 | 1
5 | 2
59 | 3
19 | 7
47 | 10
4097 | 10
35 | 21
3 | 115
17 | 149
65537 | 136925

Cuero

Moderator

Registered: Feb 2001
Location: Erde
Posts: 3552

25.05.2015 - 21:54

TBL, anyone?

sk/\r

i never asked for this

Registered: Dec 2002
Location: oö
Posts: 10792

25.05.2015 - 22:26

hmmm die seite weakdh geht überhaupt nicht. gibts da eine alternative?

mat Administrator Legends never die Registered: Aug 2003 Location: nö Posts: 25416	20.05.2015 - 16:05 Es wurde eine neue Sicherheitslücke in verschlüsselten Verbindungen entdeckt, die auf dem Diffie Hellman-Algorithmus basieren. Das sind HTTPS, SSH, IPsec, SMTPS und alle Protokolle, die auf TLS zurückgreifen. Die Browser-Hersteller sind gerade dabei, Security-Fixes einzuspielen, die den Zugriff auf derartige Webseiten verhindern. Auf folgender Webseite kann man überprüfen, ob der eigene Browser noch betroffen ist: Logjam: How Diffie-Hellman Fails in Practice Tracking the FREAK Attack Link: weakdh.org Sysadmins sollten nachschauen, ob ihre Server betroffen sind: Logjam: PFS Deployment Guide Our study finds that the current real-world deployment of Diffie-Hellman is less secure than previously believed. This page explains how to properly deploy Diffie-Hellman on your server. Link: weakdh.org
InfiX she/her Registered: Mar 2002 Location: Graz Posts: 14043	20.05.2015 - 16:09 Zitat Good News! Your browser is safe against the Logjam attack. FF hust 15.0.1...
lagwagon bierfräser Registered: Jun 2003 Location: OÖ/VB Posts: 2816	20.05.2015 - 16:16 oh oh Chrome 43.0.2357.65 m Update von heute
enforcer What? Registered: Apr 2001 Location: Mäder / Vlbg Posts: 2421	20.05.2015 - 17:05 bei mir auch. Wenigstens sind meine Webserver sicher.
Luka Administrator ... Registered: Nov 2006 Location: Mödling Posts: 206	20.05.2015 - 17:18 Der Webserver des Forums ist nicht betroffen: Die Export Cipher Suites waren von Anfang an deaktiviert und ich hab auch eigene Diffie-Hellman-Parameter (2048 bit) erzeugt.
wergor connoisseur de mimi Registered: Jul 2005 Location: graz Posts: 4075	20.05.2015 - 18:32 FF 38.0.1 (android) wird als vulnerable abgezeigt.
schizo Produkt der Gesellschaft Registered: Feb 2003 Location: Vienna Posts: 2538	20.05.2015 - 19:15 Zitat von luka und ich hab auch eigene Diffie-Hellman-Parameter (2048 bit) erzeugt. Ich wäre mir nichtmal so sicher, ob der Einsatz von eigenen DH Parametern soooo sinnvoll ist (zumindest wenn die Funktionsweise von DH nicht bekannt ist). Natürlich besteht andernfalls eine höhere Gefahr des precomputings. Aber die Parameter sind ja nicht aus purer Willkür so gewählt. Im konkreten Fall gehts ja darum, dass in den meisten Fällen der Exponent 3 oder 65537 verwendet wird, um einen möglichst großen privaten Schlüssel zu erhalten. Da die beidseitig gewählten Primzahlen ja immer unterschiedlich sein sollten führt dies dennoch zu einem relativ großen Möglichkeitsraum. Wird der Exponent vergrößert dürfte es zwar unwahrscheinlicher sein, dass die Werte in irgendwelchen Tabellen auftauchen, wenn diese zu groß sind führt dies jedoch zu einem kleineren privaten Schlüssel, der wieder einfacher zu berechnen ist. Und den Ratschlag, auf ECDH zu wechseln, wo praktisch erst recht wieder nur auf eine Kurve zurückgegriffen wird, welche von der NSA empfohlen wurde halte ich in anbetracht der Kritik zu den Standard DH Parametern für etwas zu kurz gegriffen.
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16802	20.05.2015 - 23:13 genau genommen wurden die Kurven vom NIST voregeschlagen. ob hier die NSA Einfluss genommen hat ist unklar - meiner Meinung nach aber irrelevant wenn all dem AES zur Grundlage liegt. ich denke es geht bei der transportverschlüsselung nur sekundär sich vor Geheimdiensten zu schützen. cryptografie war immer schon ein Mittel um sich mit einem gewissen Aufwand Schutz auf Zeit zu schaffen. diese Zeitdauer kann jemand mit Einsatz von viel Energie und Geld verringern. Wichtig ist immer zu überlegen um welche Information es sich handelt und dann den Schutzbedarf zu definieren. dieses blinde Hochrüsten der SSL Settings bei nutzloser Information lenkt die energie derjenigen die es brechen wollen lediglich weg von der transportverschlüsselung und wird sie auf sozusagen Bereiche rund um das eigentliche Schloss lenken. Je sicherer SSL wird umso unsicherer wird der Rest rundherum - ein Bereich der wesentlich schwerer abzusichern wird, technisch teilweise nicht machbar.
schizo Produkt der Gesellschaft Registered: Feb 2003 Location: Vienna Posts: 2538	20.05.2015 - 23:59 Ja, die sind vom NIST vorgeschlagen worden, welches bei der Entwicklung auf die NSA Intelligence zurückgegriffen hat. Welche Verfahren noch sicher sind und welche nicht ist Stoff für Spekulationen. Aber wenn als sicher geltende Verfahren angekreidet werden, bei denen am ehesten ein Geheimdienst das Know How besitzt, diese zu knacken und dann bloß auf ein Verfahren verweist, welches in praktischer Verwendung auf Entwicklungen eines solchen basiert ist der Schluß einfach inkonsequent. Es könnten zumindest andere Kurven durch eine Nennung gepushed werden. Das Pushen von SSL zu verurteilen, weil dadurch die Aufmerksamkeit auf andere Aspekte gelenkt wird halte ich aber auch etwas kurzsichtig. Als ob eine solche Forschung nicht sowieso betrieben wird.
schizo Produkt der Gesellschaft Registered: Feb 2003 Location: Vienna Posts: 2538	25.05.2015 - 20:17 Weil ich grad drübergestolpert bin und die bedenklichkeit von AES thematisiert wurde: Laut diesen Datensätzen verwenden noch rund die Hälfte der österreichischen und schweizer Seiten Ciphersuites mit RC4 anstatt AES. Insofern liegt die praktische vulnerability häufig noch ganz woanders Die praktische Verteilung der Exponenten sieht übrigens wie folgt aus: 65535 \| 1 257 \| 1 5 \| 2 59 \| 3 19 \| 7 47 \| 10 4097 \| 10 35 \| 21 3 \| 115 17 \| 149 65537 \| 136925
Cuero Moderator Registered: Feb 2001 Location: Erde Posts: 3552	25.05.2015 - 21:54 TBL, anyone?
sk/\r i never asked for this Registered: Dec 2002 Location: oö Posts: 10792	25.05.2015 - 22:26 hmmm die seite weakdh geht überhaupt nicht. gibts da eine alternative?

Logjam Vulnerability

Forum Index > Digital Life > Internet & Provider

mat

InfiX

lagwagon

enforcer

Luka

wergor

schizo

Smut

schizo

schizo

Cuero

sk/\r