04.03.2016 16:26

Der DROWN Angriff auf SSL/TLS

Kurzzusammenfassung: Bitte überall SSLv2 abdrehen und openssl aktualisieren.

Es ist wieder soweit: Es gibt einen Presserummel rund um eine neu entdeckte Schwachstelle in SSL/TLS. Es gibt einen Namen (DROWN = Decrypting RSA with Obsolete and Weakened eNcryption) und ein fancy Logo.

Nachzulesen ist alles unter:

Wir haben uns das angesehen und beschlossen, dazu keine offizielle Warnung zu publizieren. Das Problem ist nicht so dringend und dramatisch, wie manche Journalisten schreiben.

Worum geht es?

  • SSLv2 ist obsolet und sollte überall abgedreht sein. Der Trick am DROWN Angriff ist, dass durch den SSLv2 Support auch Clients angegriffen werden können, die TLS 1.2 benutzen. Das funktioniert auch, wenn etwa SSLv2 auf Port 25 und TLS 1.2 auf Port 443 gesprochen wird, solange beide Dienste den gleichen RSA private key nutzen.
  • Es gibt einen Bug in älteren Versionen von openssl, der den Angriff deutlich vereinfacht. Wer nach März 2015 eine Update gemacht hat, ist davor aber schon geschützt.
  • Das ganze ist rein ein Problem auf der Serverseite.
  • Es ist nicht davon auszugehen, dass dieser Angriff bereits ausgenutzt wurde. Er ist auch hinreichend komplex, sodass passende Werkzeuge nicht schnell verfügbar sein werden. Hier sind wir ganz weit weg von dem Bedrohungspotential durch Heartbleed.

Was empfehlen wir?

  1. Konfigurieren Sie Ihre SSL/TLS Server richtig. Ja, es gilt eine Balance zwischen Support für alte Clients und der Sicherheit zu finden. SSLv2 ist aber definitiv für Webserver nicht mehr nötig, und auch SSLv3 wird im wesentlichen nur noch vom Internet Explorer auf Windows XP (für beides gibt es schon lange keine Updates von Microsoft mehr) gebraucht. Siehe bettercrypto.org für Tipps dazu.
  2. Normalerweise gilt "Besser Schwache Verschlüsselung als gar keine." Basierend auf dieser Maxime haben etwa manche Mailserverbetreiber auf Port 25 obsolete Protokolle/Cipher nicht abgedreht. Das ist hier zu hinterfragen: das Fiese an DROWN ist, dass die Verfügbarkeit von SSLv2 die Sicherheit aller anderen Clients, also auch der, die TLS 1.2 verwenden, gefährdet. Insofern stimmt die Argumentation "mir ist SSLv2 lieber als Klartext" bei dieser Schwachstelle nicht ganz.
  3. Falls Sie aus dringenden Gründen SSLv2 bei einem Service nicht abdrehen können, dann sollte dieses jedenfalls sein eigenes Schlüsselpaar bekommen.
  4. Bei Mailservern gibt es auch immer wieder die Bedenken, dass ein Fehlschlagen des SSL-Handshakes nach STARTTLS nicht immer zu einem Rückfall auf Plaintext führt, sondern bei mancher Software die Mailübertragung komplett verhindert. Ich habe dazu keine harten Zahlen, aber das Update von openssl hat SSLv2 komplett herausgekommen. Damit ist innerhalb von ein paar Tagen ein nicht unerheblicher Teil der Mailserver im Internet nicht mehr in der Lage, SSLv2 Connections anzunehmen. Wer senderseitig damit ein Problem hat (etwa kein Fallback auf Plaintext), der wird schnell massive Probleme bekommen. Ich gehe also davon aus, dass das Thema "nicht zugestellte Emails bei Handshake-Problemen nach STARTTLS" bald Geschichte sein wird.
  5. Bringen Sie regelmäßig die Serversoftware auf einen aktuellen Stand. Im konkreten Fall: Wenn Sie nach Logjam gepatcht haben, dann trifft Sie DROWN nicht mehr mit voller Wucht.

Zusammenfassung: Alles kein Drama, wer in dem Bereich TLS Settings und Software halbwegs am Stand ist, ist im grünen Bereich und kann im ganz normalen Patch-Zyklus die verfügbaren Updates einspielen.

Status in Österreich: Wie im Paper beschrieben haben die Forscher einen Scan des ganzen Internets nach anfälligen Servern gemacht. Wir bekamen die Daten für Österreich (26258 IP-Adressen/Port Paare) und haben gestern, am 1. März alle Netzbetreiber informiert.

Seit 3. März testen wir täglich alle Mail und Webserver von .at-Domains auf SSLv2 Support. Das ist daher ein weiteres Beispiel für die in unserem Jahresbericht beschriebenen Sicherheitsprobleme im österreichischen Internet.

Zusatz: Ich schließe mich voll inhaltlich folgendem Statement der Forscher hinter DROWN an:

For the third time in a year, a major Internet security vulnerability has resulted from the way cryptography was weakened by U.S. government policies that restricted exporting strong cryptography until the late 1990s. Although these restrictions, evidently designed to make it easier for NSA to decrypt the communication of people abroad, were relaxed nearly 20 years ago, the weakened cryptography remains in the protocol specifications and continues to be supported by many servers today, adding complexity—and the potential for catastrophic failure—to some of the Internet’s most important security features.

The U.S. government deliberately weakened three kinds of cryptographic primitives: RSA encryption, Diffie-Hellman key exchange, and symmetric ciphers. FREAK exploited export-grade RSA, and Logjam exploited export-grade Diffie-Hellman. Now, DROWN exploits export-grade symmetric ciphers, demonstrating that all three kinds of deliberately weakened crypto have come to put the security of the Internet at risk decades later.

Today, some policy makers are calling for new restrictions on the design of cryptography in order to prevent law enforcement from “going dark.” While we believe that advocates of such backdoors are acting out of a good faith desire to protect their countries, history's technical lesson is clear: weakening cryptography carries enormous risk to all of our security.

Autor: Otmar Lendl