SSL/TLS Verschlüsselung nicht sicher
Forscher des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) in Darmstadt haben einen Weg gefunden, wie sich die SSL/TLS-Verschlüsselung umgehen lässt. Diese Verschlüsselung schützt die Datenübertragung im Internet. Die nun entdeckte Schwachstelle betrifft die Art und Weise, wie die Betreiber von Websites ihre Identität schützen, wie nzz.ch dazu berichtete.
Angreifer könnten so in die Lage versetzt werden, eine Internet-Adresse zu stehlen und mit einer falschen Identität Kunden, die mit dieser Adresse kommunizieren, in die Irre zu führen. Die falsche Identität könnte dazu missbraucht werden, um über populäre Websites Malware in Umlauf zu setzen oder sensible Kundendaten abzufangen.
Zertifizierungsstellen sind Garant für Sicherheit
Wie es weiter dazu heißt, spielt die SSL/TLS-Verschlüsselung (Transport Layer Security) bei der Absicherung der Datenübertragung im Internet eine zentrale Rolle. Insbesondere wird diese Technik auch genutzt, um die Kommunikation zwischen einem Web-Server und einem Web-Browser zu schützen. Dabei kommt ein asymmetrisches Verschlüsselungsverfahren zum Einsatz, das auf das Zusammenspiel von einem privaten und einem öffentlichen Schlüssel angewiesen ist.
Um den Betreiber einer Website zu authentifizieren, braucht es die Bestätigung, dass ein bestimmter Domain-Namen und der öffentliche Schlüssel einer bestimmten Organisation zusammengehören. Eine solche Bestätigung ist als digitales Zertifikat von einer Zertifizierungsstelle (Certificate Authority, CA) zu haben. Man darf deshalb durchaus sagen, wie das die Fraunhofer-Forscher tun, dass die «Stabilität und die Sicherheit» des Netzes durch Zertifizierungsstellen garantiert wird.
Domain Validation unsicher
Zertifizierungsstellen kennen verschiedene Verfahren, um abzuklären, ob ein öffentlicher Schlüssel zu einer Website gehört. Eines dieser Verfahren, Domain Validation (DV) genannt, kommt ohne manuelle Eingriffe aus und ist deshalb sehr populär. Allerdings, so konnten die Forscher nun zeigen, ist dieses Verfahren unsicher: Ein Angreifer kann sich als Besitzer einer Domain zertifizieren lassen, ohne der rechtmässige Besitzer zu sein.
Das ist möglich, wenn er als «Man in the Middle» (MitM) die Kommunikation zwischen der Zertifizierungsstelle und dem Website-Betreiber stört. Dabei kommt ein «DNS Cache Poisoning» genanntes Verfahren zum Einsatz, das Schwachstellen jener Software ausgenutzt, die für die Verwaltung des Domain-Name-Systems zuständig ist.
Problematik erfordert zügige Klärung
Die Sicherheitsforscher Markus Brandt, Tianxiang Dai, Amit Klein, Haya Shulman und Michael Waidner vom Fraunhofer SIT-Institut berichten, dass sie mit betroffenen Zertifizierungsstellen im Gespräch seien und sie auf das Problem hingewiesen hätten. Nicht alle Zertifizierungsstellen sind auf diese Weise angreifbar, aber die betroffenen kontrollierten 99 Prozent des Marktes für digitale Zertifikate.
Das DV++ Verfahren
Die Forscher haben ein DV++ genanntes Verfahren entwickelt, das die Schwachstellen von DV beheben soll. Der Aufsatz «Domain Validation ++ for MitM-Resilient PKI» soll im Zusammenhang mit der Conference on Computer and Communications Security, die Mitte Oktober in Toronto stattfindet, publiziert werden. Weil die Forscher die Sicherheitslücken als gravierend erachten, haben sie bereits jetzt ausgewählten Medienvertretern ihre Erkenntnisse präsentiert, so nzz.ch.
