Praktischer Angriff auf MD5 in SSL-Zertifikaten

Auf dem 25. Chaos Communication Congress stellte der Vortrag "MD5 considered harmful today" (zunächst unter dem kryptischen Titel "Making the theoretical possible" angekündigt) einen erfolgreichen Angriff auf MD5-Hashes in SSL-Zertifikaten vor (auf der Seite der Autoren gibt es ein ausführliches Vortragsskript, ein Videomitschnitt ist via Bittorrent verfügbar). Die Gruppe manipulierte ein selbst erstelltes (und on einer Root-CA signiertes) Webseiten-Zertifikat so, daß es als "intermediate CA" verwendbar war; die Korrektheit der Signatur der Root-CA behielten sie mit Hilfe einer "Chosen Prefix Attack" auf den MD5-Hash der Zertifikatsdaten bei. Mit Hilfe dieses Zertifikats war es möglich, beliebige (und von Browsern als gültig und vertrauenswürdig akzeptierte) Webeiten-Zertifikate selbst zu erstellen.
Die CAs haben inzwischen reagiert, auch gibt es ein Firefox-Plugin, das vor solchen anfälligen Zertifikatsketten warnt.

MD5 gilt bereits seit längerem als gebrochen und sollte deshalb nicht mehr verwendet werden. Trotzdem kam bei einigen Root-CAs nach wie vor MD5 im Erstellungsprozeß der Signatur zum Einsatz (die entsprechenden CAs haben inzwischen Besserung gelobt).

Eine "Intermediate CA" ist eine CA, die noch nicht im Browser als vertrauenswürdige Root-CA integriert ist, aber von einer solchen zertifiziert wurde - das heißt, sie wurde von dieser signiert und mit dem Vermerk versehen, daß dieser Schlüssel dazu verwendet werden darf, wiederum weitere Zertifikate zu belaubigen. Ein Angreifer kann sich so beispielsweise ein Zertifikat für eine Onlinebank erstellen, eine der (berühmt-berüchtigten) gespooften Onlinebank-Seiten erstellen, auf die er seine Opfer mit geeigneten Tricks (DNS-Spoofing, Manipulation der Hosts-Datei oder gar einem eigenen DNS-Server, den er seinen Opfern mittels eines trojanischen Pferds, welches als DHCP-Server agiert, unterschiebt) lockt... und im Gegensatz zu früher erscheint nun keine Warnung des Browsers, daß mit dem SSL-Zertifikat der Webseite etwas nicht in Ordnung ist.

Bruce Schneier argumentiert, daß dies keine ernsthafte Verschlimmerung der Situation sei, da die meisten Leute mit solchen Warnungen ohnehin nichts anfangen könnten und sie deshalb ignorieren würden. Ich finde, daß das die Situation verharmlost; es gibt doch viele Leute (wie mich ;-), die solche Warnungen ernstnehmen - und die Warnmeldung von Firefox 3 ist so penetrant, daß man sie nicht einfach wegignorieren kann.

Die Firefox-Extension SSL Blacklist wurde von den Autoren prompt erweitert: Ursprünglich diente sie dazu, vor Zertifikaten zu warnen, die mit der von Debian verkackten OpenSSL-Version erstellt wurden. Nun warnt das Plugin auch vor Website-Zertifikaten, in deren Zertifikatkette MD5-Signaturen zum Einsatz kommen. Die Installation des Plugins würde ich durchaus empfehlen (Leute, die mit der Materie nicht vertraut sind, muß man natürlich briefen, was die Warnmeldungen bedeuten).

comments powered by Disqus