SSL geknackt

Hacker fälschen Zertifikat

02.01.2009
Uli Ries ist freier Journalist in München.
Anzeige  Hacker haben demonstriert, dass sie sich selbst als CA (Certificate Authority) ausgeben und somit neue SSL-Zertifikate ausstellen können. Würden Cyber-Kriminelle die Lücke ausnutzen, wären nicht zu entdeckendes Phishing und Man-in-the-Middle-Attacken die Folge. Grundlage des Hacks ist eine seit Jahren bekannte Schwäche im Hashalgorithmus MD5.
Mit vereinten Kräften: Amerikanische und europäische Hackern haben gemeinsam einen erfolgreichen Angriff auf das SSL-System konzipiert und umgesetzt.
Mit vereinten Kräften: Amerikanische und europäische Hackern haben gemeinsam einen erfolgreichen Angriff auf das SSL-System konzipiert und umgesetzt.
Foto: Chaos Computer Club

Eine Gruppe von amerikanischen und europäischen Hackern hat erfolgreich demonstriert, dass sie sich als Zertifizierungsstelle (CA, Certificate Authority) ausgeben konnten. Web-Browser wie Firefox oder Internet Explorer akzeptieren von dieser vermeintlichen CA ausgestellte SSL-Zertifikate. Firefox beispielsweise bringt eine Whitelist von 135 CAs mit. Könnten sich auch Phisher als CA ausgeben, könnten sie beliebige, mit SSL gesicherte Webseiten perfekt nachbauen. Außerdem werden erstmals Man-in-the-Middle-Attacken in verdrahteten oder drahtlosen Netzwerken möglich, bei denen der Angreifer die Kommunikation zwischen Opfer und SSL-gesicherter Gegenstelle belauscht. Bisher führten solche Attacken zu Warnmeldungen beim belauschten Opfer.

Basis der Attacke ist eine seit Jahren bekannte Schwäche im MD5-Algorithmus. Eine von den Hackern um Alexander Sotirov und Jacob Appelbaum erstellte Statistik zeigt, dass knapp 30 Prozent aller im Web verwendeten SSL-Zertifikate mit MD5 abgesichert wurden. Insgesamt verwenden sechs CAs MD5-Hashes, darunter RSA Data Security, RapidSSL, Thawte und verisign.co.jp. Aus verschiedenen Gründen nahmen die Hacker RapidSSL ins Visier und ließen sich zu erst ein herkömmliches, MD5-signiertes Zertifikat über RapidSSL ausstellen. Der MD5-Hashwert dieser speziell gestalteten Zertifikatsanfrage kollidierte absichtlich mit einem zweiten Zertifikat. Dieses zweite Zertifikat war kein herkömmliches SSL-Zertifikat, sondern das einer CA. Da das gefälschte Zertifikat einen gültigen Hashwert hat, erkennen Browser die Fälschung nicht.

Zur Errechnung der kollidierenden Hashwerte nutzten die Hacker einen Cluster aus 200 Playstation-3-Konsolen und eine von ihnen weiterentwickelte Umsetzung des bekannten MD5-Kollisionsangriffes. Die Berechnungen dauerten nur zwei Tage und hätten wahlweise 8000 herkömmliche Desktop-CPUs oder Rechenleistung im Wert von 20.000 Dollar bei Amazons EC2 erfordert. Um Nachahmern keine Chance zu geben, werden die Hacker ihren Angriffscode vorerst nicht veröffentlichen.

Die Funktionalität ihres CA-Zertifikats demonstrieren die Hacker mit Hilfe einer speziellen Website. Die Gültigkeit des SSL-Zertifikats ist auf August 2004 beschränkt, um jeglichen Missbrauch zu verhindern. Nur wer die Uhr seines PCs zurückstellt, bekommt die Site und das auf „MD5 Collisions Inc.“ ausgestellte Zertifikat zu sehen.