Forscher knacken SSL-Schlüssel

Dieses Thema im Forum "Software" wurde erstellt von AndreasG, 20. Februar 2003.

  1. AndreasG

    AndreasG Active Member

    eben gesehen:

    Lausanne. BaZ. Forscher der Ecole polytechnique fédérale de Lausanne (EPFL) haben eine Lücke im meist verwendeten Übertragungsprotokoll für sichere Internet-Transaktionen entdeckt. Sie konnten beweisen, dass das Benutzer-Passwort, welches der Internet-Anwender im Zusammenhang mit E-Commerce oder beim Online- Zugriff auf sein Bankkonto benötigt, in weniger als einer Stunde geknackt werden kann. Gleichzeitig stellen sie die entsprechenden Mittel zur Verfügung, um der Internet-Piraterie rechtzeitig den Riegel vorzuschieben.

    «Wir haben als Erste diesen Schwachpunkt im SSL-Protokoll erkannt. Insbesondere für Internet-Transaktionen ist dieses Übertragungsprotokoll am meisten verbreitet.» führt der EPFL- Professor Serge Vaudenay aus. SSL, d.h. Secure Socket Layer, galt bis anhin als nicht zu knacken. Die Forschungsannahme für einen Angriff auf das Sicherheitsprotokoll basiert auf einem Chiffrieralgorithmus vom Typus CBC und bedingt, dass sich der Hacker in der Nähe des Mail-Servers befindet.

    «Konkret haben wir ein Programm entwickelt, das es erlaubt, das Passwort eines Anwenders zu knacken, der eine durch SSL gesicherte Kommunikationssoftware benützt», erklärt Professor Vaudenay. Den Wissenschaftlern gelang es anschliessend, sich mit der Anwendung zu verbinden, indem sie sich als Benutzer ausgaben. Sie wären somit in der Lage gewesen, dessen Mails zu lesen oder in seinem Namen Finanztransaktionen auszuführen.

    Bedeutet dies, dass wir in Zukunft für den Zahlungsverkehr auf das Internet verzichten müssen? «Selbstverständlich haben wir unsere Forschungsresultate den SSL-Verantwortlichen weitergeleitet», versichert Professor Vaudeney. Die neue Version OpenSSL (0.9.7a) ist bereits mit einem Schutz gegen die hypothetischen Angriffe der EPFL-Forscher ausgerüstet.

    Das Projekt, welches die Entdeckung des Lecks im SSL-Protokoll ermöglicht hat, ist im Rahmen des nationalen Schwerpunktprogramms über die MICS Mobilnetze entstanden. An den Untersuchungen beteiligten sich neben Serge Vaudenay, Direktor des Labors für Sicherheit und Kryptographie, auch der EPFL-Wissenschaftler Brice Canvel, ein Student der Abteilung für Kommunikationssysteme, Martin Vuagnoux, sowie Alain Hiltgen, Verantwortlicher für Kryptographie bei einer Grossbank.

    Dass ein Server mit SSL gesichert ist, geht aus der Adresse hervor, die mit https:// beginnt. Das «s» bedeutet «secured» (gesichert). Secure Socket Layer kann etwa mit «gesicherte Socket- Schicht» übersetzt werden. Socket ist ein Anglizismus und bezeichnet die Schnittstelle, welche den Austausch zwischen den verschiedenen Anwendungen ermöglicht. Das SSL ist ein Protokoll, das diese Schnittstelle vor jeglichem unerlaubten Zugriff schützt und die Vertraulichkeit der Operationen sicherstellt.

    http://lasecwww.epfl.ch
     
  2. Ties-Malte

    Ties-Malte New Member

    Naja, es beweist eben nur, dass es keine absolute Sicherheit gibt - und natürlich nie geben wird. Immer wird es Leute geben, die Sicherheitslöcher finden, und solche, die wieder stopfen, etc.
    Ob vor den Leuten der EPFL nicht schon andere diese Möglichkeit der Manipulation gefunden hatten, oder ob es nicht längst andere Sicherheitslücken gibt - woher soll man´s wissen? Alles, was man je erreichen wird, ist ein <i> relatives </i> Maß an Sicherheit, und der Erfolg eines Systems misst sich dann (u.a.) am Verhältnis von Vertrauen zu dieser rel. Sicherheit.
     
  3. AndreasG

    AndreasG Active Member

    eben gesehen:

    Lausanne. BaZ. Forscher der Ecole polytechnique fédérale de Lausanne (EPFL) haben eine Lücke im meist verwendeten Übertragungsprotokoll für sichere Internet-Transaktionen entdeckt. Sie konnten beweisen, dass das Benutzer-Passwort, welches der Internet-Anwender im Zusammenhang mit E-Commerce oder beim Online- Zugriff auf sein Bankkonto benötigt, in weniger als einer Stunde geknackt werden kann. Gleichzeitig stellen sie die entsprechenden Mittel zur Verfügung, um der Internet-Piraterie rechtzeitig den Riegel vorzuschieben.

    «Wir haben als Erste diesen Schwachpunkt im SSL-Protokoll erkannt. Insbesondere für Internet-Transaktionen ist dieses Übertragungsprotokoll am meisten verbreitet.» führt der EPFL- Professor Serge Vaudenay aus. SSL, d.h. Secure Socket Layer, galt bis anhin als nicht zu knacken. Die Forschungsannahme für einen Angriff auf das Sicherheitsprotokoll basiert auf einem Chiffrieralgorithmus vom Typus CBC und bedingt, dass sich der Hacker in der Nähe des Mail-Servers befindet.

    «Konkret haben wir ein Programm entwickelt, das es erlaubt, das Passwort eines Anwenders zu knacken, der eine durch SSL gesicherte Kommunikationssoftware benützt», erklärt Professor Vaudenay. Den Wissenschaftlern gelang es anschliessend, sich mit der Anwendung zu verbinden, indem sie sich als Benutzer ausgaben. Sie wären somit in der Lage gewesen, dessen Mails zu lesen oder in seinem Namen Finanztransaktionen auszuführen.

    Bedeutet dies, dass wir in Zukunft für den Zahlungsverkehr auf das Internet verzichten müssen? «Selbstverständlich haben wir unsere Forschungsresultate den SSL-Verantwortlichen weitergeleitet», versichert Professor Vaudeney. Die neue Version OpenSSL (0.9.7a) ist bereits mit einem Schutz gegen die hypothetischen Angriffe der EPFL-Forscher ausgerüstet.

    Das Projekt, welches die Entdeckung des Lecks im SSL-Protokoll ermöglicht hat, ist im Rahmen des nationalen Schwerpunktprogramms über die MICS Mobilnetze entstanden. An den Untersuchungen beteiligten sich neben Serge Vaudenay, Direktor des Labors für Sicherheit und Kryptographie, auch der EPFL-Wissenschaftler Brice Canvel, ein Student der Abteilung für Kommunikationssysteme, Martin Vuagnoux, sowie Alain Hiltgen, Verantwortlicher für Kryptographie bei einer Grossbank.

    Dass ein Server mit SSL gesichert ist, geht aus der Adresse hervor, die mit https:// beginnt. Das «s» bedeutet «secured» (gesichert). Secure Socket Layer kann etwa mit «gesicherte Socket- Schicht» übersetzt werden. Socket ist ein Anglizismus und bezeichnet die Schnittstelle, welche den Austausch zwischen den verschiedenen Anwendungen ermöglicht. Das SSL ist ein Protokoll, das diese Schnittstelle vor jeglichem unerlaubten Zugriff schützt und die Vertraulichkeit der Operationen sicherstellt.

    http://lasecwww.epfl.ch
     
  4. Ties-Malte

    Ties-Malte New Member

    Naja, es beweist eben nur, dass es keine absolute Sicherheit gibt - und natürlich nie geben wird. Immer wird es Leute geben, die Sicherheitslöcher finden, und solche, die wieder stopfen, etc.
    Ob vor den Leuten der EPFL nicht schon andere diese Möglichkeit der Manipulation gefunden hatten, oder ob es nicht längst andere Sicherheitslücken gibt - woher soll man´s wissen? Alles, was man je erreichen wird, ist ein <i> relatives </i> Maß an Sicherheit, und der Erfolg eines Systems misst sich dann (u.a.) am Verhältnis von Vertrauen zu dieser rel. Sicherheit.
     
  5. AndreasG

    AndreasG Active Member

    eben gesehen:

    Lausanne. BaZ. Forscher der Ecole polytechnique fédérale de Lausanne (EPFL) haben eine Lücke im meist verwendeten Übertragungsprotokoll für sichere Internet-Transaktionen entdeckt. Sie konnten beweisen, dass das Benutzer-Passwort, welches der Internet-Anwender im Zusammenhang mit E-Commerce oder beim Online- Zugriff auf sein Bankkonto benötigt, in weniger als einer Stunde geknackt werden kann. Gleichzeitig stellen sie die entsprechenden Mittel zur Verfügung, um der Internet-Piraterie rechtzeitig den Riegel vorzuschieben.

    «Wir haben als Erste diesen Schwachpunkt im SSL-Protokoll erkannt. Insbesondere für Internet-Transaktionen ist dieses Übertragungsprotokoll am meisten verbreitet.» führt der EPFL- Professor Serge Vaudenay aus. SSL, d.h. Secure Socket Layer, galt bis anhin als nicht zu knacken. Die Forschungsannahme für einen Angriff auf das Sicherheitsprotokoll basiert auf einem Chiffrieralgorithmus vom Typus CBC und bedingt, dass sich der Hacker in der Nähe des Mail-Servers befindet.

    «Konkret haben wir ein Programm entwickelt, das es erlaubt, das Passwort eines Anwenders zu knacken, der eine durch SSL gesicherte Kommunikationssoftware benützt», erklärt Professor Vaudenay. Den Wissenschaftlern gelang es anschliessend, sich mit der Anwendung zu verbinden, indem sie sich als Benutzer ausgaben. Sie wären somit in der Lage gewesen, dessen Mails zu lesen oder in seinem Namen Finanztransaktionen auszuführen.

    Bedeutet dies, dass wir in Zukunft für den Zahlungsverkehr auf das Internet verzichten müssen? «Selbstverständlich haben wir unsere Forschungsresultate den SSL-Verantwortlichen weitergeleitet», versichert Professor Vaudeney. Die neue Version OpenSSL (0.9.7a) ist bereits mit einem Schutz gegen die hypothetischen Angriffe der EPFL-Forscher ausgerüstet.

    Das Projekt, welches die Entdeckung des Lecks im SSL-Protokoll ermöglicht hat, ist im Rahmen des nationalen Schwerpunktprogramms über die MICS Mobilnetze entstanden. An den Untersuchungen beteiligten sich neben Serge Vaudenay, Direktor des Labors für Sicherheit und Kryptographie, auch der EPFL-Wissenschaftler Brice Canvel, ein Student der Abteilung für Kommunikationssysteme, Martin Vuagnoux, sowie Alain Hiltgen, Verantwortlicher für Kryptographie bei einer Grossbank.

    Dass ein Server mit SSL gesichert ist, geht aus der Adresse hervor, die mit https:// beginnt. Das «s» bedeutet «secured» (gesichert). Secure Socket Layer kann etwa mit «gesicherte Socket- Schicht» übersetzt werden. Socket ist ein Anglizismus und bezeichnet die Schnittstelle, welche den Austausch zwischen den verschiedenen Anwendungen ermöglicht. Das SSL ist ein Protokoll, das diese Schnittstelle vor jeglichem unerlaubten Zugriff schützt und die Vertraulichkeit der Operationen sicherstellt.

    http://lasecwww.epfl.ch
     
  6. Ties-Malte

    Ties-Malte New Member

    Naja, es beweist eben nur, dass es keine absolute Sicherheit gibt - und natürlich nie geben wird. Immer wird es Leute geben, die Sicherheitslöcher finden, und solche, die wieder stopfen, etc.
    Ob vor den Leuten der EPFL nicht schon andere diese Möglichkeit der Manipulation gefunden hatten, oder ob es nicht längst andere Sicherheitslücken gibt - woher soll man´s wissen? Alles, was man je erreichen wird, ist ein <i> relatives </i> Maß an Sicherheit, und der Erfolg eines Systems misst sich dann (u.a.) am Verhältnis von Vertrauen zu dieser rel. Sicherheit.
     
  7. AndreasG

    AndreasG Active Member

    eben gesehen:

    Lausanne. BaZ. Forscher der Ecole polytechnique fédérale de Lausanne (EPFL) haben eine Lücke im meist verwendeten Übertragungsprotokoll für sichere Internet-Transaktionen entdeckt. Sie konnten beweisen, dass das Benutzer-Passwort, welches der Internet-Anwender im Zusammenhang mit E-Commerce oder beim Online- Zugriff auf sein Bankkonto benötigt, in weniger als einer Stunde geknackt werden kann. Gleichzeitig stellen sie die entsprechenden Mittel zur Verfügung, um der Internet-Piraterie rechtzeitig den Riegel vorzuschieben.

    «Wir haben als Erste diesen Schwachpunkt im SSL-Protokoll erkannt. Insbesondere für Internet-Transaktionen ist dieses Übertragungsprotokoll am meisten verbreitet.» führt der EPFL- Professor Serge Vaudenay aus. SSL, d.h. Secure Socket Layer, galt bis anhin als nicht zu knacken. Die Forschungsannahme für einen Angriff auf das Sicherheitsprotokoll basiert auf einem Chiffrieralgorithmus vom Typus CBC und bedingt, dass sich der Hacker in der Nähe des Mail-Servers befindet.

    «Konkret haben wir ein Programm entwickelt, das es erlaubt, das Passwort eines Anwenders zu knacken, der eine durch SSL gesicherte Kommunikationssoftware benützt», erklärt Professor Vaudenay. Den Wissenschaftlern gelang es anschliessend, sich mit der Anwendung zu verbinden, indem sie sich als Benutzer ausgaben. Sie wären somit in der Lage gewesen, dessen Mails zu lesen oder in seinem Namen Finanztransaktionen auszuführen.

    Bedeutet dies, dass wir in Zukunft für den Zahlungsverkehr auf das Internet verzichten müssen? «Selbstverständlich haben wir unsere Forschungsresultate den SSL-Verantwortlichen weitergeleitet», versichert Professor Vaudeney. Die neue Version OpenSSL (0.9.7a) ist bereits mit einem Schutz gegen die hypothetischen Angriffe der EPFL-Forscher ausgerüstet.

    Das Projekt, welches die Entdeckung des Lecks im SSL-Protokoll ermöglicht hat, ist im Rahmen des nationalen Schwerpunktprogramms über die MICS Mobilnetze entstanden. An den Untersuchungen beteiligten sich neben Serge Vaudenay, Direktor des Labors für Sicherheit und Kryptographie, auch der EPFL-Wissenschaftler Brice Canvel, ein Student der Abteilung für Kommunikationssysteme, Martin Vuagnoux, sowie Alain Hiltgen, Verantwortlicher für Kryptographie bei einer Grossbank.

    Dass ein Server mit SSL gesichert ist, geht aus der Adresse hervor, die mit https:// beginnt. Das «s» bedeutet «secured» (gesichert). Secure Socket Layer kann etwa mit «gesicherte Socket- Schicht» übersetzt werden. Socket ist ein Anglizismus und bezeichnet die Schnittstelle, welche den Austausch zwischen den verschiedenen Anwendungen ermöglicht. Das SSL ist ein Protokoll, das diese Schnittstelle vor jeglichem unerlaubten Zugriff schützt und die Vertraulichkeit der Operationen sicherstellt.

    http://lasecwww.epfl.ch
     
  8. Ties-Malte

    Ties-Malte New Member

    Naja, es beweist eben nur, dass es keine absolute Sicherheit gibt - und natürlich nie geben wird. Immer wird es Leute geben, die Sicherheitslöcher finden, und solche, die wieder stopfen, etc.
    Ob vor den Leuten der EPFL nicht schon andere diese Möglichkeit der Manipulation gefunden hatten, oder ob es nicht längst andere Sicherheitslücken gibt - woher soll man´s wissen? Alles, was man je erreichen wird, ist ein <i> relatives </i> Maß an Sicherheit, und der Erfolg eines Systems misst sich dann (u.a.) am Verhältnis von Vertrauen zu dieser rel. Sicherheit.
     

Diese Seite empfehlen