Mit einem Cluster von 200 Playstation 3 berechnet eine internationale Forscher- und Entwicklergruppe Kollisionen des MD5-Hashalgorithmus.
Zum Ende des viertägigen Kongresses wurde es noch einmal spannend: Referenten berichteten über bekannte und neue Schachstellen in zwei der wichtigsten Sicherheitsprotokolle des Internet: SSH und SSL.
Der Bericht von Luciano Bello und Maximiliano Bertacchini betraf vor allem die Schwachstelle im Pseudozufallszahlengenerator, die Debian Mitte des ausklingenden Jahres erschüttert hatte (Linux-Magazin Online berichtete). Die beiden Argentinier arbeiteten die Schwachstelle noch einmal auf und wiesen eindringlich darauf hin, dass das Problem nicht nur Serverbetreiber betrifft, die Debian verwenden, sondern alle Systemverwalter, deren Benutzer zum Zugang irgendwann einmal Debian zum Erzeugen ihrer Zertifikate benutzt hatten. Weiterhin betrifft das Problem nicht nur SSH, sondern auch GPG-signierte Dateien oder mit der “libssl” erzeugte SSL-Zertifikate.
Letztere waren der Mittelpunkt einer mystisch verklausuliert angekündigten Vorstellung, wie sich theoretisch bekannte Schwächen im Hashverfahren MD5 sehr praktisch umsetzen lassen. Ein internationales Team rund um Hackerspaces-Aktivist Jacob Appelbaum führte aus, wie sich ein komplettes Root-Zertifikat erzeugen lässt, das praktisch jeder Web-Browser akzeptiert.
Dazu suchte sich das Team einen SSL-Anbieter, der einerseits in den gängigen Browsern vertreten ist und andererseits MD5 als Hashfunktion verwendet, obwohl darin 2004 und 2007 Schwachstellen bekannt geworden waren. Sie ermöglichen, zu einer Datei ein Gegenstück zu erzeugen, dass den gleichen Hash-Fingerprint besitzt. Diese Datei nennen Experten eine Kollision. In der Kollision lassen sich mit einem gewissen Rechenauswand eine begrenzte Anzahl von Bytes verändern. Das Team verwendete dazu ein Cluster von 200 Playstation 3, die jeweils mit dem Cell-Prozessor ausgestattet sind und rechnet an einer Kollision rund drei Tage. Alternativ lässt sich die Berechnung auch auf einem Mietcluster wie Amazons EC2 für rund 2000 US-Dollar durchführen.
Mit einem Cluster von 200 Playstation 3 berechnet eine internationale Forscher- und Entwicklergruppe Kollisionen des MD5-Hashalgorithmus.
Die Forscher und Entwickler registrierten eine Domain und ließen für diese ein legitimes SSL-Zertifikat von einem CA-Anbieter ausstellen, der noch das alte Hashverfahren nutzt. Von diesem Zertifikat fertigten sie eine Kollision an, die das Ergebnis fortan als Sub-CA-Zertifikat firmieren lässt. Mittels Skripten und etwas Glück erhielten sie ein Zertifikat mit einer gewählten Seriennummer und zu einem definierten Zeitpunkt. Beides ist Voraussetzung für den Angriff. Beides ließ sich jedoch innerhalb von vier Wochenenden und unter Einsatz von unter 1000 US-Dollar für SSL-Zertifikate erzielen.
Könnte ein Angreifer beliebige durch SSL abgesicherte Verbindungen als Man-in-the-Middle umleiten und würde er statt des Zertifikates des angefragten Servers ein eigenes präsentieren, dass er mit dem gefälschten Sub-CA-Zertifikat signiert hat, so hätte kaum ein Browser die Chance, diese Manipulation zu erkennen. Der Zugriff auf E-Banking-Anwendungen, auf SSL-gesicherte IMAP-Server oder der Einsatz von SSL-VPNs wären damit hochgradig gefährdet. Da die Entdecker der Schwachstelle das Zertifikat nicht veröffentlichen wollen, bleibt Browserherstellern, Certificate Authoritys und letztlich den Benutzern eine kurze Atempause, um ihre Anwendungen zu aktualisieren.
