Extended Random heißt eine von der NSA mitfinanzierte Erweiterung für TLS 1.3. Ihre Aufnahme wurde beim Standardisieren der neuen TLS-Version zwar abgelehnt, kommt aber offenbar trotzdem zum Einsatz und fiel jetzt in Canon-Druckern auf.
Beim Untersuchen des Zufallszahlen-Generators Dual EC (Dual Elliptic Curve Deterministic Random Bit Generator) in der TLS-Implementierung fiel den Sicherheitsforschern um Tanja Lange, Matthew Green und Daniel J. Bernstein bereits 2013 Bsafe-C negativ auf. Diese Dual-EC-Implementierung ließ sich bereits mit einfachen Mitteln angreifen [PDF], wodurch es gelang, sichere TLS-Verbindungen aufzubrechen.
Der Versuch, den anfälligen Algorithmus 2009 als IETF-Erweiterung für TLS zu standardisieren, scheiterte allerdings. Extended Random Values für TLS kam nie über das Entwurfsstadium hinaus. Das Urteil der Kryptoexperten Daniel J. Bernstein, Tanja Lange und Ruben Niederhagen lautete 2014: “Wir haben keinen Weg gefunden, indem sie [die Erweiterung; d. Red.] die Sicherheit verbessert”. Zwei darin aufgestellte Theorien werfen zudem die Frage auf, warum das RFC für Extended Random Values überhaupt existiert:
“Theorie 1: Die NSA hat fälschlicherweise geglaubt, dass Extended Random die Sicherheit von TLS verbessert und für die Arbeit an dem Algorithmus bezahlt, um TLS zu verbessern.
Theorie 2: Die NSA hat für diese Arbeit gezahlt, um Angriffe auf TLS-Implementierungen, die Dual EC verwenden, zu erleichtern.”
Die Forscher fanden damals allerdings keinen Hinweis darauf, dass die Erweiterung aktiviert ist und laut Matthew Green blieb es “ein Mysterium”, warum diese perfekte Krypto-Backdoor nicht zum Einsatz kam.
Besafe in Canon-Druckern
Sprung in die Gegenwart. Wie sich gestern bei Tests mit TLS 1.3 herausstellte, hat der Anbieter der unsicheren Bsafe-Bibliothek, RSA Security, diese offenbar in der kommerziellen Version seiner TLS-Implementierung aktiviert. Laut einem Mailinglisten-Post des Chromium-Entwicklers David Benjamin scheinen die Webintefaces eine Reihe von Canon-Druckern die anfällige Bsafe-Bibliothek zu nutzen, um TLS zu implementieren. Der Post nennt Pixma MX492, Pixma MG3650 und die MX495-Modelle.
Matthew Green glaubt allerdings nicht, dass die Drucker das erste Ziel der Geheimdienste waren, sie seien lediglich unmodern genug, um noch die anfällige Bibliothek zu verwenden.
Das Ganze kam eher zufällig bei dem Versuch heraus, Canon-Drucker mit dem neuen TLS 1.3 abzusichern. Dabei scheiterte der TLS-1.3-Handshake, weil die Extended-Random- und die Keyshare-Erweiterung von TLS 1.3 denselben Wert teilen, nämlich 40. Green glaubt bei Twitter, einen “ausgezeichneten Streich” zu erleben. Dieser könnte, wenn er Recht hat, darin bestehen, dass die Keyshare-Erweiterung von TLS 1.3 bewusst denselben Wert verwendet wie die Erweiterung in der Bsafe-Bibliothek. Es könnte sich allerdings auch um puren Zufall handeln.
Laut dem Post weiß Canon von dem Problem und möchte neue Firmware für die Drucker ausliefern. Allerdings, schreibt der Entdecker des Problems, würden Druckerbesitzer neue Firmware eher selten tatsächlich einspielen.





