blog.wlami.com

Virtuelles Zuhause von Wladislaw Mitzel

BEAST: Hacker stellen Angriff auf TLS 1.0 vor – SSL nicht mehr sicher

Falls ihr es schon schlimm fandet, dass Diginotar auf ganzer Linie versagt hat, sodass Zertifikate für google.com und weitere Seiten ausgestellt wurden, solltet ihr euch jetzt lieber setzen. Denn es wird heftig! Während es sich beim ersten Fall nur um kompromittierte  Zertifikate handelt, ist nun ein Angriff auf das Protokoll TLS 1.0 vorgestellt worden.

Wie theregister.co.uk berichtet, haben die Forscher Thai Duong und Juliano Rizzo auf der Security-Konferenz ekoparty einen Angriff auf TLS 1.0 vorgestellt. Bei diesem Angriff handelt es sich um eine Chosen-Plaintext Attacke, welche bisher für TLS 1.0 nur als theoretischer Angriff galt. Es ist somit möglich die Inhalte von HTTPS-Aufrufen zu entschlüsseln und zu manipulieren. Die beiden Forscher stellten gleichzeitig ein Proof-of-concept namens BEAST vor: diese Software greift einen bekannten Online-Bezahldienst an, indem das Session-Cookie ausgelesen wird. Dieser Vorgang dauert laut eigenen Angaben 10 Minuten.

Zwar gibt es mit TLS 1.1 und TLS 1.2 bereits zwei Nachfolge-Spezifikationen, die für den vorgestellten Angriff nicht anfällig sind. Diese finden im Internet jedoch kaum Anwendung. Auf der Browser-Seite unterstützt nur Opera die TLS 1.2 Spezifikation. Würde man nun versuchen die gesamte Kommunikation auf TLS 1.1 oder 1.2 umzuschalten, gäbe es viele Seiten, die nicht mehr funktionieren, da die neueren TLS-Spezifikationen nicht komplett abwärts kompatibel sind.

Korrektur: Was den Zeitpunkt angeht habe ich mich vertan. Die Konferenz und somit auch die Demonstration von BEAST erfolgt erst später diese Woche.

1 Kommentar

Von: BEAST: Hacker stellen Angriff auf TLS 1.0 vor – SSL nicht mehr sicher « Blog@choehn.net um 19:34:25 am 20.09.2011

[...] Zertifikate handelt, ist nun ein Angriff auf das Protokoll TLS 1.0 vorgestellt worden. ... hier weiterlesen Tweet Filed under: Uncategorized    Author: Christoph Leave a comment Comments (0) [...]

Kommentieren

Dieses Blog verwendet statische Kommentare. Kommentare werden also per Mail an mich geschickt und erscheinen anschließend im Blog. Eure E-Mail-Adresse wird nicht veröffentlicht.

Kommentar schreiben