Seiten

Mittwoch, 7. Mai 2014

SSL / TLS Sicherheit: weitere Schwachstellen in bekannten SSL-Bibliotheken entdeckt

Automatisiertes Testen mit "Frankencerts"  zur Qualitätssicherung der Zertifikatsvalidierung in SSL/TLS-Implementierungen

https://www.cs.utexas.edu/~shmat/shmat_oak14.pdf

Ein Forscherteam konnte mit Hilfe eines Fuzzy-Tests weitere Lücken in mehreren SSL-Bibliotheken aufspüren. Dazu wurden sogenannte "Frankencerts" aus realen SSL-Zertifikaten abgeleitet, mit denen die Verhaltensweisen der Testkandidaten getestet wurden. 


Rücksicht nehmen

Eine Übersicht auf Seite 11 im Bericht gibt Aufschluss über die fehlerhaften Zertifikatsvalidierungen weiterer SSL-Bibliotheken und Browser.

Die Forscher konnten zudem zeigen, daß MatrixSSL alle X.509-Zertifikate in Version 1 akzeptiert. Ein Angreifer kann sich in Folge als Zertifizierungsinstanz (CA) ausgeben und wahlfrei Domain-Certificates ausgeben.

Auch wenn das Heartbleed Debakel noch so stark am Image von OpenSSL gekratzt hat, andere SSL / TLS Bibliotheken wie PolarSSL, GnuTLS, CyaSSL, MatrixSSL, NSS und OpenJDK / Bouncy Castle sind in dem hier besprochenen Kontext ebenfalls nicht fehlerfrei.

Die Entwickler aller betroffenen SSL/TLS Implementierungen wurden von den Forschern über die entdeckten Probleme informiert. Der Bericht fasst auf Seite 14 und 15 den Status der Fix-Bemühungen zusammen.

Fazit: das Forschungsergebnis leistet einen sehr guten Beitrag zur künftigen Qualitätssicherung (QS) dieser betroffenen Bibliotheken. Die Forscher weisen abschliessend darauf hin, dass die Ergebnisse nur einen Teil der benötigten Testmöglichkeiten abdecken, die für eine vollständige Qualitätssicherung nötig sind.


Anmerkungen der Redaktion: 

Der Schlußsatz kann durchaus auch als Aufruf zur aktiven Mithilfe bei der Entwicklung verstanden werden. Man darf davon ausgehen, dass sich weltweit auch Universitäten künftig mehr bei der Entwicklung engagieren werden, denn die Thematik verlangt profundes Wissen [1, 2, 3] und dessen Erhalt, da der Verbreitungsgrad von SSL / TLS den Wissenstransfer zur Vorsorge für bevorstehende Generationswechsel zwingend voraussetzt.

Ausserdem freuen sich auch Entwickler von OpenSource Projekten über Spenden, was der Artikel [2] deutlich hervorhebt.

Weitere Artikel:
1. http://blog.fefe.de/?ts=b6c9ec7e
2. http://www.pro-linux.de/news/1/20991/openssl-nach-dem-heartbleed-fehler-patches-audits-und-spenden.html
3. http://www.heise.de/security/meldung/Akamais-Speicherschutz-doch-anfaellig-fuer-Heartbleed-2169913.html




Copyright: all images used in this article belong to the author.
Veröffentlicht: 19.12.2013 11:00