News

Forscher erstellen gefälsches SSL-Zertifikat

Ein eigenes Zertifikat konnte durch Zusammenschaltung von 200 Playstation 3-Konsolen erstellt werden, das von allen gängigen Browsern als sicher angesehen wird.

03.01.2009, 11:14 Uhr
Internet© Gina Sanders / Fotolia.com

Internetsurfer stoßen im Netz immer wieder auf besonders gesicherte Seiten. Beim Online-Banking oder Online-Shopping etwa geben SSL-Zertifikate Auskunft darüber, ob die aufgerufene Webseite wirklich die des Bankinstituts oder des Shops ist. Eine der bei der Zertifizierung eingesetzten Prüfmethoden ist die Nutzung einer Checksumme mittels MD5 (Message Digest Algorithm 5), bei der ein 128-Bit-Hashwert gebildet wird.
MD5 ist angreifbar
Bereits 2004 hatten chinesische Forscher herausgefunden, dass es theoretisch möglich ist, bei MD5 eine sogenannte Kollision herbeizuführen, das heißt, zwei Werten den gleichen Schlüssel zuzuordnen. Auf dem 25. Chaos Communication Congress, der Ende Dezember in Berlin stattfand, hat ein Forscherteam um David Molnar, Jacob Appelbaum und Alexander Sotirov nun über einen solchen Angriff auf das SSL-System auch in der Praxis berichtet.
Zusammenschaltung von 200 Playstation 3
Mit Hilfe von 200 als Cluster zusammengeschalteten handelsüblichen Playstation 3-Spielekonsolen konnte eine Kollision in ein bis zwei Tagen herbeigeführt werden. Verwendet wurden dazu Zertifikate von RapidSSL, einer Firma aus dem Verisign-Konzern. Erleichtert wurde der Angriff durch die fortlaufende Nummerierung der Seriennummern durch RapidSSL. Dadurch waren die Forscher in der Lage, selber ein eigenes, gefälschtes Zertifikat herzustellen, das von den gängigen Browsern als sicher akzeptiert wird. Alternativ wäre ein ähnliches Ergebnis auch mit der Zusammenschaltung von 8.000 Desktop-PCs erzielt worden. Betreiber von Phishing-Webseiten könnten auf diesem Wege ihre Fake-Webseiten als sichere Internetseite ausgeben.
Die Forscher wollten mit ihrem Gang an die Öffentlichkeit vor allem dazu beitragen, dass die Zertifikatersteller von MD5 auf sichere Methoden wechseln. Von den überprüften rund 30.000 Zertifikaten hätten rund ein Drittel immer noch MD5 genutzt. Verisign reagierte bereits und erklärte, bis Ende Januar komplett die Abkehr von MD5 durchführen zu wollen. Die demonstrierte Angriffsmethode sei bereits ab sofort nicht mehr nutzbar.

(Jörg Schamberg)

Kommentieren Forum

Dieser Artikel wurde noch nicht kommentiert. Schreiben Sie uns Ihre Meinung!

Zum Seitenanfang