Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Kritische Sicherheitslücken: TLS-Verschlüsselung für Java ließ sich auf mehreren Wegen knacken

23.04.2014

Im Januar und April hat Oracle kritische Softwareupdates für Java herausgegeben. Sie beheben unter anderem drei Schwachstellen, die Forscher vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität entdeckt haben.

Die Sicherheitslücken betreffen die „Java Secure Socket Extension“, kurz JSSE. Diese Software-Bibliothek implementiert das Sicherheitsprotokoll „Transport Layer Security“ (TLS), um den Datentransfer zwischen Browsern und Web-Servern zu verschlüsseln, etwa um Passwörter oder Kreditkartendaten sicher zu übermitteln.

Wie bei Heartbleed: TLS-Implementierung als Schwachstelle

In den vergangenen Tagen hat der Heartbleed-Angriff auf OpenSSL für Schlagzeilen gesorgt. Wie OpenSSL ist auch JSSE für Java eine TLS-Implementierung; Oracle stellt sie als Open Source-Software zur Verfügung. Über zwei der drei entdeckten Schwachstellen in JSSE konnten die IT-Sicherheitsforscher die Verschlüsselung mittels TLS komplett brechen. Sie informierten Oracle über die Sicherheitslücken, bevor sie diese öffentlich machten. Das Team um Prof. Dr. Jörg Schwenk rät, die Updates für Anwendungen, die JSSE nutzen, schnell zu installieren.

So lässt sich die TLS-Verschlüsselung in Java aushebeln

JSSE war anfällig für sogenannte Bleichenbacher-Angriffe. Die Forscher mussten einmal eine verschlüsselte Verbindung zwischen Server und Client – etwa einem Web-Browser – aufzeichnen. Anschließend stellten sie ein paar tausend Anfragen an den Server. Aus den Antworten des Servers konnten sie den Schlüssel berechnen und den aufgezeichneten Datenaustausch zwischen Server und Client entschlüsseln. Bei der ersten Schwachstelle gab der TLS-Server über Fehlermeldungen kritische Informationen weiter. Die zweite Schwachstelle basierte auf unterschiedlichen Antwortzeiten des JSSE-Servers. Bleichenbacher-Angriffe zählen zu den komplexesten kryptografischen Angriffen, den sogenannten adaptiven Chosen-Ciphertext-Angriffen.

April-Patch von Oracle löst weiteres Problem

Mit dem April-Patch fixt Oracle einen weiteren kryptografischen Algorithmus (PKCS#1 v2.1, auch bekannt als RSA-OAEP), der ebenfalls für einen adaptiven Chosen-Ciphertext-Angriff anfällig war, wie das Bochumer Team zeigte. Dieser Algorithmus steht nicht mit TLS in Zusammenhang, wird aber in anderen Anwendungen wie Web Services eingesetzt.

Weitere Informationen

Prof. Dr. Jörg Schwenk, Lehr­stuhl für Netz- und Datensicherheit, Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität, 44780 Bochum, Tel. 0234/32-26692, E-Mail: joerg.schwenk@rub.de

Angeklickt

Blog-Post von RUB-Forscher Christopher Meyer zum „Oster-Hack“
http://armoredbarista.blogspot.de/2014/04/easter-hack-even-more-critical-bugs-in...

Informationen zu Heartbleed
http://heartbleed.com/

Dr. Julia Weiler | idw - Informationsdienst Wissenschaft

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Brain-Computer-Interface: Wenn der Computer uns intuitiv versteht
18.01.2017 | Technische Universität Berlin

nachricht »Lernlabor Cybersicherheit« startet in Weiden i. d. Oberpfalz
12.01.2017 | Fraunhofer-Gesellschaft

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Innovatives Hochleistungsmaterial: Biofasern aus Florfliegenseide

Neuartige Biofasern aus einem Seidenprotein der Florfliege werden am Fraunhofer-Institut für Angewandte Polymerforschung IAP gemeinsam mit der Firma AMSilk GmbH entwickelt. Die Forscher arbeiten daran, das Protein in großen Mengen biotechnologisch herzustellen. Als hochgradig biegesteife Faser soll das Material künftig zum Beispiel in Leichtbaukunststoffen für die Verkehrstechnik eingesetzt werden. Im Bereich Medizintechnik sind beispielsweise biokompatible Seidenbeschichtungen von Implantaten denkbar. Ein erstes Materialmuster präsentiert das Fraunhofer IAP auf der Internationalen Grünen Woche in Berlin vom 20.1. bis 29.1.2017 in Halle 4.2 am Stand 212.

Zum Schutz des Nachwuchses vor bodennahen Fressfeinden lagern Florfliegen ihre Eier auf der Unterseite von Blättern ab – auf der Spitze von stabilen seidenen...

Im Focus: Verkehrsstau im Nichts

Konstanzer Physiker verbuchen neue Erfolge bei der Vermessung des Quanten-Vakuums

An der Universität Konstanz ist ein weiterer bedeutender Schritt hin zu einem völlig neuen experimentellen Zugang zur Quantenphysik gelungen. Das Team um Prof....

Im Focus: Traffic jam in empty space

New success for Konstanz physicists in studying the quantum vacuum

An important step towards a completely new experimental access to quantum physics has been made at University of Konstanz. The team of scientists headed by...

Im Focus: Textiler Hochwasserschutz erhöht Sicherheit

Wissenschaftler der TU Chemnitz präsentieren im Februar und März 2017 ein neues temporäres System zum Schutz gegen Hochwasser auf Baumessen in Chemnitz und Dresden

Auch die jüngsten Hochwasserereignisse zeigen, dass vielerorts das natürliche Rückhaltepotential von Uferbereichen schnell erschöpft ist und angrenzende...

Im Focus: Wie Darmbakterien krank machen

HZI-Forscher entschlüsseln Infektionsmechanismen von Yersinien und Immunantworten des Wirts

Yersinien verursachen schwere Darminfektionen. Um ihre Infektionsmechanismen besser zu verstehen, werden Studien mit dem Modellorganismus Yersinia...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics
Veranstaltungen

Mittelstand 4.0 – Mehrwerte durch Digitalisierung: Hintergründe, Beispiele, Lösungen

20.01.2017 | Veranstaltungen

Nachhaltige Wassernutzung in der Landwirtschaft Osteuropas und Zentralasiens

19.01.2017 | Veranstaltungen

Künftige Rohstoffexperten aus aller Welt in Freiberg zur Winterschule

18.01.2017 | Veranstaltungen

 
VideoLinks
B2B-VideoLinks
Weitere VideoLinks >>>
Aktuelle Beiträge

21.500 Euro für eine grüne Zukunft – Unserer Umwelt zuliebe

20.01.2017 | Unternehmensmeldung

innovations-report im Interview mit Rolf-Dieter Lafrenz, Gründer und Geschäftsführer der Hamburger Start ups Cargonexx

20.01.2017 | Unternehmensmeldung

Niederlande: Intelligente Lösungen für Bahn und Stahlindustrie werden gefördert

20.01.2017 | Förderungen Preise