Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Kritische Sicherheitslücken: TLS-Verschlüsselung für Java ließ sich auf mehreren Wegen knacken

23.04.2014

Im Januar und April hat Oracle kritische Softwareupdates für Java herausgegeben. Sie beheben unter anderem drei Schwachstellen, die Forscher vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität entdeckt haben.

Die Sicherheitslücken betreffen die „Java Secure Socket Extension“, kurz JSSE. Diese Software-Bibliothek implementiert das Sicherheitsprotokoll „Transport Layer Security“ (TLS), um den Datentransfer zwischen Browsern und Web-Servern zu verschlüsseln, etwa um Passwörter oder Kreditkartendaten sicher zu übermitteln.

Wie bei Heartbleed: TLS-Implementierung als Schwachstelle

In den vergangenen Tagen hat der Heartbleed-Angriff auf OpenSSL für Schlagzeilen gesorgt. Wie OpenSSL ist auch JSSE für Java eine TLS-Implementierung; Oracle stellt sie als Open Source-Software zur Verfügung. Über zwei der drei entdeckten Schwachstellen in JSSE konnten die IT-Sicherheitsforscher die Verschlüsselung mittels TLS komplett brechen. Sie informierten Oracle über die Sicherheitslücken, bevor sie diese öffentlich machten. Das Team um Prof. Dr. Jörg Schwenk rät, die Updates für Anwendungen, die JSSE nutzen, schnell zu installieren.

So lässt sich die TLS-Verschlüsselung in Java aushebeln

JSSE war anfällig für sogenannte Bleichenbacher-Angriffe. Die Forscher mussten einmal eine verschlüsselte Verbindung zwischen Server und Client – etwa einem Web-Browser – aufzeichnen. Anschließend stellten sie ein paar tausend Anfragen an den Server. Aus den Antworten des Servers konnten sie den Schlüssel berechnen und den aufgezeichneten Datenaustausch zwischen Server und Client entschlüsseln. Bei der ersten Schwachstelle gab der TLS-Server über Fehlermeldungen kritische Informationen weiter. Die zweite Schwachstelle basierte auf unterschiedlichen Antwortzeiten des JSSE-Servers. Bleichenbacher-Angriffe zählen zu den komplexesten kryptografischen Angriffen, den sogenannten adaptiven Chosen-Ciphertext-Angriffen.

April-Patch von Oracle löst weiteres Problem

Mit dem April-Patch fixt Oracle einen weiteren kryptografischen Algorithmus (PKCS#1 v2.1, auch bekannt als RSA-OAEP), der ebenfalls für einen adaptiven Chosen-Ciphertext-Angriff anfällig war, wie das Bochumer Team zeigte. Dieser Algorithmus steht nicht mit TLS in Zusammenhang, wird aber in anderen Anwendungen wie Web Services eingesetzt.

Weitere Informationen

Prof. Dr. Jörg Schwenk, Lehr­stuhl für Netz- und Datensicherheit, Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität, 44780 Bochum, Tel. 0234/32-26692, E-Mail: joerg.schwenk@rub.de

Angeklickt

Blog-Post von RUB-Forscher Christopher Meyer zum „Oster-Hack“
http://armoredbarista.blogspot.de/2014/04/easter-hack-even-more-critical-bugs-in...

Informationen zu Heartbleed
http://heartbleed.com/

Dr. Julia Weiler | idw - Informationsdienst Wissenschaft

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Das Start-up inveox will Krebsdiagnosen durch Automatisierung im Labor zuverlässiger machen
15.06.2018 | Technische Universität München

nachricht Fußball durch die Augen des Computers
14.06.2018 | Universität Konstanz

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Überdosis Calcium

Nanokristalle beeinflussen die Differenzierung von Stammzellen während der Knochenbildung

Wissenschaftlerinnen und Wissenschaftler der Universitäten Freiburg und Basel haben einen Hauptschalter für die Regeneration von Knochengewebe identifiziert....

Im Focus: Overdosing on Calcium

Nano crystals impact stem cell fate during bone formation

Scientists from the University of Freiburg and the University of Basel identified a master regulator for bone regeneration. Prasad Shastri, Professor of...

Im Focus: AchemAsia 2019 in Shanghai

Die AchemAsia geht in ihr viertes Jahrzehnt und bricht auf zu neuen Ufern: Das International Expo and Innovation Forum for Sustainable Chemical Production findet vom 21. bis 23. Mai 2019 in Shanghai, China statt. Gleichzeitig erhält die Veranstaltung ein aktuelles Profil: Die elfte Ausgabe fokussiert auf Themen, die für Chinas Prozessindustrie besonders relevant sind, und legt den Schwerpunkt auf Nachhaltigkeit und Innovation.

1989 wurde die AchemAsia als Spin-Off der ACHEMA ins Leben gerufen, um die Bedürfnisse der sich damals noch entwickelnden Iindustrie in China zu erfüllen. Seit...

Im Focus: AchemAsia 2019 will take place in Shanghai

Moving into its fourth decade, AchemAsia is setting out for new horizons: The International Expo and Innovation Forum for Sustainable Chemical Production will take place from 21-23 May 2019 in Shanghai, China. With an updated event profile, the eleventh edition focusses on topics that are especially relevant for the Chinese process industry, putting a strong emphasis on sustainability and innovation.

Founded in 1989 as a spin-off of ACHEMA to cater to the needs of China’s then developing industry, AchemAsia has since grown into a platform where the latest...

Im Focus: Li-Fi erstmals für das industrielle Internet der Dinge getestet

Mit einer Abschlusspräsentation im BMW Werk München wurde das BMBF-geförderte Projekt OWICELLS erfolgreich abgeschlossen. Dabei wurde eine Li-Fi Kommunikation zu einem mobilen Roboter in einer 5x5m² Fertigungszelle demonstriert, der produktionsübliche Vorgänge durchführt (Teile schweißen, umlegen und prüfen). Die robuste, optische Drahtlosübertragung beruht auf räumlicher Diversität, d.h. Daten werden von mehreren LEDs und mehreren Photodioden gleichzeitig gesendet und empfangen. Das System kann Daten mit mehr als 100 Mbit/s und fünf Millisekunden Latenz übertragen.

Moderne Produktionstechniken in der Automobilindustrie müssen flexibler werden, um sich an individuelle Kundenwünsche anpassen zu können. Forscher untersuchen...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

VideoLinks
Industrie & Wirtschaft
Veranstaltungen

Hengstberger-Symposium zur Sternentstehung

19.06.2018 | Veranstaltungen

LymphomKompetenz KOMPAKT: Neues vom EHA2018

19.06.2018 | Veranstaltungen

Simulierter Eingriff am virtuellen Herzen

18.06.2018 | Veranstaltungen

VideoLinks
Wissenschaft & Forschung
Weitere VideoLinks im Überblick >>>
 
Aktuelle Beiträge

Rätselhaftes IceCube-Ereignis könnte von Tau-Neutrino stammen

19.06.2018 | Physik Astronomie

Automatisierung und Produktionstechnik – Wandlungsfähig – Präzise – Digital

19.06.2018 | Messenachrichten

Überdosis Calcium

19.06.2018 | Medizin Gesundheit

Weitere B2B-VideoLinks
IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics