Wer ältere Software des Herstellers Rambus verwendet, könnte bei der Schlüsselerstellung auf die Nase fallen. Die betroffene Software stammt aus einer Basisversion der Safezone Crypto Libraries, die von einem Unternehmen namens Inside Secure entwickelt und von Rambus im Rahmen des Kaufs von Verimatrix im Jahr 2019 übernommen wurde. Rambus legt Wert auf die Feststellung, dass diese lange veraltete Version nicht mit der FIPS-zertifizierten Version, die das Unternehmen jetzt unter der Marke Rambus FIPS Security Toolkit verkauft, zu verwechseln ist.
Mathematik des 17. Jahrhunderts knackt heutige Krypto-Schlüssel
Hanno Böck hatte im Rahmen einer öffentlich geförderten Untersuchung herausgefunden, dass die anfällige Safezone-Bibliothek die beiden Primzahlen, die sie zur Erzeugung von Online-Verbindungen schützende RSA-Schlüsseln verwendet, nicht ausreichend randomisiert hatte. Das Safezone-Tool nutzte nämlich nach der Erstwahl einer Primzahl, um den Schlüssel zu bilden, eine zweite, die zu nah an der ersten lag.
Das sei mindestens fahrlässig, weil die beiden Primzahlen sich zu ähnlich seien. Kryptografen wissen seit Langem, dass RSA-Schlüssel, die mit zu nahe beieinander liegenden Primzahlen erzeugt werden, sehr einfach mit der Fermatschen Faktorisierungsmethode gebrochen werden können. Der französische Mathematiker Pierre de Fermat hatte diese Methode erstmals im Jahr 1643 – also vor 379 Jahren – beschrieben.
Dabei basiert der Algorithmus auf der Tatsache, dass sich jede ungerade Zahl als Differenz zwischen zwei Quadraten ausdrücken lässt. Wenn die Faktoren in der Nähe der Wurzel der Zahl liegen, lassen diese sich leicht und schnell berechnen. Unbrauchbar wird die Methode, wenn die Faktoren rein zufällig sind und weit auseinander liegen.
Schlüsselgenerierung sollte man sich nie leicht machen
Die Sicherheit von RSA-Schlüsseln hängt davon ab, wie schwierig es ist, die große zusammengesetzte Zahl eines Schlüssels (in der Regel als N bezeichnet) zu faktorisieren, um die beiden Faktoren (in der Regel als P und Q bezeichnet) abzuleiten. Sind die angeleiteten Faktoren P und Q hingegen öffentlich bekannt, ist der aus ihnen bestehende Schlüssel gebrochen und damit nicht mehr tauglich. Jede und jeder kann dann die durch den Schlüssel eigentlich geschützten Daten entschlüsseln oder den Schlüssel zur Authentifizierung von Nachrichten verwenden.
Böck hatte sich die Mühe gemacht, eine große Zahl an Schlüsseln, „zu denen ich entweder Zugang hatte, die uns von anderen Forschern zur Verfügung gestellt wurden oder die öffentlich zugänglich waren“, gegen die Lücke zu prüfen. Dabei konnte er etwas mehr als eine Handvoll Schlüssel in freier Wildbahn identifizieren, die für den 379-jährigen Faktorisierungsangriff anfällig waren. Die Funde konzentrierten sich auf Drucker der Hersteller Canon und Fujifilm (ehemals Fuji Xerox). Hier waren Schlüssel betroffen, mit denen Druckerbenutzer eine Zertifikatsanforderung (Certificate Signing Request) erstellen können. Die Erstellungsdaten lagen konsequent im Jahr 2020 und danach. Es handelt sich also nicht um ein uraltes Problem, das nur noch keiner gefunden hatte.
Schlüssel möglicherweise zu Testzwecken generiert
Ebenso fand Böck anfällige PGP-Schlüssel, die normalerweise zur Verschlüsselung von E-Mails verwendet werden. Die mit den Schlüsseln verknüpften Benutzer-IDs lassen ihn jedoch darauf schließen, dass sie gezielt zu Testzwecken erstellt worden waren. Eine aktive Nutzung scheint demnach ausgeschlossen.
Böck selbst rechnet seiner Entdeckung im Rahmen eines Beitrags für Golem keine große praktische Relevanz zu, resümiert aber, dass es sich stets lohne, „nach alten, bekannten Schwachstellen“ zu suchen.