ÖJ-Österreich-Woche 18.02.-24.02.2003

<A HREF="http://www.oe-journal.at/index.html" target="_blank">Ihr Browser zeigt »Iframes« nicht an. Hier geht´s zur »Österreich Journal«-Startseite</A> 

Sicherheitslücke bei SSL
erstellt am
24 02. 03

Schweizer Forschen knacken Verschlüsselung
Lausanne (pte) - Ein Team von Sicherheitsexperten vom Security and Cryptography Laboratory (LASEC) am "Ecole Polytechnique Federal de Lausanne" hat das Standard-Sicherheitsverfahren SSL ausgehebelt. Die Schweizer Forscher konnten nach eigenen Angaben innerhalb einer Stunde die Nachricht, die zwischen dem Client und Server ausgetauscht wird, entschlüsseln.

Die Gruppe unter der Leitung von Serge Vaudenay hat die Sicherheitslücke, die zuvor schon theoretisch bekannt war, erstmals mit ihrem Verfahren auch ausnutzen können. Dazu überwachten sie das Antwortverhalten des SSL-Servers auf gefälschte Pakete. Indem sie die bis zur Antwort verstrichene Zeit maßen, konnten die Forscher auf den Inhalt des verschlüsselten Pakets schließen und so seinen Inhalt rekonstruieren.

Die Schweizer Forscher knackten mit ihrer Methode erfolgreich das Passwort für eine sichere E-Mail-Verbindung zwischen einem IMAP4-Mail-Server und Outlook Express 6. Um diese Sicherheitslücke allerdings ausnutzen zu können, muss der Angreifer sich zwischen SSL-Server und –Client schalten und die zu entschlüsselnde Nachricht durch eine eigene, gefälschte ersetzen.

LASEC hat das OpenSSL-Projekt von der Sicherheitslücke verständigt. Die Entwickler haben bereits reagiert und die Versionen 0.9.7 und 0.9.6i bereitgestellt, um die Lücke für OpenSSL zu schließen.

zurück

<A HREF="http://www.oe-journal.at/!1footer.htm" target="_blank">Ihr Browser zeigt »Iframes« nicht an. Hier können Sie die Information direkt abrufen. Es zahlt sich sicher aus!</A>

<P ALIGN="CENTER"><A HREF="http://www.oe-journal.at/index.html" target="_blank"><SPAN CLASS="nr_link_plain">Ihr Browser zeigt »Iframes« nicht an. <U>Hier</U> geht´s zur <B><FONT COLOR="#006600">»Österreich Journal«</FONT></B>-Startseite</SPAN></A></P> <P ALIGN="CENTER">

Sicherheitslücke bei SSL		erstellt am 24 02. 03
Schweizer Forschen knacken Verschlüsselung Lausanne (pte) - Ein Team von Sicherheitsexperten vom Security and Cryptography Laboratory (LASEC) am "Ecole Polytechnique Federal de Lausanne" hat das Standard-Sicherheitsverfahren SSL ausgehebelt. Die Schweizer Forscher konnten nach eigenen Angaben innerhalb einer Stunde die Nachricht, die zwischen dem Client und Server ausgetauscht wird, entschlüsseln. Die Gruppe unter der Leitung von Serge Vaudenay hat die Sicherheitslücke, die zuvor schon theoretisch bekannt war, erstmals mit ihrem Verfahren auch ausnutzen können. Dazu überwachten sie das Antwortverhalten des SSL-Servers auf gefälschte Pakete. Indem sie die bis zur Antwort verstrichene Zeit maßen, konnten die Forscher auf den Inhalt des verschlüsselten Pakets schließen und so seinen Inhalt rekonstruieren. Die Schweizer Forscher knackten mit ihrer Methode erfolgreich das Passwort für eine sichere E-Mail-Verbindung zwischen einem IMAP4-Mail-Server und Outlook Express 6. Um diese Sicherheitslücke allerdings ausnutzen zu können, muss der Angreifer sich zwischen SSL-Server und –Client schalten und die zu entschlüsselnde Nachricht durch eine eigene, gefälschte ersetzen. LASEC hat das OpenSSL-Projekt von der Sicherheitslücke verständigt. Die Entwickler haben bereits reagiert und die Versionen 0.9.7 und 0.9.6i bereitgestellt, um die Lücke für OpenSSL zu schließen.

zurück