Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
 
News Disclaimer
 
Passwortloses Einloggen mit schlechter Kryptographie

18.09.2018

 zur Newsdatenbank home

In Zukunft soll das Protokoll Webauthn, welches kurz vor der Verabschiedung steht, die Anmeldung auf Webseiten und -diensten ohne Passwort ermöglichen. Chrome, Firefox und Edge unterstützen es bereits. Es wurden mehrere, zum Teil sehr alte, Schwachstellen gefunden, nachdem Sicherheitsforscher der Firma Paragon es in den Browsern einem Security-Audit unterzogen haben.

Webauthn schreibt veraltete Algorithmen wie RSA mit PKCS1-v1_5 vor und empfiehlt die von der Fido-Allianz entwickelte Elliptische-Kurven-Kryptographie ECDAA, welches von den Forschern kritisiert wird.

Um zu zeigen, wie alt und angreifbar der verwendete Algorithmus ist, bezieht sich der Sicherheitsaudit auf den 1998 entdeckten Bleichenbacher-Angriff auf RSA mit PKCS1v1.5-Padding. Dieser ist für Webauthn allerdings nicht relevant, da RSA mit PKCS1v1.5 als Signatursystem und nicht zur Verschlüsselung vorgeschrieben wird. Auch bei PKCS1v1.5 für Signaturen entdeckte Daniel Bleichenbacher, der Entwickler des oben genannten Bleichenbacher-Angriffs, eine Sicherheitslücke.

Mit einer vor vier Jahren entdeckten Variante dieser zwölf Jahre alten Lücke ließen sich Signaturen in Chrome und Firefox fälschen. Nur im RSA-PSS-Modus sollten RSA-Signaturen verwendet werden.

Um die von der Fido-Allianz entwickelte ECDAA-Kryptographie stehe es nicht besser, da diese bisher weder implementiert noch getestet worden sei. In seiner jetzigen Form sei der Standard ebenfalls angreifbar und führe im schlechtesten Fall zu einer Umgehung der Zweifaktorauthentifizierung, was wiederum Phishing-Attacken ermöglichen würde.

Paragon fordert das W3C (World Wide Web Consortium) auf, bevor Webauthn endgültig verabschiedet wird, das Design von Webauthn zu ändern und die kryptographischen Schwächen zu beheben. W3C ist das Gremium, welches für die Standardisierung von Techniken im Internet zuständig ist.

Bereits im Sommer 2012 wurde die Fido-Allianz gegründet. Hierbei handelt es sich um einen Zusammenschluss namhafter Firmen wie Google, Microsoft, Lenovo, Samsung und vielen anderen, die gemeinsam einen einfachen und sicheren Authentifizierungsstandard schaffen wollen. Gemeinsam mit dem W3C erarbeiteten sie Anfang des Jahres, basierend auf der Fido-2.0-API, eine Web-Authentification-API: Webauthentication oder kurz Webauthn.

Mittels biometrischer Daten wie Fingerabdruck oder Gesichtserkennung ermöglicht Webauthn ein sowohl passwortloses Login als auch die Zweifaktorauthentifizierung mittels Tokens aus USB-Dongles oder Smartphones. Mittels Public-Key-Kryptographie soll der Standard vor Phishing-, Man-in-the-Middle- und Replay-Angriffen schützen.

Chrome unterstützt den Standard seit Version 67, Firefox seit Version 60, welche zudem als Extended Support Release veröffentlicht wurde. Im Juli gab Microsoft bekannt, dass Webauthn ab Build 17723 unterstützt wird. Bei Apples Safari wird momentan noch entwickelt.

(jf, hannover)

(siehe auch golem.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89