Bleichenbacher-Angriff
Was ist Bleichenbacher-Angriff?
Bleichenbacher-AngriffAdaptiver Chosen-Ciphertext-Angriff von Daniel Bleichenbacher (1998), der RSA-Klartext rekonstruiert, sobald der Server PKCS#1-v1.5-Padding-Gueltigkeit leakt.
Daniel Bleichenbacher praesentierte den Angriff auf CRYPTO 1998 gegen den SSL-Handshake mit RSA-PKCS#1-v1.5-Verschluesselung. Der Server agiert unbeabsichtigt als Padding-Orakel: jede unterscheidbare Antwort (Timing, Alert oder Fehler) verraet, ob ein manipulierter Ciphertext mit den Bytes 0x00 0x02 beginnt. Mit etwa einer Million sorgfaeltig konstruierter Ciphertexte verengt der Angreifer das Klartext-Intervall und gewinnt das Premaster Secret, was die Vertraulichkeit bricht. Der Angriff kehrte mehrfach zurueck (DROWN 2016, ROBOT 2017), weil PKCS#1 v1.5 nur schwer konstantzeitig implementiert werden kann. Gegenmassnahmen: einheitliche Fehlerbehandlung, RSA-OAEP fuer neue Systeme und TLS 1.3, das RSA aus dem Handshake entfernt.
● Beispiele
- 01
Rekonstruktion des SSL Premaster Secret bei einem 1990er Webserver mit unterschiedlichen Padding-Fehleralerts.
- 02
DROWN und ROBOT verwenden dasselbe Orakel gegen moderne TLS-Stacks.
● Häufige Fragen
Was ist Bleichenbacher-Angriff?
Adaptiver Chosen-Ciphertext-Angriff von Daniel Bleichenbacher (1998), der RSA-Klartext rekonstruiert, sobald der Server PKCS#1-v1.5-Padding-Gueltigkeit leakt. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Bleichenbacher-Angriff?
Adaptiver Chosen-Ciphertext-Angriff von Daniel Bleichenbacher (1998), der RSA-Klartext rekonstruiert, sobald der Server PKCS#1-v1.5-Padding-Gueltigkeit leakt.
Wie funktioniert Bleichenbacher-Angriff?
Daniel Bleichenbacher praesentierte den Angriff auf CRYPTO 1998 gegen den SSL-Handshake mit RSA-PKCS#1-v1.5-Verschluesselung. Der Server agiert unbeabsichtigt als Padding-Orakel: jede unterscheidbare Antwort (Timing, Alert oder Fehler) verraet, ob ein manipulierter Ciphertext mit den Bytes 0x00 0x02 beginnt. Mit etwa einer Million sorgfaeltig konstruierter Ciphertexte verengt der Angreifer das Klartext-Intervall und gewinnt das Premaster Secret, was die Vertraulichkeit bricht. Der Angriff kehrte mehrfach zurueck (DROWN 2016, ROBOT 2017), weil PKCS#1 v1.5 nur schwer konstantzeitig implementiert werden kann. Gegenmassnahmen: einheitliche Fehlerbehandlung, RSA-OAEP fuer neue Systeme und TLS 1.3, das RSA aus dem Handshake entfernt.
Wie schützt man sich gegen Bleichenbacher-Angriff?
Schutzmaßnahmen gegen Bleichenbacher-Angriff kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Bleichenbacher-Angriff?
Übliche alternative Bezeichnungen: Million-Message-Attacke.
● Verwandte Begriffe
- attacks№ 941
ROBOT Attack
Wiederbelebung des Bleichenbacher-RSA-PKCS#1-v1.5-Padding-Orakels von 1998 in TLS-Servern, 2017 veroeffentlicht, mit Session-Entschluesselung oder Impersonation.
- attacks№ 786
Padding-Orakel-Angriff
Kryptografischer Angriff (Vaudenay, 2002), der CBC-Chiffren entschluesselt, wenn der Server die Gueltigkeit von PKCS#7-Padding einer manipulierten Nachricht offenbart.
- network-security№ 1159
TLS (Transport Layer Security)
Das von der IETF standardisierte Kryptoprotokoll, das Vertraulichkeit, Integrität und Authentizität für den Verkehr zwischen zwei Netzwerkanwendungen liefert.
- vulnerabilities№ 1038
Seitenkanalangriff
Angriff, der Geheimnisse aus einem System gewinnt, indem er physikalische oder implementierungsbedingte Merkmale beobachtet – Zeit, Strom, elektromagnetische Emissionen, Caches, Akustik – statt logische Fehler auszunutzen.