Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 121

Bleichenbacher-Angriff

Geprüft vonCybersecurity entrepreneur & security researcher

Was ist Bleichenbacher-Angriff?

Bleichenbacher-AngriffAdaptiver Chosen-Ciphertext-Angriff von Daniel Bleichenbacher (1998), der RSA-Klartext rekonstruiert, sobald der Server PKCS#1-v1.5-Padding-Gueltigkeit leakt.


Daniel Bleichenbacher praesentierte diesen Angriff auf CRYPTO 1998 gegen den SSL-Handshake mit RSA-PKCS#1-v1.5-Verschluesselung. Der Server agiert unbeabsichtigt als Padding-Orakel: jede unterscheidbare Antwort (TLS-Alert-Code, Verbindungsabbruch oder Timing) verraet dem Angreifer, ob ein manipulierter Ciphertext zu einem Wert entschluesselt, der mit den Bytes 0x00 0x02 beginnt. Da RSA multiplikativ homomorph ist, multipliziert der Angreifer den aufgezeichneten Ciphertext mit gewaehlten Werten s, sendet das Ergebnis und nutzt jede "gueltiges Padding"-Antwort, um die Menge moeglicher Klartexte zu verkleinern. Nach etwa einer Million Anfragen kollabiert das Intervall auf einen einzigen Wert, und das RSA-verschluesselte Premaster Secret ist rekonstruiert, ohne den privaten Schluessel je zu beruehren, sodass der Angreifer die Sitzung entschluesseln oder eine RSA-Signatur faelschen kann.

Der Fehler ist schwer zu beseitigen, weil das PKCS#1-v1.5-Entpadding einer konstantzeitigen Implementierung widersteht. Er kehrte als DROWN (CVE-2016-0800) zurueck, das ein SSLv2-Orakel nutzte, um moderne TLS-Sitzungen zu brechen, und als ROBOT (Return Of Bleichenbacher's Oracle Threat, 2017): die Forscher Böck, Somorovsky und Young fanden F5 (CVE-2017-6168), Citrix, Cisco und weitere weiterhin verwundbar und demonstrierten es gegen Facebook und PayPal. Gegenmassnahmen: identische Fehlerbehandlung fuer gutes und schlechtes Padding, RSA-OAEP bevorzugen, RSA-Schluesselaustausch-Cipher-Suites deaktivieren und TLS 1.3 einsetzen, das die RSA-Verschluesselung vollstaendig aus dem Handshake entfernt.

flowchart TD
  A[Attacker captures RSA ciphertext c] --> B["Pick multiplier s, send c·s^e mod n"]
  B --> C{Server padding check}
  C -->|"Starts 0x00 0x02 → valid"| D[Narrow plaintext interval]
  C -->|"Invalid → distinct response"| E[Discard this s]
  D --> F{Interval = 1 value?}
  E --> B
  F -->|No| B
  F -->|Yes| G[Premaster secret recovered]

Beispiele

  1. 01

    Rekonstruktion des SSL Premaster Secret bei einem 1990er Webserver mit unterschiedlichen Padding-Fehleralerts.

  2. 02

    DROWN und ROBOT verwenden dasselbe Orakel gegen moderne TLS-Stacks.

Häufige Fragen

Was ist Bleichenbacher-Angriff?

Adaptiver Chosen-Ciphertext-Angriff von Daniel Bleichenbacher (1998), der RSA-Klartext rekonstruiert, sobald der Server PKCS#1-v1.5-Padding-Gueltigkeit leakt. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.

Was bedeutet Bleichenbacher-Angriff?

Adaptiver Chosen-Ciphertext-Angriff von Daniel Bleichenbacher (1998), der RSA-Klartext rekonstruiert, sobald der Server PKCS#1-v1.5-Padding-Gueltigkeit leakt.

Wie schützt man sich gegen Bleichenbacher-Angriff?

Schutzmaßnahmen gegen Bleichenbacher-Angriff kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.

Welche anderen Bezeichnungen gibt es für Bleichenbacher-Angriff?

Übliche alternative Bezeichnungen: Million-Message-Attacke.

Verwandte Begriffe