DROWN-Angriff (CVE-2016-0800).

DROWN (Decrypting RSA with Obsolete and Weakened eNcryption), CVE-2016-0800, wurde am 1. März 2016 von Aviram, Schinzel, Somorovsky et al. offengelegt. Es handelt sich um einen Cross-Protocol-Angriff: SSLv2 handelt nach wie vor 40-Bit-RSA-Export-Cipher-Suites aus, und sein Handshake verrät, ob ein Chiffretext ein korrektes PKCS#1-v1.5-Padding besitzt. Das macht einen SSLv2-Server zu einem Bleichenbacher-Padding-Orakel. Entscheidend ist, dass der verwundbare SSLv2-Dienst nicht das Ziel sein muss: Teilt sich irgendein Dienst denselben privaten RSA-Schlüssel bzw. dasselbe Zertifikat (z. B. ein alter SMTP- oder IMAP-Server, der den Schlüssel des Webservers wiederverwendet), kann der Angreifer moderne TLS-Handshakes passiv aufzeichnen und die Sitzungsschlüssel offline entschlüsseln.

Der allgemeine Angriff benötigte rund 1.000 aufgezeichnete TLS-Verbindungen und etwa 2^50 Rechenoperationen — damals für unter 440 USD an Cloud-Rechenleistung machbar. Eine weitaus schlimmere Variante, „special DROWN", nutzte einen OpenSSL-Fehler (CVE-2016-0703), der es einem aktiven Angreifer erlaubte, eine einzelne TLS-Sitzung in Minuten auf einem Laptop zu entschlüsseln. Forscher schätzten, dass etwa 33 % aller HTTPS-Server verwundbar waren. Gegenmaßnahmen: SSLv2 auf jedem Dienst deaktivieren, OpenSSL auf 1.0.2g/1.0.1s aktualisieren und niemals einen privaten Schlüssel oder ein Zertifikat zwischen SSLv2-fähigen und modernen Endpunkten wiederverwenden.

flowchart TD
  A[Client] -->|Moderner TLS-Handshake| B[Sicherer TLS-Server]
  C[Angreifer] -->|Zeichnet passiv<br/>RSA-verschlüsselte Handshakes auf| B
  C -->|Sendet präparierte Chiffretexte| D[SSLv2-Server<br/>gleicher RSA-Schlüssel/-Cert]
  D -->|Padding-Orakel-Antworten<br/>Export-Cipher| C
  C --> E[Stellt TLS-Sitzungsschlüssel wieder her<br/>Bleichenbacher / DROWN]
  E --> F[Entschlüsselt aufgezeichnete Sitzung<br/>HTTPS / SMTPS / IMAPS]