Neuer Heartbleed-Kandidat

© Codenomicon

Sicherheitslücke
04/13/2014

Heartbleed: Private Schlüssel lassen sich einfach auslesen

Der Heartbleed-Bug ist doch schwerwiegender als ursprünglich gedacht. Zwei Personen ist es gelungen, private Schlüssel auszulesen.

Sicherheitsexperten der Firma Cloudflare sind davon ausgegangen, dass das Auslesen der privaten Schlüssel im Zuge der OpenSSL-Schwachstelle unmöglich bzw. zumindest extrem unwahrscheinlich sei. Um auf Nummer sicher zu gehen, hat das Unternehmen einen Wettbewerb ausgeschrieben, schließlich setzt Cloudflare selbst viele HTTPS-Server mit OpenSSL ein.

Private Schlüssel ausgelesen

Im Zuge dieses Wettbewerbs ist es zwei Personen gelungen, private Schlüssel mit Hilfe des Heartbleed-Bugs aus einem Nginx-Testserver auszulesen. Der Nodejs-Entwickler Fedor Indutny konnte erfolgreich nachweisen, dass er im Besitz des privaten Schlüssel des Testservers ist. Auch Ilkka Mattila vom National Cyber Security Center Finland ist es gelungen, den privaten Schlüssel ausfindig zu machen. Indutny benötigte dafür 2,5 Millionen Anfragen, Mattila reichten 100.000 Anfragen.

Es wird nun befürchtet, dass demnächst eine Software auftauchen wird, mit der es relativ einfach möglich sein wird, private Schlüssel von Servern mit der Heartbleed-Lücke zu extrahieren.

Das wiederum bedeutet, dass der Hearbleed-Bug das IT-Personal diverser Firmen doch noch eine Weile beschäftigen wird. Die Zertifikate müssen ausgetauscht werden. Doch selbst dann sind die alten Zertifikate noch eine Gefahr, denn damit ist es auch nachträglich noch möglich, den alten Datenverkehr auszulesen. Die zum Rückruf von alten Zertifikaten eingesetzten Verfahren (Certificate Revocation List, Online Certificate Status Protocol) haben zudem beide in der Praxis einige Probleme.