Software-Update angreifbar?

tjp

Altgelds Küchenapfel
Registriert
07.07.04
Beiträge
4.057
... da frage ich mich jetzt natürlich, ob das auch Auswirkungen auf die Debian-Paketverwaltung hat. Wird die in Zukunft auf längere Hashwerte umgestellt?
Die Verwundbarkeit ist so groß, daß man besser den Algorithmus wechselt, so wie das Schneier auch fordert.
 

MacMark

Jakob Lebel
Registriert
01.01.05
Beiträge
4.874
Geknackt ist völlig übertrieben. Kollisionen gibt es immer. Sie können nun welche schneller finden als wenn sie alle Möglichkeiten durchprobieren. Solange es immer noch vier Jahre dauert, um eine Kollision zu finden, braucht man keine Sorge zu haben. Hinzukommt, daß ein manipuliertes Update eben keine beliebig wählbare Hash-Summe ergibt. Das infizierte Update muß ja funktionieren (und seine Schadfunktion auch) und gleichzeitig muß die Prüfsumme identisch bleiben. Man kann also vier Jahre ein Rechenzentrum beschäftigen und kann immer noch nicht so ein Update passend faken.
 

tjp

Altgelds Küchenapfel
Registriert
07.07.04
Beiträge
4.057
Solange es immer noch vier Jahre dauert, um eine Kollision zu finden, braucht man keine Sorge zu haben.
In Anbetracht von Bundestrojaner & Co. muß man damit rechnen, daß die Angriffe von Stellen ausgehen, die es sich problemlos leisten können ein ganzes Rechenzentrum oder spezielle Hardware für die Angriffe zu nutzen. Dann geht das ganze sehr schnell.
 

MacMark

Jakob Lebel
Registriert
01.01.05
Beiträge
4.874
… ein ganzes Rechenzentrum oder spezielle Hardware für die Angriffe zu nutzen. Dann geht das ganze sehr schnell.

Nein. Vier Jahre, bis sie eine Datei haben, die überhaupt den gleichen Hashcode liefert. Und noch ein vielfaches länger, bis sie zusätzlichen Code haben, der den Angriff durchführen kann, aber trotzdem in Summe mit dem originalen Update den gleichen Hashcode liefert wie das originale Update allein. Das dürfte nahezu unlösbar werden. Und in Anbetracht der Tatsache, daß kaum jemand noch ein vier Jahre altes Update runterladen wird, kannste das Szenario knicken. Vor allem, weil bis dahin zwei komplett neue Betriebssystemversionen erschienen sind, die das antike Update nicht haben wollen.
 

Bier

Pomme au Mors
Registriert
24.08.07
Beiträge
867
Die Infos zum Thema sha1 sind nicht alt.

Das mit der Unsicherheit von md5 ist auch so eine Sache für sich. Da würde ich persönlich sagen: nein. Aber gut. Der Zeitaufwand rechtfertigt in meinen Augen noch keine solche Wertung. Das mit den Springer Lecture Notes schau ich mir grad mal an; vielleicht erklärt mir das mehr dazu.
 

tjp

Altgelds Küchenapfel
Registriert
07.07.04
Beiträge
4.057
Das mit der Unsicherheit von md5 ist auch so eine Sache für sich. Da würde ich persönlich sagen: nein. Aber gut. Der Zeitaufwand rechtfertigt in meinen Augen noch keine solche Wertung.
Das Problem mit SHA-1 und MD5, das sind normierte Algorithmen, d.h. man braucht allein 1-2 Jahre allein um eine neue Norm zu verabschieden, dann braucht es noch einmal solange bis die Software und Hardware angepaßt ist. Es gibt also eine Reihe von Gründen diese Algorithmen schon jetzt zu ersetzen, man kann nicht warten bis das Kind in den Brunnen gefallen ist. Die im Artikel genannten Anzahl von Operationen sind nicht so groß, daß man das nicht mit spezieller Hardware schnell berechnen kann.
 

MacMark

Jakob Lebel
Registriert
01.01.05
Beiträge
4.874
Für die Prüfsumme der Updates wird SHA-1 verwendet und nicht MD5, was wohl älter ist und kürzere Schlüssel verwendet.
 

KayHH

Gast
Der/Die Nachfolger für SHA-1 sind längst verabschiedet. Es wäre ein leichtes kurzfristig „aufzurüsten“ um wieder sicher zu sein.


KayHH
 

tjp

Altgelds Küchenapfel
Registriert
07.07.04
Beiträge
4.057
Für die Prüfsumme der Updates wird SHA-1 verwendet und nicht MD5, was wohl älter ist und kürzere Schlüssel verwendet.
Die Schlüssellänge kann man nicht direkt zwischen verschiedenen Algorithmen vergleichen, es bedarf schon einer genauen Cryptanalyse.
 

MacMark

Jakob Lebel
Registriert
01.01.05
Beiträge
4.874
SHA-1 dürfte auch algorithmisch besser sein als MD5.
 

MacMark

Jakob Lebel
Registriert
01.01.05
Beiträge
4.874
In den tgz-Archiven, in denen die automatisch installierten Pakete ankommen, sollte es eigentlich nicht nur eine Prüfsumme, sondern eine Signatur haben, und den dazu passenden Key hart in die Applikation einkodiert. Damit wäre https total überflüssig. Weiss ich aber jetzt nicht sicher, bei Gelegenheit seh ich mir das mal an.

Ich habe einen Hinweis darauf gefunden, daß die Pakete tatsächlich signiert sind. Apple beschreibt hier den möglichen Fehlerfall, daß die Prüfung der Signatur fehlschlägt:

Mac OS X 10.4: Software Update "The digital signature for this package is incorrect" alert
http://docs.info.apple.com/article.html?artnum=303134
 

MacMark

Jakob Lebel
Registriert
01.01.05
Beiträge
4.874
Und noch ein Hinweis: "To ensure security, all updates are signed by Apple."
http://www.apple.com/server/macosx/softwareupdateserver.html

Eine Warnung, die bei der Prüfung auftrat, wird hier beschrieben:
I have run the osx software update and some of the applications like the 10.4.10 update will not install because it says "The digital signature for this package is incorrect. The package may have been tampered with or corrupted since being signed by Apple"
http://forums.macosxhints.com/showthread.php?t=74210

Auf deutsch: OS X warnt, daß das Updatepaket manipuliert wurde, nachdem Apple es signiert hatte.
 

Rastafari

deaktivierter Benutzer
Registriert
10.03.05
Beiträge
18.150
OS X warnt, daß das Updatepaket manipuliert wurde, nachdem Apple es signiert hatte.
Es gilt hinzuzufügen, dass all das nur für automatisch installierte Updates gilt. Für selbst "von Hand" heruntergeladenes (als *.dmg) gibt es auf Apples Downloadsite jeweils Prüfsummenangaben zum selber durchführen.
 

KayHH

Gast
Moin Moin,

da häng ich mich doch glatt mal mit rein. Wie schaut es in Sachen Sicherheit denn mit dem OliU-Projekt der c't aus?


KayHH
 

MacMark

Jakob Lebel
Registriert
01.01.05
Beiträge
4.874
Es gilt hinzuzufügen, dass all das nur für automatisch installierte Updates gilt. Für selbst "von Hand" heruntergeladenes (als *.dmg) gibt es auf Apples Downloadsite jeweils Prüfsummenangaben zum selber durchführen.

Es sollte auch einen public key für die manuelle Überprüfung der Signatur geben. Wahrscheinlich der gleiche, den sie für die "tech notes" verwenden.
 

MacMark

Jakob Lebel
Registriert
01.01.05
Beiträge
4.874
Im Startposting hatte ich ja moniert, daß kein https verwendet wird ;)

Es sieht so aus als würden die Beschreibungsdateien nicht signiert oder nicht auf gültige Signatur geprüft.
Laut
http://docs.info.apple.com/article.html?artnum=307179
ist daher die Überprüfung, ob Updates verfügbar sind, angreifbar, indem die übermittelte Beschreibungsdatei gefälscht wird.

Allerdings fragt der OS X-Installer den User, ob er das mit dem JavaScript-Kommando System.run() oder System.runOnce() zu startende Programm (enthalten im Installer-Paket), wirklich starten will. Siehe
http://developer.apple.com/document...allerJavaScriptRef/InstallerJavaScriptRef.pdf
Dieses Detail wird beim Bugreport unterschlagen, tststs.

Ein gefälschtes Update kriegt man damit aber nicht hin, weil das auf seine Signatur geprüft wird.

Der Fix besteht offenbar darin, keine Skripte mehr im Installations-Paket zur Ausführung zuzulassen für diesen Mechanismus (run und runOnce).
 
Zuletzt bearbeitet: