Sicherheit
17.12.2019
Schwachstelle

435.000 schwache RSA-Zertifikate

Autor:
Verschlüsselung im InternetVerschlüsselung im InternetVerschlüsselung im Internet
Tumisu/Pixabay
Einige der zur Verschlüsselung von Internetverbindungen verwendeten RSA-Zertifikate weisen eine Schwachstelle auf. Dies haben Forscher von Keyfactor herausgefunden. Eines von 172 aktiven RSA-Zertifikaten ist demnach verwundbar.
Eine Sicherheitslücke klafft offenbar in einigen aktiven RSA-Zertifikaten. Dies hat Keyfactor, Spezialist für digitale Identitäten, in einer gerade veröffentlichten Studie anlässlich der ersten "IEEE Conference on Trust, Privacy and Security in Intelligent Systems and Applications" aufgezeigt. RSA-Zertifikate und der RSA-Algorithmus werden verwendet, um sichere Verbindungen im Internet herzustellen. Die Erkenntnisse basieren auf der Analyse von 175 Millionen RSA-Zertifikaten und -Schlüssel.
Die aktiven und öffentlich verfügbaren RSA-Schlüssel, die aus dem Produkt zweier großer und zufällig gewählter Primzahlen bestehen, wurden auf gemeinsame Faktoren hin untersucht. Denn teilen sich die Schlüssel mit anderen eine der verwendeten Primzahlen, so können sie laut Keyfactor-Studie geknackt werden. "Die Analyse fand über 435.000 Zertifikate, bei denen die Faktoren geteilt wurden, worauf die Forscher den Schlüssel ermitteln konnten", heißt es in der Mitteilung.
Dadurch könnten Hacker beispielsweise einen präparierten Rechner ins Netz stellen, der aber dank des geknackten Zertifikats vom Besucher nicht als solcher erkannt werden kann.
"Die Ergebnisse sind alarmierend", kommentiert Ted Shorter, Chief Technology Officer und Mitgründer von Keyfactor in einer Mitteilung die Studie. Ihm zufolge sind viele der Lücken bei Zertifikaten entdeckt worden, die Verbindungen zu IoT-Geräten absichern sollten. "Bei diesen Geräten könnte es sich um Autos oder medizinische Implantate handeln, bei denen ein Angriff lebensgefährliche Folgen haben könnte", gibt Shorter zu Bedenken.
Mehr Informationen zu der Analyse hat Keyfactor auf seiner Webseite veröffentlicht. Dort kann auch das Paper heruntergeladen werden.

mehr zum Thema