EPFL - Ecole Polytechnique Fédérale
EPFL: Internet-Transaktionen: Forscher der EPF Lausanne knacken das Sicherheitsschloss
Lausanne (ots)
Forscher der Ecole polytechnique fédérale de Lausanne (EPFL) haben eine Lücke im meist verwendeten Übertragungsprotokoll für sichere Internet-Transaktionen entdeckt. Sie konnten beweisen, dass das Benutzer-Passwort, welches der Internet-Anwender im Zusammenhang mit E-Commerce oder beim Online-Zugriff auf sein Bankkonto benötigt, in weniger als einer Stunde geknackt werden kann. Gleichzeitig stellen sie die entsprechenden Mittel zur Verfügung, um der Internet-Piraterie rechtzeitig den Riegel vorzuschieben.
"Wir haben als Erste diesen Schwachpunkt im SSL-Protokoll erkannt. Insbesondere für Internet-Transaktionen ist dieses Übertragungsprotokoll am meisten verbreitet." führt der EPFL-Professor Serge Vaudenay aus. SSL, d.h. Secure Socket Layer, galt bis anhin als nicht zu knacken. Die Forschungsannahme für einen Angriff auf das Sicherheitsprotokoll basiert auf einem Chiffrieralgorithmus vom Typus CBC und bedingt, dass sich der Hacker in der Nähe des Mail-Servers befindet.
"Konkret haben wir ein Programm entwickelt, das es erlaubt, das Passwort eines Anwenders zu knacken, der eine durch SSL gesicherte Kommunikationssoftware benützt", erklärt Professor Vaudenay. Den Wissenschaftlern gelang es anschliessend, sich mit der Anwendung zu verbinden, indem sie sich als Benutzer ausgaben. Sie wären somit in der Lage gewesen, dessen Mails zu lesen oder in seinem Namen Finanztransaktionen auszuführen.
Bedeutet dies, dass wir in Zukunft für den Zahlungsverkehr auf das Internet verzichten müssen? "Selbstverständlich haben wir unsere Forschungsresultate den SSL-Verantwortlichen weitergeleitet", versichert Professor Vaudeney. Die neue Version OpenSSL (0.9.7a) ist bereits mit einem Schutz gegen die hypothetischen Angriffe der EPFL-Forscher ausgerüstet.
Das Projekt, welches die Entdeckung des Lecks im SSL-Protokoll ermöglicht hat, ist im Rahmen des nationalen Schwerpunktprogramms über die MICS Mobilnetze entstanden. An den Untersuchungen beteiligten sich neben Serge Vaudenay, Direktor des Labors für Sicherheit und Kryptographie, auch der EPFL-Wissenschaftler Brice Canvel, ein Student der Abteilung für Kommunikationssysteme, Martin Vuagnoux, sowie Alain Hiltgen, Verantwortlicher für Kryptographie bei einer Grossbank.
Dass ein Server mit SSL gesichert ist, geht aus der Adresse hervor, die mit https:// beginnt. Das "s" bedeutet "secured" (gesichert). Secure Socket Layer kann etwa mit "gesicherte Socket-Schicht" übersetzt werden. Socket ist ein Anglizismus und bezeichnet die Schnittstelle, welche den Austausch zwischen den verschiedenen Anwendungen ermöglicht. Das SSL ist ein Protokoll, das diese Schnittstelle vor jeglichem unerlaubten Zugriff schützt und die Vertraulichkeit der Operationen sicherstellt.
Zusatzinformationen:
Professor Serge Vaudenay, Direktor des Labors für Sicherheit und Kryptographie, 021-693 76 96, 021-693 76 03
http://lasecwww.epfl.ch