Zwei Sicherheitsbulletins: SHA-1-Kollisionsangriff und Cloudflare-Sicherheitslücke

By February 24, 2017 Unkategorisiert No Comments

Das Einzige, worauf man sich in Sachen Sicherheit verlassen kann, ist, dass es dauernd Änderungen gibt. Die Technik entwickelt sich laufend weiter, und LastPass arbeitet intensiv daran, zum Schutz Ihrer Daten stets einen Schritt voraus zu sein. Vor kurzem wurden zwei Zwischenfälle bekannt, die vielen Mitgliedern unserer Community Sorgen bereiten könnten. An dieser Stelle möchten wir daher alle Fragen beantworten, die Sie als LastPass-User haben könnten.

Cloudflare

Zusammenfassung: LastPass arbeitet nicht mit Cloudflare und ist von der vor kurzem bekanntgewordenen Sicherheitslücke nicht betroffen.

Was ist passiert? Der SaaS-Anbieter Cloudflare hilft Unternehmen, die Sicherheit und Leistung ihrer Websites zu optimieren. Am 23. Februar 2017 setzte Cloudflare seine Kunden über eine soeben behobene Schwachstelle in Kenntnis (die von Google-Sicherheitsforscher Tavis Ormandy entdeckt wurde). Durch diese Sicherheitslücke könnten vertrauliche Daten an die Öffentlichkeit gelangt sein. LastPass arbeitet jedoch nicht mit Cloudflare und ist daher nicht betroffen.

LastPass-User könnten allerdings Konten auf Websites haben, die Cloudflare sehr wohl nutzen. Wenn von Ihnen verwendete Dienste also als betroffen gemeldet wurden, sollten Sie Ihr Passwort aktualisieren. Das Risiko, dass Ihr Konto gefährdet ist, ist minimal; es ist jedoch immer besser, auf Nummer sicher zu gehen

SHA-1-Kollisionsangriff

Zusammenfassung: LastPass-User können beruhigt sein – unsere Hashfunktion und unsere Website sind sicher. LastPass verwendet zur Erstellung von Passwort-Hashes das sogenannte „Iterated Hashing“ mit mindestens SHA-256 oder einer noch besseren Hashkomponente. Unsere HTTPS-Zertifikate nutzen für die Digestauthentifizierung mindestens SHA-256. Wie vom Google-Sicherheitsteam bestätigt, bietet die kryptographische Hashfunktion SHA-256 mehr Sicherheit.

Was ist passiert? Das Google-Sicherheitsteam meldete vor kurzem den ersten bekannten praktischen Angriff auf SHA-1. SHA-1 (Secure Hash Algorithm 1) ist eine im Jahr 1995 erstmals veröffentlichte Hashfunktion. Hashing, auch Streuwertfunktion genannt, ist im Prinzip eine Einwegfunktion (d. h. nicht umkehrbar) zum Verschleiern und Speichern von Daten. Es geht über die reine Verschlüsselung von Daten hinaus. SHA-1 wird allgemein zum Schutz von Software verwendet, um die Manipulation von Software-Updates zu verhindern und Verbindungen zwischen Websites und Usern abzusichern. Es ist jedoch seit mindestens 2005 bekannt, dass ein theoretischer Angriff auf SHA-1 möglich ist, und Google fordert Entwickler schon seit mehreren Jahren zur Verwendung anderer Algorithmen auf.

Der am 23. Februar 2017 veröffentlichte Bericht beschreibt, wie Sicherheitsforschern der erste echte Kollisionsangriff auf die Hashfunktion SHA-1 gelungen ist. Das bedeutet, dass zwei komplett unterschiedliche Dateien (in diesem Fall PDF-Dateien) dazu gebracht wurden, dieselbe SHA-1-Signatur zu generieren. Dies dürfte nicht passieren: Jede Datei sollte eine individuelle SHA-1-Signatur erzeugen; andernfalls könnte eine „falsche“ Datei als „echte“, vertrauenswürdige Datei durchgehen.

Wie oben erwähnt, generiert LastPass seine Authentifizierungshashes mittels PBKDF2 (Password-Based Key Derivation Function 2) und SHA-256, nicht SHA-1. Unsere Websiteverbindung auf LastPass.com ist ebenfalls sicher, da unser HTTPS-Zertifikat SHA-256 und nicht SHA-1 nutzt.

Um jegliches Restrisiko aus dem Weg zu räumen, werden wir SHA-1 in Zukunft auch für keine anderen Zwecke wie die Signierung von Binärdateien mehr verwenden. Die Gefahr ist äußerst gering, und angesichts dieser Kollisionsmeldung haben wir der Entfernung von SHA-1 eine höhere Priorität eingeräumt und werden sie schneller als ursprünglich geplant durchführen.

Wie immer werden wir unsere Nutzergemeinde über alle neuen Entwicklungen auf dem Laufenden halten.

Vielen Dank!

Ihr LastPass-Team