loader

Null-Prefix-Attack

Null-Prefix-Attack

Die heutige Version des X.509 Zertifikats ist Version 3 (X.509v3) und dieses Zertifikat identifiziert beispielsweise eindeutig einen Server bei einer SSL/TLS Kommunikation. Genauergesagt ist bei allen SSL/TLS Implementationen der Common Name essentiell, denn anhand dieses Feldes wird ein Server identifiziert. Beispielsweise würde im Falle von PayPal im Feld „common name“ www.paypal.com stehen. Um es der Certification Authority zu erleichtern, prüft die nur den Besitzer solch einer Domain mittels einer WHOIS Abfrage und überprüft nur die Root Domain (also in diesem Beispiel paypal.com), wobei Subdomains in den meisten Fällen ignoriert werden.

Nun muss man unterscheiden zwischen Pascal Strings und C Strings. Denn bei einem Pascal String wird in den ersten Bytes die Länge des Strings angegeben, wobei bei einem C String der Wert NULL den String beendet.

Pascal String:
0x04 (Länge) 0x44 (‚D‘) 0x41 (‚A‘) 0x54 (‚T‘) 0x41 (‚A‘)

C String:
0x44 (‚D‘) 0x41 (‚A‘) 0x54 (‚T‘) 0x41 (‚A‘) 0x00 (NULL)

Wenn man nun Beispielsweise www.paypal.com.jusIT.eu in das „common name“ Feld einträgt, ignoriert die Certification Authority weiterhin alle Subdomains und würde nur abfragen ob jusIT.eu wirklich mein Eigentum ist. Da dies der Fall ist, wird mein X.509 Zertifikat beglaubigt und bestätigt, dass ich wirklich der gewünschte Kommunikationspartner bin. Viele SSL/TLS Implementationen jedoch lesen den Common Name als C String und würden daher www.paypal.com.jusIT.eu nicht unterscheiden können zu www.paypal.com. Daher würde nun eine Verbindung mit www.paypal.com aufgebaut werden, die Certification Authority würde das Zertifikat für jusIT.eu bestätigen und eine verschlüsselte Verbindung mit einem falschen Kommunikationspartner aufbauen, wo wir wieder beim Man-in-the-middle Angriff wären und sämtliche Informationen ausgelesen bzw. manipuliert werden können. Diesen Angriff kann man mit dem Programm sslsniff6 problemlos durchführen und so zu essentiellen Informationen kommen.

Mehr Informationen diesbezüglich unter: https://www.thoughtcrime.org/papers/null-prefix-attacks.pdf

Jetzt mitreden

Die E-Mail Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Loading...

Name*

E-Mail*

Betreff

Zeichenfolge bitte eingeben captcha