Alle Storys
Folgen
Keine Story von EPFL - Ecole Polytechnique Fédérale mehr verpassen.

EPFL - Ecole Polytechnique Fédérale

EPFL: Internet-Transaktionen: Forscher der EPF Lausanne knacken das Sicherheitsschloss

Lausanne (ots)

Forscher der Ecole polytechnique fédérale de
Lausanne (EPFL) haben eine Lücke im meist verwendeten 
Übertragungsprotokoll für sichere Internet-Transaktionen entdeckt. 
Sie konnten beweisen, dass das Benutzer-Passwort, welches der 
Internet-Anwender im Zusammenhang mit E-Commerce oder beim 
Online-Zugriff auf sein Bankkonto benötigt, in weniger als einer 
Stunde geknackt werden kann. Gleichzeitig stellen sie die 
entsprechenden Mittel zur Verfügung, um der Internet-Piraterie 
rechtzeitig den Riegel vorzuschieben.
"Wir haben als Erste diesen Schwachpunkt im SSL-Protokoll erkannt. 
Insbesondere für Internet-Transaktionen ist dieses 
Übertragungsprotokoll am meisten verbreitet." führt der 
EPFL-Professor Serge Vaudenay aus. SSL, d.h. Secure Socket Layer, 
galt bis anhin als nicht zu knacken. Die Forschungsannahme für einen 
Angriff auf das Sicherheitsprotokoll basiert auf einem 
Chiffrieralgorithmus vom Typus CBC und bedingt, dass sich der Hacker 
in der Nähe des Mail-Servers befindet.
"Konkret haben wir ein Programm entwickelt, das es erlaubt, das 
Passwort eines Anwenders zu knacken, der eine durch SSL gesicherte 
Kommunikationssoftware benützt", erklärt Professor Vaudenay. Den 
Wissenschaftlern gelang es anschliessend, sich mit der Anwendung zu 
verbinden, indem sie sich als Benutzer ausgaben. Sie wären somit in 
der Lage gewesen, dessen Mails zu lesen oder in seinem Namen 
Finanztransaktionen auszuführen.
Bedeutet dies, dass wir in Zukunft für den Zahlungsverkehr auf das 
Internet verzichten müssen? "Selbstverständlich haben wir unsere 
Forschungsresultate den SSL-Verantwortlichen weitergeleitet", 
versichert Professor Vaudeney. Die neue Version OpenSSL (0.9.7a) ist 
bereits mit einem Schutz gegen die hypothetischen Angriffe der 
EPFL-Forscher ausgerüstet.
Das Projekt, welches die Entdeckung des Lecks im SSL-Protokoll 
ermöglicht hat, ist im Rahmen des nationalen Schwerpunktprogramms 
über die MICS Mobilnetze entstanden. An den Untersuchungen 
beteiligten sich neben Serge Vaudenay, Direktor des Labors für 
Sicherheit und Kryptographie, auch der EPFL-Wissenschaftler Brice 
Canvel, ein Student der Abteilung für Kommunikationssysteme, Martin 
Vuagnoux, sowie Alain Hiltgen, Verantwortlicher für Kryptographie 
bei einer Grossbank.
Dass ein Server mit SSL gesichert ist, geht aus der Adresse hervor, 
die mit https:// beginnt. Das "s" bedeutet "secured" (gesichert). 
Secure Socket Layer kann etwa mit "gesicherte Socket-Schicht" 
übersetzt werden. Socket ist ein Anglizismus und bezeichnet die 
Schnittstelle, welche den Austausch zwischen den verschiedenen 
Anwendungen ermöglicht. Das SSL ist ein Protokoll, das diese 
Schnittstelle vor jeglichem unerlaubten Zugriff schützt und die 
Vertraulichkeit der Operationen sicherstellt.
Zusatzinformationen:
Professor Serge Vaudenay, Direktor des Labors für Sicherheit und 
Kryptographie, 021-693 76 96, 021-693 76 03
http://lasecwww.epfl.ch

Weitere Storys: EPFL - Ecole Polytechnique Fédérale
Weitere Storys: EPFL - Ecole Polytechnique Fédérale