Konzeptionierung, Entwicklung und Erprobung eines SSL-Zertifikatsfuzzers zur Prüfung von Zertifikatsvalidierungschecks

Master Studiengang Information Security

Dipl.-Ing. Christian Stoiber, BSc
19.09.2014

Ausgangslage

Sowohl im privaten Bereich, als auch bei Firmen und Regierungen ist Verschlüsselung und Signatur aus dem Alltag nicht mehr wegzudenken. Durch den Einsatz von SSL und TLS in Verbindung mit dem Webprotokoll HTTP und E-Mail-Protokollen wie SMTP, POP3 und IMAP, dringt die hoch entwickelte Sicherheitstechnologie bis hin zu mobilen Endgeräten vor. Aktuelle Meldungen aus den Medien berichten allerdings von Problemen in Bezug auf die Umsetzung und die Widerstandsfähigkeit der SSL- und TLS-Technologie.

Die Ursache dieser Probleme liegt teilweise in der fehlerhaften Überprüfung der Zertifikate, die bei SSL und TLS eingesetzt werden, um den/die Betreiber/in bzw. den Server der/die eine Webseite oder einen E-Mail-Service zur Verfügung stellt, zu identifizieren. Ist die Validierung dieser SSL-Zertifikate fehlerhaft, eröffnet sich einem Angreifer bzw. einer Angreiferin die Möglichkeit, als Man-In-The-Middle in den verschlüsselten Datenstrom einzugreifen und mitzulesen.
Tatsache ist, dass nicht jeder/jede Entwickler/in von mobilen Applikationen auch eine Sicherheitsexpertin oder Sicherheitsexperte ist. Es wird daher vermutet, dass einige Apps im Umlauf sind, die SSL oder TLS mit einer fehlerhaften Zertifikatsvalidierung verwenden.

Ziel

Im Zuge dieser Arbeit wird ein Prototyp eines Programms erstellt, das automatisiert SSL-Zertifikate generiert, die laut Spezifikation des X.509 Standards für SSL-Zertifikate nicht gültig sind. Die dabei eingesetzte Methode nennt sich „fuzzing“. In einer abgesicherten Laborumgebung werden die Originalzertifikate durch die Zertifikate aus dem SSL-Zertifikatsfuzzer, zur Prüfung des Zertifikatsvalidierungschecks, ersetzt.

Ergebnis

Der SSL-Zertifikatsfuzzer wurde an einer plattformübergreifenden Auswahl an Applikationen getestet. Im Verlauf dieser Sicherheitsanalyse konnten Schwachstellen in der Umsetzung der Zertifikatsvalidierungsprozedur, als auch Fehler im Sicherheitsdesign mancher Apps, festgestellt werden.

FH-Betreuer: Dipl.-Ing. (FH) Thomas Brandstetter, MBA