Onderzoekers hebben beveiligingsproblemen gevonden in Diffie-Hellman, een protocol dat in ssl en tls wordt gebruikt om sleutels uit te wisselen. Daardoor kunnen kwaadwillenden een lagere graad van beveiliging afdwingen. Zowel websites als mailservers, ssh en vpn-verbindingen zijn getroffen.
De kwetsbaarheid is vergelijkbaar met de zogenoemde Freak-kwetsbaarheid, die eerder dit jaar aan het licht kwam. Daarbij konden aanvallers een lagere graad van beveiliging afdwingen, doordat veel webservers en browsers nog ondersteuning hebben voor verouderde encryptiestandaarden.
Normaliter gebruiken een client en een server het hoogste niveau van beveiliging dat door beide wordt ondersteund. In het geval van Freak en de nieuwe kwetsbaarheid kan een aanvaller echter een lagere, inmiddels achterhaalde graad van beveiliging forceren. Kwaadwillenden kunnen de communicatie daardoor eenvoudig ontsleutelen.
Het grote verschil met de Freak-kwetsbaarheid is dat die kwetsbaarheid in ssl-implementaties zat, waardoor slechts een deel van de gebruikers was getroffen. De nieuwe kwetsbaarheid, door onderzoekers Logjam gedoopt, bevindt zich echter in het veelgebruikte Diffie-Hellman-protocol, dat bij ssl en tls wordt gebruikt om encryptiesleutels uit te wisselen.
Daardoor zijn alle systemen die de verouderde encryptie ondersteunen, kwetsbaar. Daaronder is niet enkel 8,4 procent van de 1 miljoen grootste websites, stellen de onderzoekers, maar ook een groot aantal mailservers: de versleutelde versies van pop3, imap en smtp leunen op Diffie-Hellman. Ook vpn-servers en ssh-verbindingen lopen gevaar.
Systeembeheerders die zich na de Freak-aanval hebben gewapend door verouderde encryptiesuites uit te schakelen, zijn ook veilig voor de nieuwe aanval. De meeste browsers hebben echter nog ondersteuning voor de verouderde suites. Webbrowsers zijn momenteel bezig met het uitbrengen van patches voor het probleem; op dit moment is alleen Internet Explorer gepatcht. Gebruikers kunnen op de website van de onderzoekers testen of hun browser nog kwetsbaar is.
De ondersteuning voor verouderde encryptie is een erfenis uit het verleden: in de jaren negentig verbood de Amerikaanse overheid de export van lange encryptiesleutels. Gebruik van kortere encryptiesleutels maakte de berichten immers makkelijk te onderscheppen. Hoewel lange encryptiesleutels allang niet meer uit den boze zijn, is ondersteuning voor de korte, verouderde sleutels vanwege backwards-compatibility vaak nog steeds aanwezig.
Daarnaast hebben de onderzoekers een moeilijker te misbruiken, theoretischer probleem met Diffie-Hellman gevonden. Veel verbindingen die op Diffie-Hellman leunen zijn gebaseerd op dezelfde priemgetallen. De aanname is dat dat veilig genoeg is, maar de onderzoekers weerspreken dat. Een priemgetal van 768 bits kan volgens de onderzoekers door een onderzoeksteam worden gekraakt, en een priemgetal van 1024 bits door een overheid.
Is dat priemgetal gekraakt, dan kan het verkeer van 18 procent van de 1 miljoen grootste https-websites worden onderschept, evenals 26 procent van de ssh-servers en maar liefst 66 procent van de ipsec-vpn-servers. De onderzoekers raden sysadmins dan ook aan om unieke priemgetallen te gebruiken, met een lengte van 2048 bits.
Sinds april 2014 kwamen veel ernstige beveiligingsproblemen in ssl en ssl-implementaties aan het licht. Daaronder was HeartBleed, waarmee aanvallers het interne geheugen van een server met OpenSSL konden uitlezen. Ook vonden onderzoekers van Google een kwetsbaarheid in ssl 3.0, waardoor met javascript bijvoorbeeld cookies konden worden onderschept.