9.5.1. Risks of Weak or Null Message Authentication (Risiken schwacher oder Null-Nachrichtenauthentifizierung)
9.5.1. Risks of Weak or Null Message Authentication (Risiken schwacher oder Null-Nachrichtenauthentifizierung)
Während eines Sicherheits-Audits, das die Verwendung schwacher oder Null-Authentifizierung in Betracht zieht, ist es wichtig, die folgenden Angriffe im Auge zu behalten, die möglich sind, wenn kein Nachrichtenauthentifizierungsalgorithmus verwendet wird.
Ein Angreifer, der den Klartext nicht vorhersagen kann, ist dennoch immer in der Lage, die zwischen Sender und Empfänger gesendete Nachricht so zu modifizieren, dass sie zu einem zufälligen Klartextwert entschlüsselt wird, oder einen Strom von gefälschten Paketen an den Empfänger zu senden, die zu zufälligen Klartextwerten entschlüsselt werden. Dieser Angriff ist im Wesentlichen ein Denial-of-Service-Angriff, obwohl in Abwesenheit von Nachrichtenauthentifizierung die RTP-Anwendung Eingaben haben wird, die bitweise mit dem wahren Wert korreliert sind. Einige Multimedia-Codecs und gängige Betriebssysteme stürzen ab, wenn solche Daten als gültige Videodaten akzeptiert werden. Dieser Denial-of-Service-Angriff kann eine viel größere Bedrohung darstellen als die durch einen Angreifer verursachte, der Pakete verwirft, verzögert oder neu ordnet.
Ein Angreifer, der den Klartext nicht vorhersagen kann, kann dennoch eine frühere Nachricht mit der Gewissheit wiedergeben, dass der Empfänger sie akzeptieren wird. Anwendungen mit zustandslosen Codecs könnten gegen diese Art von Angriff robust sein, aber für andere, komplexere Anwendungen können diese Angriffe weitaus gravierender sein.
Ein Angreifer, der den Klartext vorhersagen kann, kann den Geheimtext so modifizieren, dass er zu einem beliebigen Wert ihrer Wahl entschlüsselt wird. Bei einer additiven Stream-Chiffre wird ein Angreifer immer in der Lage sein, einzelne Bits zu ändern.
Ein Angreifer kann aufgrund des Fehlens von Authentifizierung die Vertraulichkeit untergraben, wenn eine Daten-Weiterleitungs- oder Zugriffskontrollentscheidung auf entschlüsseltem, aber nicht authentifiziertem Klartext getroffen wird. Dies liegt daran, dass der Empfänger dazu gebracht werden kann, Daten an einen Angreifer weiterzuleiten, was zu einer indirekten Verletzung der Vertraulichkeit führt (siehe Abschnitt 3 von [B96]). Dies liegt daran, dass Daten-Weiterleitungsentscheidungen auf dem entschlüsselten Klartext getroffen werden; Informationen im Klartext bestimmen, an welches Subnetz (oder welchen Prozess) der Klartext im ESP [RFC2401] Tunnelmodus (bzw. Transportmodus) weitergeleitet wird. Wenn Secure RTP ohne Nachrichtenauthentifizierung verwendet wird, sollte überprüft werden, dass die Anwendung keine Daten-Weiterleitungs- oder Zugriffskontrollentscheidungen basierend auf dem entschlüsselten Klartext trifft.
Einige Chiffre-Betriebsmodi, die Padding erfordern, z.B. Standard-Cipher-Block-Chaining (CBC), sind sehr empfindlich gegenüber Angriffen auf die Vertraulichkeit, wenn bestimmte Padding-Typen ohne Integrität verwendet werden. Der Angriff [V02] zeigt, dass dies tatsächlich der Fall für das Standard-RTP-Padding ist, wie in Bezug auf Abbildung 1 diskutiert, wenn es zusammen mit dem CBC-Modus verwendet wird. Spätere Transformations-Ergänzungen zu SRTP MÜSSEN daher das Risiko der Verwendung dieses Paddings ohne ordnungsgemäßen Integritätsschutz sorgfältig berücksichtigen.