Name
Jahr
Kategorie des Angriffsvektors
Hauptangriffsvektor
Gegenmaßnahmen in TLS 1.3
sonstige serverseitige Gegenmaßnahmen
BEAST (Browser Exploit Against SSL/TLS)
2011
Cross-Protokoll-Attacke
Schwächen von CBC (Cipher Block Chaining)
Abschaffung von CBC-Chiffre-Suites
beim Einsatz von TLS 1.2 und älter: Deaktivieren von CBC-Suites
CRIME (Compression Ratio Info-leak Made Easy)
2012
Cross-Protokoll-Attacke
Schwächen der TLS-Kompression erlauben das Auslesen geheimer Cookies aus dem Header der HTTP-Anfrage zwecks Session Hijacking.
Abschaffung der TLS-Kompression
Verzicht auf TLS-Kompression
BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext, CVE-2013-3587)
2013
Cross-Protokoll-Attacke
Schwächen der HTTP-Kompression erlauben das Auslesen von Geheimdaten der Benutzersitzung aus HTTP-Antworten.
keine (BREACH ist TLS-agnostisch und funktioniert unabhängig von der Cipher-Suite)
Deaktivieren der HTTP-Kompression
LUCKY13
2013
zeitbedingte Seitenkanalattacke
ein kryptografischer Zeitangriff gegen TLS-Implementierungen bis einschließlich Version 1.2 unter Verwendung von CBC-Chiffre-Suites
Abschaffung von CBC-Chiffre-Suites
beim Einsatz von TLS 1.2 (jedoch nicht von älteren Versionen): Verzicht auf CBC-Chiffre-Suites
POODLE (Padding Oracle On Downgraded Legacy Encryption)
2014
Downgrade-Attacke
Die Verhandelbarkeit der Protokollversion erlaubt ein Protokoll-Downgrade auf SSL 3.0 und damit die Ausnutzung der fehlerhaften Handhabung der CBC-Blockchiffriermodus-Auffüllung (Block Cipher Mode Padding) dieser Version.
Verbot von Protokoll-Upgrades und -Downgrades
Deaktivieren von SSL, TLS 1.0 und TLS 1.1; Deaktivieren aller CBC-Suites in TLS 1.2
SLOTH (Security Losses from Obsolete and Truncated Transcript Hashes)
2015
Kollisionsattacke
Schwache Hashfunktionen erlauben die Nutzung von Kollisionsangriffen gegen TLS mit MD5- und SHA-1-Hashes.
Verzicht auf MD5- und SHA-1-Hashes
beim Einsatz von TLS 1.2: Hashberechnung mittels SHA-256
LOGJAM
2015
Downgrade-Attacke
Downgrade verwundbarer TLS-Verbindungen mit alten Browsern auf einen Schlüsselaustausch mit 512-Bit-Export-Ciphern mit schwachen DH-Gruppen
Abschaffung von Export-Ciphern
Verzicht auf Diffie-Hellman-Gruppen mit weniger als 2048 Bit Länge
SMACK (State Machine AttaCKs), FREAK (Factoring RSA Export Keys)
2015
Downgrade-Attacke
fehlerhafte Implementierungen in alten Browsern bei einem Schlüsselaustausch mit schwachen RSA-Chiffre-Suiten
Verzicht auf Schlüsselvereinbarung mittels RSA
beim Einsatz von TLS 1.0 bis TLS 1.2: keine RSA-Schlüsselvereinbarung (stattdessen ECDH-ECDSA)
RC4 NOMORE (Numerous Occurrence Monitoring and Recovery Exploit)
2015
Brute-Force-Attacke
Schwächen der Stream-Cipher RC4 (und WPA-TKIP) erlauben u. a. das Dechiffrieren von Cookies.
Abschaffung der Stream-Chiffre RC4 zugunsten von ChaCha20-Poly1305
beim Einsatz von TLS 1.2 (jedoch nicht von älteren Versionen): Verzicht auf RC4 zugunsten von ChaCha20-Poly1305, AES-GCM, ARIA-GCM oder Camelia-GCM
DROWN (Decrypting RSA with Obsolete and Weakened eNcryption)
2016
Bleichenbachers Cross-Protokoll-Attacke gegen unsicheres Padding
ein ungesicherter privater Schlüssel des Servers, der auf einem beliebigen (auch einem anderen) Host mit SSLv2 zum Einsatz kommt und sich dort ausspähen lässt
keine (SSL auf allen Hosts deaktivieren, ggf. gemeinsam verwendete Schlüssel austauschen)
SSL auf allen Hosts deaktivieren, ggf. gemeinsam verwendete Schlüssel austauschen
Sweet32
2016
Kollisionsattacke
eine Kollissionsattacke gegen die Stream-Cipher RC4
Abschaffung der Stream-Chiffre RC4 zugunsten von ChaCha20-Poly1305
beim Einsatz von TLS 1.2 (jedoch nicht von älteren Versionen): Verzicht auf RC4 zugunsten von ChaCha20-Poly1305, AES-GCM, AES-GCM, ARIA-GCM oder Camelia-GCM
ROBOT (Return of Bleichenbacher’s Oracle Attack)
2017
Bleichenbachers Cross-Protokoll-Attacke gegen unsicheres Padding
Unsichere Padding-Modi wie RSA PKCS #1 v1.5) können Signaturfälschung ermöglichen.
u. a. Abschaffung der Schlüsselvereinbarung mittels RSA
beim Einsatz von TLS 1.0 bis TLS 1.2: keine RSA-Schlüsselvereinbarung (stattdessen ECDH-ECDSA)