Downgrade-Angriff

Ein Downgrade-Angriff (deutsch etwa: Herabstufungsangriff) ist ein IT-Sicherheitsangriff im Bereich der Netzwerksicherheit. Hierbei gelingt es einem Angreifer, die Sicherheitsmaßnahmen eines Verschlüsselungsprotokolls außer Gefecht zu setzen, indem ein Rückfall auf ein weniger sicheres kryptographisches Verfahren oder auf ein unsicheres Netzwerkprotokoll erzwungen wird.

Moderne Verschlüsselungsprotokolle wie Transport Layer Security (TLS) sind in verschiedenen Versionen verbreitet und haben Erweiterungen mit unterschiedlichem Verbreitungsgrad. Zwecks Kompatibilität gibt es Aushandlungsverfahren, um zwischen zwei Kommunikationspartnern die bestmöglichen Algorithmen auszuwählen, die von beiden Seiten unterstützt werden. Ein Man-in-the-Middle-Angreifer im Netzwerk kann gezielt das Aushandlungsverfahren angreifen, um den Rückfall auf ein weniger sicheres Verfahren durchzusetzen. Ein solcher Downgrade-Angriff stellt hierbei ein Element eines komplexeren Angriffs dar, um anschließend das unsichere Verfahren mit einem anderen Sicherheitsangriff zu kompromittieren. Die Angriffsmethode fällt in eine der folgenden Kategorien:^[1]

• Modifikation: Der Angreifer verändert eine oder mehrere Nachrichten.
• Entfernen: Der Angreifer entfernt eine oder mehrere Nachrichten vollständig.
• Einfügen: Der Angreifer sendet eine neue, gefälschte Nachricht.

Ein Downgrade-Angriff ist trivial durchführbar, falls das Protokoll keine Integritätsprüfung durchführt. Als Schutzmaßnahme muss das Aushandlungsverfahren selbst gegen Manipulation abgesichert sein. Diese Absicherung erfolgt typischerweise durch kryptographische Verfahren.

TLS und dessen Vorgängerprotokoll SSL ist in verschiedenen Versionen verbreitet, die ein unterschiedliches Sicherheitsniveau bieten. Die Version wird während eines Verbindungsaufbaus im TLS-Handshake ausgehandelt und mit einer Integritätsprüfung geschützt. Der POODLE-Angriff nutzt einen Rückfall auf die damals noch unterstützte SSL Version 3.0 aus.^[1]

Eine weitere Art von Downgrade-Angriffen bezieht sich auf die Aushandlung der Cipher Suite in TLS. TLS bzw. SSL unterstützte aus historischen Gründen absichtlich schwache Cipher Suites, die als „exporttauglich“ bezeichnet wurden. Der Logjam-Angriff nutzt aus, dass die Aushandlung der Cipher Suites im TLS-Handshake zwar geschützt ist, die Sicherheit der Integritätsprüfung aber vom ausgehandelten Algorithmus abhängt.^[1] Der dazu ähnliche FREAK-Angriff nutzt einen Implementierungsfehler aus, um einen Downgrade auf schwache Exportschlüssel durchzuführen.^[1]

DNS-based Authentication of Named Entities (DANE) ist eine Erweiterung im Domain Name System, mit der eine Domain signalisieren kann, dass Verbindungen zu einem bestimmten Port immer über TLS bzw. DTLS erfolgen muss. Dies erfolgt durch das Setzen eines TLSA Resource Record. DANE setzt den Einsatz der Domain Name System Security Extensions (DNSSEC) voraus, wodurch der TLSA Resource Record selbst vor Manipulation geschützt wird.

Neben der Erzwingung von TLS bzw. DTLS unterstützt TLSA auch die Festlegung auf ein bestimmtes digitales Zertifikat oder auf eine bestimmte Zertifizierungsstelle, mit der sich der Server gegenüber dem Client authentifizieren muss.

DANE ist grundsätzlich anwendungsunabhängig. Dessen Nutzbarkeit in einer Anwendung hängt aber davon ab, ob der Anwendungsentwickler die Unterstützung von DANE eingebaut hat.

Das World Wide Web verwendet TLS zur sicheren Datenübertragung, was als HTTPS bezeichnet wird. Ein Webserver, der HTTPS unterstützt, leitet üblicherweise von dem ungeschützten HTTP auf HTTPS weiter. Diese Weiterleitung ist selbst ungeschützt und damit anfällig für einen Downgrade-Angriff.

Zum Schutz existieren verschiedene Verfahren:

• Die konsequente Verwendung von „https:“ in URL-Adressen.
• Mit HTTP Strict Transport Security signalisiert ein Webserver im HTTP-Header, dass die Datenübertragung künftig immer über HTTPS erfolgen soll, unabhängig von der Protokollangabe in der URL.
• HTTPS Everywhere liefert eine Liste von Websites aus, die nur über HTTPS kontaktiert werden sollen.
• Mit dem TLSA Resource Record signalisiert eine Domain, dass die Datenübertragung über HTTPS erfolgen muss (siehe #DNS-based Authentication of Named Entities). Die meisten Browser unterstützen jedoch kein DANE.^[2]

Das Simple Mail Transfer Protocol (SMTP) von E-Mail unterstützt die verschlüsselte Übertragung über den STARTTLS-Mechanismus. Ein Mailserver teilt per Extended SMTP mit, ob er STARTTLS unterstützt. Diese Aushandlung ist ungeschützt und anfällig für einen Downgrade-Angriff.

Zum Schutz existieren die folgenden Verfahren:

• Mit dem TLSA Resource Record signalisiert eine Domain, dass die Datenübertragung über STARTTLS erfolgen muss (siehe #DNS-based Authentication of Named Entities). Die Verbreitung von DANE bei E-Mail nimmt zu.^[3]
• Mit MTA-STS existiert ein zu DANE alternatives Verfahren, mit dem eine Domain die Verwendung von STARTTLS erzwingen kann. Anders als DANE setzt MTA-STS nicht zwingend den Einsatz von DNSSEC voraus. Das senkt die Einstiegshürde zur Umsetzung, eröffnet aber einen Angriffsvektor für einen Downgrade-Angriff.

Der Stalloris-Angriff auf die Resource Public Key Infrastructure (RPKI) nutzt aus, dass Router bei Fehlen von RPKI-Authentifizierungsdaten (Route Origin Authorization) auf ein Routing ohne Validierung zurückfallen. Durch einen spezialisierten Denial-of-Service-Angriff wird dem Opfer der Abruf der RPKI-Authentifizierungsdaten verweigert.^[4]

1. ↑ ^{a b c d} Eman Salem Alashwali, Kasper Rasmusse: What’s in a Downgrade? A Taxonomy of Downgrade Attacks in the TLS Protocol and Application Protocols Using TLS. In: Security and Privacy in Communication Networks: 14th International Conference. 2018, ISBN 978-3-03001704-0, doi:10.1007/978-3-030-01704-0_27 (englisch, Pre-print bei arxiv.org). 
2. ↑ Kota Yagi, Katsuki Isobe, Daishi Kondo, Hideki Tode: Impact of DANE on Webpage Load Time. In: 20th International Conference on Network and Service Management (CNSM). 2024 (englisch, ifip.org [PDF]). 
3. ↑ Hyeonmin Lee, Aniketh Gireesh, Amrita Vishwa Vidyapeetham; Roland van Rijswijk-Deij, Taekyoung "Ted" Kwon, Taejoong Chung: A Longitudinal and Comprehensive Study of the DANE Ecosystem in Email. In: 29th USENIX Security Symposium (USENIX Security 20). 2020 (englisch, usenix.org). 
4. ↑ Tomas Hlavacek, Philipp Jeitner, Donika Mirdita, Haya Shulman, Michael Waidner: Stalloris: RPKI Downgrade Attack. In: 31st USENIX Security Symposium (USENIX Security 22). 2022, ISBN 978-1-939133-31-1 (englisch, usenix.org).