Abo
  • Services:
Anzeige
Nur an einer Stelle im TLS-Handshake wird der private Schlüssel benötigt.
Nur an einer Stelle im TLS-Handshake wird der private Schlüssel benötigt. (Bild: Cloudflare)

Cloudflare: TLS-Verbindungen ohne Schlüssel sollen Banken schützen

Cloudflare bietet Kunden künftig ein neues Feature namens Keyless SSL, mit dem der Teil des TLS-Handshakes, der den privaten Schlüssel benötigt, ausgelagert werden kann. Damit können Unternehmen die Kontrolle über den Schlüssel behalten.

Anzeige

Die Firma Cloudflare bietet Kunden künftig die Möglichkeit an, ihr Content Delivery Network mittels verschlüsselter HTTPS-Verbindungen zu nutzen, ohne dabei den Schlüssel an Cloudflare zu übergeben. Hierfür wird ein kleiner Teil des TLS-Handshakes auf einen speziellen Keyserver ausgelagert, der sich unter der Kontrolle des Kunden befindet.

Cloudflare beschreibt in der Ankündigung von Keyless SSL das Problem, das zur Einführung des neuen Features geführt hatte: Eine Bank war Opfer einer großen Distributed-Denial-of-Service-Attacke und bat Cloudflare laut dem Bericht um Hilfe. Sämtliche Services der Bank waren nicht mehr nutzbar, da die Kapazitäten überlastet waren. Allerdings war die Nutzung des Cloudflare-CDNs für die Bank keine Option, denn in dem Fall hätte sie den privaten Schlüssel für die eigenen Webseiten an Cloudflare übergeben müssen. Das ist insbesondere für Banken schwierig, denn wenn der private Schlüssel einem Angreifer in die Hände fiele, müsste das den Finanzaufsichtsbehörden gemeldet werden. Mit ihren damals verfügbaren Angeboten konnte Cloudflare der betroffenen Bank nicht helfen.

Danach suchte man bei Cloudflare nach möglichen Lösungen für derartige Szenarien. Beim Aufbau einer TLS-Verbindung, etwa wenn eine HTTPS-Webseite aufgerufen wird, findet ein komplizierter Handshake statt. Es gibt dabei zwei Varianten: Den klassischen RSA-Handshake, bei dem ein temporärer Sitzungsschlüssel vom Client generiert und verschlüsselt an den Server geschickt wird, und den moderneren Handshake über einen Diffie-Hellman-Schlüsselaustausch. Das Diffie-Hellman-Verfahren bietet Forward Secrecy und kann dabei auch mittels elliptischer Kurven durchgeführt werden.

Was beide Handshakes gemeinsam haben: Nur an einer Stelle wird der private Schlüssel des Servers benötigt. Cloudflare hat nun ein System entwickelt, bei dem der Großteil des TLS-Handshakes und auch die anschließende Datenverschlüsselung und Übertragung auf den Cloudflare-Servern stattfindet. Der Teil des Handshakes, der den privaten Schlüssel erfordert, wird an einen Schlüsselserver weitergeleitet. Die Verbindung zwischen dem Cloudflare-CDN und dem Schlüsselserver ist ebenfalls mittels TLS geschützt.

TLS hat die Möglichkeit, verschlüsselte Sitzungen zu cachen und wiederzuverwenden. Dafür gibt es zwei Technologien: Session Tickets und Session IDs. Session Tickets sind für den Server einfacher zu implementieren, werden aber nicht von allen Browsern unterstützt. Die Verwendung von Session Tickets und Session IDs verhindert, dass der Schlüsselserver selbst zu oft angefragt werden muss und überlastet wird.

Die technischen Details des neuen Systems hat Cloudflare-Mitarbeiter Nick Sullivan in einem ausführlichen Blogbeitrag beleuchtet. Alle notwendigen Technologien werden von Cloudflare als freie Software veröffentlicht. Zur Umsetzung wurden einige Änderungen an Nginx vorgenommen, die bereits in den offiziellen Code aufgenommen wurden. Der Code für den Keyserver wurde auf Github bereitgestellt. Notwendige Änderungen am von Cloudflare verwendeten Caching-Server Kyoto Tycoon sind noch nicht veröffentlicht worden, das soll aber in Kürze geschehen.


eye home zur Startseite
derdiedas 22. Sep 2014

Wenn Daten verschlüsselt sind ist es Egal wo Sie liegen, und dann wechsle mal schnell die...

Oktavian 21. Sep 2014

Jetzt sind wir aber tief im Land der Allgemeinplätze. Nicht nur jede eingekaufte...

Rabbit 20. Sep 2014

Ich denke nicht, dass es Cloudflare darum geht, dass sie die komplette Infrastruktur der...

Rabbit 20. Sep 2014

Soweit ich das verstanden habe, wird der Keyserver nicht für den Client sichtbar, er wird...

xUser 19. Sep 2014

Es geht um einen externen Angreifer und keinem Staatlichen. Die NSA hat direkten Zugriff...



Anzeige

Stellenmarkt
  1. ALPLA Werke Alwin Lehner GmbH & Co KG, Hard (Österreich)
  2. ENERTRAG Aktiengesellschaft, Berlin
  3. Bosch SoftTec GmbH, Hildesheim
  4. Formel D GmbH, München


Anzeige
Hardware-Angebote
  1. 1169,00€
  2. und Samsung Galaxy S7 edge, Galaxy S7 oder Galaxy Tab E gratis erhalten
  3. (täglich neue Deals)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Patent

    Samsung zeigt konkrete Ideen für faltbares Smartphone

  2. Smarter Lautsprecher

    Google will Home intelligenter machen

  3. Samsung 960 Evo im Test

    Die NVMe-SSD mit dem besten Preis-Leistungs-Verhältnis

  4. Projekt Titan

    Apple will Anti-Kollisionssystem für Autos patentieren

  5. Visualisierungsprogramm

    Microsoft bringt Visio für iOS

  6. Auftragsfertiger

    TSMC investiert 16 Milliarden US-Dollar in neue Fab

  7. Frontier Developments

    Weltraumspiel Elite Dangerous erscheint auch für die PS4

  8. Apple

    MacOS 10.12.2 soll Probleme beim neuen Macbook Pro beheben

  9. Smartphones

    iOS legt weltweit zu - außer in China und Deutschland

  10. Glasfaser

    EWE steckt 1 Milliarde Euro in Fiber To The Home



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gigaset Mobile Dock im Test: Das Smartphone wird DECT-fähig
Gigaset Mobile Dock im Test
Das Smartphone wird DECT-fähig

Civilization: Das Spiel mit der Geschichte
Civilization
Das Spiel mit der Geschichte
  1. Civilization 6 Globale Strategie mit DirectX 12
  2. Take 2 GTA 5 saust über die 70-Millionen-Marke
  3. Civilization 6 im Test Nachhilfestunde(n) beim Städtebau

Oculus Touch im Test: Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
Oculus Touch im Test
Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
  1. Microsoft Oculus Rift bekommt Kinomodus für Xbox One
  2. Gestensteuerung Oculus Touch erscheint im Dezember für 200 Euro
  3. Facebook Oculus zeigt drahtloses VR-Headset mit integriertem Tracking

  1. Re: Groß- und Kleinschreibung

    jg (Golem.de) | 10:28

  2. Re: Warum sollte das Apple wollen?

    Niaxa | 10:27

  3. Re: Sensoren die Hindernisse erkennen - GENIAL

    Korashen | 10:27

  4. Re: Naja...

    Trollversteher | 10:26

  5. Re: Mittlerweile habe ich fast schon eine...

    david_rieger | 10:26


  1. 10:40

  2. 10:23

  3. 09:00

  4. 08:48

  5. 08:00

  6. 07:43

  7. 07:28

  8. 07:15


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel