Sichere Verbindung mit ECDHE zu Google
Sichere Verbindung mit ECDHE zu Google (Bild: Screenshot Golem.de)

Perfect Forward Secrecy: Zukunftssicher per Schlüsselaustausch

Normalerweise ist verschlüsselte Kommunikation nur sicher, solange die benutzten Schlüssel geheim bleiben. Anders ist das mit einer cleveren Technologie, die auf dem Diffie-Hellman-Verfahren basiert. Die Möglichkeit hierfür ist in TLS vorhanden, aber Browser und Server müssen sie auch nutzen.

Anzeige

Angesichts der Enthüllungen über die Überwachungsprogramme Prism und Tempora fragen sich viele Nutzer, wie die verschlüsselte Kommunikation im Internet noch sicherer werden kann. Eine Möglichkeit gibt es längst im wichtigsten Verschlüsselungsverfahren TLS/SSL, das bei Webseitenaufrufen über HTTPS zum Einsatz kommt. Sie wird jedoch nur selten verwendet.

Die klassische Variante einer verschlüsselten Übertragung wird über ein sogenanntes Public-Key-Verfahren abgesichert. Im Normalfall kommt hierbei das RSA-Verfahren zum Einsatz. Teil des Server-Zertifikats ist ein öffentlicher Schlüssel, mit dessen Hilfe ein Sitzungsschlüssel übertragen wird. Dieser wird anschließend zur Übertragung von Daten mit einem symmetrischen Verfahren (wie beispielsweise AES) genutzt.

Zuerst aufzeichnen, später entschlüsseln

Ein Angreifer, beispielsweise ein Geheimdienst, der die Kommunikation belauscht, hätte theoretisch die Möglichkeit, die verschlüsselte Kommunikation zu speichern und aufzubewahren. Zwar nützt ihm diese zunächst nichts, denn ohne Kenntnis der Schlüssel handelt es sich überwiegend um Datenmüll. Aber sollte der Angreifer später in Besitz des privaten Schlüssels des Servers gelangen, etwa durch einen Hackerangriff oder einen Einbruch ins Rechenzentrum, hätte er die Möglichkeit, sämtliche Kommunikationsverbindungen der Vergangenheit zu entschlüsseln.

Abhilfe schaffen können Verfahren, bei denen der Sitzungsschlüssel nicht übertragen wird. Dazu gibt es kryptographische Schlüsselaustauschverfahren. Hierbei senden sich zwei Kommunikationspartner verschiedene Nachrichten zu und erhalten am Ende beide einen gemeinsamen Schlüssel, der jedoch nie über die Leitung übertragen wird. Das gängigste Verfahren hierfür ist der sogenannte Diffie-Hellman-Schlüsselaustausch. Dabei kommt weiterhin der öffentliche Schlüssel des Servers zum Einsatz, mit ihm wird der Schlüsselaustausch aber lediglich signiert.

Der so erhaltene Schlüssel existiert nur für den Zeitraum der Kommunikationsverbindung und sollte anschließend von beiden Kommunikationspartnern gelöscht werden.

Ein fast perfektes Geheimnis

Ein solches Verfahren hat zwei Vorteile: Ein Angreifer, der Daten in der Vergangenheit aufgezeichnet hat, kann selbst bei späterer Kenntnis des privaten Schlüssels diese nicht lesen. Und auch wenn ein Angreifer den privaten Schlüssel zum Zeitpunkt der Datenkommunikation bereits besitzt, ist ein Angriff deutlich erschwert: Ein pures Belauschen der Kommunikation nützt dem Angreifer nichts, er müsste in der Lage sein, die Kommunikation zu manipulieren und einen aktiven Man-in-the-Middle-Angriff starten, um mitlesen zu können. Im kryptographischen Fachjargon spricht man von Perfect Forward Secrecy (PFS).

Im Verschlüsselungsstandard TLS sind zwei Verfahren vorgesehen, die Perfect Forward Secrecy bieten: der klassische Diffie-Hellman-Schlüsselaustausch (DHE) und der modernere Diffie-Hellman-Schlüsselaustausch mit elliptischen Kurven (ECDHE). Neu sind diese Möglichkeiten nicht. Bereits der ursprüngliche TLS-Standard 1.0 von 1999 unterstützte das DHE-Verfahren.

Mangelhafte Browserunterstützung 

Julius Csar 11. Aug 2013

Ich bin gerade dabei, eine gemeinnützige Plattform zu entwickeln (aesload.de), welche es...

-.- 30. Jun 2013

Das stimmt so nicht; der RSA-Schlüssel des Servers wird auch dazu verwendet, um den...

snob 30. Jun 2013

Wo gibt es ein für einen Normalbürger bezahlbares SIP-Tischtelefon, dass bspw. ZRTP...

matkus91 30. Jun 2013

http://www.youtube.com/watch?v=_H5sB-gi2no Bei DH funktioniert es glaub ich genauso in...

Spaghetticode 29. Jun 2013

Dass DNS-Einträge vom DNS-Verwalter unterschrieben sind, und das kostenlos. Das heißt...

Kommentieren



Anzeige

  1. Helpdesk & Level 2 Support Analyst (m/w)
    Universal Music Entertainment GmbH, Berlin
  2. Teamleiter (m/w) Support Warenwirtschaft
    Haufe Gruppe, Freiburg
  3. Medical Documentalist Pharmacovigilance (m/w)
    BERLIN-CHEMIE AG, Berlin
  4. IT-Architekt Engineering für das Team Enterprise Architecture Management & Governance
    Daimler AG, Böblingen

 

Detailsuche


Blu-ray-Angebote
  1. NEU: Serien bis zu 40% reduziert
    (u. a. Downton Abbey 4. Staffel 19,97€, Eureka Season 5 nur 19,97€)
  2. Blu-rays unter 10 EUR
    (u. a. Hänsel und Gretel Hexenjäger 7,99€, Der große Gatsby 8,97€, Dune 7,97€, Die Passion...
  3. Fantasy- & Mittelalter-Filme zum Sonderpreis
    (u. a. Jack Hunter Komplettbox 9,97€, Sucker Punch 7,99€, Mortal Kombat 7,99€, Flash Gordon 9...

 

Weitere Angebote


Folgen Sie uns
       


  1. Security

    PHP File Manager hat gravierende Sicherheitslücken

  2. Künstliche Intelligenz

    Forscher fordern Ächtung von autonomen Waffensystemen

  3. Anonymisierung

    Hornet soll das schnellere Tor-Netzwerk werden

  4. Rowhammer

    Speicher-Bitflips mittels Javascript

  5. Karten

    Apple fährt mit Kameraautos europäische Straßen ab

  6. Bundesverkehrsministerium

    Schnelle E-Bikes sollen auf Radwegen fahren

  7. Oneplus-One-Nachfolger

    Neues Oneplus Two wird ab 340 Euro kosten

  8. Spionagesoftware

    Der Handel des Hacking Teams mit Zero-Days

  9. In eigener Sache

    Preisvergleich bei Golem.de

  10. Akademy 2015

    Plasma Mobile hilft KDE bei der Wayland-Umsetzung



Haben wir etwas übersehen?

E-Mail an news@golem.de



Kritik an Dieter Nuhr: Wir alle sind der Shitstorm
Kritik an Dieter Nuhr
Wir alle sind der Shitstorm

Visual Studio 2015 erschienen: Ganz viel für Apps und Open Source
Visual Studio 2015 erschienen
Ganz viel für Apps und Open Source
  1. Windows 10 IoT Core angetestet Windows auf dem Raspberry Pi 2
  2. Windows 10 Microsoft demonstriert Android- und iOS-Apps unter Windows
  3. Microsoft Visual Studio Code kostenlos für Mac und Linux

The Vanishing of Ethan Carter im Test: Mysteriöse Wunderwelt
The Vanishing of Ethan Carter im Test
Mysteriöse Wunderwelt
  1. Shenmue 3 Crowdfunding soll trotz Rekord weiterlaufen
  2. Anna's Quest im Test Mit Telekinese gegen die böse Hexe
  3. Test Toren Turmbau zu Babel plus Drache

  1. Skynet

    baumhausbewohner | 10:16

  2. Re: Ich hätte ja interesse...

    igor37 | 10:15

  3. Re: Oneplus two Link für die Invite Liste

    Floh | 10:14

  4. Re: Verbot überhaupt durchsetzbar?

    Pflechtfild | 10:14

  5. Re: Entertainmentantennen kurz schließen

    chefin | 10:12


  1. 09:56

  2. 09:45

  3. 09:06

  4. 08:48

  5. 08:00

  6. 07:48

  7. 05:00

  8. 18:15


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel