Anzeige
Der Triple-Handshake-Angriff ermöglicht böswilligen Servern, sich als Nutzer auszugeben.
Der Triple-Handshake-Angriff ermöglicht böswilligen Servern, sich als Nutzer auszugeben. (Bild: Secure-resumption.com)

TLS: Sicherheitslücke bei Client-Authentifizierung

Erneut gibt es Probleme mit dem TLS-Protokoll. Mit der Triple-Handshake-Attacke kann ein bösartiger HTTPS-Server einem weiteren Server vorgaukeln, er hätte das Zertifikat eines Nutzers. Die meisten Anwender sind von dem Angriff vermutlich nicht betroffen.

Anzeige

Ein Team von Forschern hat eine Reihe von subtilen Problemen im TLS-Protokoll entdeckt. Ein mögliches Angriffsszenario des Triple-Handshake-Angriffs besteht darin, dass ein HTTPS-Webserver, zu dem ein Nutzer mit einem Client-Zertifikat eine verschlüsselte Verbindung aufbaut, sich einem anderen Webserver gegenüber als Nutzer mit dem Zertifikat ausgeben kann.

Das von den Autoren beschriebene Angriffsszenario auf HTTPS betrifft lediglich Nutzer, die sich gegenüber Webseiten mit einem Client-Zertifikat authentifizieren. Nur wenige Webseiten machen von einer derartigen Möglichkeit Gebrauch und die meisten Internetnutzer haben überhaupt kein Client-Zertifikat. Auch andere auf TLS aufbauende Protokolle, bei denen sich der Nutzer authentifiziert, könnten von dem Problem betroffen sein, die Autoren erwähnen PEAP, SASL und Channel ID.

Das Problem tritt im Zusammenhang mit der sogenannten Renegotiation von TLS auf. Damit kann eine TLS-Verbindung zwischendurch neu ausgehandelt und Parameter der Verbindung geändert werden. Die Renegotiation galt schon in der Vergangenheit als problematisch, bereits 2009 gab es eine Sicherheitslücke in TLS, die eine Veränderung am Protokoll nötig machte. Was hier zum Problem wird: Bei der Renegotiation kann der Server sein Zertifikat wechseln - und bisher prüften Browser in so einem Fall nicht, ob das neue Zertifikat auch für den entsprechenden Server gültig ist. Die Autoren schlagen allen Entwicklern von HTTPS-Clients vor, diese Prüfung nachzurüsten.

Der Chrome-Entwickler Adam Langley hat auf seinem Blog einen Test bereitgestellt, mit dem Anwender prüfen können, ob ihr Browser bereits eine entsprechende Zertifikatsprüfung durchführt. Langley hat in seinen Blogeintrag ein Bild eingebunden, das zunächst eine Verbindung mit einem korrekten Zertifikat aufbaut und dann per Renegotiation auf ein ungültiges Zertifikat wechselt. Ein Browser, der das Zertifikat bei jeder Renegotiation prüft, sollte das entsprechende Bild also nicht anzeigen. Bereits im Vorfeld der Veröffentlichung haben die Autoren des Angriffs verschiedene Browserhersteller kontaktiert und auf das Problem hingewiesen, in unseren Tests waren Chrome, Firefox und Opera bereits geschützt. Der Internet Explorer ist aktuell noch verwundbar.

Für die grundlegenden Probleme des TLS-Protokolls schlagen die Autoren eine Erweiterung vor, diese soll auf dem zurzeit stattfindenden Treffen der IETF am Dienstag vorgestellt und diskutiert werden.

Die Probleme wurden im Rahmen eines Forschungsprojekts entdeckt, bei dem die Forscher versuchen, die Sicherheit von TLS unter bestimmten Annahmen zu beweisen. Beteiligt sind daran das französischen Forschungsinstitut Inria (Institut national de recherche en informatique et en automatique) und einige Mitarbeiter der Forschungsabteilung von Microsoft.


eye home zur Startseite
0xDEADC0DE 04. Mär 2014

Die würde gar nicht erst zustande kommen, da man selten vollen Einblick bei CS hat. Aus...

Smaxx 04. Mär 2014

Mein IE11 (Windows 8.1) zeigt es auch nicht an. Ruft man die Bild-URL direkt auf, gibt es...

Kommentieren



Anzeige

  1. (Senior-)Berater (m/w) SAP Business Intelligence
    Capgemini Deutschland GmbH, verschiedene Einsatzorte
  2. Ingenieur Verfahrenstechnik / Wirtschaftsingenieur / Mathematiker (m/w)
    Raffinerie Heide GmbH, Hemmingstedt
  3. Dependency Manager Releases (m/w)
    T-Systems International GmbH, Bonn
  4. Junior Softwareentwickler C# / Java (m/w)
    Mönkemöller IT GmbH, Stuttgart

Detailsuche



Anzeige
Top-Angebote
  1. NEU: Steam-Sommer-Sale
    (u. a. NBA2K16 9,99€, Doom 35,99€, Fallout 4 29,99€, CS GO 6,99€, Rise of the Tomb Raider...
  2. NEU: Telltale-Spiele bei GOG bis zu 75 Prozent günstiger
    (u. a. Game of Thrones 6,99€)
  3. Erste Custom-Designs der GTX 1070 im Zulauf
    (u. a. MSI Gaming X 8G, Evga ACX 3.0, Gainward Phoenix GS, Gigabyte G1 Gaming uvm.)

Weitere Angebote


Folgen Sie uns
       


  1. Axanar

    Paramount/CBS erlaubt Star-Trek-Fanfilme

  2. FTTH/FTTB

    Oberirdische Glasfaser spart 85 Prozent der Kosten

  3. Botnet

    Necurs kommt zurück und bringt Locky millionenfach mit

  4. Google

    Livestreaming direkt aus der Youtube-App

  5. Autonome Autos

    Fahrer wollen vor allem ihr eigenes Leben schützen

  6. Boston Dynamics

    Spot Mini, die Roboraffe

  7. Datenrate

    Tele Columbus versorgt fast 840.000 Haushalte mit 400 MBit/s

  8. Supercomputer

    China und Japan setzen auf ARM-Kerne für kommende Systeme

  9. Patent

    Die springenden Icons von Apple

  10. Counter-Strike

    Klage gegen Wetten mit Waffen-Skins



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
E-Mail-Verschlüsselung: EU-Kommission hat Angst vor verschlüsseltem Spam
E-Mail-Verschlüsselung
EU-Kommission hat Angst vor verschlüsseltem Spam
  1. Netflix und Co. EU schafft Geoblocking ein bisschen ab
  2. Android FTC weitet Ermittlungen gegen Google aus
  3. Pay-TV Paramount gibt im Streit um Geoblocking nach

Rust: Ist die neue Programmiersprache besser?
Rust
Ist die neue Programmiersprache besser?
  1. Oracle-Anwältin nach Niederlage "Google hat die GPL getötet"
  2. Java-Rechtsstreit Oracle verliert gegen Google
  3. Oracle vs. Google Wie man Geschworene am besten verwirrt

Telefonabzocke: Dirty Harry erklärt mein Windows für kaputt
Telefonabzocke
Dirty Harry erklärt mein Windows für kaputt
  1. Security Ransomware-Bosse verdienen 90.000 US-Dollar pro Jahr
  2. Security-Studie Mit Schokolade zum Passwort
  3. Festnahme und Razzien Koordinierte Aktion gegen Cybercrime

  1. Re: Ist doch korrekt

    M.Kessel | 02:45

  2. Re: Okay, morgen gehts los, 2019 sind wir fertig...

    jacki | 02:44

  3. Re: nein Danke

    M.Kessel | 02:32

  4. Re: Whitelisting ist nicht verboten

    M.Kessel | 02:25

  5. Re: Wieso schaffen es andere?

    glasen77 | 02:17


  1. 17:47

  2. 17:01

  3. 16:46

  4. 15:51

  5. 15:48

  6. 15:40

  7. 14:58

  8. 14:31


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel