Abo
  • IT-Karriere:

Cloudflare: TLS-Verbindungen ohne Schlüssel sollen Banken schützen

Cloudflare bietet Kunden künftig ein neues Feature namens Keyless SSL, mit dem der Teil des TLS-Handshakes, der den privaten Schlüssel benötigt, ausgelagert werden kann. Damit können Unternehmen die Kontrolle über den Schlüssel behalten.

Artikel veröffentlicht am , Hanno Böck
Nur an einer Stelle im TLS-Handshake wird der private Schlüssel benötigt.
Nur an einer Stelle im TLS-Handshake wird der private Schlüssel benötigt. (Bild: Cloudflare)

Die Firma Cloudflare bietet Kunden künftig die Möglichkeit an, ihr Content Delivery Network mittels verschlüsselter HTTPS-Verbindungen zu nutzen, ohne dabei den Schlüssel an Cloudflare zu übergeben. Hierfür wird ein kleiner Teil des TLS-Handshakes auf einen speziellen Keyserver ausgelagert, der sich unter der Kontrolle des Kunden befindet.

Stellenmarkt
  1. DATAGROUP Köln GmbH, München
  2. SEG Automotive Germany GmbH, Stuttgart-Weilimdorf

Cloudflare beschreibt in der Ankündigung von Keyless SSL das Problem, das zur Einführung des neuen Features geführt hatte: Eine Bank war Opfer einer großen Distributed-Denial-of-Service-Attacke und bat Cloudflare laut dem Bericht um Hilfe. Sämtliche Services der Bank waren nicht mehr nutzbar, da die Kapazitäten überlastet waren. Allerdings war die Nutzung des Cloudflare-CDNs für die Bank keine Option, denn in dem Fall hätte sie den privaten Schlüssel für die eigenen Webseiten an Cloudflare übergeben müssen. Das ist insbesondere für Banken schwierig, denn wenn der private Schlüssel einem Angreifer in die Hände fiele, müsste das den Finanzaufsichtsbehörden gemeldet werden. Mit ihren damals verfügbaren Angeboten konnte Cloudflare der betroffenen Bank nicht helfen.

Danach suchte man bei Cloudflare nach möglichen Lösungen für derartige Szenarien. Beim Aufbau einer TLS-Verbindung, etwa wenn eine HTTPS-Webseite aufgerufen wird, findet ein komplizierter Handshake statt. Es gibt dabei zwei Varianten: Den klassischen RSA-Handshake, bei dem ein temporärer Sitzungsschlüssel vom Client generiert und verschlüsselt an den Server geschickt wird, und den moderneren Handshake über einen Diffie-Hellman-Schlüsselaustausch. Das Diffie-Hellman-Verfahren bietet Forward Secrecy und kann dabei auch mittels elliptischer Kurven durchgeführt werden.

Was beide Handshakes gemeinsam haben: Nur an einer Stelle wird der private Schlüssel des Servers benötigt. Cloudflare hat nun ein System entwickelt, bei dem der Großteil des TLS-Handshakes und auch die anschließende Datenverschlüsselung und Übertragung auf den Cloudflare-Servern stattfindet. Der Teil des Handshakes, der den privaten Schlüssel erfordert, wird an einen Schlüsselserver weitergeleitet. Die Verbindung zwischen dem Cloudflare-CDN und dem Schlüsselserver ist ebenfalls mittels TLS geschützt.

TLS hat die Möglichkeit, verschlüsselte Sitzungen zu cachen und wiederzuverwenden. Dafür gibt es zwei Technologien: Session Tickets und Session IDs. Session Tickets sind für den Server einfacher zu implementieren, werden aber nicht von allen Browsern unterstützt. Die Verwendung von Session Tickets und Session IDs verhindert, dass der Schlüsselserver selbst zu oft angefragt werden muss und überlastet wird.

Die technischen Details des neuen Systems hat Cloudflare-Mitarbeiter Nick Sullivan in einem ausführlichen Blogbeitrag beleuchtet. Alle notwendigen Technologien werden von Cloudflare als freie Software veröffentlicht. Zur Umsetzung wurden einige Änderungen an Nginx vorgenommen, die bereits in den offiziellen Code aufgenommen wurden. Der Code für den Keyserver wurde auf Github bereitgestellt. Notwendige Änderungen am von Cloudflare verwendeten Caching-Server Kyoto Tycoon sind noch nicht veröffentlicht worden, das soll aber in Kürze geschehen.



Anzeige
Hardware-Angebote
  1. 429,00€
  2. täglich neue Deals bei Alternate.de

derdiedas 22. Sep 2014

Wenn Daten verschlüsselt sind ist es Egal wo Sie liegen, und dann wechsle mal schnell die...

Oktavian 21. Sep 2014

Jetzt sind wir aber tief im Land der Allgemeinplätze. Nicht nur jede eingekaufte...

Rabbit 20. Sep 2014

Ich denke nicht, dass es Cloudflare darum geht, dass sie die komplette Infrastruktur der...

Rabbit 20. Sep 2014

Soweit ich das verstanden habe, wird der Keyserver nicht für den Client sichtbar, er wird...

xUser 19. Sep 2014

Es geht um einen externen Angreifer und keinem Staatlichen. Die NSA hat direkten Zugriff...


Folgen Sie uns
       


Seasonic TX-700 Fanless und The First - Hands on (Computex 2019)

Das Prime TX-700 Fanless vo Seasonic ist das derzeit stärkste passiv gekühlte Netzteil am Markt. Die kompaktere Variante namens PX-500 wiederum passt in das The First von Monsterlabo, ein Gehäuse, um 200-Watt-Komponenten passiv zu kühlen.

Seasonic TX-700 Fanless und The First - Hands on (Computex 2019) Video aufrufen
Kickstarter: Scheitern in aller Öffentlichkeit
Kickstarter
Scheitern in aller Öffentlichkeit

Kickstarter ermöglicht es kleinen Indie-Teams, die Entwicklung ihres Spiels zu finanzieren. Doch Geld allein ist nicht genug, um alle Probleme der Spieleentwicklung zu lösen. Und was, wenn das Geld ausgeht?
Ein Bericht von Daniel Ziegener

  1. Killerwhale Games Verdacht auf Betrug beim Kickstarter-Erfolgsspiel Raw
  2. The Farm 51 Chernobylite braucht Geld für akkurates Atomkraftwerk
  3. E-Pad Neues Android-Tablet mit E-Paper-Display und Stift

Orico Enclosure im Test: Die NVMe-SSD wird zum USB-Stick
Orico Enclosure im Test
Die NVMe-SSD wird zum USB-Stick

Wer eine ältere NVMe-SSD über hat, kann diese immer noch als sehr schnellen USB-Stick verwenden: Preiswerte Gehäuse wie das Orico Enclosure nehmen M.2-Kärtchen auf, der Bridge-Chip könnte aber flotter sein.
Ein Test von Marc Sauter

  1. Server Supermicro mit Chassis für 40 E1.S-SSDs auf 2 HE
  2. Solid State Drive Longsys entwickelt erste SSD nur mit chinesischen Chips
  3. SSDs Samsung 970 Pro mit 2TB und WD Blue 3D mit 4TB

Dr. Mario World im Test: Spielspaß für Privatpatienten
Dr. Mario World im Test
Spielspaß für Privatpatienten

Schlimm süchtig machendes Gameplay, zuckersüße Grafik im typischen Nintendo-Stil und wunderbare Dudelmusik: Der Kampf von Dr. Mario World gegen böse Viren ist ein Mobile Game vom Feinsten - allerdings nur für Spieler mit gesunden Nerven oder tiefen Taschen.
Von Peter Steinlechner

  1. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß
  2. Mobile-Games-Auslese Magischer Dieb trifft mogelnden Doktor
  3. Hyper Casual Games 30 Sekunden spielen, 30 Sekunden Werbung

    •  /