• IT-Karriere:
  • Services:

Cloudflare: TLS-Verbindungen ohne Schlüssel sollen Banken schützen

Cloudflare bietet Kunden künftig ein neues Feature namens Keyless SSL, mit dem der Teil des TLS-Handshakes, der den privaten Schlüssel benötigt, ausgelagert werden kann. Damit können Unternehmen die Kontrolle über den Schlüssel behalten.

Artikel veröffentlicht am , Hanno Böck
Nur an einer Stelle im TLS-Handshake wird der private Schlüssel benötigt.
Nur an einer Stelle im TLS-Handshake wird der private Schlüssel benötigt. (Bild: Cloudflare)

Die Firma Cloudflare bietet Kunden künftig die Möglichkeit an, ihr Content Delivery Network mittels verschlüsselter HTTPS-Verbindungen zu nutzen, ohne dabei den Schlüssel an Cloudflare zu übergeben. Hierfür wird ein kleiner Teil des TLS-Handshakes auf einen speziellen Keyserver ausgelagert, der sich unter der Kontrolle des Kunden befindet.

Stellenmarkt
  1. über duerenhoff GmbH, Landshut
  2. Bundesamt für Migration und Flüchtlinge, Nürnberg

Cloudflare beschreibt in der Ankündigung von Keyless SSL das Problem, das zur Einführung des neuen Features geführt hatte: Eine Bank war Opfer einer großen Distributed-Denial-of-Service-Attacke und bat Cloudflare laut dem Bericht um Hilfe. Sämtliche Services der Bank waren nicht mehr nutzbar, da die Kapazitäten überlastet waren. Allerdings war die Nutzung des Cloudflare-CDNs für die Bank keine Option, denn in dem Fall hätte sie den privaten Schlüssel für die eigenen Webseiten an Cloudflare übergeben müssen. Das ist insbesondere für Banken schwierig, denn wenn der private Schlüssel einem Angreifer in die Hände fiele, müsste das den Finanzaufsichtsbehörden gemeldet werden. Mit ihren damals verfügbaren Angeboten konnte Cloudflare der betroffenen Bank nicht helfen.

Danach suchte man bei Cloudflare nach möglichen Lösungen für derartige Szenarien. Beim Aufbau einer TLS-Verbindung, etwa wenn eine HTTPS-Webseite aufgerufen wird, findet ein komplizierter Handshake statt. Es gibt dabei zwei Varianten: Den klassischen RSA-Handshake, bei dem ein temporärer Sitzungsschlüssel vom Client generiert und verschlüsselt an den Server geschickt wird, und den moderneren Handshake über einen Diffie-Hellman-Schlüsselaustausch. Das Diffie-Hellman-Verfahren bietet Forward Secrecy und kann dabei auch mittels elliptischer Kurven durchgeführt werden.

Was beide Handshakes gemeinsam haben: Nur an einer Stelle wird der private Schlüssel des Servers benötigt. Cloudflare hat nun ein System entwickelt, bei dem der Großteil des TLS-Handshakes und auch die anschließende Datenverschlüsselung und Übertragung auf den Cloudflare-Servern stattfindet. Der Teil des Handshakes, der den privaten Schlüssel erfordert, wird an einen Schlüsselserver weitergeleitet. Die Verbindung zwischen dem Cloudflare-CDN und dem Schlüsselserver ist ebenfalls mittels TLS geschützt.

TLS hat die Möglichkeit, verschlüsselte Sitzungen zu cachen und wiederzuverwenden. Dafür gibt es zwei Technologien: Session Tickets und Session IDs. Session Tickets sind für den Server einfacher zu implementieren, werden aber nicht von allen Browsern unterstützt. Die Verwendung von Session Tickets und Session IDs verhindert, dass der Schlüsselserver selbst zu oft angefragt werden muss und überlastet wird.

Die technischen Details des neuen Systems hat Cloudflare-Mitarbeiter Nick Sullivan in einem ausführlichen Blogbeitrag beleuchtet. Alle notwendigen Technologien werden von Cloudflare als freie Software veröffentlicht. Zur Umsetzung wurden einige Änderungen an Nginx vorgenommen, die bereits in den offiziellen Code aufgenommen wurden. Der Code für den Keyserver wurde auf Github bereitgestellt. Notwendige Änderungen am von Cloudflare verwendeten Caching-Server Kyoto Tycoon sind noch nicht veröffentlicht worden, das soll aber in Kürze geschehen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 16,99€
  2. (u. a. Monster Hunter Rice + Pro Controller für 99€, Animal Crossing: New Horizons für 46...
  3. 5,29€

derdiedas 22. Sep 2014

Wenn Daten verschlüsselt sind ist es Egal wo Sie liegen, und dann wechsle mal schnell die...

Oktavian 21. Sep 2014

Jetzt sind wir aber tief im Land der Allgemeinplätze. Nicht nur jede eingekaufte...

Rabbit 20. Sep 2014

Ich denke nicht, dass es Cloudflare darum geht, dass sie die komplette Infrastruktur der...

Rabbit 20. Sep 2014

Soweit ich das verstanden habe, wird der Keyserver nicht für den Client sichtbar, er wird...

xUser 19. Sep 2014

Es geht um einen externen Angreifer und keinem Staatlichen. Die NSA hat direkten Zugriff...


Folgen Sie uns
       


Automatische Untertitel in Premiere Pro Beta - Tutorial

Wir zeigen, wie sich Untertitel per KI-Spracherkennung erzeugen lassen.

Automatische Untertitel in Premiere Pro Beta - Tutorial Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /