Abo
  • Services:
Anzeige
Nur an einer Stelle im TLS-Handshake wird der private Schlüssel benötigt.
Nur an einer Stelle im TLS-Handshake wird der private Schlüssel benötigt. (Bild: Cloudflare)

Cloudflare: TLS-Verbindungen ohne Schlüssel sollen Banken schützen

Cloudflare bietet Kunden künftig ein neues Feature namens Keyless SSL, mit dem der Teil des TLS-Handshakes, der den privaten Schlüssel benötigt, ausgelagert werden kann. Damit können Unternehmen die Kontrolle über den Schlüssel behalten.

Anzeige

Die Firma Cloudflare bietet Kunden künftig die Möglichkeit an, ihr Content Delivery Network mittels verschlüsselter HTTPS-Verbindungen zu nutzen, ohne dabei den Schlüssel an Cloudflare zu übergeben. Hierfür wird ein kleiner Teil des TLS-Handshakes auf einen speziellen Keyserver ausgelagert, der sich unter der Kontrolle des Kunden befindet.

Cloudflare beschreibt in der Ankündigung von Keyless SSL das Problem, das zur Einführung des neuen Features geführt hatte: Eine Bank war Opfer einer großen Distributed-Denial-of-Service-Attacke und bat Cloudflare laut dem Bericht um Hilfe. Sämtliche Services der Bank waren nicht mehr nutzbar, da die Kapazitäten überlastet waren. Allerdings war die Nutzung des Cloudflare-CDNs für die Bank keine Option, denn in dem Fall hätte sie den privaten Schlüssel für die eigenen Webseiten an Cloudflare übergeben müssen. Das ist insbesondere für Banken schwierig, denn wenn der private Schlüssel einem Angreifer in die Hände fiele, müsste das den Finanzaufsichtsbehörden gemeldet werden. Mit ihren damals verfügbaren Angeboten konnte Cloudflare der betroffenen Bank nicht helfen.

Danach suchte man bei Cloudflare nach möglichen Lösungen für derartige Szenarien. Beim Aufbau einer TLS-Verbindung, etwa wenn eine HTTPS-Webseite aufgerufen wird, findet ein komplizierter Handshake statt. Es gibt dabei zwei Varianten: Den klassischen RSA-Handshake, bei dem ein temporärer Sitzungsschlüssel vom Client generiert und verschlüsselt an den Server geschickt wird, und den moderneren Handshake über einen Diffie-Hellman-Schlüsselaustausch. Das Diffie-Hellman-Verfahren bietet Forward Secrecy und kann dabei auch mittels elliptischer Kurven durchgeführt werden.

Was beide Handshakes gemeinsam haben: Nur an einer Stelle wird der private Schlüssel des Servers benötigt. Cloudflare hat nun ein System entwickelt, bei dem der Großteil des TLS-Handshakes und auch die anschließende Datenverschlüsselung und Übertragung auf den Cloudflare-Servern stattfindet. Der Teil des Handshakes, der den privaten Schlüssel erfordert, wird an einen Schlüsselserver weitergeleitet. Die Verbindung zwischen dem Cloudflare-CDN und dem Schlüsselserver ist ebenfalls mittels TLS geschützt.

TLS hat die Möglichkeit, verschlüsselte Sitzungen zu cachen und wiederzuverwenden. Dafür gibt es zwei Technologien: Session Tickets und Session IDs. Session Tickets sind für den Server einfacher zu implementieren, werden aber nicht von allen Browsern unterstützt. Die Verwendung von Session Tickets und Session IDs verhindert, dass der Schlüsselserver selbst zu oft angefragt werden muss und überlastet wird.

Die technischen Details des neuen Systems hat Cloudflare-Mitarbeiter Nick Sullivan in einem ausführlichen Blogbeitrag beleuchtet. Alle notwendigen Technologien werden von Cloudflare als freie Software veröffentlicht. Zur Umsetzung wurden einige Änderungen an Nginx vorgenommen, die bereits in den offiziellen Code aufgenommen wurden. Der Code für den Keyserver wurde auf Github bereitgestellt. Notwendige Änderungen am von Cloudflare verwendeten Caching-Server Kyoto Tycoon sind noch nicht veröffentlicht worden, das soll aber in Kürze geschehen.


eye home zur Startseite
derdiedas 22. Sep 2014

Wenn Daten verschlüsselt sind ist es Egal wo Sie liegen, und dann wechsle mal schnell die...

Oktavian 21. Sep 2014

Jetzt sind wir aber tief im Land der Allgemeinplätze. Nicht nur jede eingekaufte...

Rabbit 20. Sep 2014

Ich denke nicht, dass es Cloudflare darum geht, dass sie die komplette Infrastruktur der...

Rabbit 20. Sep 2014

Soweit ich das verstanden habe, wird der Keyserver nicht für den Client sichtbar, er wird...

xUser 19. Sep 2014

Es geht um einen externen Angreifer und keinem Staatlichen. Die NSA hat direkten Zugriff...



Anzeige

Stellenmarkt
  1. Mobile Collaboration GmbH, Ettlingen
  2. Melitta Professional Coffee Solutions GmbH & Co. KG, Minden
  3. Daimler AG, Böblingen
  4. Daimler AG, Sindelfingen


Anzeige
Hardware-Angebote
  1. (Core i7-7700HQ + GeForce GTX 1070)
  2. 49,90€ + 3,99€ Versand (Vergleichspreis ab 79€)
  3. 246,94€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Bundesnetzagentur

    Puppenverbot gefährdet das Smart Home und Bastler

  2. Amazon Fire TV

    Die Rückkehr der Prime-Banderole

  3. Fire TV Stick 2 mit Alexa im Hands on

    Amazons attraktiver Einstieg in die Streaming-Welt

  4. Snap Spectacles

    Snap verkauft Sonnenbrille mit Kamera für 130 US-Dollar

  5. Status-Updates

    Whatsapp greift mit vergänglichem Status Snapchat an

  6. Megaupload

    Dotcom droht bei Auslieferung volle Anklage in den USA

  7. PC-Markt

    Unternehmen geben deutschen PC-Käufen einen Schub

  8. Ungepatchte Sicherheitslücke

    Google legt sich erneut mit Microsoft an

  9. Torus

    CoreOS gibt weitere Eigenentwicklung auf

  10. Hololens

    Verbesserte AR-Brille soll nicht vor 2019 kommen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
EU-Funkanlagenrichtlinie: Mit dem Router-Lockdown kommt das absolute Chaos
EU-Funkanlagenrichtlinie
Mit dem Router-Lockdown kommt das absolute Chaos
  1. Freie Software Gemeinnützigkeit-as-a-Service gibt es auch in Europa
  2. CPU-Architektur RISC-V soll dominierende Architektur werden
  3. IETF-Standard Erste Quic-Tests kommen noch diesen Sommer

Autonomes Fahren: Die Ära der Kooperitis
Autonomes Fahren
Die Ära der Kooperitis
  1. Neue Bedienungssysteme im Auto Es kribbelt in den Fingern
  2. Amazon Alexa im Auto, im Kinderzimmer und im Kühlschrank
  3. Focalcrest Mixtile Hub soll inkompatible Produkte in Homekit einbinden

Thimbleweed Park angespielt: Die Rückkehr der unsterblichen Pixel
Thimbleweed Park angespielt
Die Rückkehr der unsterblichen Pixel

  1. Re: Autovergleich

    Bujin | 08:51

  2. Re: In Summe, der Dienst ist völlig unsicher

    keksjaeger | 08:49

  3. Re: Verzicht

    S-Talker | 08:47

  4. Re: Tutanota.de ist der beste Dienst für Noobs

    keksjaeger | 08:45

  5. Re: Netflix ist die absolute Frechheit!

    nightmar17 | 08:45


  1. 09:06

  2. 08:05

  3. 08:00

  4. 07:27

  5. 07:12

  6. 18:33

  7. 17:38

  8. 16:38


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel