Abo
  • Services:

Cloudflare: TLS-Verbindungen ohne Schlüssel sollen Banken schützen

Cloudflare bietet Kunden künftig ein neues Feature namens Keyless SSL, mit dem der Teil des TLS-Handshakes, der den privaten Schlüssel benötigt, ausgelagert werden kann. Damit können Unternehmen die Kontrolle über den Schlüssel behalten.

Artikel veröffentlicht am , Hanno Böck
Nur an einer Stelle im TLS-Handshake wird der private Schlüssel benötigt.
Nur an einer Stelle im TLS-Handshake wird der private Schlüssel benötigt. (Bild: Cloudflare)

Die Firma Cloudflare bietet Kunden künftig die Möglichkeit an, ihr Content Delivery Network mittels verschlüsselter HTTPS-Verbindungen zu nutzen, ohne dabei den Schlüssel an Cloudflare zu übergeben. Hierfür wird ein kleiner Teil des TLS-Handshakes auf einen speziellen Keyserver ausgelagert, der sich unter der Kontrolle des Kunden befindet.

Stellenmarkt
  1. Sky Deutschland GmbH, Unterföhring bei München
  2. Robert Bosch GmbH, Abstatt

Cloudflare beschreibt in der Ankündigung von Keyless SSL das Problem, das zur Einführung des neuen Features geführt hatte: Eine Bank war Opfer einer großen Distributed-Denial-of-Service-Attacke und bat Cloudflare laut dem Bericht um Hilfe. Sämtliche Services der Bank waren nicht mehr nutzbar, da die Kapazitäten überlastet waren. Allerdings war die Nutzung des Cloudflare-CDNs für die Bank keine Option, denn in dem Fall hätte sie den privaten Schlüssel für die eigenen Webseiten an Cloudflare übergeben müssen. Das ist insbesondere für Banken schwierig, denn wenn der private Schlüssel einem Angreifer in die Hände fiele, müsste das den Finanzaufsichtsbehörden gemeldet werden. Mit ihren damals verfügbaren Angeboten konnte Cloudflare der betroffenen Bank nicht helfen.

Danach suchte man bei Cloudflare nach möglichen Lösungen für derartige Szenarien. Beim Aufbau einer TLS-Verbindung, etwa wenn eine HTTPS-Webseite aufgerufen wird, findet ein komplizierter Handshake statt. Es gibt dabei zwei Varianten: Den klassischen RSA-Handshake, bei dem ein temporärer Sitzungsschlüssel vom Client generiert und verschlüsselt an den Server geschickt wird, und den moderneren Handshake über einen Diffie-Hellman-Schlüsselaustausch. Das Diffie-Hellman-Verfahren bietet Forward Secrecy und kann dabei auch mittels elliptischer Kurven durchgeführt werden.

Was beide Handshakes gemeinsam haben: Nur an einer Stelle wird der private Schlüssel des Servers benötigt. Cloudflare hat nun ein System entwickelt, bei dem der Großteil des TLS-Handshakes und auch die anschließende Datenverschlüsselung und Übertragung auf den Cloudflare-Servern stattfindet. Der Teil des Handshakes, der den privaten Schlüssel erfordert, wird an einen Schlüsselserver weitergeleitet. Die Verbindung zwischen dem Cloudflare-CDN und dem Schlüsselserver ist ebenfalls mittels TLS geschützt.

TLS hat die Möglichkeit, verschlüsselte Sitzungen zu cachen und wiederzuverwenden. Dafür gibt es zwei Technologien: Session Tickets und Session IDs. Session Tickets sind für den Server einfacher zu implementieren, werden aber nicht von allen Browsern unterstützt. Die Verwendung von Session Tickets und Session IDs verhindert, dass der Schlüsselserver selbst zu oft angefragt werden muss und überlastet wird.

Die technischen Details des neuen Systems hat Cloudflare-Mitarbeiter Nick Sullivan in einem ausführlichen Blogbeitrag beleuchtet. Alle notwendigen Technologien werden von Cloudflare als freie Software veröffentlicht. Zur Umsetzung wurden einige Änderungen an Nginx vorgenommen, die bereits in den offiziellen Code aufgenommen wurden. Der Code für den Keyserver wurde auf Github bereitgestellt. Notwendige Änderungen am von Cloudflare verwendeten Caching-Server Kyoto Tycoon sind noch nicht veröffentlicht worden, das soll aber in Kürze geschehen.



Anzeige
Top-Angebote
  1. mit Gutschein: ASUSZONE (u. a. VivoBook 15.6" FHD mit i3-5005U/8 GB/128 GB für 270,74€ statt...
  2. (u. a. Canon EOS 200D mit Objektiv 18-55 mm für 477€)
  3. 12,49€
  4. 219€ + Versand (Vergleichspreis 251€)

derdiedas 22. Sep 2014

Wenn Daten verschlüsselt sind ist es Egal wo Sie liegen, und dann wechsle mal schnell die...

Oktavian 21. Sep 2014

Jetzt sind wir aber tief im Land der Allgemeinplätze. Nicht nur jede eingekaufte...

Rabbit 20. Sep 2014

Ich denke nicht, dass es Cloudflare darum geht, dass sie die komplette Infrastruktur der...

Rabbit 20. Sep 2014

Soweit ich das verstanden habe, wird der Keyserver nicht für den Client sichtbar, er wird...

xUser 19. Sep 2014

Es geht um einen externen Angreifer und keinem Staatlichen. Die NSA hat direkten Zugriff...


Folgen Sie uns
       


HP Elitebook 735 G5 - Test

Wir schauen uns das HP Elitebook 735 G5 an, eines der besten Business-Notebooks mit AMDs Ryzen Mobile.

HP Elitebook 735 G5 - Test Video aufrufen
Windenergie: Wie umweltfreundlich sind Offshore-Windparks?
Windenergie
Wie umweltfreundlich sind Offshore-Windparks?

Windturbinen auf hoher See liefern verlässlich grünen Strom. Frei von Umwelteinflüssen sind sie aber nicht. Während die eine Tierart profitiert, leidet die andere. Doch Abhilfe ist in Sicht.
Ein Bericht von Daniel Hautmann

  1. Hywind Scotland Windkraft Ahoi

Smartphone von Gigaset: Made in Bocholt
Smartphone von Gigaset
Made in Bocholt

Gigaset baut sein Smartphone GS185 in Bocholt - und verpasst dem Gerät trotz kompletter Anlieferung von Teilen aus China das Label "Made in Germany". Der Fokus auf die Region ist aber vorhanden, eine erweiterte Fertigung durchaus eine Option. Wir haben uns das Werk angeschaut.
Ein Bericht von Tobias Költzsch

  1. Bocholt Gigaset baut Smartphone in Deutschland

Krankenversicherung: Der Papierkrieg geht weiter
Krankenversicherung
Der Papierkrieg geht weiter

Die Krankenversicherung der Zukunft wird digital und direkt, aber eine tiefgreifende Disruption des Gesundheitswesens à la Amazon wird in Deutschland wohl ausbleiben. Die Beharrungskräfte sind zu groß.
Eine Analyse von Daniel Fallenstein

  1. Imagen Tech KI-System Osteodetect erkennt Knochenbrüche
  2. Medizintechnik Implantat wird per Ultraschall programmiert
  3. Telemedizin Neue Patienten für die Onlinepraxis

    •  /