Abo
  • Services:

Dual EC: Wie Cisco, Avast und die NSA TLS 1.3 behindern

Auch der jüngste Entwurf des TLS-1.3-Protokolls führt zu Verbindungsabbrüchen. Google nennt jetzt einige Schuldige, darunter ein Gerät von Cisco, ein Virenscanner - und eine Spur zur NSA-Hintertüre Dual EC in der RSA-BSAFE-Bibliothek.

Artikel von Hanno Böck veröffentlicht am
TLS 1.3 hat immer noch Ärger mit defekten Geräten - und neben Cisco und Avast ist auch die NSA dafür mitverantwortlich.
TLS 1.3 hat immer noch Ärger mit defekten Geräten - und neben Cisco und Avast ist auch die NSA dafür mitverantwortlich. (Bild: NSA)

Die neue Version des Verschlüsselungsprotokolls TLS 1.3 muss noch so manche Hürde nehmen. Google testete den jüngsten Entwurf in seinem Chrome-Browser. Verschiedene Geräte und Softwareprodukte sorgen mit fehlerhaften TLS-Implementierungen dafür, dass es zu Problemen kommt. Bei einem Canon-Drucker ist eine inoffizielle TLS-Erweiterung schuld, bei der es sich vermutlich um einen Überrest einer NSA-Operation handelt.

Inhalt:
  1. Dual EC: Wie Cisco, Avast und die NSA TLS 1.3 behindern
  2. Spuren einer NSA-Operation auf Canon-Druckern

Vor einigen Wochen war bekanntgeworden, dass der Grund dafür, dass das TLS-1.3-Protokoll immer noch nicht verabschiedet ist, in sogenannten Middleboxen liegt. Diese versuchen, den Datenverkehr intelligent zu analysieren, was in vielen Fällen zu Verbindungsabbrüchen führte. Die Ursache: Die Geräte verwerfen allen TLS-Datenverkehr, der ihnen unbekannt ist, und unterbinden somit praktisch das Ausrollen eines neuen Protokolls.

Deshalb wurden im jüngsten Entwurf von TLS 1.3 Änderungen vorgenommen, die dafür sorgen, dass das Protokoll weitgehend wie sein Vorgänger TLS 1.2 aussieht. Das hat zwar zu weniger Verbindungsabbrüchen geführt, doch Probleme gibt es weiterhin. Chrome-Entwickler David Benjamin nannte jetzt erstmals Namen von verantwortlichen Produkten.

Cisco bricht TLS 1.3 - schon wieder

Ein Gerät, das Google als problematisch identifiziert hat, ist eine sogenannte Next-Generation Firewall von Cisco mit dem Namen Firepower. Diese besitzt offenbar ein Feature, um TLS-Datenverkehr zu terminieren und weiterzuleiten. Das Feature, das unter dem Namen Decrypt - Resign aktiviert werden kann, arbeitet fehlerhaft.

Stellenmarkt
  1. UDG United Digital Group, Ludwigsburg, Mainz, Herrenberg, Karlsruhe oder Hamburg
  2. Bremer Bäder GmbH, Bremen

Es entfernt bei der Weiterleitung des Datenverkehrs unbekannte Ciphersuites, aber unbekannte TLS-Erweiterungen werden unverändert weitergegeben. Damit wird zwar die Erweiterung, die eine TLS-1.3-Verbindung signalisiert, durchgereicht, nicht aber die zwingend notwendigen Ciphersuites, die in TLS 1.3 neu organisiert sind. Die Verbindung schlägt fehl.

Google hat Cisco über das Problem informiert, ob es bereits ein Update gibt, ist nicht bekannt. Wir haben Cisco um eine Stellungnahme gebeten.

Dass TLS 1.3 überhaupt über eine Erweiterung signalisiert wird und nicht über das Versionsfeld im Handshake hat seinen Grund. Denn bereits im Sommer vergangenen Jahres war klar, dass viele Geräte mit der neuen Versionsnummer nicht klarkommen - daher hatte man diese Erweiterung eingeführt, da man davon ausging, dass damit weniger Probleme auftreten.

Cisco trug eine ganz wesentliche Mitschuld an diesem Workaround, denn die Loadbalancer der Cisco-ACE-Serie gehörten zu den am weitesten verbreiteten Geräten mit diesem Problem. Einen Fix wollte Cisco dafür nicht bereitstellen, da diese Geräte nicht mehr unterstützt werden.

Antiviren mit TLS-Inspection - nicht nur ein Sicherheitsproblem

Ein weiteres Produkt, das von Google als problematisch identifiziert wurde, ist der Virenscanner von Avast. Dieser hat ein Feature, um HTTPS-Datenverkehr zu analysieren. Dafür wird ein lokales Root-Zertifikat im Browser installiert. Diese Methode ist - vorsichtig ausgedrückt - umstritten, da sie immer wieder zu Sicherheitsproblemen führt. Bei lokal installierten Antiviren-Programmen ist sie zudem völlig unnötig, da diese auch den Datenverkehr nach der Verschlüsselung - etwa mittels Browserplugin - analysieren können.

Google konnte nach eigenen Angaben das Problem nicht nachstellen, daher ist es möglicherweise bereits gefixt. Wir haben Avast ebenfalls um eine Stellungnahme gebeten. Laut dem Bericht des betroffenen Nutzers, mit dem Google in Kontakt stand, verschwand das Problem, als dieser das Scannen von HTTPS-Verbindungen abschaltete.

Spuren einer NSA-Operation auf Canon-Druckern 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. 46,99€
  2. 39,99€ (Release 14.11.)
  3. 4,99€
  4. 49,95€

bombinho 24. Dez 2017

Frohe Weihnachten.

bombinho 24. Dez 2017

Oder Leuten, die behaupten, Antivirenloesungen waeren nutzlos ;) Hier bist du eher dran...

fuzzy 20. Dez 2017

Nur weil ein Gateway mit TLS 1.2 kann, geht heißt das noch lange nicht, dass der Standard...

Deine_Mutter 20. Dez 2017

Müll hat einen Namen = CISCO Juniper gehört auch zum NSA Pack


Folgen Sie uns
       


Amazons Kindle Paperwhite (2018) - Hands on

Amazons neue Version des Kindle Paperwhite steckt in einem wasserdichten Gehäuse. Außerdem unterstützt der E-Book-Reader Audible-Hörbücher und hat mehr Speicher bekommen. Das neue Modell ist zum Preis von 120 Euro zu haben.

Amazons Kindle Paperwhite (2018) - Hands on Video aufrufen
E-Mail-Verschlüsselung: 90 Prozent des Enigmail-Codes sind von mir
E-Mail-Verschlüsselung
"90 Prozent des Enigmail-Codes sind von mir"

Der Entwickler des beliebten OpenPGP-Addons für Thunderbird, Patrick Brunschwig, hätte nichts gegen Unterstützung durch bezahlte Vollzeitentwickler. So könnte Enigmail vielleicht endlich fester Bestandteil von Thunderbird werden.
Ein Interview von Jan Weisensee

  1. SigSpoof Signaturen fälschen mit GnuPG
  2. Librem 5 Purism-Smartphone bekommt Smartcard für Verschlüsselung

Serverless Computing: Mehr Zeit für den Code
Serverless Computing
Mehr Zeit für den Code

Weniger Verwaltungsaufwand und mehr Automatisierung: Viele Entwickler bauen auf fertige Komponenten aus der Cloud, um die eigenen Anwendungen aufzubauen. Beim Serverless Computing verschwinden die benötigten Server unter einer dicken Abstraktionsschicht, was mehr Zeit für den eigenen Code lässt.
Von Valentin Höbel

  1. Kubernetes Cloud Discovery inventarisiert vergessene Cloud-Native-Apps
  2. T-Systems Deutsche Telekom will Cloud-Firmen kaufen
  3. Trotz hoher Gewinne Wieder Stellenabbau bei Microsoft

Amazons Echo Show (2018) im Test: Auf keinem anderen Echo-Gerät macht Alexa so viel Freude
Amazons Echo Show (2018) im Test
Auf keinem anderen Echo-Gerät macht Alexa so viel Freude

Die zweite Generation des Echo Show ist da. Amazon hat viele Kritikpunkte am ersten Modell beseitigt. Der Neuling hat ein größeres Display als das Vorgängermodell und das sorgt für mehr Freude bei der Benutzung. Trotz vieler Verbesserungen ist nicht alles daran perfekt.
Ein Test von Ingo Pakalski

  1. Update für Alexa-Display im Hands on Browser macht den Echo Show viel nützlicher
  2. Amazon Echo Show mit Browser, Skype und großem Display

    •  /