Abo
  • Services:

Dual EC: Wie Cisco, Avast und die NSA TLS 1.3 behindern

Auch der jüngste Entwurf des TLS-1.3-Protokolls führt zu Verbindungsabbrüchen. Google nennt jetzt einige Schuldige, darunter ein Gerät von Cisco, ein Virenscanner - und eine Spur zur NSA-Hintertüre Dual EC in der RSA-BSAFE-Bibliothek.

Artikel von Hanno Böck veröffentlicht am
TLS 1.3 hat immer noch Ärger mit defekten Geräten - und neben Cisco und Avast ist auch die NSA dafür mitverantwortlich.
TLS 1.3 hat immer noch Ärger mit defekten Geräten - und neben Cisco und Avast ist auch die NSA dafür mitverantwortlich. (Bild: NSA)

Die neue Version des Verschlüsselungsprotokolls TLS 1.3 muss noch so manche Hürde nehmen. Google testete den jüngsten Entwurf in seinem Chrome-Browser. Verschiedene Geräte und Softwareprodukte sorgen mit fehlerhaften TLS-Implementierungen dafür, dass es zu Problemen kommt. Bei einem Canon-Drucker ist eine inoffizielle TLS-Erweiterung schuld, bei der es sich vermutlich um einen Überrest einer NSA-Operation handelt.

Inhalt:
  1. Dual EC: Wie Cisco, Avast und die NSA TLS 1.3 behindern
  2. Spuren einer NSA-Operation auf Canon-Druckern

Vor einigen Wochen war bekanntgeworden, dass der Grund dafür, dass das TLS-1.3-Protokoll immer noch nicht verabschiedet ist, in sogenannten Middleboxen liegt. Diese versuchen, den Datenverkehr intelligent zu analysieren, was in vielen Fällen zu Verbindungsabbrüchen führte. Die Ursache: Die Geräte verwerfen allen TLS-Datenverkehr, der ihnen unbekannt ist, und unterbinden somit praktisch das Ausrollen eines neuen Protokolls.

Deshalb wurden im jüngsten Entwurf von TLS 1.3 Änderungen vorgenommen, die dafür sorgen, dass das Protokoll weitgehend wie sein Vorgänger TLS 1.2 aussieht. Das hat zwar zu weniger Verbindungsabbrüchen geführt, doch Probleme gibt es weiterhin. Chrome-Entwickler David Benjamin nannte jetzt erstmals Namen von verantwortlichen Produkten.

Cisco bricht TLS 1.3 - schon wieder

Ein Gerät, das Google als problematisch identifiziert hat, ist eine sogenannte Next-Generation Firewall von Cisco mit dem Namen Firepower. Diese besitzt offenbar ein Feature, um TLS-Datenverkehr zu terminieren und weiterzuleiten. Das Feature, das unter dem Namen Decrypt - Resign aktiviert werden kann, arbeitet fehlerhaft.

Stellenmarkt
  1. CAD-Technik Kleinkoenen GmbH, München
  2. Groz-Beckert KG, Albstadt

Es entfernt bei der Weiterleitung des Datenverkehrs unbekannte Ciphersuites, aber unbekannte TLS-Erweiterungen werden unverändert weitergegeben. Damit wird zwar die Erweiterung, die eine TLS-1.3-Verbindung signalisiert, durchgereicht, nicht aber die zwingend notwendigen Ciphersuites, die in TLS 1.3 neu organisiert sind. Die Verbindung schlägt fehl.

Google hat Cisco über das Problem informiert, ob es bereits ein Update gibt, ist nicht bekannt. Wir haben Cisco um eine Stellungnahme gebeten.

Dass TLS 1.3 überhaupt über eine Erweiterung signalisiert wird und nicht über das Versionsfeld im Handshake hat seinen Grund. Denn bereits im Sommer vergangenen Jahres war klar, dass viele Geräte mit der neuen Versionsnummer nicht klarkommen - daher hatte man diese Erweiterung eingeführt, da man davon ausging, dass damit weniger Probleme auftreten.

Cisco trug eine ganz wesentliche Mitschuld an diesem Workaround, denn die Loadbalancer der Cisco-ACE-Serie gehörten zu den am weitesten verbreiteten Geräten mit diesem Problem. Einen Fix wollte Cisco dafür nicht bereitstellen, da diese Geräte nicht mehr unterstützt werden.

Antiviren mit TLS-Inspection - nicht nur ein Sicherheitsproblem

Ein weiteres Produkt, das von Google als problematisch identifiziert wurde, ist der Virenscanner von Avast. Dieser hat ein Feature, um HTTPS-Datenverkehr zu analysieren. Dafür wird ein lokales Root-Zertifikat im Browser installiert. Diese Methode ist - vorsichtig ausgedrückt - umstritten, da sie immer wieder zu Sicherheitsproblemen führt. Bei lokal installierten Antiviren-Programmen ist sie zudem völlig unnötig, da diese auch den Datenverkehr nach der Verschlüsselung - etwa mittels Browserplugin - analysieren können.

Google konnte nach eigenen Angaben das Problem nicht nachstellen, daher ist es möglicherweise bereits gefixt. Wir haben Avast ebenfalls um eine Stellungnahme gebeten. Laut dem Bericht des betroffenen Nutzers, mit dem Google in Kontakt stand, verschwand das Problem, als dieser das Scannen von HTTPS-Verbindungen abschaltete.

Spuren einer NSA-Operation auf Canon-Druckern 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. (-85%) 8,99€
  2. 17,95€
  3. 2,49€
  4. 24,99€

bombinho 24. Dez 2017

Frohe Weihnachten.

bombinho 24. Dez 2017

Oder Leuten, die behaupten, Antivirenloesungen waeren nutzlos ;) Hier bist du eher dran...

fuzzy 20. Dez 2017

Nur weil ein Gateway mit TLS 1.2 kann, geht heißt das noch lange nicht, dass der Standard...

Deine_Mutter 20. Dez 2017

Müll hat einen Namen = CISCO Juniper gehört auch zum NSA Pack


Folgen Sie uns
       


Demo gegen Uploadfilter in Berlin - Bericht

Impressionen von der Demonstration am 23. März 2019 gegen die Uploadfilter in Berlin.

Demo gegen Uploadfilter in Berlin - Bericht Video aufrufen
Westwood Studios: Command & Conquer rockt die GDC 2019
Westwood Studios
Command & Conquer rockt die GDC 2019

GDC 2019 Erst die Gitarrenriffs aus dem Soundtrack, dann Erinnerungen an die Entwicklung von Command & Conquer: Ein Teil des alten Teams hat von der Entstehung des Echtzeit-Strategiespiels erzählt - nicht ohne dabei etwas gegen Executive Producer Brett Sperry zu sticheln.
Von Peter Steinlechner

  1. Command & Conquer Remaster entstehen auf Teilen des ursprünglichen Quellcodes
  2. Command & Conquer Communityvertreter helfen bei Entwicklung von Remaster
  3. C&C Rivals im Test Tiberium für unterwegs

Mobile Bezahldienste: Wie sicher sind Apple Pay und Google Pay?
Mobile Bezahldienste
Wie sicher sind Apple Pay und Google Pay?

Die Zahlungsdienste Apple Pay und Google Pay sind nach Ansicht von Experten sicherer als klassische Kreditkarten. In der täglichen Praxis schneidet ein Dienst etwas besser ab. Einige Haftungsfragen sind aber noch juristisch ungeklärt.
Von Andreas Maisch

  1. Anzeige Was Drittanbieter beim Open Banking beachten müssen
  2. Finanzdienstleister Wirecard sieht kein Fehlverhalten
  3. Fintech Wirecard wird zur Smartphone-Bank

Microsoft: Die ganz normale, lautlose Cloud-Apokalypse
Microsoft
Die ganz normale, lautlose Cloud-Apokalypse

Wenn Cloud-Dienste ausfallen, ist oft nur ein Server kaputt. Wenn aber Googles Safe-Browsing-Systeme den Zugriff auf die deutsche Microsoft Cloud komplett blockieren, liegt noch viel mehr im Argen - und das lässt für die Zukunft nichts Gutes erwarten.
Von Sebastian Grüner

  1. Services Gemeinsames Accenture Microsoft Business arbeitet bereits
  2. Business Accenture und Microsoft gründen gemeinsame Service-Sparte
  3. AWS, Azure, Alibaba, IBM Cloud Wo die Cloud hilft - und wo nicht

    •  /