• IT-Karriere:
  • Services:

Dual EC: Wie Cisco, Avast und die NSA TLS 1.3 behindern

Auch der jüngste Entwurf des TLS-1.3-Protokolls führt zu Verbindungsabbrüchen. Google nennt jetzt einige Schuldige, darunter ein Gerät von Cisco, ein Virenscanner - und eine Spur zur NSA-Hintertüre Dual EC in der RSA-BSAFE-Bibliothek.

Artikel von Hanno Böck veröffentlicht am
TLS 1.3 hat immer noch Ärger mit defekten Geräten - und neben Cisco und Avast ist auch die NSA dafür mitverantwortlich.
TLS 1.3 hat immer noch Ärger mit defekten Geräten - und neben Cisco und Avast ist auch die NSA dafür mitverantwortlich. (Bild: NSA)

Die neue Version des Verschlüsselungsprotokolls TLS 1.3 muss noch so manche Hürde nehmen. Google testete den jüngsten Entwurf in seinem Chrome-Browser. Verschiedene Geräte und Softwareprodukte sorgen mit fehlerhaften TLS-Implementierungen dafür, dass es zu Problemen kommt. Bei einem Canon-Drucker ist eine inoffizielle TLS-Erweiterung schuld, bei der es sich vermutlich um einen Überrest einer NSA-Operation handelt.

Inhalt:
  1. Dual EC: Wie Cisco, Avast und die NSA TLS 1.3 behindern
  2. Spuren einer NSA-Operation auf Canon-Druckern

Vor einigen Wochen war bekanntgeworden, dass der Grund dafür, dass das TLS-1.3-Protokoll immer noch nicht verabschiedet ist, in sogenannten Middleboxen liegt. Diese versuchen, den Datenverkehr intelligent zu analysieren, was in vielen Fällen zu Verbindungsabbrüchen führte. Die Ursache: Die Geräte verwerfen allen TLS-Datenverkehr, der ihnen unbekannt ist, und unterbinden somit praktisch das Ausrollen eines neuen Protokolls.

Deshalb wurden im jüngsten Entwurf von TLS 1.3 Änderungen vorgenommen, die dafür sorgen, dass das Protokoll weitgehend wie sein Vorgänger TLS 1.2 aussieht. Das hat zwar zu weniger Verbindungsabbrüchen geführt, doch Probleme gibt es weiterhin. Chrome-Entwickler David Benjamin nannte jetzt erstmals Namen von verantwortlichen Produkten.

Cisco bricht TLS 1.3 - schon wieder

Ein Gerät, das Google als problematisch identifiziert hat, ist eine sogenannte Next-Generation Firewall von Cisco mit dem Namen Firepower. Diese besitzt offenbar ein Feature, um TLS-Datenverkehr zu terminieren und weiterzuleiten. Das Feature, das unter dem Namen Decrypt - Resign aktiviert werden kann, arbeitet fehlerhaft.

Stellenmarkt
  1. sunzinet, Köln, Paderborn
  2. Heinrich-Heine-Universität, Düsseldorf

Es entfernt bei der Weiterleitung des Datenverkehrs unbekannte Ciphersuites, aber unbekannte TLS-Erweiterungen werden unverändert weitergegeben. Damit wird zwar die Erweiterung, die eine TLS-1.3-Verbindung signalisiert, durchgereicht, nicht aber die zwingend notwendigen Ciphersuites, die in TLS 1.3 neu organisiert sind. Die Verbindung schlägt fehl.

Google hat Cisco über das Problem informiert, ob es bereits ein Update gibt, ist nicht bekannt. Wir haben Cisco um eine Stellungnahme gebeten.

Dass TLS 1.3 überhaupt über eine Erweiterung signalisiert wird und nicht über das Versionsfeld im Handshake hat seinen Grund. Denn bereits im Sommer vergangenen Jahres war klar, dass viele Geräte mit der neuen Versionsnummer nicht klarkommen - daher hatte man diese Erweiterung eingeführt, da man davon ausging, dass damit weniger Probleme auftreten.

Cisco trug eine ganz wesentliche Mitschuld an diesem Workaround, denn die Loadbalancer der Cisco-ACE-Serie gehörten zu den am weitesten verbreiteten Geräten mit diesem Problem. Einen Fix wollte Cisco dafür nicht bereitstellen, da diese Geräte nicht mehr unterstützt werden.

Antiviren mit TLS-Inspection - nicht nur ein Sicherheitsproblem

Ein weiteres Produkt, das von Google als problematisch identifiziert wurde, ist der Virenscanner von Avast. Dieser hat ein Feature, um HTTPS-Datenverkehr zu analysieren. Dafür wird ein lokales Root-Zertifikat im Browser installiert. Diese Methode ist - vorsichtig ausgedrückt - umstritten, da sie immer wieder zu Sicherheitsproblemen führt. Bei lokal installierten Antiviren-Programmen ist sie zudem völlig unnötig, da diese auch den Datenverkehr nach der Verschlüsselung - etwa mittels Browserplugin - analysieren können.

Google konnte nach eigenen Angaben das Problem nicht nachstellen, daher ist es möglicherweise bereits gefixt. Wir haben Avast ebenfalls um eine Stellungnahme gebeten. Laut dem Bericht des betroffenen Nutzers, mit dem Google in Kontakt stand, verschwand das Problem, als dieser das Scannen von HTTPS-Verbindungen abschaltete.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Spuren einer NSA-Operation auf Canon-Druckern 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. (u. a. FIFA 20 für 27,99€, Dragon Ball Z Kakarot für 46,89€, Rainbow Six: Siege Deluxe für 8...
  2. 14,29€
  3. 69,99€
  4. 25,99€

bombinho 24. Dez 2017

Frohe Weihnachten.

bombinho 24. Dez 2017

Oder Leuten, die behaupten, Antivirenloesungen waeren nutzlos ;) Hier bist du eher dran...

fuzzy 20. Dez 2017

Nur weil ein Gateway mit TLS 1.2 kann, geht heißt das noch lange nicht, dass der Standard...

Deine_Mutter 20. Dez 2017

Müll hat einen Namen = CISCO Juniper gehört auch zum NSA Pack


Folgen Sie uns
       


DLR Istar vorgestellt - Bericht

Die Falcon 2000LX des DLR hat weltweit einzigartige Eigenschaft: sie kann so tun, als wäre sie ein anderes Flugzeug.

DLR Istar vorgestellt - Bericht Video aufrufen
Gesetzentwurf zum Leistungsschutzrecht: Acht Wörter sollen reichen
Gesetzentwurf zum Leistungsschutzrecht
Acht Wörter sollen reichen

Auszüge von mehr als acht Wörtern sollen beim Leistungsschutzrecht lizenzpflichtig werden, von Vorschaubildern ist keine Rede mehr.
Von Justus Staufburg

  1. Medienstaatsvertrag Droht wirklich das Ende des Urheberrechts?
  2. Leistungsschutzrecht Drei Wörter sollen ...
  3. Leistungsschutzrecht Memes sollen nur noch 128 mal 128 Pixel groß sein

Alternatives Android im Test: /e/ will Google ersetzen
Alternatives Android im Test
/e/ will Google ersetzen

Wie Google, nur mit Privatsphäre - /e/ verbindet ein alternatives Android mit Cloudfunktionen und einer Suchmaschine.
Ein Test von Moritz Tremmel


    Coronakrise: Hardware-Industrie auf dem Weg der Besserung
    Coronakrise
    Hardware-Industrie auf dem Weg der Besserung

    Fast alle Fabriken für Hardware laufen wieder - trotz verlängertem Chinese New Year. Bei Launches und Lieferengpässen sieht es anders aus.
    Ein Bericht von Marc Sauter

    1. Kaufberatung (2020) Die richtige CPU und Grafikkarte
    2. SSDs Intel arbeitet an 144-Schicht-Speicher und 5-Bit-Zellen

      •  /