IETF: Rätselaufgaben gegen DDoS-Angriffe auf TLS
Das Design des TLS-Protokolls kann einfach für DDoS-Angriffe ausgenutzt werden, wie der Chief Systems Architect von Akamai, Erik Nygren, schreibt. Denn Clients, die auch aus Botnetzen heraus betrieben werden, könnten durch kryptographische Operationen sehr viel Rechenlast verursachen. Als Gegenmaßnahme schlägt Nygren in einem Entwurf für eine TLS-Erweiterung(öffnet im neuen Fenster) vor, beim Verbindungsaufbau für Rechenaufwand bei den Clients zu sorgen.
In der Spezifikation nennt Nygren diesen Mehraufwand schlicht Puzzle, also Rätsel. Der Server kann einen Client auffordern, bestimmte Rechenaufgaben zu lösen. Sind diese zu aufwändig, so die Idee, würde sich ein DDoS über die Clients für Angreifer schlicht nicht mehr lohnen. Der Vorschlag zur Verwendung der Puzzle ist bereits in der Vergangenheit bei der Internet Engineering Task Force (IETF) diskutiert worden, Nygren hat ihn nun erweitert und bittet um Rückmeldung(öffnet im neuen Fenster) .
Die Aufgaben sollen unterschiedlich viel Last verursachen. Im trivialen Fall muss der Client schlicht einen vom Server erzeugten Cookie in identischer Form zurückschicken. Es sollen aber auch komplexe Hashsummen mit SHA-256 und SHA-512 aus teilweise zufällig gewählten Ausgangswerten berechnet werden müssen. Insbesondere für mobile Geräte ist eine Aufgabe in Vorbereitung, die weniger die CPU und mehr den Arbeitsspeicher belastet.
Noch ist der Entwurf der Spezifikation mit vielen TODO-Hinweisen versehen und die Erweiterung ist derzeit explizit nur für TLS 1.3(öffnet im neuen Fenster) vorgesehen. Letzteres befindet sich ebenfalls noch im Entwurfsstadium, so dass noch nicht genau gesagt werden kann, wann der Standard final erscheint – wohl erst frühestens im kommenden Jahr.