Abo
  • IT-Karriere:

IETF: TLS 1.3 ist zu sicher für Ciscos Sicherheitsboxen

Nach Versuchen der Bankenlobby und von ominösen Betreibern von Rechenzentren, das kommende TLS 1.3 zu schwächen, erklärt nun Cisco, dass TLS 1.3 die Sicherheitstechnik sogenannter Middleboxen verhindert. Dabei verhindern kaputte Middleboxen die Einführung von TLS 1.3.

Artikel veröffentlicht am ,
Cisco reiht sich ein in die lange Liste derer, denen TLS 1.3 zu sicher ist.
Cisco reiht sich ein in die lange Liste derer, denen TLS 1.3 zu sicher ist. (Bild: Prayitno, flickr.com/CC-BY 2.0)

Die kommenden Version der Netzverschlüsselung TLS 1.3 soll die Technik und vor allem die genutzte Kryptografie grundsätzlich für alle Nutzer verbessern. Während der Standardisierung der Internet Engineering Task Force (IETF) meldete jedoch die Bankenlobby, das TLS 1.3 zu sicher für sie sei. Ebenso veröffentlichten Betreiber von Rechenzentren einen Entwurf für eine TLS-Erweiterung, der zum Knacken des Protokolls genutzt werden kann. Offiziell dazu Stellung nehmen wollte jedoch kein Unternehmen. Nun meldet auch Cisco, dass TLS 1.3 angeblich zu sicher für viele Sicherheitsprodukte sei.

Stellenmarkt
  1. Interhyp Gruppe, München
  2. PIA Automation Holding GmbH, Bad Neustadt an der Saale, Amberg

Mehrere Angestellte des Netzwerkausrüsters haben bei der IETF einen Entwurf eingereicht, der dokumentieren soll, wie TLS 1.3 die bestehende Nutzung von "Netzwerk-basierten Sicherheitslösungen" negativ beeinflusst. Vermutlich soll das Dokument, das lediglich zur Information dient (Informational Standard), erläutern, welche Probleme sich aus der Verwendung von TLS 1.3 etwa in Unternehmensnetzwerken ergeben könnten und zur Diskussion darüber anregen. Die Ausführungen sind aber aus Sicherheitsperspektive von TLS eher als Realsatire zu betrachten.

Klartext für die Sicherheit statt TLS?

So sind "Netzwerk-basierte Sicherheitslösungen" wie etwa Firewalls oder "Intrusion Prevention Systems" (IPS), also jene, die Einbrüche von außen verhindern sollen, laut Cisco für ihren Einsatz auf Netzwerkverkehr im Klartext angewiesen. Zudem agieren dabei die eingesetzten Geräte mit unterschiedlichen Methoden als Man-in-the-Middle (MITM), um die eigentlich verwendete TLS-Verschlüsselung zu unterlaufen und so den Netzwerkverkehr analysieren zu können.

Normalerweise wird diese Art des Aufbrechens des Netzwerkverkehrs aber klar als Angriff auf die TLS-Verschlüsselung gesehen. So warnt etwa das US-Cert explizit vor dem Einsatz solcher MITM-Geräte. Außerdem enthalten diese Geräte oft selbst Sicherheitslücken, was die Nutzer in Firmennetzwerken aktiv gefährden könnte. Mit TLS 1.3 sollen Techniken eingeführt werden, die solche MITM-Angriffe einzelner Geräte verhindern, um die Sicherheit der Nutzer zu erhöhen.

Middleboxen verhindern TLS 1.3

Die beschriebenen Geräte, die sich zwischen den eigentlichen Endpunkten der Verbindung befinden und den Netzwerkverkehr analysieren oder auch manipulieren und aufbrechen, werden bei der IETF als Middleboxen bezeichnet und das fast ausschließlich in einem negativen Kontext. Die Cisco-Angestellten verwenden den Begriff der Middleboxen in ihrem Entwurf jedoch vor allem als positiv für die Sicherheit, was wie beschrieben von vielen anders gesehen wird.

Im Gegensatz zu einigen Herstellern, wie eben Cisco, die Middleboxen gut finden und TLS 1.3 als schwierig empfinden, stellt sich die Situation aus Sicht der Browser-Hersteller wie Google und Mozilla sowie der Netzwerkdienstebetreiber Cloudflare und Akamai völlig anders dar. Bereits Anfang des Jahres zeigte sich bei Tests von Google, dass Middlebox-Geräte des Herstellers Bluecoat-Fehler aufweisen, die die Einführung von TLS 1.3 verhindern.

Aktuell durchgeführte Tests von Google, Mozilla, und Facebook zeigen laut einem Bericht von Akamai bei der Verwendung von TLS 1.3 Fehlerraten von bis zu 3,5 Prozent. In diesen Fällen kommt eine Verbindung überhaupt nicht zustande, wahrscheinlich weil Middleboxen dies verhindern.

Cloudflares Crypto-Chef Nick Sullivan sagte Golem.de, dass aber bereits Fehlerraten von 0,5 Prozent für das praktische Ausrollen von TLS 1.3 zu hoch seien. Die Beteiligten diskutieren derzeit deshalb, welche Möglichkeiten sie haben, TLS 1.3 trotzdem auszurollen.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

bombinho 11. Nov 2017

+1

FreiGeistler 04. Nov 2017

Macht ebenfalls keinen Sinn. Wenn ein Browser-Exploit bekannt ist, sollte der Admin die...

FreiGeistler 04. Nov 2017

Wie lala1 schon schrieb - mit Werbeblocker und Email-Client der kein HTML kann (z.B...

Neuro-Chef 03. Nov 2017

Die Pfeifen betrieben teilweise kritische Systeme ohne Redundanz, konnten daher Updates...

gaym0r 03. Nov 2017

Was kommst du denn jetzt wieder mit das NSA an? Es geht hier um Unternehmen, die den...


Folgen Sie uns
       


Raspberry Pi 4B vorgestellt

Nicht jedem dürften die Änderungen gefallen: Denn zwangsläufig wird auch neues Zubehör fällig.

Raspberry Pi 4B vorgestellt Video aufrufen
In eigener Sache: Golem.de bietet Seminar zu TLS an
In eigener Sache
Golem.de bietet Seminar zu TLS an

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

  1. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  2. Leserumfrage Wie können wir dich unterstützen?
  3. In eigener Sache Was du schon immer über Kubernetes wissen wolltest

LEDs: Schlimmes Flimmern
LEDs
Schlimmes Flimmern

LED-Licht zu Hause oder im Auto leuchtet nur selten völlig konstant. Je nach Frequenz und Intensität kann das Flimmern der Leuchtmittel problematisch sein, für manche Menschen sogar gesundheitsschädlich.
Von Wolfgang Messer

  1. Wissenschaft Schadet LED-Licht unseren Augen?
  2. Straßenbeleuchtung Detroit kämpft mit LED-Ausfällen und der Hersteller schweigt
  3. ULED Ubiquitis Netzwerkleuchten bieten Wechselstromversorgung

Forschung: Mehr Elektronen sollen Photovoltaik effizienter machen
Forschung
Mehr Elektronen sollen Photovoltaik effizienter machen

Zwei dünne Schichten auf einer Silizium-Solarzelle könnten ihre Effizienz erhöhen. Grünes und blaues Licht kann darin gleich zwei Elektronen statt nur eines freisetzen.
Von Frank Wunderlich-Pfeiffer

  1. ISS Tierbeobachtungssystem Icarus startet
  2. Sun To Liquid Solaranlage erzeugt Kerosin aus Sonnenlicht, Wasser und CO2
  3. Shell Ocean Discovery X Prize X-Prize für unbemannte Systeme zur Meereskartierung vergeben

    •  /