IETF: TLS 1.3 ist zu sicher für Ciscos Sicherheitsboxen

Nach Versuchen der Bankenlobby und von ominösen Betreibern von Rechenzentren, das kommende TLS 1.3 zu schwächen, erklärt nun Cisco, dass TLS 1.3 die Sicherheitstechnik sogenannter Middleboxen verhindert. Dabei verhindern kaputte Middleboxen die Einführung von TLS 1.3.

Artikel veröffentlicht am ,
Cisco reiht sich ein in die lange Liste derer, denen TLS 1.3 zu sicher ist.
Cisco reiht sich ein in die lange Liste derer, denen TLS 1.3 zu sicher ist. (Bild: Prayitno, flickr.com/CC-BY 2.0)

Die kommenden Version der Netzverschlüsselung TLS 1.3 soll die Technik und vor allem die genutzte Kryptografie grundsätzlich für alle Nutzer verbessern. Während der Standardisierung der Internet Engineering Task Force (IETF) meldete jedoch die Bankenlobby, das TLS 1.3 zu sicher für sie sei. Ebenso veröffentlichten Betreiber von Rechenzentren einen Entwurf für eine TLS-Erweiterung, der zum Knacken des Protokolls genutzt werden kann. Offiziell dazu Stellung nehmen wollte jedoch kein Unternehmen. Nun meldet auch Cisco, dass TLS 1.3 angeblich zu sicher für viele Sicherheitsprodukte sei.

Stellenmarkt
  1. Informatiker / Fullstack Java Entwickler - Webanwendung/JEE (m/w/d)
    L-Bank, Karlsruhe
  2. Datenanalyst Health Care Management (m/w/d)
    Techniker Krankenkasse, Hamburg
Detailsuche

Mehrere Angestellte des Netzwerkausrüsters haben bei der IETF einen Entwurf eingereicht, der dokumentieren soll, wie TLS 1.3 die bestehende Nutzung von "Netzwerk-basierten Sicherheitslösungen" negativ beeinflusst. Vermutlich soll das Dokument, das lediglich zur Information dient (Informational Standard), erläutern, welche Probleme sich aus der Verwendung von TLS 1.3 etwa in Unternehmensnetzwerken ergeben könnten und zur Diskussion darüber anregen. Die Ausführungen sind aber aus Sicherheitsperspektive von TLS eher als Realsatire zu betrachten.

Klartext für die Sicherheit statt TLS?

So sind "Netzwerk-basierte Sicherheitslösungen" wie etwa Firewalls oder "Intrusion Prevention Systems" (IPS), also jene, die Einbrüche von außen verhindern sollen, laut Cisco für ihren Einsatz auf Netzwerkverkehr im Klartext angewiesen. Zudem agieren dabei die eingesetzten Geräte mit unterschiedlichen Methoden als Man-in-the-Middle (MITM), um die eigentlich verwendete TLS-Verschlüsselung zu unterlaufen und so den Netzwerkverkehr analysieren zu können.

Normalerweise wird diese Art des Aufbrechens des Netzwerkverkehrs aber klar als Angriff auf die TLS-Verschlüsselung gesehen. So warnt etwa das US-Cert explizit vor dem Einsatz solcher MITM-Geräte. Außerdem enthalten diese Geräte oft selbst Sicherheitslücken, was die Nutzer in Firmennetzwerken aktiv gefährden könnte. Mit TLS 1.3 sollen Techniken eingeführt werden, die solche MITM-Angriffe einzelner Geräte verhindern, um die Sicherheit der Nutzer zu erhöhen.

Middleboxen verhindern TLS 1.3

Golem Akademie
  1. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    8.–11. März 2022, Virtuell
  2. PowerShell Praxisworkshop: virtueller Vier-Tage-Workshop
    21.–24. Februar 2022, virtuell
Weitere IT-Trainings

Die beschriebenen Geräte, die sich zwischen den eigentlichen Endpunkten der Verbindung befinden und den Netzwerkverkehr analysieren oder auch manipulieren und aufbrechen, werden bei der IETF als Middleboxen bezeichnet und das fast ausschließlich in einem negativen Kontext. Die Cisco-Angestellten verwenden den Begriff der Middleboxen in ihrem Entwurf jedoch vor allem als positiv für die Sicherheit, was wie beschrieben von vielen anders gesehen wird.

Im Gegensatz zu einigen Herstellern, wie eben Cisco, die Middleboxen gut finden und TLS 1.3 als schwierig empfinden, stellt sich die Situation aus Sicht der Browser-Hersteller wie Google und Mozilla sowie der Netzwerkdienstebetreiber Cloudflare und Akamai völlig anders dar. Bereits Anfang des Jahres zeigte sich bei Tests von Google, dass Middlebox-Geräte des Herstellers Bluecoat-Fehler aufweisen, die die Einführung von TLS 1.3 verhindern.

Aktuell durchgeführte Tests von Google, Mozilla, und Facebook zeigen laut einem Bericht von Akamai bei der Verwendung von TLS 1.3 Fehlerraten von bis zu 3,5 Prozent. In diesen Fällen kommt eine Verbindung überhaupt nicht zustande, wahrscheinlich weil Middleboxen dies verhindern.

Cloudflares Crypto-Chef Nick Sullivan sagte Golem.de, dass aber bereits Fehlerraten von 0,5 Prozent für das praktische Ausrollen von TLS 1.3 zu hoch seien. Die Beteiligten diskutieren derzeit deshalb, welche Möglichkeiten sie haben, TLS 1.3 trotzdem auszurollen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


bombinho 11. Nov 2017

+1

FreiGeistler 04. Nov 2017

Macht ebenfalls keinen Sinn. Wenn ein Browser-Exploit bekannt ist, sollte der Admin die...

FreiGeistler 04. Nov 2017

Wie lala1 schon schrieb - mit Werbeblocker und Email-Client der kein HTML kann (z.B...

Neuro-Chef 03. Nov 2017

Die Pfeifen betrieben teilweise kritische Systeme ohne Redundanz, konnten daher Updates...

gaym0r 03. Nov 2017

Was kommst du denn jetzt wieder mit das NSA an? Es geht hier um Unternehmen, die den...



Aktuell auf der Startseite von Golem.de
Naomi "SexyCyborg" Wu
Pappbüste einer Tech-Youtuberin ist Youtube zu anstößig

Naomi Wu wird in der Maker-Szene für ihr Fachwissen geschätzt. Youtube demonetarisiert sie aber wohl wegen ihrer Körperproportionen.

Naomi SexyCyborg Wu: Pappbüste einer Tech-Youtuberin ist Youtube zu anstößig
Artikel
  1. Quartalsbericht: Apples Gewinn stellt alles in den Schatten
    Quartalsbericht
    Apples Gewinn stellt alles in den Schatten

    Apple erwirtschaftet im letzten Quartal des Vorjahres einen Gewinn von 34,6 Milliarden US-Dollar. Und das trotz Chipkrise und weiteren Lieferengpässen.

  2. Coronapandemie: 42,6 Millionen mehr digitale Impfzertifikate als Impfdosen
    Coronapandemie
    42,6 Millionen mehr digitale Impfzertifikate als Impfdosen

    Einem Medienbericht zufolge gibt es eine Lücke zwischen ausgestellten Impfnachweisen und verabreichten Dosen. Diese wird sogar noch größer.

  3. Akamai: Steigende Nachfrage für illegale Kopien von Filmen
    Akamai
    Steigende Nachfrage für illegale Kopien von Filmen

    Durch die vielen neuen Streaming-Dienste ist illegales Filesharing wieder stark im Kommen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RX 6900 XTU 16GB 1.449€ • Intel i7 3,6Ghz 399€ • Alternate: u.a. Acer Gaming-Monitor 119,90€ • Logitech Gaming-Headset 75€ • iRobot Saugroboter ab 289,99€ • 1TB SSD PCIe 4.0 128,07€ • Razer Gaming-Tastatur 155€ • GOG New Year Sale: bis zu 90% Rabatt • LG OLED 65 Zoll 1.599€ [Werbung]
    •  /