• IT-Karriere:
  • Services:

IETF: TLS 1.3 ist zu sicher für Ciscos Sicherheitsboxen

Nach Versuchen der Bankenlobby und von ominösen Betreibern von Rechenzentren, das kommende TLS 1.3 zu schwächen, erklärt nun Cisco, dass TLS 1.3 die Sicherheitstechnik sogenannter Middleboxen verhindert. Dabei verhindern kaputte Middleboxen die Einführung von TLS 1.3.

Artikel veröffentlicht am ,
Cisco reiht sich ein in die lange Liste derer, denen TLS 1.3 zu sicher ist.
Cisco reiht sich ein in die lange Liste derer, denen TLS 1.3 zu sicher ist. (Bild: Prayitno, flickr.com/CC-BY 2.0)

Die kommenden Version der Netzverschlüsselung TLS 1.3 soll die Technik und vor allem die genutzte Kryptografie grundsätzlich für alle Nutzer verbessern. Während der Standardisierung der Internet Engineering Task Force (IETF) meldete jedoch die Bankenlobby, das TLS 1.3 zu sicher für sie sei. Ebenso veröffentlichten Betreiber von Rechenzentren einen Entwurf für eine TLS-Erweiterung, der zum Knacken des Protokolls genutzt werden kann. Offiziell dazu Stellung nehmen wollte jedoch kein Unternehmen. Nun meldet auch Cisco, dass TLS 1.3 angeblich zu sicher für viele Sicherheitsprodukte sei.

Stellenmarkt
  1. CITTI Handelsgesellschaft mbH & Co. KG, Kiel
  2. Universität Konstanz, Konstanz

Mehrere Angestellte des Netzwerkausrüsters haben bei der IETF einen Entwurf eingereicht, der dokumentieren soll, wie TLS 1.3 die bestehende Nutzung von "Netzwerk-basierten Sicherheitslösungen" negativ beeinflusst. Vermutlich soll das Dokument, das lediglich zur Information dient (Informational Standard), erläutern, welche Probleme sich aus der Verwendung von TLS 1.3 etwa in Unternehmensnetzwerken ergeben könnten und zur Diskussion darüber anregen. Die Ausführungen sind aber aus Sicherheitsperspektive von TLS eher als Realsatire zu betrachten.

Klartext für die Sicherheit statt TLS?

So sind "Netzwerk-basierte Sicherheitslösungen" wie etwa Firewalls oder "Intrusion Prevention Systems" (IPS), also jene, die Einbrüche von außen verhindern sollen, laut Cisco für ihren Einsatz auf Netzwerkverkehr im Klartext angewiesen. Zudem agieren dabei die eingesetzten Geräte mit unterschiedlichen Methoden als Man-in-the-Middle (MITM), um die eigentlich verwendete TLS-Verschlüsselung zu unterlaufen und so den Netzwerkverkehr analysieren zu können.

Normalerweise wird diese Art des Aufbrechens des Netzwerkverkehrs aber klar als Angriff auf die TLS-Verschlüsselung gesehen. So warnt etwa das US-Cert explizit vor dem Einsatz solcher MITM-Geräte. Außerdem enthalten diese Geräte oft selbst Sicherheitslücken, was die Nutzer in Firmennetzwerken aktiv gefährden könnte. Mit TLS 1.3 sollen Techniken eingeführt werden, die solche MITM-Angriffe einzelner Geräte verhindern, um die Sicherheit der Nutzer zu erhöhen.

Middleboxen verhindern TLS 1.3

Die beschriebenen Geräte, die sich zwischen den eigentlichen Endpunkten der Verbindung befinden und den Netzwerkverkehr analysieren oder auch manipulieren und aufbrechen, werden bei der IETF als Middleboxen bezeichnet und das fast ausschließlich in einem negativen Kontext. Die Cisco-Angestellten verwenden den Begriff der Middleboxen in ihrem Entwurf jedoch vor allem als positiv für die Sicherheit, was wie beschrieben von vielen anders gesehen wird.

Im Gegensatz zu einigen Herstellern, wie eben Cisco, die Middleboxen gut finden und TLS 1.3 als schwierig empfinden, stellt sich die Situation aus Sicht der Browser-Hersteller wie Google und Mozilla sowie der Netzwerkdienstebetreiber Cloudflare und Akamai völlig anders dar. Bereits Anfang des Jahres zeigte sich bei Tests von Google, dass Middlebox-Geräte des Herstellers Bluecoat-Fehler aufweisen, die die Einführung von TLS 1.3 verhindern.

Aktuell durchgeführte Tests von Google, Mozilla, und Facebook zeigen laut einem Bericht von Akamai bei der Verwendung von TLS 1.3 Fehlerraten von bis zu 3,5 Prozent. In diesen Fällen kommt eine Verbindung überhaupt nicht zustande, wahrscheinlich weil Middleboxen dies verhindern.

Cloudflares Crypto-Chef Nick Sullivan sagte Golem.de, dass aber bereits Fehlerraten von 0,5 Prozent für das praktische Ausrollen von TLS 1.3 zu hoch seien. Die Beteiligten diskutieren derzeit deshalb, welche Möglichkeiten sie haben, TLS 1.3 trotzdem auszurollen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

bombinho 11. Nov 2017

+1

FreiGeistler 04. Nov 2017

Macht ebenfalls keinen Sinn. Wenn ein Browser-Exploit bekannt ist, sollte der Admin die...

FreiGeistler 04. Nov 2017

Wie lala1 schon schrieb - mit Werbeblocker und Email-Client der kein HTML kann (z.B...

Neuro-Chef 03. Nov 2017

Die Pfeifen betrieben teilweise kritische Systeme ohne Redundanz, konnten daher Updates...

gaym0r 03. Nov 2017

Was kommst du denn jetzt wieder mit das NSA an? Es geht hier um Unternehmen, die den...


Folgen Sie uns
       


Nubia Z20 - Test

Das Nubia Z20 hat sowohl auf der Vorderseite als auch auf der Rückseite einen Bildschirm. Dadurch ergeben sich neue Möglichkeiten der Benutzung, wie sich Golem.de im Test angeschaut hat.

Nubia Z20 - Test Video aufrufen
Alphakanal: Gimp verrät Geheimnisse in Bildern
Alphakanal
Gimp verrät Geheimnisse in Bildern

Wer in Gimp in einem Bild mit Transparenz Bildbereiche löscht, der macht sie nur durchsichtig. Dieses wenig intuitive Verhalten kann dazu führen, dass Nutzer ungewollt Geheimnisse preisgeben.


    Nitropad im Test: Ein sicherer Laptop, der im Alltag kaum nervt
    Nitropad im Test
    Ein sicherer Laptop, der im Alltag kaum nervt

    Das Nitropad schützt vor Bios-Rootkits oder Evil-Maid-Angriffen. Dazu setzt es auf die freie Firmware Coreboot, die mit einem Nitrokey überprüft wird. Das ist im Alltag erstaunlich einfach, nur Updates werden etwas aufwendiger.
    Ein Praxistest von Moritz Tremmel und Sebastian Grüner

    1. Nitropad X230 Nitrokey veröffentlicht abgesicherten Laptop
    2. LVFS Coreboot-Updates sollen nutzerfreundlich werden
    3. Linux-Laptop System 76 verkauft zwei Laptops mit Coreboot

    Verkehr: Das Kaltstart-Dilemma der Autos mit Hybridantrieb
    Verkehr
    Das Kaltstart-Dilemma der Autos mit Hybridantrieb

    Bei Hybridautos und Plugin-Hybriden kommt es häufiger zu Kaltstarts als bei normalen Verbrennungsmotoren - wenn der Verbrennungsmotor ausgeht und der Elektromotor das Auto durch die Stadt schiebt. Wie schnell lässt sich der Katalysator vorwärmen, damit er Abgase dennoch gut reinigen kann?
    Von Rainer Klose

    1. Elektromobilität Umweltbonus gilt auch für Jahreswagen
    2. Renault City K-ZE Dacia plant City-Elektroauto
    3. Elektroautos EU-Kommission billigt höheren Umweltbonus

      •  /