Abo
  • Services:

IETF: TLS 1.3 ist zu sicher für Ciscos Sicherheitsboxen

Nach Versuchen der Bankenlobby und von ominösen Betreibern von Rechenzentren, das kommende TLS 1.3 zu schwächen, erklärt nun Cisco, dass TLS 1.3 die Sicherheitstechnik sogenannter Middleboxen verhindert. Dabei verhindern kaputte Middleboxen die Einführung von TLS 1.3.

Artikel veröffentlicht am ,
Cisco reiht sich ein in die lange Liste derer, denen TLS 1.3 zu sicher ist.
Cisco reiht sich ein in die lange Liste derer, denen TLS 1.3 zu sicher ist. (Bild: Prayitno, flickr.com/CC-BY 2.0)

Die kommenden Version der Netzverschlüsselung TLS 1.3 soll die Technik und vor allem die genutzte Kryptografie grundsätzlich für alle Nutzer verbessern. Während der Standardisierung der Internet Engineering Task Force (IETF) meldete jedoch die Bankenlobby, das TLS 1.3 zu sicher für sie sei. Ebenso veröffentlichten Betreiber von Rechenzentren einen Entwurf für eine TLS-Erweiterung, der zum Knacken des Protokolls genutzt werden kann. Offiziell dazu Stellung nehmen wollte jedoch kein Unternehmen. Nun meldet auch Cisco, dass TLS 1.3 angeblich zu sicher für viele Sicherheitsprodukte sei.

Stellenmarkt
  1. Ruhrverband, Essen
  2. HYDAC INTERNATIONAL GmbH, Großbeeren

Mehrere Angestellte des Netzwerkausrüsters haben bei der IETF einen Entwurf eingereicht, der dokumentieren soll, wie TLS 1.3 die bestehende Nutzung von "Netzwerk-basierten Sicherheitslösungen" negativ beeinflusst. Vermutlich soll das Dokument, das lediglich zur Information dient (Informational Standard), erläutern, welche Probleme sich aus der Verwendung von TLS 1.3 etwa in Unternehmensnetzwerken ergeben könnten und zur Diskussion darüber anregen. Die Ausführungen sind aber aus Sicherheitsperspektive von TLS eher als Realsatire zu betrachten.

Klartext für die Sicherheit statt TLS?

So sind "Netzwerk-basierte Sicherheitslösungen" wie etwa Firewalls oder "Intrusion Prevention Systems" (IPS), also jene, die Einbrüche von außen verhindern sollen, laut Cisco für ihren Einsatz auf Netzwerkverkehr im Klartext angewiesen. Zudem agieren dabei die eingesetzten Geräte mit unterschiedlichen Methoden als Man-in-the-Middle (MITM), um die eigentlich verwendete TLS-Verschlüsselung zu unterlaufen und so den Netzwerkverkehr analysieren zu können.

Normalerweise wird diese Art des Aufbrechens des Netzwerkverkehrs aber klar als Angriff auf die TLS-Verschlüsselung gesehen. So warnt etwa das US-Cert explizit vor dem Einsatz solcher MITM-Geräte. Außerdem enthalten diese Geräte oft selbst Sicherheitslücken, was die Nutzer in Firmennetzwerken aktiv gefährden könnte. Mit TLS 1.3 sollen Techniken eingeführt werden, die solche MITM-Angriffe einzelner Geräte verhindern, um die Sicherheit der Nutzer zu erhöhen.

Middleboxen verhindern TLS 1.3

Die beschriebenen Geräte, die sich zwischen den eigentlichen Endpunkten der Verbindung befinden und den Netzwerkverkehr analysieren oder auch manipulieren und aufbrechen, werden bei der IETF als Middleboxen bezeichnet und das fast ausschließlich in einem negativen Kontext. Die Cisco-Angestellten verwenden den Begriff der Middleboxen in ihrem Entwurf jedoch vor allem als positiv für die Sicherheit, was wie beschrieben von vielen anders gesehen wird.

Im Gegensatz zu einigen Herstellern, wie eben Cisco, die Middleboxen gut finden und TLS 1.3 als schwierig empfinden, stellt sich die Situation aus Sicht der Browser-Hersteller wie Google und Mozilla sowie der Netzwerkdienstebetreiber Cloudflare und Akamai völlig anders dar. Bereits Anfang des Jahres zeigte sich bei Tests von Google, dass Middlebox-Geräte des Herstellers Bluecoat-Fehler aufweisen, die die Einführung von TLS 1.3 verhindern.

Aktuell durchgeführte Tests von Google, Mozilla, und Facebook zeigen laut einem Bericht von Akamai bei der Verwendung von TLS 1.3 Fehlerraten von bis zu 3,5 Prozent. In diesen Fällen kommt eine Verbindung überhaupt nicht zustande, wahrscheinlich weil Middleboxen dies verhindern.

Cloudflares Crypto-Chef Nick Sullivan sagte Golem.de, dass aber bereits Fehlerraten von 0,5 Prozent für das praktische Ausrollen von TLS 1.3 zu hoch seien. Die Beteiligten diskutieren derzeit deshalb, welche Möglichkeiten sie haben, TLS 1.3 trotzdem auszurollen.



Anzeige
Hardware-Angebote
  1. 18,99€
  2. 199€ + Versand
  3. 206,89€
  4. ab 194,90€

bombinho 11. Nov 2017

+1

FreiGeistler 04. Nov 2017

Macht ebenfalls keinen Sinn. Wenn ein Browser-Exploit bekannt ist, sollte der Admin die...

FreiGeistler 04. Nov 2017

Wie lala1 schon schrieb - mit Werbeblocker und Email-Client der kein HTML kann (z.B...

Neuro-Chef 03. Nov 2017

Die Pfeifen betrieben teilweise kritische Systeme ohne Redundanz, konnten daher Updates...

gaym0r 03. Nov 2017

Was kommst du denn jetzt wieder mit das NSA an? Es geht hier um Unternehmen, die den...


Folgen Sie uns
       


Tiemo Wölken (SPD) zu Artikel 13

Der SPD-Europaabgeordnete Tiemo Wölken hofft darauf, dass das Europaparlament am 26. März 2019 den umstrittenen Artikel 13 noch ablehnt.

Tiemo Wölken (SPD) zu Artikel 13 Video aufrufen
Openbook ausprobiert: Wie Facebook, nur anders
Openbook ausprobiert
Wie Facebook, nur anders

Seit gut drei Wochen ist das werbe- und trackingfreie soziale Netzwerk Openbook für die Kickstarter-Unterstützer online. Golem.de ist dabei - und freut sich über den angenehmen Umgangston und interessante neue Kontakte.
Ein Test von Tobias Költzsch

  1. Hack Verwaiste Twitter-Konten posten IS-Propaganda
  2. Openbook Open-Source-Alternative zu Facebook versucht es noch einmal
  3. Klage eingereicht Tinder-Mitgründer fordern Milliarden von Mutterkonzern

Verschlüsselung: Ärger für die PGP-Keyserver
Verschlüsselung
Ärger für die PGP-Keyserver

Die Schlüsselserver für PGP sind so ausgelegt, dass sie fast alles ungeprüft akzeptieren. Das führt zu zahlreichen Problemen, zuletzt wurden die Keyserver aufgrund von Angriffen mit vergifteten Schlüsseln immer unzuverlässiger.
Ein Bericht von Hanno Böck

  1. OpenPGP/GnuPG Signaturen fälschen mit HTML und Bildern
  2. GPG-Entwickler Sequoia-Projekt baut OpenPGP in Rust

Batterieherstellung: Kampf um die Zelle
Batterieherstellung
Kampf um die Zelle

Die Fertigung von Batteriezellen ist Chemie und damit nicht die Kernkompetenz deutscher Autohersteller. Sie kaufen Zellen bei Zulieferern aus Asien. Das führt zu Abhängigkeiten, die man vermeiden möchte. Dank Fördergeldern soll in Europa eine Art "Batterie-Airbus" entstehen.
Eine Analyse von Dirk Kunde

  1. US CPSC HP muss in den USA nochmals fast 80.000 Akkus zurückrufen
  2. Erneuerbare Energien Shell übernimmt Heimakku-Hersteller Sonnen
  3. Elektromobilität Emmanuel Macron will europäische Akkuzellenfertigung fördern

    •  /