IETF: TLS 1.3 ist zu sicher für Ciscos Sicherheitsboxen

Nach Versuchen der Bankenlobby und von ominösen Betreibern von Rechenzentren, das kommende TLS 1.3 zu schwächen, erklärt nun Cisco, dass TLS 1.3 die Sicherheitstechnik sogenannter Middleboxen verhindert. Dabei verhindern kaputte Middleboxen die Einführung von TLS 1.3.

Artikel veröffentlicht am ,
Cisco reiht sich ein in die lange Liste derer, denen TLS 1.3 zu sicher ist.
Cisco reiht sich ein in die lange Liste derer, denen TLS 1.3 zu sicher ist. (Bild: Prayitno, flickr.com/CC-BY 2.0)

Die kommenden Version der Netzverschlüsselung TLS 1.3 soll die Technik und vor allem die genutzte Kryptografie grundsätzlich für alle Nutzer verbessern. Während der Standardisierung der Internet Engineering Task Force (IETF) meldete jedoch die Bankenlobby, das TLS 1.3 zu sicher für sie sei. Ebenso veröffentlichten Betreiber von Rechenzentren einen Entwurf für eine TLS-Erweiterung, der zum Knacken des Protokolls genutzt werden kann. Offiziell dazu Stellung nehmen wollte jedoch kein Unternehmen. Nun meldet auch Cisco, dass TLS 1.3 angeblich zu sicher für viele Sicherheitsprodukte sei.

Stellenmarkt
  1. IT-Service Techniker (m/w/d) für den Innen- und Außendienst
    VORAX-IT GmbH, Heddesheim, Speyer
  2. Qualitätsingenieur R&D Automotive für System- und Softwareentwicklung (m/w/d)
    Schaeffler Technologies AG & Co. KG, Herzogenaurach
Detailsuche

Mehrere Angestellte des Netzwerkausrüsters haben bei der IETF einen Entwurf eingereicht, der dokumentieren soll, wie TLS 1.3 die bestehende Nutzung von "Netzwerk-basierten Sicherheitslösungen" negativ beeinflusst. Vermutlich soll das Dokument, das lediglich zur Information dient (Informational Standard), erläutern, welche Probleme sich aus der Verwendung von TLS 1.3 etwa in Unternehmensnetzwerken ergeben könnten und zur Diskussion darüber anregen. Die Ausführungen sind aber aus Sicherheitsperspektive von TLS eher als Realsatire zu betrachten.

Klartext für die Sicherheit statt TLS?

So sind "Netzwerk-basierte Sicherheitslösungen" wie etwa Firewalls oder "Intrusion Prevention Systems" (IPS), also jene, die Einbrüche von außen verhindern sollen, laut Cisco für ihren Einsatz auf Netzwerkverkehr im Klartext angewiesen. Zudem agieren dabei die eingesetzten Geräte mit unterschiedlichen Methoden als Man-in-the-Middle (MITM), um die eigentlich verwendete TLS-Verschlüsselung zu unterlaufen und so den Netzwerkverkehr analysieren zu können.

Normalerweise wird diese Art des Aufbrechens des Netzwerkverkehrs aber klar als Angriff auf die TLS-Verschlüsselung gesehen. So warnt etwa das US-Cert explizit vor dem Einsatz solcher MITM-Geräte. Außerdem enthalten diese Geräte oft selbst Sicherheitslücken, was die Nutzer in Firmennetzwerken aktiv gefährden könnte. Mit TLS 1.3 sollen Techniken eingeführt werden, die solche MITM-Angriffe einzelner Geräte verhindern, um die Sicherheit der Nutzer zu erhöhen.

Middleboxen verhindern TLS 1.3

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Die beschriebenen Geräte, die sich zwischen den eigentlichen Endpunkten der Verbindung befinden und den Netzwerkverkehr analysieren oder auch manipulieren und aufbrechen, werden bei der IETF als Middleboxen bezeichnet und das fast ausschließlich in einem negativen Kontext. Die Cisco-Angestellten verwenden den Begriff der Middleboxen in ihrem Entwurf jedoch vor allem als positiv für die Sicherheit, was wie beschrieben von vielen anders gesehen wird.

Im Gegensatz zu einigen Herstellern, wie eben Cisco, die Middleboxen gut finden und TLS 1.3 als schwierig empfinden, stellt sich die Situation aus Sicht der Browser-Hersteller wie Google und Mozilla sowie der Netzwerkdienstebetreiber Cloudflare und Akamai völlig anders dar. Bereits Anfang des Jahres zeigte sich bei Tests von Google, dass Middlebox-Geräte des Herstellers Bluecoat-Fehler aufweisen, die die Einführung von TLS 1.3 verhindern.

Aktuell durchgeführte Tests von Google, Mozilla, und Facebook zeigen laut einem Bericht von Akamai bei der Verwendung von TLS 1.3 Fehlerraten von bis zu 3,5 Prozent. In diesen Fällen kommt eine Verbindung überhaupt nicht zustande, wahrscheinlich weil Middleboxen dies verhindern.

Cloudflares Crypto-Chef Nick Sullivan sagte Golem.de, dass aber bereits Fehlerraten von 0,5 Prozent für das praktische Ausrollen von TLS 1.3 zu hoch seien. Die Beteiligten diskutieren derzeit deshalb, welche Möglichkeiten sie haben, TLS 1.3 trotzdem auszurollen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Mozilla
Firefox verliert 20 Prozent Nutzer in zweieinhalb Jahren

Die offiziellen Nutzer-Statistiken des Firefox-Browsers sehen für Mozilla nicht gut aus. Immerhin wird der Browser intensiver genutzt.

Mozilla: Firefox verliert 20 Prozent Nutzer in zweieinhalb Jahren
Artikel
  1. Raumfahrt: Strahlungsresistente Speicher für die Raumfahrt von Infineon
    Raumfahrt
    Strahlungsresistente Speicher für die Raumfahrt von Infineon

    NOR Flash Speicher soll hohe Strahlungsresistenz und bis zu 250 Jahre Datenerhalt für FPGAs, Mikrocontroller und Bildspeicher garantieren.

  2. Kryptowährung: Warschauer Polizei findet illegales Mining im Hauptquartier
    Kryptowährung
    Warschauer Polizei findet illegales Mining im Hauptquartier

    Wo würde die Polizei am wenigsten illegales Krypto-Mining vermuten? In ihrem Hauptquartier, dachte wohl ein polnischer IT-Techniker.

  3. Fahrrad-Navigation im Test: Rechenpower für Radfahrer
    Fahrrad-Navigation im Test
    Rechenpower für Radfahrer

    Schnell, sicher und schön ans Ziel: Das schaffen Bike-Computer besser als jedes Smartphone. Wir haben die Top-Geräte ausprobiert - und günstige Alternativen.
    Von Peter Steinlechner

bombinho 11. Nov 2017

+1

FreiGeistler 04. Nov 2017

Macht ebenfalls keinen Sinn. Wenn ein Browser-Exploit bekannt ist, sollte der Admin die...

FreiGeistler 04. Nov 2017

Wie lala1 schon schrieb - mit Werbeblocker und Email-Client der kein HTML kann (z.B...

Neuro-Chef 03. Nov 2017

Die Pfeifen betrieben teilweise kritische Systeme ohne Redundanz, konnten daher Updates...

gaym0r 03. Nov 2017

Was kommst du denn jetzt wieder mit das NSA an? Es geht hier um Unternehmen, die den...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Samsung Galaxy Vorbesteller-Aktion • Speicherwoche bei Media Markt • Samsung Odyssey G5 (34 Zoll, 165 Hz) 399€ • 15% auf Xiaomi-Technik • McAfee Total Protection ab 15,99€ • Saturn: 1 Produkt zahlen, 2 erhalten • Final Fantasy VII HD Remake PS4 25,64€ [Werbung]
    •  /