• IT-Karriere:
  • Services:

IETF: Wie TLS abgehört werden könnte

Der Vorschlag für eine TLS-Erweiterung macht TLS effektiv kaputt, sagen dessen Kritiker. Befürworter begründen die Idee mit Enterprise-Szenarien im Rechenzentrum. Streit ist vorprogrammiert und zeigt sich deutlich beim Treffen der TLS-Arbeitsgruppe.

Ein Bericht von veröffentlicht am
Die Schlüssel für echte Schlösser sind immer gleich, bei TLS ist das eigentlich anders.
Die Schlüssel für echte Schlösser sind immer gleich, bei TLS ist das eigentlich anders. (Bild: Chilanga Cement, flickr.com/CC-BY 2.0)

Noch eine Stunde nach dem offiziellen Ende der TLS-Arbeitsgruppensitzung auf dem IETF Meeting 99 in Prag diskutiert Daniel Kahn Gillmor mit vielen anderen über einen Vorschlag, der das Verschlüsselungsprotokoll TLS 1.3 kaputt machen könnte. Das zumindest ist die Meinung von Gillmor, der sich für die US-Bürgerrechtsorganisation ACLU in den Standardisierungsgremien und Arbeitsgruppen der IETF für die Wahrung von Privatsphäre und Menschenrechten aller Internetnutzer einsetzt.

Inhalt:
  1. IETF: Wie TLS abgehört werden könnte
  2. Beherzte Diskussion ohne Lösung

Dass es zu derart langen und durchaus auch hitzigen Diskussionen zu dem Thema kommt, ist bei der auf Konsensentscheidungen ausgelegten IETF zwar eher ungewöhnlich, war aber in dem konkreten Fall abzusehen. Auch deshalb haben die Vorsitzenden der TLS-Arbeitsgruppe im Vorfeld der Diskussion mehrfach darum gebeten, sich doch bitte zivilisiert und professionell zu verhalten.

Statische Schlüssel zur Analyse

Grundlage für die Diskussion ist nicht nur der Zeitpunkt - immerhin ist die lange Phase der Standardisierung von TLS 1.3 schon so gut wie abgeschlossen - sondern vor allem der Inhalt eines Entwurfs, der als Erweiterung zu TLS 1.3 gedacht ist und den Einsatz des Protokolls in Rechenzentren beschreiben soll. Während die erste Version des Entwurfs noch als rein informativ gedacht war, soll die aktuelle Version der Unterstützung zufolge als Internet-Standard verabschiedet werden.

Motivation für den Entwurf ist laut dem Vortrag (PDF), dass die mit TLS 1.3 zwingend eingeführten Konzepte es Betreibern sehr großer Rechenzentren und Anwendungen wie etwa Google angeblich erschweren, Fehler zu finden und zu beheben. Die dadurch verlängerte Zeit der Fehlersuche und Lösung komme gar einem DDOS-Angriff gleich, heißt im Vortrag zu dem Entwurf.

Stellenmarkt
  1. Stadtwerke München GmbH, München
  2. BSH Hausgeräte GmbH, Traunreut

So könnte etwa der Traffic auf Load-Balancern, Firewall-Applikationen oder anderen Fronting-Servern, die vor dem eigentlichen Serverendpunkt der TLS-Verbindung liegen, aufgrund der Verschlüsselung im Falle eines Fehlers nicht ausreichend analysiert werden.

Statt diese Problem etwa auf Ebene des Deployments oder der Dienste-Architektur zu lösen, soll dem Entwurf zufolge das Problem direkt auf der Protokollebene von TLS gelöst werden. Vorgeschlagen wird dafür ein "statischer Diffie-Hellman-Schlüssel", der auf dem TLS-Server erzeugt wird oder auf einem zentralen Key-Management-Server und anschließend im Rechenzentren weiterverteilt werden kann.

Statt dem eigentlich von TLS vorgesehenen pro Sitzung vom Server erzeugten Schlüssel soll für den Handshake der "statische Schlüssel" gemeinsam mit einem zufälligen Nonce-Wert zum Aufbau der Verbindung genutzt werden. Die Betreiber der Rechenzentren könnten den "statischen Schlüssel" dann verwenden, um intern Traffic zur weitergehenden Analyse bei der Fehlersuche zu entschlüsseln.

Angriff auf Perfect Forward Secrecy

Nach Meinung der Gegner dieses Vorschlags wird damit aber das Prinzip der Perfect Forward Secrecy (PFS) unterlaufen. Hierbei wird die Verschlüsselung selbst dann noch geschützt, wenn der langfristige Serverschlüssel, der Teil des Zertifikats ist, kompromittiert wird. Selbst wenn ein Angreifer nachträglich den Server hackt oder auf andere Weise an den geheimen Schlüssel kommt, ermöglicht das nicht das Entschlüsseln von Verbindungen aus der Vergangenheit.

Damit diese Prinzip funktioniert, müssen die Schlüssel pro Sitzung neu generiert werden, was bei der beschriebenen Verwendung der statischen Schlüssel eben nicht konsequent der Fall ist, auch wenn dies zumindest aus Sicht des Clients der Fall wäre. Die Umsetzung von PFS ist eines der Hauptziele von TLS 1.3.

Ein Versuch der Bankenlobby, das PFS-Prinzip in TLS 1.3 durch die Wiedereinführung des RSA-Handshakes zu umgehen, hatte die TLS-Arbeitsgruppe im Herbst vergangenen Jahres noch sehr klar verhindert. Der aktuelle Entwurf mit den "statischen Schlüsseln" nimmt laut Entwurf explizit Bezug auf die RSA-Handshakes und versucht, das damit umgesetzte Monitoring auf die Technik von TLS 1.3 zu übertragen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Beherzte Diskussion ohne Lösung 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. 129€ (Bestpreis mit Saturn. Vergleichspreis 159,99€ + Versand)
  2. (u. a. Total War: Warhammer II für 24,99€, Halo Wars 2 (Xbox One / Windows 10) für 10,49€ und...
  3. 1,99€
  4. (u. a. Ecovacs Robotics Deebot Ozmo 905 heute für 333€, Philips 58PUS6504/12 für 399€, JBL...

__destruct() 22. Jul 2017

"ich seh den standard erfüllt, sobald zwei unterschiedliche implementierungen miteinander...

ikhaya 22. Jul 2017

DNS ist eine Grundsäule des Internets, meinst du vielleicht eher DRM? ;) Webstandards...

Anonymer Nutzer 21. Jul 2017

irgendwie sinnlos, über so ein detail nachzudenken, das sich nur innerhalb der...

Bigfoo29 21. Jul 2017

"Und da es hier um spezielle Bereiche geht, sollte die Entscheidung beim Dienstbetreiber...

mrgenie 21. Jul 2017

Ist Streit nicht ein zu heftigem Wort? Wäre "heisse Diskussion" oder "komplizierter...


Folgen Sie uns
       


Windows Powertoys - Tutorial

Wir geben einen kurzen Überblick der Funktionen von Powertoys für Windows 10.

Windows Powertoys - Tutorial Video aufrufen
    •  /