Abo
  • Services:
Anzeige
Verschlüsselungsstandards müssen überarbeitet werden.
Verschlüsselungsstandards müssen überarbeitet werden. (Bild: Mal Langsdon/Reuters)

Geister aus der Vergangenheit loswerden

Der Gost-Standard hat einen durchaus treffenden Namen, denn es handelt sich um einen Geist aus der Vergangenheit: Er ist ein Verschlüsselungsstandard aus der Sowjetunion, den die Russische Föderation bis heute mit Updates und neuen Varianten versorgt. Für X.509-Zertifikate kann man Gost bereits benutzen, die entsprechende TLS-Spezifikation existiert nur als Entwurf und wurde nie verabschiedet. Das hält OpenSSL jedoch nicht davon ab, die entsprechenden Algorithmen zu implementieren. Von ihnen geht glücklicherweise keine allzu große Gefahr aus: In der Standardeinstellung sind diese Codeteile zwar vorhanden, werden aber für TLS-Verbindungen nicht genutzt.

Geradezu bizarr mutet angesichts der TLS-Featuritis an, dass es sinnvolle Erweiterungen oftmals sehr schwer haben. Seit über einem Jahr diskutiert die TLS-Arbeitsgruppe über einen Entwurf von Peter Gutmann, der die Sicherheit des CBC-Modus in TLS erhöhen würde. Die Reihenfolge von Authentifizierung (MAC) und Verschlüsselung soll dabei von MAC-then-encrypt auf die bessere Variante Encrypt-then-MAC geändert werden. Encrypt-then-MAC ist absolut sinnvoll und eine direkte Konsequenz aus der Lucky-Thirteen-Attacke, die nur möglich war, weil TLS auf die unsichere Kombination MAC-then-encrypt setzt. Trotzdem bekam Gutmann einigen Gegenwind bei seinen Bemühungen um die Standardisierung.

Anzeige

Der TLS-Standard ist zu komplex geworden

Das OpenBSD-Team hat gerade mit einer Aufräumaktion im OpenSSL-Code angefangen. Dabei ist ihm viel Glück zu wünschen, und es bleibt zu hoffen, dass ein Großteil dieser Änderungen von den OpenSSL-Entwicklern übernommen wird. Die TLS-Arbeitsgruppe wird vermutlich in Kürze den unsicheren Verschlüsselungsalgorithmus RC4 aufgeben. Für TLS 1.3 ist geplant, auf die Kompression, die Renegotiation-Erweiterung und alle Cipher ohne Forward Secrecy zu verzichten. Das wäre immerhin ein Anfang.

Es wird Zeit für eine große Entrümpelungsaktion im TLS-Standard. Das Protokoll ist längst viel zu komplex geworden. In den RFCs sind noch einige Features versteckt, die niemand benötigt. Wir sollten diese abschalten, bevor der nächste Heartbleed-Bug darin entdeckt wird.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach)

 IMHO - Heartbleed und die Folgen: TLS entrümpeln
eye home zur Startseite
Kommentarübersicht
Re: Ja bitte entrümpeln, aber an der richtigen Stelle
Dopeusk18 22. Apr 2014

Soweit stimmte ich dir zu, bisauf das Verfallsdatum. Es macht durchaus sinn, du kannst z...

deshalb sind es RFCs
nicoledos 19. Apr 2014

RFCs sind dafür da, Standards zu definieren. Wer eine bestimmte Technologie umsetzen...

Re: ASN.1 rauswerfen?
hannob (golem.de) 19. Apr 2014

Ich hab jetzt noch keinen XML-Parser geschrieben, aber ich bezweifle das ganz stark. Nur...

Re: Es gibt übrigens ein Alternativprotokoll mit...
hannob (golem.de) 19. Apr 2014

"weniger Gerümpel" trifft es. Aber SSH ist auch nicht ganz unproblematisch. Wenn man...

Re: SVERWEIS
marolu 18. Apr 2014

... lesen "will".

Anzeige
Stellenmarkt
  1. Robert Bosch GmbH, Abstatt
  2. investify S.A., Aachen, Wasserbillig (Luxemburg)
  3. Robert Bosch GmbH, Böblingen
  4. Gries Deco Company GmbH, Niedernberg
Anzeige
Top-Angebote
  1. 133,95€ (Vergleichspreis ab 181,90€)
  2. (u. a. Ryzen 5 1600X 219,90€, HTC Vive 799,00€, Crucial 525-GB-SSD 124,90€, Be quiet Pure...
  3. 79,90€ statt 124,90€
Folgen Sie uns
       
Videos
Der Prototyp XB-1 - Boom Supersonic Der Prototyp XB-1 - Boom Supersonic
Ticker
  1. Star Trek

    Sprachsteuerung IBM Watson in Bridge Crew verfügbar

  2. SteamVR

    Valve zeigt Knuckles-Controller

  3. Netflix und Amazon

    Legale Streaming-Nutzung in Deutschland nimmt zu

  4. Galaxy J7 (2017)

    Samsung-Smartphone hat zwei 13-Megapixel-Kameras

  5. Zenscreen MB16AC

    Asus bringt 15,6-Zoll-USB-Monitor für unterwegs

  6. Sonic the Hedgehog

    Sega veröffentlicht seine Spieleklassiker für Smartphones

  7. Monster Hunter World angespielt

    Dicke Dinosauriertränen in 4K

  8. Prime Reading

    Amazon startet dritte Lese-Flatrate in Deutschland

  9. Node.js

    Hälfte der NPM-Pakete durch schwache Passwörter verwundbar

  10. E-Mail

    Private Mails von Topmanagern Ziel von Phishing-Kampagne

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Sony Xperia
Sony Xperia XZ Premium im Test: Taschenspiegel mit übertrieben gutem Display
Sony Xperia XZ Premium im Test
Taschenspiegel mit übertrieben gutem Display
  1. Keine Entschädigung Gericht sieht mobiles Internet nicht als lebenswichtig an
  2. LTE Deutsche Telekom führt HD Voice Plus ein
  3. Datenrate Vodafone bietet im LTE-Netz 500 MBit/s
Arduino
1Sheeld für Arduino angetestet: Sensor-Platine hat keine Sensoren und liefert doch Daten
1Sheeld für Arduino angetestet
Sensor-Platine hat keine Sensoren und liefert doch Daten
  1. Calliope Mini im Test Neuland lernt programmieren
  2. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  3. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
Wireless LAN
Mesh- und Bridge-Systeme in der Praxis: Mehr Access Points, mehr Spaß
Mesh- und Bridge-Systeme in der Praxis
Mehr Access Points, mehr Spaß
  1. Eero 2.0 Neues Mesh-WLAN-System kann sich auch per Kabel vernetzen
  2. BVG Fast alle Berliner U-Bahnhöfe haben offenes WLAN
  3. Broadcom-Sicherheitslücke Vom WLAN-Chip das Smartphone übernehmen
Forumsbeiträge »
  1. SteamVR Valve zeigt Knuckles-Controller

    Beim Controller sehe ich Oculus vorn

    burzum | 15:43

  2. Staatstrojaner Dein trojanischer Freund und Helfer

    Re: Ich seh schon die ersten Polizisten...

    Trockenobst | 15:41

  3. Twitch Medienanstalt droht mit Verfahren gegen Gronkh

    Re: Wundert mich auch

    root666 | 15:38

  4. Shawn Layden im Interview Sony setzt auf echte PS 5 statt auf Konsolenevolution

    Re: Konsolenevolution ist besser als echte ps5

    0xDEADC0DE | 15:32

  5. Netflix und Amazon Legale Streaming-Nutzung in Deutschland nimmt zu

    Re: Die Preise sind ja auch fair

    dopemanone | 15:31

Ticker »
  1. Star Trek Sprachsteuerung IBM Watson in Bridge Crew verfügbar

    15:30

  2. SteamVR Valve zeigt Knuckles-Controller

    14:33

  3. Netflix und Amazon Legale Streaming-Nutzung in Deutschland nimmt zu

    13:44

  4. Galaxy J7 (2017) Samsung-Smartphone hat zwei 13-Megapixel-Kameras

    13:16

  5. Zenscreen MB16AC Asus bringt 15,6-Zoll-USB-Monitor für unterwegs

    12:40

  6. Sonic the Hedgehog Sega veröffentlicht seine Spieleklassiker für Smartphones

    12:04

  7. Monster Hunter World angespielt Dicke Dinosauriertränen in 4K

    12:01

  8. Prime Reading Amazon startet dritte Lese-Flatrate in Deutschland

    11:59

  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  / 
    Zum Artikel