• IT-Karriere:
  • Services:

TCPcrypt: IETF veröffentlicht zwei RFCs zur TCP-Verschlüsselung

Das TCP überträgt Daten bislang unverschlüsselt. Die IETF hat nun zwei RFCs zur TCP-Verschlüsselung veröffentlicht. Diese sind als experimentell gekennzeichnet und dienen zur Dokumentation der Forschung.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin/
TCP kann auch verschlüsselt werden, wie erklären zwei experimentelle RFCs.
TCP kann auch verschlüsselt werden, wie erklären zwei experimentelle RFCs. (Bild: Robert, flickr.com/CC-BY 2.0)

Die Internet Engineering Task Force (IETF) hat zwei als experimentell gekennzeichnete RFC-Spezifikationen veröffentlicht, die darlegen, wie TCP-Verkehr verschlüsselt übertragen werden kann. Die Idee, TCP zu verschlüsseln, ist nicht neu. Der erste Entwurf bei der IETF dazu stammt von 2011, erstmals vorgestellt wurde das Projekt TCPcrypt auf der Usenix 2010. Nachdem das Projekt eine Weile schlief, nahm es nach den Enthüllungen von Edward Snowden 2013 und 2014 wieder an Fahrt auf.

Stellenmarkt
  1. Allianz Deutschland AG, München Unterföhring
  2. Schoeller Technocell GmbH & Co. KG, Osnabrück

Einer der Gründe, TCP nicht zu verschlüsseln, liegt laut RFC 8547 daran, dass ein Signaling-Mechanismus in vielen veralteten Protokollen fehlt. Diese können so nicht mitteilen, ob sie Verschlüsselung unterstützen oder nicht. Zugleich lassen sich viele Legacy-Anwendungen nicht nachträglich aktualisieren. Eine Verschlüsselung müsste daher nachträglich und transparent in die Transportschicht eingebaut werden.

Zwei RFCs für die TCP-Verschlüsselung

Die TCP Encryption Negotiation Option (TCP-ENO) löst laut dem RFC beide Probleme. Die neue Art von TCP-Option ermöglicht es, außer der Reihe und vollständig abwärtskompatibel einen Verhandlungsmechanismus für Verschlüsselung zu ergänzen. Dies kann inkrementell geschehen.

Ein Framework ermöglicht es zwei Endpunkten, das TCP Encryption Protocol zur Verschlüsselung der Verbindung zwischen beiden Endpunkten auszuhandeln. Mehrere TEPs sind möglich, was Anpassungen erlaubt, wenn sich die Verschlüsselungsanforderungen zukünftig ändern. Ist eine Seite nicht in der Lage zu verschlüsseln, findet keine Verschlüsselung statt. Die Details zu TCP-ENO liefert RFC 8547.

Zu TCP-ENO gehört wie erwähnt auch TCPcrypt, das TCP Encryption Protocol, das RFC 8548 definiert. Die Autoren des RFC weisen darauf hin, dass TCPcrypt friedlich mit so genannten Middleboxen koexistieren kann, weil es "Resegmentierungen, NATs sowie andere Modifikationen des TCP-Headers" toleriere.

Das Protokoll sei dabei recht selbstgenügsam, brauche also keine externen Abhängigkeiten wie etwa eine PKI, was unter anderem für den Einsatz in Kernel wichtig sei. Der Schlüsselaustausch erfordere aber bei Hosts, die sich noch nicht kennen, einen zusätzlichen Hop.

Moderne Crypto für TCP

Zentral für TCPcrypt ist zunächst eine Extract-Funktion, die einen Salt-Wert und sogenanntes Initial Keying Material (IKM) entgegennimmt, um einen pseudozufälligen Schlüssel zu generieren. Die Extract-Funktion gibt dann den Schlüssel aus. Aus diesem erzeugt eine kollisionsresistente pseudozufällige Funktion (CPRF) dann mehrere cryptografische Schlüssel sowie eine willkürliche Menge an Output Keying Material (OKM).

Die beiden genannten Funktionen nutzen die Extract- und Expand-Funktionen der Key Derivation Function (HKDF), die auf HMAC basiert (RFC 2104). Sind die Schlüssel ausgehandelt und ist eine Verbindung hergestellt, kümmert sich schließlich ein AEAD-Algorithmus (Authenticated Encryption with Associated Data) darum, die Vertraulichkeit und Integrität der übermittelten Anwendungsdaten zu gewährleisten.

Da die beiden RFC-Spezifikationen von der IETF explizit als experimentell gekennzeichnet sind, weisen diese nur den aktuellen Forschungsstand aus und sind damit nicht für den produktiven Einsatz gedacht. Ob es dazu überhaupt jemals kommt, ist derzeit auch nicht absehbar. Darüber hinaus arbeitet die IETF mit QUIC an einem neuartigen Protokoll, das einerseits als Ersatz von TCP in der Transportschicht dienen kann und andererseits standardmäßig verschlüsselt ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. Asus Rog Strix X570-F + Ryzen 7 3700X für 555,00€, Asus Tuf B450-Plus + Ryzen 7 2700 für...
  2. 555,55€ (zzgl. Versandkosten)

Theread 30. Mai 2019

Das stimmt so nicht. Quell und Zieladresse stehen im IP-Header und nur dieser wird für...


Folgen Sie uns
       


Microsoft Surface Pro X - Hands on

Schon beim ersten Ausprobieren wird klar: Das Surface Pro X ist ein sehr gutes Beispiel für ARM-Geräte mit Windows 10. Viele Funktionen wirken durchdacht - die Preisvorstellung gehört nicht dazu.

Microsoft Surface Pro X - Hands on Video aufrufen
Handelskrieg: Zartbittere Zeiten für Chinas Technikbranche
Handelskrieg
Zartbittere Zeiten für Chinas Technikbranche

"Bitterkeit essen" heißt es in China, wenn schlechte Zeiten überstanden werden müssen. Doch so schlimm wie Donald Trump es darstellt, wird der Handelskrieg mit den USA für Chinas Technikbranche wohl nicht werden.
Eine Analyse von Finn Mayer-Kuckuk

  1. Smarter Türöffner Nello One soll weiter nutzbar sein
  2. Bonaverde Berliner Kaffee-Startup meldet Insolvenz an
  3. Unitymedia Vodafone plant großen Stellenabbau in Deutschland

Need for Speed Heat im Test: Temporausch bei Tag und Nacht
Need for Speed Heat im Test
Temporausch bei Tag und Nacht

Extrem schnelle Verfolgungsjagden, eine offene Welt und viel Abwechslung dank Tag- und Nachtmodus: Mit dem Arcade-Rennspiel Heat hat Electronic Arts das beste Need for Speed seit langem veröffentlicht. Und das sogar ohne Mikrotransaktionen!
Von Peter Steinlechner

  1. Electronic Arts Need for Speed Heat saust durch Miami

In eigener Sache: Aktiv werden für Golem.de
In eigener Sache
Aktiv werden für Golem.de

Keine Werbung, kein unerwünschtes Tracking - kein Problem! Wer Golem.de-Inhalte pur nutzen möchte, hat neben dem Abo Golem pur jetzt eine weitere Möglichkeit, Golem.de zu unterstützen.

  1. Golem Akademie Von wegen rechtsfreier Raum!
  2. In eigener Sache Wie sich Unternehmen und Behörden für ITler attraktiv machen
  3. In eigener Sache Unser Kubernetes-Workshop kommt auf Touren

    •  /