Abo
  • Services:
Anzeige
Schluss mit alten, unsicheren Verschlüsselungsverfahren: TLS 1.3 räumt auf.
Schluss mit alten, unsicheren Verschlüsselungsverfahren: TLS 1.3 räumt auf. (Bild: PMRMaeyaert, Wikimedia Commons/CC-BY-SA 3.0)

Handshake mit einem oder mit null Round-Trips

Der Handshake von TLS erforderte bisher zwei volle Round-Trips, bevor Daten gesendet werden können. TLS 1.3 optimiert den Protokollverlauf und verhindert dabei einen kompletten Round-Trip. Bei der ersten Verbindung mit einem TLS-Host können also deutlich früher Daten gesendet werden. Das Single-Round-Trip-Verfahren dürfte jenseits der Sicherheitsgewinne einer der größten Anreize sein, TLS 1.3 zu implementieren.

Anzeige

TLS 1.3 sieht auch eine noch schnellere Variante vor, ein Zero-Round-Trip-Verfahren (0-RTT), mit dem der Client direkt Daten an den Server schicken kann. Dieses Zero-Round-Trip-Verfahren funktioniert nur, wenn Server und Client bereits vorher eine Verbindung aufgebaut haben. Der Verbindungsschlüssel wird dabei aus dem Schlüssel der vorigen Verbindung berechnet.

Neue Angriffe durch Zero-Round-Trip-Handshake?

Doch dieses 0-RTT-Verfahren hat auch Bedenken hervorgerufen, es könne Replay-Angriffe ermöglichen. Denkbar wäre etwa eine Situation, in der ein Server eine bestimmte Aktion auf Anweisung eines Clients durchführt, etwa einen Geldtransfer. Ein Angreifer könnte das Datenpaket für diese Aktion mitlesen und erneut an den Server schicken - und somit die Aktion mehrfach ausführen.

Um solche Replay-Angriffe zu vermeiden, darf das Zero-Round-Trip-Verfahren nur für Aktionen eingesetzt werden, die den Status auf dem Server nicht ändern. Unproblematisch ist es etwa für normale Webseitenabrufe, bei denen der Client nur Daten anfordert, aber dem Server nichts mitteilt. Doch damit dies korrekt funktioniert, muss die Applikationslogik mit der TLS-Implementierung kommunizieren und entsprechend unterschiedliche Anfragen unterschiedlich behandeln. Das widerspricht der Idee, TLS als separaten Layer zu betrachten, der auf bestehende Protokolle aufgesetzt werden kann.

Bei allen Protokollen und Applikationen, die eine solch enge Verzahnung von TLS und Applikationslogik nicht gewährleisten können, sollte man auf den Zero-Round-Trip-Handshake trotz der Performancevorteile besser verzichten.

Formale Verifikation hilft beim Protokolldesign

Eine ganze Reihe der TLS-Angriffe, die in den vergangenen Jahren veröffentlicht wurden, geht zurück auf ein Team des Kryptographen Karthik Bhargavan, der am französischen Forschungsinstitut Inria das Prosecco-Team (Programming Securely with Cryptography) leitet.

Die Forscher von Inria haben in den vergangenen Jahren das TLS-Protokoll mit formalen mathematischen Methoden analysiert und konnten bestimmte Sicherheitseigenschaften beweisen. Außerdem erstellten sie eine formal verifizierte Implementierung namens miTLS in der Programmiersprache F#. Die Inria-Forscher waren permanent an der Diskussion um TLS 1.3 beteiligt und analysierten das Design des neuen Protokolls, um die bekannten Angriffe zu verhindern.

Diese Arbeiten führten etwa dazu, dass künftig mehr Daten des Handshakes signiert werden. Außerdem wurde die Berechnung des sogenannten Pre Master Secrets, aus dem der Sitzungsschlüssel abgeleitet wird, neu gestaltet. Hintergrund dafür war der sogenannte Triple-Handshake-Angriff.

Mit dem SLOTH-Angriff zeigten die Inria-Forscher zudem die Risiken von schwachen Hashverfahren wie MD5 und SHA-1. Der Sweet32-Angriff zeigte Schwächen des veralteten Triple-DES-Verfahrens, das mit einer kleinen Blockgröße von 64 Bit arbeitet. All diese alten Verfahren sind in TLS 1.3 nicht mehr nutzbar.

 Forward Secrecy zu sicher für die BankenVersionsintoleranz und Schmierfett 

eye home zur Startseite
Elwedritsche 16. Dez 2016

...kann ich nur zustimmen!

bjs 14. Dez 2016

das gilt natürlich auch für apache. die api von openssl 1.0 zu 1.1 hat sich grundlegend...



Anzeige

Stellenmarkt
  1. SYNLAB Holding Deutschland GmbH, Leinfelden-Echterdingen
  2. Bundesinstitut für Risikobewertung (BfR), Berlin
  3. Daimler AG, Leinfelden-Echterdingen
  4. DRÄXLMAIER Group, Vilsbiburg bei Landshut


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)
  2. 74,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Firefox

    Mozilla verärgert Nutzer mit ungefragter Addon-Installation

  2. Knights Mill

    Intel hat drei Xeon Phi für Deep Learning

  3. Windows 10

    Kritische Lücke in vorinstalliertem Passwortmanager

  4. Kaufberatung

    Die richtige CPU und Grafikkarte

  5. Bandai Namco

    Black Clover und andere Anime-Neuheiten

  6. Panono

    Crowdfunder können Kamera zu Produktionskosten kaufen

  7. Elon Musk

    The Boring Company baut einen Tunnel in Maryland

  8. Chinesischer Anbieter

    NIO will Elektro-SUV mit Wechsel-Akku anbieten

  9. Chipkarten-Hersteller

    Thales übernimmt Gemalto

  10. Porsche

    Betriebsratschef will E-Mails in der Freizeit löschen lassen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
LG 32UD99-W im Test: Monitor mit beeindruckendem Bild - trotz unausgereiftem HDR
LG 32UD99-W im Test
Monitor mit beeindruckendem Bild - trotz unausgereiftem HDR
  1. Android-Updates Krack-Patches für Android, aber nicht für Pixel-Telefone
  2. Check Point LGs smarter Staubsauger lässt sich heimlich fernsteuern

Vorratsdatenspeicherung: Die Groko funktioniert schon wieder
Vorratsdatenspeicherung
Die Groko funktioniert schon wieder
  1. Dieselgipfel Regierung fördert Elektrobusse mit 80 Prozent
  2. Gutachten Quote für E-Autos und Stop der Diesel-Subventionen gefordert
  3. Sackgasse EU-Industriekommissarin sieht Diesel am Ende

2-Minuten-Counter gegen Schwarzfahrer: Das sekundengenaue Handyticket ist möglich
2-Minuten-Counter gegen Schwarzfahrer
Das sekundengenaue Handyticket ist möglich

  1. Re: Irgendwie glaube ich der Telekom nicht.

    atikalz | 13:54

  2. Re: Ich fühle mich nun wirklich sicher!

    Hotohori | 13:54

  3. Freiwillige Option

    kellyjelly | 13:53

  4. Re: Crapware als Finanzierungsmodell

    DerNik | 13:52

  5. Re: Warum?

    kendon | 13:52


  1. 13:35

  2. 12:49

  3. 12:32

  4. 12:00

  5. 11:57

  6. 11:26

  7. 11:00

  8. 10:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel