Abo
  • Services:

Versionsintoleranz und Schmierfett

Ein Problem, das bisher bei jeder neuen TLS-Version auftauchte, hängt mit der Aushandlung der TLS-Version zusammen. Bei einem TLS-Handshake sendet der Client die höchste TLS-Version, die er unterstützt. Aktuell wäre das etwa in der Regel TLS 1.2. Doch damit sich ein Client auch mit Servern verbinden kann, die nur ältere TLS-Protokollversionen unterstützen, kann der Server auch mit einer niedrigeren Protokollversion antworten, etwa TLS 1.0.

Stellenmarkt
  1. Technische Universität Berlin, Berlin
  2. EUROIMMUN AG, Dassow

Das Problem: Obwohl dieses Versionsaushandlungsverfahren relativ simpel ist, schlampen viele Server dabei. Bei Verbindungen mit höheren TLS-Versionen brechen sie die Verbindung ab, senden einen Fehler oder produzieren einen Timeout. Dieses Verhalten wird als Versionsintoleranz bezeichnet.

Um auch mit solch fehlerhaften Servern eine Verbindung zu ermöglichen, haben die Browserhersteller Fallbacks implementiert. Schlug eine Verbindung mit TLS 1.2 fehl, versuchten sie es erneut mit TLS 1.1, danach mit TLS 1.0 und danach häufig sogar mit dem Uraltprotokoll SSL Version 3.

Diese Fallbacks führten jedoch zu einer ganzen Reihe von Problemen. Zunächst einmal traten sie manchmal auch bei schlechten Netzverbindungen auf. Das führte dazu, dass neuere Protokollfeatures gelegentlich nicht funktionierten. Beispielsweise ermöglicht die TLS-Erweiterung Server Name Indication seit TLS 1.0, dass auf derselben IP mehrere Hosts mit verschiedenen Hostnamen und Zertifikaten betrieben werden. Doch wenn ein Fallback die Verbindung auf SSL Version 3 reduziert, erhält der Nutzer das falsche Zertifikat.

Protokoll-Downgrades können auch zu Sicherheitsproblemen werden. Der erste Angriff, der auf Protokolldowngrades basierte, war 2014 der sogenannte Virtual-Host-Confusion-Angriff von Antoine Delignat-Lavaud. Auch der Ende 2014 entdeckte Poodle-Angriff nutzte die Protokoll-Downgrades.

Nach Poodle hatten die meisten Browser daher diese Downgrades entfernt. Doch zunächst sah es so aus, als würden die Protokolldowngrades mit TLS 1.3 ein Comeback erleben: Trotz dieser ganzen Sicherheitslücken und Fehler in der Vergangenheit haben viele Hersteller offenbar nichts gelernt. Eine ganze Reihe von Servern reagierte fehlerhaft auf Verbindungsversuche mit TLS 1.3 - darunter Webseiten von IT-Größen wie Apple, Ebay oder Paypal.

IBM, Cisco und Citrix mit defekten TLS-Implementierungen

Der Autor dieses Artikels versuchte im Sommer 2016, einige der Hersteller, die für diese defekten TLS-Implementierungen verantwortlich waren, zu kontaktieren, darunter Cisco, Citrix und IBM. Die Reaktionen auf die Meldung dieses Problems waren verhalten. IBM teilte mit, dass es bereits zu spät sei, dieses Problem im nächsten Versionsupdate zu beheben. Erst die übernächste Version - irgendwann 2017 - werde einen Fix enthalten. Cisco verweigerte einen Fix komplett, da das Ganze nur Geräte betraf, die nicht mehr unterstützt wurden. Citrix bestätigte zwar das Problem, sagte aber nicht, wann man einen Fix bereitstellen werde. Apple und Ebay antworteten auf Anfragen überhaupt nicht, Paypal teilte lediglich mit, dass derartige Probleme nicht Teil des Bug-Bounty-Programms der Firma seien.

Google-Entwickler David Benjamin schlug vor, das Problem der Versionsintoleranz durch ein neues Versionsaushandlungsverfahren zu umgehen. Benjamins Vorschlag sieht vor, dass künftig die unterstützten TLS-Versionen durch eine Erweiterung im Handshake mitgeteilt werden. Unbekannte TLS-Erweiterungen werden von Servern ignoriert. Theoretisch könnte ein Server auch in so einem Fall fehlerhaft reagieren, aber das kommt deutlich seltener vor. Der Grund dafür dürfte sein, dass neue TLS-Erweiterungen häufiger eingeführt werden als neue TLS-Versionen.

Dieser neue Mechanismus würde zwar für TLS 1.3 mit ziemlicher Sicherheit funktionieren, aber bei künftigen Versionen könnte sich ein ähnliches Problem ergeben: Server, die TLS 1.3 implementieren, könnten die Versionserweiterung auswerten und eine Verbindung ablehnen, wenn dort eine ihnen unbekannte Version auftaucht.

Schmierfett gegen unfähige Hersteller

Um solche Fehler auch zukünftig zu vermeiden hat Benjamin das Grease-Verfahren entwickelt (Generate Random Extensions And Sustain Extensibility). Man müsse verhindern, dass Protokollimplementierungen rosten und sie deswegen regelmäßig mit Schmierfett behandeln. Die Idee ist simpel: Browser und andere Clients können gelegentlich bestimmte reservierte Nonsens-Versionsnummern mit dem TLS-Handshake mitschicken. Auch für TLS-Erweiterungen und Verschlüsselungsverfahren sind Grease-Werte reserviert.

Ein Server muss unbekannte Werte in all diesen Fällen ignorieren. Falls ein Server auf unbekannte Werte mit einem Fehler reagiert, würde dies früh auffallen, da Verbindungen fehlschlagen. Somit soll verhindert werden, dass derartige fehlerhafte Implementierungen überhaupt Verbreitung finden.

Ein Schlupfloch für dumme Implementierungen bleibt: Entwickler einer TLS-Servers könnten zwar die vordefinierten Grease-Werte ignorieren, aber bei allen anderen Werten weiterhin einen Fehler produzieren. Dafür müssten sie aber schon das Protokoll lesen und gleichzeitig komplett missverstehen - oder absichtlich derartige Fehler einbauen.

 Handshake mit einem oder mit null Round-TripsTLS 1.3 oder doch TLS 4? 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Top-Angebote
  1. 65,99€ + Versand oder Marktabholung
  2. 54€
  3. (aktuell u. a. Corsair GLAIVE RGB als neuwertiger Outlet-Artikel für 34,99€ + Versand statt ca...
  4. 59,90€ (Bestpreis!)

Elwedritsche 16. Dez 2016

...kann ich nur zustimmen!

Anonymer Nutzer 14. Dez 2016

das gilt natürlich auch für apache. die api von openssl 1.0 zu 1.1 hat sich grundlegend...


Folgen Sie uns
       


Far Cry New Dawn - Test

Far Cry New Dawn ist eine wesentlich rundere und damit spaßigere Version von Far Cry 5 - wenn man über den Ingame-Shop hinwegsieht.

Far Cry New Dawn - Test Video aufrufen
Thyssen-Krupp Testturm Rottweil: Herr Fetzer parkt die Aufzugkabine um
Thyssen-Krupp Testturm Rottweil
Herr Fetzer parkt die Aufzugkabine um

Ohne Aufzüge gäbe es keine Hochhäuser. Aber inzwischen sind Wolkenkratzer zu hoch für herkömmliche Systeme. Thyssen-Krupp testet derzeit einen neuartigen Aufzug, der beliebig hoch fahren kann. Inspiriert ist er vom Paternoster und dem Transrapid. Wir waren im Testturm.
Ein Bericht von Werner Pluta

  1. Ceramic Speed Hätte, hätte - Fahrrad ohne Kette
  2. Geheimdienste und Bundeswehr Masterstudiengang für Staatshacker gestartet
  3. Sonitus Technologies Zahnmikrofon sorgt für klare Kommunikation

Next Generation Car: Das Fahrzeug der Zukunft ist modular
Next Generation Car
Das Fahrzeug der Zukunft ist modular

Ein Fahrzeug braucht eine Kabine und einen Antrieb. Müssen aber beide eine fest verbundene Einheit sein? Forscher des DLR arbeiten an verschiedenen Konzepten für das Auto der Zukunft. Eines davon ist ein modulares Fahrzeug, das für verschiedene Zwecke eingesetzt werden kann.
Von Werner Pluta

  1. DLR Phylax erkennt Sprengstoffreste per Laser
  2. Raumfahrt DLR testet 3D-gedrucktes Raketentriebwerk
  3. Eden ISS Raumfahrt-Salat für Antarktis-Bewohner

Flugzeugabsturz: Boeing 737 MAX geht wegen Softwarefehler außer Betrieb
Flugzeugabsturz
Boeing 737 MAX geht wegen Softwarefehler außer Betrieb

Wegen eines bekannten Softwarefehlers wird der Flugbetrieb für Boeings neustes Flugzeug fast weltweit eingestellt - Die letzte Ausnahme war: die USA. Der Umgang der amerikanischen Flugaufsichtsbehörde mit den Problemen des neuen Flugzeugs erscheint zweifelhaft.

  1. Boeing Rollout der neuen 777X in wenigen Tagen
  2. Boeing 747 Der Jumbo Jet wird 50 Jahre alt
  3. Lufttaxi Uber sucht eine weitere Stadt für Uber-Air-Test

    •  /