Abo
  • Services:

TLS 1.3: Die Zukunft der Netzverschlüsselung

Schwache Kryptographie raus, weniger Round-Trips und damit mehr Performance - und außerdem Schmierfett für zukünftige Protokollversionen und Erweiterungen: Die Version 1.3 des TLS-Verschlüsselungsprotokolls kommt bald.

Eine Analyse von Hanno Böck veröffentlicht am
Schluss mit alten, unsicheren Verschlüsselungsverfahren: TLS 1.3 räumt auf.
Schluss mit alten, unsicheren Verschlüsselungsverfahren: TLS 1.3 räumt auf. (Bild: PMRMaeyaert, Wikimedia Commons/CC-BY-SA 3.0)

Voraussichtlich Anfang 2017 wird es in Sachen Netzverschlüsselung eine große Neuerung geben: Nach neun Jahren wird die Internet Engineering Task Force (IETF) eine neue Version des Transport-Layer-Security-Protokolls (TLS) veröffentlichen. TLS ist das mit Abstand wichtigste Verschlüsselungsprotokoll, es wird beispielsweise genutzt, um die Übertragung von Webseiten via HTTPS abzusichern. Die Entwickler haben aus vielen Fehlern der Vergangenheit gelernt: Schwache und problematische kryptographische Konstruktionen fliegen raus, dafür gibt es mehr Performance.

Der Entwicklungsprozess von TLS 1.3 wurde getrieben durch eine ganze Reihe von Angriffen, die das bisherige TLS-Protokoll und dessen Vorgänger SSL betrafen. Den Anfang nahm diese Entwicklung mit dem Beast-Angriff, der 2011 entdeckt wurde. Was Beast und viele spätere Angriffe wie Crime, Lucky Thirteen, Triple Handshake und weitere gemeinsam haben: Es handelt sich nicht um Angriffe auf fehlerhafte Implementierungen - wie beispielsweise der Heartbleed-Bug -, sondern um Angriffe auf das Protokoll selbst.

Problematische Kombination von Verschlüsselung und Authentifizierung

Ein großes Problem der bisherigen TLS-Versionen war die Art und Weise, wie Verschlüsselung und Authentifizierung kombiniert werden. Die meisten älteren Verschlüsselungsverfahren in TLS nutzen für die Authentifizierung den HMAC-Algorithmus und zur Verschlüsselung ein Blockverschlüsselungsverfahren im CBC-Modus. Entscheidend ist hierbei die Reihenfolge: Zunächst wird mit HMAC ein Authentifizierungs-Tag berechnet und an die Daten angehängt, anschließend werden mittels Padding die Daten auf eine passende Blockgröße verlängert und verschlüsselt.

Diese Reihenfolge - MAC-then-Encrypt - erwies sich als fataler Fehler. 2002 fand der Kryptograph Sergey Vaudenay heraus, dass man diese Konstruktion angreifen kann, wenn der Server auf Fehler beim Padding und Fehler bei der MAC-Berechnung unterschiedlich antwortet. Doch selbst wenn der Server immer mit derselben Fehlermeldung antwortet, sind weiterhin Timing-Angriffe möglich. Die Entwickler der aktuellen TLS-Version 1.2 waren sich über dieses Problem im Klaren. In der Protokollbeschreibung steht, dass selbst wenn man die vorgeschlagenen Gegenmaßnahmen gegen Timing-Angriffe umsetze, weiterhin ein kleiner Timing-Unterschied übrig bleibe. Dieser sei aber vermutlich nicht ausnutzbar.

Stellenmarkt
  1. Diamant Software GmbH & Co. KG, Bielefeld
  2. comemso GmbH, Ostfildern bei Stuttgart

Das erwies sich als Fehleinschätzung. 2013 konnten die Sicherheitsexperten Nadhem Alfardan und Kenny Paterson mit dem Lucky-Thirteen-Angriff zeigen, dass sich selbst kleinste Zeitunterschiede ausnutzen lassen. Es ist zwar möglich, Gegenmaßnahmen gegen Lucky Thirteen zu implementieren, aber das macht den Code deutlich komplexer. In OpenSSL führte ein Fehler bei den Gegenmaßnahmen dazu, dass eine andere Variante des Padding-Oracle-Angriffs ermöglicht wurde. Paterson konnte zudem mehrfach zeigen, dass in verschiedenen Implementierungen die Gegenmaßnahmen gegen Lucky Thirteen fehlerhaft implementiert wurden.

Besonders bitter: Nach Lucky Thirteen wechselten viele TLS-Server zur Verschlüsselung mittels des RC4-Stromverschlüsselungsverfahrens, da dies von derartigen Angriffen nicht betroffen war. Allerdings war schon länger bekannt, dass RC4 eine andere Schwäche hat: Bestimmte Bits im Schlüsselstrom von RC4 haben Biases, das bedeutet, dass eine Eins wahrscheinlicher ist als eine Null oder andersherum. Diese Biases ließen sich ebenfalls in TLS angreifen, wie mehrere Kryptographen 2013 zeigten. Gegen die RC4-Angriffe gibt es keine Gegenmaßnahmen, daher wurde dieser Algorithmus inzwischen untersagt.

Nur noch authentifizierte Verschlüsselung

Um Probleme wie die Padding-Oracle-Angriffe und ähnliche Schwächen grundsätzlich zu vermeiden, gibt es authentifizierte Verschlüsselungsmodi (AEAD, Authenticated Encryption with Additional Data). Diese Verschlüsselungsarten kombinieren Verschlüsselung und Authentifizierung in einer standardisierten Operation. TLS 1.2 unterstützte bereits das authentifizierte Verschlüsselungsverfahren Galois/Counter Mode (GCM), später kam das Verfahren Chacha20-Poly1305 hinzu. In TLS 1.3 werden ausschließlich diese authentifizierten Verschlüsselungsverfahren unterstützt.

Doch auch das GCM-Verfahren hat eine Schwäche, die mit TLS 1.3 behoben wurde. Zur Verschlüsselung mit GCM wird ein sogenannter Nonce-Wert benötigt. Nonce steht dabei für "Number used Once", also eine Zahl, die nur einmal genutzt wird. In TLS 1.2 bleibt es dem Programmierer überlassen, wie er den Nonce-Wert wählt. Das kann zu fatalen Fehlern führen: Wenn derselbe Nonce-Wert mehrmals genutzt wird, ist die Sicherheit der Verbindung dahin. Einige Enterprise-Appliances waren genau von diesem Problem betroffen - an der Entdeckung dieses Problems war der Autor dieses Artikels beteiligt. In TLS 1.3 wird der Nonce nicht mehr durch die Implementierung bestimmt, sondern implizit durch das Protokoll vorgegeben. Daher sind derartige Fehler von vornherein nicht mehr möglich.

Kompression fliegt raus

Als sehr problematisch hat sich die Kompression von Daten vor der Verschlüsselung erwiesen. Die Kompressionsfunktion von TLS war Grundlage des Crime-Angriffs. In TLS 1.3 ist die sowieso selten verwendete TLS-Kompression daher nicht mehr vorhanden.

Doch damit ist das Thema nicht erledigt. Nach Crime gab es weitere Angriffe, die die Kompressionsfunktion von HTTP ausnutzen. Allerdings kann man auf der TLS-Ebene gegen derartige Angriffe nichts unternehmen, das muss in den darunterliegenden Protokollen geschehen.

Forward Secrecy zu sicher für die Banken 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6.  


Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)

Elwedritsche 16. Dez 2016

...kann ich nur zustimmen!

Anonymer Nutzer 14. Dez 2016

das gilt natürlich auch für apache. die api von openssl 1.0 zu 1.1 hat sich grundlegend...


Folgen Sie uns
       


Drahtlos bezahlen per App ausprobiert

In Deutschland können Smartphone-Besitzer jetzt unter anderem mit Google Pay und der Sparkassen-App Mobiles Bezahlen ihre Rechnungen begleichen. Wir haben die beiden Anwendungen im Alltag miteinander verglichen.

Drahtlos bezahlen per App ausprobiert Video aufrufen
Augmented Reality: Das AR-Fabrikgelände aus dem Smartphone
Augmented Reality
Das AR-Fabrikgelände aus dem Smartphone

Derzeit ist viel von einer Augmented Reality Cloud die Rede. Golem.de hat mit dem Berliner Startup Visualix über den Stand der Technik und künftige Projekte für Unternehmenskunden gesprochen - und darüber, was die Neuerungen für Pokémon Go bedeuten könnten.
Ein Interview von Achim Fehrenbach

  1. Jarvish Motorradhelm bringt Alexa in den Kopf
  2. Patentantrag Apple plant Augmented-Reality in der Windschutzscheibe
  3. Magic Leap Lumin OS Erste Bilder des Betriebssystems für Augmented Reality

Neuer Echo Dot im Test: Amazon kann doch gute Mini-Lautsprecher bauen
Neuer Echo Dot im Test
Amazon kann doch gute Mini-Lautsprecher bauen

Echo Dot steht bisher für muffigen, schlechten Klang. Mit dem neuen Modell zeigt Amazon, dass es doch gute smarte Mini-Lautsprecher mit dem Alexa-Sprachassistenten bauen kann, die sogar gegen die Konkurrenz von Google ankommen.
Ein Test von Ingo Pakalski


    Mate 20 Pro im Hands on: Huawei bringt drei Brennweiten und mehr für 1.000 Euro
    Mate 20 Pro im Hands on
    Huawei bringt drei Brennweiten und mehr für 1.000 Euro

    Huawei hat mit dem Mate 20 Pro seine Dreifachkamera überarbeitet: Der monochrome Sensor ist einer Ultraweitwinkelkamera gewichen. Gleichzeitig bietet das Smartphone zahlreiche technische Extras wie einen Fingerabdrucksensor unter dem Display und einen sehr leistungsfähigen Schnelllader.
    Ein Hands on von Tobias Költzsch

    1. Keine Spionagepanik Regierung wird chinesische 5G-Ausrüster nicht ausschließen
    2. Watch GT Huawei bringt Smartwatch ohne Wear OS auf den Markt
    3. Ascend 910/310 Huaweis AI-Chips sollen Google und Nvidia schlagen

      •  /