Abo
  • Services:

TLS 1.3: Die Zukunft der Netzverschlüsselung

Schwache Kryptographie raus, weniger Round-Trips und damit mehr Performance - und außerdem Schmierfett für zukünftige Protokollversionen und Erweiterungen: Die Version 1.3 des TLS-Verschlüsselungsprotokolls kommt bald.

Eine Analyse von Hanno Böck veröffentlicht am
Schluss mit alten, unsicheren Verschlüsselungsverfahren: TLS 1.3 räumt auf.
Schluss mit alten, unsicheren Verschlüsselungsverfahren: TLS 1.3 räumt auf. (Bild: PMRMaeyaert, Wikimedia Commons/CC-BY-SA 3.0)

Voraussichtlich Anfang 2017 wird es in Sachen Netzverschlüsselung eine große Neuerung geben: Nach neun Jahren wird die Internet Engineering Task Force (IETF) eine neue Version des Transport-Layer-Security-Protokolls (TLS) veröffentlichen. TLS ist das mit Abstand wichtigste Verschlüsselungsprotokoll, es wird beispielsweise genutzt, um die Übertragung von Webseiten via HTTPS abzusichern. Die Entwickler haben aus vielen Fehlern der Vergangenheit gelernt: Schwache und problematische kryptographische Konstruktionen fliegen raus, dafür gibt es mehr Performance.

Der Entwicklungsprozess von TLS 1.3 wurde getrieben durch eine ganze Reihe von Angriffen, die das bisherige TLS-Protokoll und dessen Vorgänger SSL betrafen. Den Anfang nahm diese Entwicklung mit dem Beast-Angriff, der 2011 entdeckt wurde. Was Beast und viele spätere Angriffe wie Crime, Lucky Thirteen, Triple Handshake und weitere gemeinsam haben: Es handelt sich nicht um Angriffe auf fehlerhafte Implementierungen - wie beispielsweise der Heartbleed-Bug -, sondern um Angriffe auf das Protokoll selbst.

Problematische Kombination von Verschlüsselung und Authentifizierung

Ein großes Problem der bisherigen TLS-Versionen war die Art und Weise, wie Verschlüsselung und Authentifizierung kombiniert werden. Die meisten älteren Verschlüsselungsverfahren in TLS nutzen für die Authentifizierung den HMAC-Algorithmus und zur Verschlüsselung ein Blockverschlüsselungsverfahren im CBC-Modus. Entscheidend ist hierbei die Reihenfolge: Zunächst wird mit HMAC ein Authentifizierungs-Tag berechnet und an die Daten angehängt, anschließend werden mittels Padding die Daten auf eine passende Blockgröße verlängert und verschlüsselt.

Diese Reihenfolge - MAC-then-Encrypt - erwies sich als fataler Fehler. 2002 fand der Kryptograph Sergey Vaudenay heraus, dass man diese Konstruktion angreifen kann, wenn der Server auf Fehler beim Padding und Fehler bei der MAC-Berechnung unterschiedlich antwortet. Doch selbst wenn der Server immer mit derselben Fehlermeldung antwortet, sind weiterhin Timing-Angriffe möglich. Die Entwickler der aktuellen TLS-Version 1.2 waren sich über dieses Problem im Klaren. In der Protokollbeschreibung steht, dass selbst wenn man die vorgeschlagenen Gegenmaßnahmen gegen Timing-Angriffe umsetze, weiterhin ein kleiner Timing-Unterschied übrig bleibe. Dieser sei aber vermutlich nicht ausnutzbar.

Stellenmarkt
  1. Diapharm GmbH & Co. KG, Frankfurt am Main
  2. Rübezahl Schokoladen GmbH, Dettingen/Teck

Das erwies sich als Fehleinschätzung. 2013 konnten die Sicherheitsexperten Nadhem Alfardan und Kenny Paterson mit dem Lucky-Thirteen-Angriff zeigen, dass sich selbst kleinste Zeitunterschiede ausnutzen lassen. Es ist zwar möglich, Gegenmaßnahmen gegen Lucky Thirteen zu implementieren, aber das macht den Code deutlich komplexer. In OpenSSL führte ein Fehler bei den Gegenmaßnahmen dazu, dass eine andere Variante des Padding-Oracle-Angriffs ermöglicht wurde. Paterson konnte zudem mehrfach zeigen, dass in verschiedenen Implementierungen die Gegenmaßnahmen gegen Lucky Thirteen fehlerhaft implementiert wurden.

Besonders bitter: Nach Lucky Thirteen wechselten viele TLS-Server zur Verschlüsselung mittels des RC4-Stromverschlüsselungsverfahrens, da dies von derartigen Angriffen nicht betroffen war. Allerdings war schon länger bekannt, dass RC4 eine andere Schwäche hat: Bestimmte Bits im Schlüsselstrom von RC4 haben Biases, das bedeutet, dass eine Eins wahrscheinlicher ist als eine Null oder andersherum. Diese Biases ließen sich ebenfalls in TLS angreifen, wie mehrere Kryptographen 2013 zeigten. Gegen die RC4-Angriffe gibt es keine Gegenmaßnahmen, daher wurde dieser Algorithmus inzwischen untersagt.

Nur noch authentifizierte Verschlüsselung

Um Probleme wie die Padding-Oracle-Angriffe und ähnliche Schwächen grundsätzlich zu vermeiden, gibt es authentifizierte Verschlüsselungsmodi (AEAD, Authenticated Encryption with Additional Data). Diese Verschlüsselungsarten kombinieren Verschlüsselung und Authentifizierung in einer standardisierten Operation. TLS 1.2 unterstützte bereits das authentifizierte Verschlüsselungsverfahren Galois/Counter Mode (GCM), später kam das Verfahren Chacha20-Poly1305 hinzu. In TLS 1.3 werden ausschließlich diese authentifizierten Verschlüsselungsverfahren unterstützt.

Doch auch das GCM-Verfahren hat eine Schwäche, die mit TLS 1.3 behoben wurde. Zur Verschlüsselung mit GCM wird ein sogenannter Nonce-Wert benötigt. Nonce steht dabei für "Number used Once", also eine Zahl, die nur einmal genutzt wird. In TLS 1.2 bleibt es dem Programmierer überlassen, wie er den Nonce-Wert wählt. Das kann zu fatalen Fehlern führen: Wenn derselbe Nonce-Wert mehrmals genutzt wird, ist die Sicherheit der Verbindung dahin. Einige Enterprise-Appliances waren genau von diesem Problem betroffen - an der Entdeckung dieses Problems war der Autor dieses Artikels beteiligt. In TLS 1.3 wird der Nonce nicht mehr durch die Implementierung bestimmt, sondern implizit durch das Protokoll vorgegeben. Daher sind derartige Fehler von vornherein nicht mehr möglich.

Kompression fliegt raus

Als sehr problematisch hat sich die Kompression von Daten vor der Verschlüsselung erwiesen. Die Kompressionsfunktion von TLS war Grundlage des Crime-Angriffs. In TLS 1.3 ist die sowieso selten verwendete TLS-Kompression daher nicht mehr vorhanden.

Doch damit ist das Thema nicht erledigt. Nach Crime gab es weitere Angriffe, die die Kompressionsfunktion von HTTP ausnutzen. Allerdings kann man auf der TLS-Ebene gegen derartige Angriffe nichts unternehmen, das muss in den darunterliegenden Protokollen geschehen.

Forward Secrecy zu sicher für die Banken 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6.  


Anzeige
Blu-ray-Angebote
  1. 9,99€
  2. ab je 2,49€ kaufen

Elwedritsche 16. Dez 2016

...kann ich nur zustimmen!

Anonymer Nutzer 14. Dez 2016

das gilt natürlich auch für apache. die api von openssl 1.0 zu 1.1 hat sich grundlegend...


Folgen Sie uns
       


Lenovo Moto G6 - Test

Bei einem Smartphone für 250 Euro müssen sich Käufer oft auf Kompromisse einstellen. Beim Moto G6 halten sie sich aber in Grenzen.

Lenovo Moto G6 - Test Video aufrufen
Gesetzesvorschlag: Regierung fordert Duldung privater Ladesäulen
Gesetzesvorschlag
Regierung fordert Duldung privater Ladesäulen

Die Bundesregierung hat ihren Entwurf zur Förderung privater Ladestationen für Elektroautos vorgelegt. Sowohl Mieter als auch Eigentümer erhalten damit einen gesetzlichen Anspruch. Aber es kann sehr teuer werden.
Ein Bericht von Friedhelm Greis

  1. Sono Motors Elektroauto Sion für 16.000 Euro schon 7.000 Mal reserviert
  2. Elektromobilität iEV X ist ein Ausziehelektroauto
  3. Elektroautos Bundesrechnungshof hält Kaufprämie für unwirksam

Threadripper 2990WX und 2950X im Test: Viel hilft nicht immer viel
Threadripper 2990WX und 2950X im Test
Viel hilft nicht immer viel

Für Workstations: AMDs Threadripper 2990WX mit 32 Kernen schlägt Intels ähnlich teure 18-Core-CPU klar und der günstigere Threadripper 2950X hält noch mit. Für das Ryzen-Topmodell muss aber die Software angepasst sein und sie darf nicht zu viel Datentransferrate benötigen.
Ein Test von Marc Sauter

  1. Threadripper 2990X AMDs 32-Kerner soll mit 4,2 GHz laufen
  2. AMD Threadripper v2 mit 32 Kernen erscheint im Sommer 2018
  3. Raven Ridge AMDs Athlon kehrt zurück

IT-Jobs: Achtung! Agiler Coach gesucht?
IT-Jobs
Achtung! Agiler Coach gesucht?

Überall werden sie gesucht, um den digitalen Wandel voranzutreiben: agile Coaches. In den Jobbeschreibungen warten spannende Aufgaben, jedoch müssen Bewerber aufpassen, dass sie die richtigen Fragen stellen, wenn sie etwas bewegen möchten.
Von Marvin Engel

  1. Wework Die Kaffeeautomatisierung des Lebens
  2. IT-Jobs Fünf neue Mitarbeiter in fünf Wochen?
  3. Frauen in IT-Berufen Programmierte Klischees

    •  /