Abo
  • Services:

TLS 1.3: Die Zukunft der Netzverschlüsselung

Schwache Kryptographie raus, weniger Round-Trips und damit mehr Performance - und außerdem Schmierfett für zukünftige Protokollversionen und Erweiterungen: Die Version 1.3 des TLS-Verschlüsselungsprotokolls kommt bald.

Eine Analyse von Hanno Böck veröffentlicht am
Schluss mit alten, unsicheren Verschlüsselungsverfahren: TLS 1.3 räumt auf.
Schluss mit alten, unsicheren Verschlüsselungsverfahren: TLS 1.3 räumt auf. (Bild: PMRMaeyaert, Wikimedia Commons/CC-BY-SA 3.0)

Voraussichtlich Anfang 2017 wird es in Sachen Netzverschlüsselung eine große Neuerung geben: Nach neun Jahren wird die Internet Engineering Task Force (IETF) eine neue Version des Transport-Layer-Security-Protokolls (TLS) veröffentlichen. TLS ist das mit Abstand wichtigste Verschlüsselungsprotokoll, es wird beispielsweise genutzt, um die Übertragung von Webseiten via HTTPS abzusichern. Die Entwickler haben aus vielen Fehlern der Vergangenheit gelernt: Schwache und problematische kryptographische Konstruktionen fliegen raus, dafür gibt es mehr Performance.

Der Entwicklungsprozess von TLS 1.3 wurde getrieben durch eine ganze Reihe von Angriffen, die das bisherige TLS-Protokoll und dessen Vorgänger SSL betrafen. Den Anfang nahm diese Entwicklung mit dem Beast-Angriff, der 2011 entdeckt wurde. Was Beast und viele spätere Angriffe wie Crime, Lucky Thirteen, Triple Handshake und weitere gemeinsam haben: Es handelt sich nicht um Angriffe auf fehlerhafte Implementierungen - wie beispielsweise der Heartbleed-Bug -, sondern um Angriffe auf das Protokoll selbst.

Problematische Kombination von Verschlüsselung und Authentifizierung

Ein großes Problem der bisherigen TLS-Versionen war die Art und Weise, wie Verschlüsselung und Authentifizierung kombiniert werden. Die meisten älteren Verschlüsselungsverfahren in TLS nutzen für die Authentifizierung den HMAC-Algorithmus und zur Verschlüsselung ein Blockverschlüsselungsverfahren im CBC-Modus. Entscheidend ist hierbei die Reihenfolge: Zunächst wird mit HMAC ein Authentifizierungs-Tag berechnet und an die Daten angehängt, anschließend werden mittels Padding die Daten auf eine passende Blockgröße verlängert und verschlüsselt.

Diese Reihenfolge - MAC-then-Encrypt - erwies sich als fataler Fehler. 2002 fand der Kryptograph Sergey Vaudenay heraus, dass man diese Konstruktion angreifen kann, wenn der Server auf Fehler beim Padding und Fehler bei der MAC-Berechnung unterschiedlich antwortet. Doch selbst wenn der Server immer mit derselben Fehlermeldung antwortet, sind weiterhin Timing-Angriffe möglich. Die Entwickler der aktuellen TLS-Version 1.2 waren sich über dieses Problem im Klaren. In der Protokollbeschreibung steht, dass selbst wenn man die vorgeschlagenen Gegenmaßnahmen gegen Timing-Angriffe umsetze, weiterhin ein kleiner Timing-Unterschied übrig bleibe. Dieser sei aber vermutlich nicht ausnutzbar.

Stellenmarkt
  1. über Dr. Maier & Partner GmbH Executive Search, österreichische Alpenregion
  2. DIEBOLD NIXDORF, Paderborn

Das erwies sich als Fehleinschätzung. 2013 konnten die Sicherheitsexperten Nadhem Alfardan und Kenny Paterson mit dem Lucky-Thirteen-Angriff zeigen, dass sich selbst kleinste Zeitunterschiede ausnutzen lassen. Es ist zwar möglich, Gegenmaßnahmen gegen Lucky Thirteen zu implementieren, aber das macht den Code deutlich komplexer. In OpenSSL führte ein Fehler bei den Gegenmaßnahmen dazu, dass eine andere Variante des Padding-Oracle-Angriffs ermöglicht wurde. Paterson konnte zudem mehrfach zeigen, dass in verschiedenen Implementierungen die Gegenmaßnahmen gegen Lucky Thirteen fehlerhaft implementiert wurden.

Besonders bitter: Nach Lucky Thirteen wechselten viele TLS-Server zur Verschlüsselung mittels des RC4-Stromverschlüsselungsverfahrens, da dies von derartigen Angriffen nicht betroffen war. Allerdings war schon länger bekannt, dass RC4 eine andere Schwäche hat: Bestimmte Bits im Schlüsselstrom von RC4 haben Biases, das bedeutet, dass eine Eins wahrscheinlicher ist als eine Null oder andersherum. Diese Biases ließen sich ebenfalls in TLS angreifen, wie mehrere Kryptographen 2013 zeigten. Gegen die RC4-Angriffe gibt es keine Gegenmaßnahmen, daher wurde dieser Algorithmus inzwischen untersagt.

Nur noch authentifizierte Verschlüsselung

Um Probleme wie die Padding-Oracle-Angriffe und ähnliche Schwächen grundsätzlich zu vermeiden, gibt es authentifizierte Verschlüsselungsmodi (AEAD, Authenticated Encryption with Additional Data). Diese Verschlüsselungsarten kombinieren Verschlüsselung und Authentifizierung in einer standardisierten Operation. TLS 1.2 unterstützte bereits das authentifizierte Verschlüsselungsverfahren Galois/Counter Mode (GCM), später kam das Verfahren Chacha20-Poly1305 hinzu. In TLS 1.3 werden ausschließlich diese authentifizierten Verschlüsselungsverfahren unterstützt.

Doch auch das GCM-Verfahren hat eine Schwäche, die mit TLS 1.3 behoben wurde. Zur Verschlüsselung mit GCM wird ein sogenannter Nonce-Wert benötigt. Nonce steht dabei für "Number used Once", also eine Zahl, die nur einmal genutzt wird. In TLS 1.2 bleibt es dem Programmierer überlassen, wie er den Nonce-Wert wählt. Das kann zu fatalen Fehlern führen: Wenn derselbe Nonce-Wert mehrmals genutzt wird, ist die Sicherheit der Verbindung dahin. Einige Enterprise-Appliances waren genau von diesem Problem betroffen - an der Entdeckung dieses Problems war der Autor dieses Artikels beteiligt. In TLS 1.3 wird der Nonce nicht mehr durch die Implementierung bestimmt, sondern implizit durch das Protokoll vorgegeben. Daher sind derartige Fehler von vornherein nicht mehr möglich.

Kompression fliegt raus

Als sehr problematisch hat sich die Kompression von Daten vor der Verschlüsselung erwiesen. Die Kompressionsfunktion von TLS war Grundlage des Crime-Angriffs. In TLS 1.3 ist die sowieso selten verwendete TLS-Kompression daher nicht mehr vorhanden.

Doch damit ist das Thema nicht erledigt. Nach Crime gab es weitere Angriffe, die die Kompressionsfunktion von HTTP ausnutzen. Allerdings kann man auf der TLS-Ebene gegen derartige Angriffe nichts unternehmen, das muss in den darunterliegenden Protokollen geschehen.

Forward Secrecy zu sicher für die Banken 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6.  


Anzeige
Top-Angebote
  1. (-88%) 2,49€
  2. (-77%) 11,49€
  3. 111€
  4. 55,11€ (Bestpreis!)

Elwedritsche 16. Dez 2016

...kann ich nur zustimmen!

bjs 14. Dez 2016

das gilt natürlich auch für apache. die api von openssl 1.0 zu 1.1 hat sich grundlegend...


Folgen Sie uns
       


PC Building Simulator - Test

Der PC Building Simulator stellt sich im Test als langweiliges Spiel, aber gutes Product Placement heraus - inklusive falscher Informationen und Grafikfehlern.

PC Building Simulator - Test Video aufrufen
P20 Pro im Kameratest: Huaweis Dreifach-Kamera schlägt die Konkurrenz
P20 Pro im Kameratest
Huaweis Dreifach-Kamera schlägt die Konkurrenz

Mit dem P20 Pro will Huawei sich an die Spitze der Smartphone-Kameras katapultieren. Im Vergleich mit der aktuellen Konkurrenz zeigt sich, dass das P20 Pro tatsächlich über eine sehr gute Kamera verfügt: Die KI-Funktionen können unerfahrenen Nutzern zudem das Fotografieren erleichtern.
Ein Test von Tobias Költzsch

  1. Android Huawei präsentiert drei neue Smartphones ab 120 Euro
  2. Wie Samsung Huawei soll noch für dieses Jahr faltbares Smartphone planen
  3. Porsche Design Mate RS Huawei bringt 512-GByte-Smartphone für 2.100 Euro

Dell XPS 13 (9370) im Test: Sehr gut ist nicht besser
Dell XPS 13 (9370) im Test
Sehr gut ist nicht besser

Mit dem XPS 13 (9370) hat Dell sein bisher exzellentes Ultrabook in nahezu allen Bereichen überarbeitet - und es teilweise verschlechtert. Der Akku etwa ist kleiner, das spiegelnde Display nervt. Dafür überzeugen die USB-C-Ports, die Kühlung sowie die Tastatur, und die Webcam wurde sinnvoller.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ultrabook Dell hat das XPS 13 ruiniert
  2. XPS 13 (9370) Dells Ultrabook wird dünner und läuft kürzer
  3. Ultrabook Dell aktualisiert XPS 13 mit Quadcore-Chip

NUC8i7HVK (Hades Canyon) im Test: Intels Monster-Mini mit Radeon-Grafikeinheit
NUC8i7HVK (Hades Canyon) im Test
Intels Monster-Mini mit Radeon-Grafikeinheit

Unter dem leuchtenden Schädel steckt der bisher schnellste NUC: Der buchgroße Hades Canyon kombiniert einen Intel-Quadcore mit AMDs Vega-GPU und strotzt förmlich vor Anschlüssen. Obendrein ist er recht leise und eignet sich für VR - selten hat uns ein System so gut gefallen.
Ein Test von Marc Sauter und Sebastian Grüner

  1. NUC7CJYS und NUC7PJYH Intel bringt Atom-betriebene Mini-PCs
  2. NUC8 Intels Mini-PC hat mächtig viel Leistung
  3. Hades Canyon Intel bringt NUC mit dedizierter GPU

    •  /