Abo
  • Services:
Anzeige
Schluss mit alten, unsicheren Verschlüsselungsverfahren: TLS 1.3 räumt auf.
Schluss mit alten, unsicheren Verschlüsselungsverfahren: TLS 1.3 räumt auf. (Bild: PMRMaeyaert, Wikimedia Commons/CC-BY-SA 3.0)

TLS 1.3: Die Zukunft der Netzverschlüsselung

Schluss mit alten, unsicheren Verschlüsselungsverfahren: TLS 1.3 räumt auf.
Schluss mit alten, unsicheren Verschlüsselungsverfahren: TLS 1.3 räumt auf. (Bild: PMRMaeyaert, Wikimedia Commons/CC-BY-SA 3.0)

Schwache Kryptographie raus, weniger Round-Trips und damit mehr Performance - und außerdem Schmierfett für zukünftige Protokollversionen und Erweiterungen: Die Version 1.3 des TLS-Verschlüsselungsprotokolls kommt bald.
Eine Analyse von Hanno Böck

Voraussichtlich Anfang 2017 wird es in Sachen Netzverschlüsselung eine große Neuerung geben: Nach neun Jahren wird die Internet Engineering Task Force (IETF) eine neue Version des Transport-Layer-Security-Protokolls (TLS) veröffentlichen. TLS ist das mit Abstand wichtigste Verschlüsselungsprotokoll, es wird beispielsweise genutzt, um die Übertragung von Webseiten via HTTPS abzusichern. Die Entwickler haben aus vielen Fehlern der Vergangenheit gelernt: Schwache und problematische kryptographische Konstruktionen fliegen raus, dafür gibt es mehr Performance.

Anzeige

Der Entwicklungsprozess von TLS 1.3 wurde getrieben durch eine ganze Reihe von Angriffen, die das bisherige TLS-Protokoll und dessen Vorgänger SSL betrafen. Den Anfang nahm diese Entwicklung mit dem Beast-Angriff, der 2011 entdeckt wurde. Was Beast und viele spätere Angriffe wie Crime, Lucky Thirteen, Triple Handshake und weitere gemeinsam haben: Es handelt sich nicht um Angriffe auf fehlerhafte Implementierungen - wie beispielsweise der Heartbleed-Bug -, sondern um Angriffe auf das Protokoll selbst.

Problematische Kombination von Verschlüsselung und Authentifizierung

Ein großes Problem der bisherigen TLS-Versionen war die Art und Weise, wie Verschlüsselung und Authentifizierung kombiniert werden. Die meisten älteren Verschlüsselungsverfahren in TLS nutzen für die Authentifizierung den HMAC-Algorithmus und zur Verschlüsselung ein Blockverschlüsselungsverfahren im CBC-Modus. Entscheidend ist hierbei die Reihenfolge: Zunächst wird mit HMAC ein Authentifizierungs-Tag berechnet und an die Daten angehängt, anschließend werden mittels Padding die Daten auf eine passende Blockgröße verlängert und verschlüsselt.

Diese Reihenfolge - MAC-then-Encrypt - erwies sich als fataler Fehler. 2002 fand der Kryptograph Sergey Vaudenay heraus, dass man diese Konstruktion angreifen kann, wenn der Server auf Fehler beim Padding und Fehler bei der MAC-Berechnung unterschiedlich antwortet. Doch selbst wenn der Server immer mit derselben Fehlermeldung antwortet, sind weiterhin Timing-Angriffe möglich. Die Entwickler der aktuellen TLS-Version 1.2 waren sich über dieses Problem im Klaren. In der Protokollbeschreibung steht, dass selbst wenn man die vorgeschlagenen Gegenmaßnahmen gegen Timing-Angriffe umsetze, weiterhin ein kleiner Timing-Unterschied übrig bleibe. Dieser sei aber vermutlich nicht ausnutzbar.

Das erwies sich als Fehleinschätzung. 2013 konnten die Sicherheitsexperten Nadhem Alfardan und Kenny Paterson mit dem Lucky-Thirteen-Angriff zeigen, dass sich selbst kleinste Zeitunterschiede ausnutzen lassen. Es ist zwar möglich, Gegenmaßnahmen gegen Lucky Thirteen zu implementieren, aber das macht den Code deutlich komplexer. In OpenSSL führte ein Fehler bei den Gegenmaßnahmen dazu, dass eine andere Variante des Padding-Oracle-Angriffs ermöglicht wurde. Paterson konnte zudem mehrfach zeigen, dass in verschiedenen Implementierungen die Gegenmaßnahmen gegen Lucky Thirteen fehlerhaft implementiert wurden.

Besonders bitter: Nach Lucky Thirteen wechselten viele TLS-Server zur Verschlüsselung mittels des RC4-Stromverschlüsselungsverfahrens, da dies von derartigen Angriffen nicht betroffen war. Allerdings war schon länger bekannt, dass RC4 eine andere Schwäche hat: Bestimmte Bits im Schlüsselstrom von RC4 haben Biases, das bedeutet, dass eine Eins wahrscheinlicher ist als eine Null oder andersherum. Diese Biases ließen sich ebenfalls in TLS angreifen, wie mehrere Kryptographen 2013 zeigten. Gegen die RC4-Angriffe gibt es keine Gegenmaßnahmen, daher wurde dieser Algorithmus inzwischen untersagt.

Nur noch authentifizierte Verschlüsselung

Um Probleme wie die Padding-Oracle-Angriffe und ähnliche Schwächen grundsätzlich zu vermeiden, gibt es authentifizierte Verschlüsselungsmodi (AEAD, Authenticated Encryption with Additional Data). Diese Verschlüsselungsarten kombinieren Verschlüsselung und Authentifizierung in einer standardisierten Operation. TLS 1.2 unterstützte bereits das authentifizierte Verschlüsselungsverfahren Galois/Counter Mode (GCM), später kam das Verfahren Chacha20-Poly1305 hinzu. In TLS 1.3 werden ausschließlich diese authentifizierten Verschlüsselungsverfahren unterstützt.

Doch auch das GCM-Verfahren hat eine Schwäche, die mit TLS 1.3 behoben wurde. Zur Verschlüsselung mit GCM wird ein sogenannter Nonce-Wert benötigt. Nonce steht dabei für "Number used Once", also eine Zahl, die nur einmal genutzt wird. In TLS 1.2 bleibt es dem Programmierer überlassen, wie er den Nonce-Wert wählt. Das kann zu fatalen Fehlern führen: Wenn derselbe Nonce-Wert mehrmals genutzt wird, ist die Sicherheit der Verbindung dahin. Einige Enterprise-Appliances waren genau von diesem Problem betroffen - an der Entdeckung dieses Problems war der Autor dieses Artikels beteiligt. In TLS 1.3 wird der Nonce nicht mehr durch die Implementierung bestimmt, sondern implizit durch das Protokoll vorgegeben. Daher sind derartige Fehler von vornherein nicht mehr möglich.

Kompression fliegt raus

Als sehr problematisch hat sich die Kompression von Daten vor der Verschlüsselung erwiesen. Die Kompressionsfunktion von TLS war Grundlage des Crime-Angriffs. In TLS 1.3 ist die sowieso selten verwendete TLS-Kompression daher nicht mehr vorhanden.

Doch damit ist das Thema nicht erledigt. Nach Crime gab es weitere Angriffe, die die Kompressionsfunktion von HTTP ausnutzen. Allerdings kann man auf der TLS-Ebene gegen derartige Angriffe nichts unternehmen, das muss in den darunterliegenden Protokollen geschehen.

Forward Secrecy zu sicher für die Banken 

eye home zur Startseite
Elwedritsche 16. Dez 2016

...kann ich nur zustimmen!

bjs 14. Dez 2016

das gilt natürlich auch für apache. die api von openssl 1.0 zu 1.1 hat sich grundlegend...



Anzeige

Stellenmarkt
  1. LexCom Informationssysteme GmbH, München
  2. Fachhochschule Südwestfalen, Iserlohn
  3. Deutsche Telekom AG, verschiedene Standorte
  4. Dataport, Altenholz bei Kiel, Hamburg


Anzeige
Blu-ray-Angebote
  1. 299,99€ (Vorbesteller-Preisgarantie)
  2. 24,99€ (Vorbesteller-Preisgarantie)
  3. (u. a. Resident Evil: Vendetta 12,97€, John Wick: Kapitel 2 9,99€, Fight Club 7,99€ und...

Folgen Sie uns
       


  1. Mirai-Nachfolger

    Experten warnen vor "Cyber-Hurrican" durch neues Botnetz

  2. Europol

    EU will "Entschlüsselungsplattform" ausbauen

  3. Krack-Angriff

    AVM liefert erste Updates für Repeater und Powerline

  4. Spieleklassiker

    Mafia digital bei GoG erhältlich

  5. Air-Berlin-Insolvenz

    Bundesbeamte müssen videotelefonieren statt zu fliegen

  6. Fraport

    Autonomer Bus im dichten Verkehr auf dem Flughafen

  7. Mixed Reality

    Microsoft verdoppelt Sichtfeld der Hololens

  8. Nvidia

    Shield TV ohne Controller kostet 200 Euro

  9. Die Woche im Video

    Wegen Krack wie auf Crack!

  10. Windows 10

    Fall Creators Update macht Ryzen schneller



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
APFS in High Sierra 10.13 im Test: Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
APFS in High Sierra 10.13 im Test
Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
  1. MacOS 10.13 Apple gibt High Sierra frei
  2. MacOS 10.13 High Sierra Wer eine SSD hat, muss auf APFS umstellen

Elex im Test: Schroffe Schale und postapokalyptischer Kern
Elex im Test
Schroffe Schale und postapokalyptischer Kern

Xperia Touch im Test: Sonys coolem Android-Projektor fehlt das Killerfeature
Xperia Touch im Test
Sonys coolem Android-Projektor fehlt das Killerfeature
  1. Roboter Sony lässt Aibo als Alexa-Konkurrenten wieder auferstehen
  2. Sony Xperia XZ1 Compact im Test Alternativlos für Freunde kleiner Smartphones
  3. Sony Xperia XZ1 und XZ1 Compact sind erhältlich

  1. Re: schnell gelangweilt

    quineloe | 21:07

  2. Re: Scheint mir eigentlich ne gute Entwicklung ..

    quantalquetzal | 20:54

  3. Re: Enttäuscht

    matzems | 20:51

  4. Re: Das ist eh die Zukunft.

    Subotai | 20:49

  5. Re: Alte Hardware

    Kondratieff | 20:47


  1. 14:50

  2. 13:27

  3. 11:25

  4. 17:14

  5. 16:25

  6. 15:34

  7. 13:05

  8. 11:59


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel