Abo
  • IT-Karriere:

TLS: Sicherheitslücke bei Client-Authentifizierung

Erneut gibt es Probleme mit dem TLS-Protokoll. Mit der Triple-Handshake-Attacke kann ein bösartiger HTTPS-Server einem weiteren Server vorgaukeln, er hätte das Zertifikat eines Nutzers. Die meisten Anwender sind von dem Angriff vermutlich nicht betroffen.

Artikel veröffentlicht am , Hanno Böck
Der Triple-Handshake-Angriff ermöglicht böswilligen Servern, sich als Nutzer auszugeben.
Der Triple-Handshake-Angriff ermöglicht böswilligen Servern, sich als Nutzer auszugeben. (Bild: Secure-resumption.com)

Ein Team von Forschern hat eine Reihe von subtilen Problemen im TLS-Protokoll entdeckt. Ein mögliches Angriffsszenario des Triple-Handshake-Angriffs besteht darin, dass ein HTTPS-Webserver, zu dem ein Nutzer mit einem Client-Zertifikat eine verschlüsselte Verbindung aufbaut, sich einem anderen Webserver gegenüber als Nutzer mit dem Zertifikat ausgeben kann.

Stellenmarkt
  1. FH Aachen, Aachen
  2. akquinet AG, Hamburg

Das von den Autoren beschriebene Angriffsszenario auf HTTPS betrifft lediglich Nutzer, die sich gegenüber Webseiten mit einem Client-Zertifikat authentifizieren. Nur wenige Webseiten machen von einer derartigen Möglichkeit Gebrauch und die meisten Internetnutzer haben überhaupt kein Client-Zertifikat. Auch andere auf TLS aufbauende Protokolle, bei denen sich der Nutzer authentifiziert, könnten von dem Problem betroffen sein, die Autoren erwähnen PEAP, SASL und Channel ID.

Das Problem tritt im Zusammenhang mit der sogenannten Renegotiation von TLS auf. Damit kann eine TLS-Verbindung zwischendurch neu ausgehandelt und Parameter der Verbindung geändert werden. Die Renegotiation galt schon in der Vergangenheit als problematisch, bereits 2009 gab es eine Sicherheitslücke in TLS, die eine Veränderung am Protokoll nötig machte. Was hier zum Problem wird: Bei der Renegotiation kann der Server sein Zertifikat wechseln - und bisher prüften Browser in so einem Fall nicht, ob das neue Zertifikat auch für den entsprechenden Server gültig ist. Die Autoren schlagen allen Entwicklern von HTTPS-Clients vor, diese Prüfung nachzurüsten.

Der Chrome-Entwickler Adam Langley hat auf seinem Blog einen Test bereitgestellt, mit dem Anwender prüfen können, ob ihr Browser bereits eine entsprechende Zertifikatsprüfung durchführt. Langley hat in seinen Blogeintrag ein Bild eingebunden, das zunächst eine Verbindung mit einem korrekten Zertifikat aufbaut und dann per Renegotiation auf ein ungültiges Zertifikat wechselt. Ein Browser, der das Zertifikat bei jeder Renegotiation prüft, sollte das entsprechende Bild also nicht anzeigen. Bereits im Vorfeld der Veröffentlichung haben die Autoren des Angriffs verschiedene Browserhersteller kontaktiert und auf das Problem hingewiesen, in unseren Tests waren Chrome, Firefox und Opera bereits geschützt. Der Internet Explorer ist aktuell noch verwundbar.

Für die grundlegenden Probleme des TLS-Protokolls schlagen die Autoren eine Erweiterung vor, diese soll auf dem zurzeit stattfindenden Treffen der IETF am Dienstag vorgestellt und diskutiert werden.

Die Probleme wurden im Rahmen eines Forschungsprojekts entdeckt, bei dem die Forscher versuchen, die Sicherheit von TLS unter bestimmten Annahmen zu beweisen. Beteiligt sind daran das französischen Forschungsinstitut Inria (Institut national de recherche en informatique et en automatique) und einige Mitarbeiter der Forschungsabteilung von Microsoft.



Anzeige
Top-Angebote
  1. 79,00€
  2. 59,99€
  3. ab 17,99€
  4. 799,90€

0xDEADC0DE 04. Mär 2014

Die würde gar nicht erst zustande kommen, da man selten vollen Einblick bei CS hat. Aus...

Smaxx 04. Mär 2014

Mein IE11 (Windows 8.1) zeigt es auch nicht an. Ruft man die Bild-URL direkt auf, gibt es...


Folgen Sie uns
       


Dell XPS 13 (9380) - Test

Das aktuelle XPS 13 entspricht vom Gehäuse her dem Vorgänger, allerdings sitzt die Webcam nun oberhalb des Displays und vor dem matten Panel befindet sich keine spiegelnde Scheibe mehr. Zudem fallen CPU-Geschwindigkeit und Akkulaufzeit höher aus.

Dell XPS 13 (9380) - Test Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck


    Elektromobilität: Was hat ein Kanu mit Autos zu tun?
    Elektromobilität
    Was hat ein Kanu mit Autos zu tun?

    Veteranen der deutschen Autoindustrie wollen mit Canoo den Fahrzeugbau und den Vertrieb revolutionieren. Zunächst scheitern die großen Köpfe aber an den kleinen Hürden der Startupwelt.
    Ein Bericht von Dirk Kunde

    1. EU Unfall-Fahrtenschreiber in Autos ab 2022 Pflicht
    2. Verkehrssenatorin Fahrverbot für Autos in Berlin gefordert
    3. Ventomobil Mit dem Windrad auf Rekordjagd

    Jobporträt: Wenn die Software für den Anwalt kurzen Prozess macht
    Jobporträt
    Wenn die Software für den Anwalt kurzen Prozess macht

    IT-Anwalt Christian Solmecke arbeitet an einer eigenen Jura-Software, die sogar automatisch auf Urheberrechtsabmahnungen antworten kann. Dass er sich damit seiner eigenen Arbeit beraubt, glaubt er nicht. Denn die KI des Programms braucht noch Betreuung.
    Von Maja Hoock

    1. Struktrurwandel IT soll jetzt die Kohle nach Cottbus bringen
    2. IT-Jobporträt Spieleprogrammierer "Ich habe mehr Code gelöscht als geschrieben"
    3. Recruiting Wenn die KI passende Mitarbeiter findet

      •  /