Deutschlands großes Presseportal - Homepage
» kostenlos Pressemitteilung veröffentlichen
» Kunden Login zu "meine Redaktion"
»Suche / Lokale Suche
> Startseite > IT, Computer & Internet

Schwachstellen der SSL/TLS Verschlüsselung im Internet

Das TLS-Protokoll (besser unter seinem alten Namen SSL bekannt) bildet einen, wenn nicht sogar den entscheidenden, Pfeiler vieler Sicherheitsarchitekturen, die über das Internet kommunizieren.
Seien es Webseiten, E-Mail-Programme oder VPN. Doch in letzter Zeit kommen immer wieder Zweifel daran auf, wie sicher das Protokoll wirklich ist.

TLS (Transport Layer Security), zu diesem Zeitpunkt noch SSL (Secure Sockets Layer), wurde 1994 neun Monate nach Mosaic, dem ersten verbreiteten Webbrowser, von Netscape veröffentlicht. Im Januar 1999 wurde SSL mit der Standardisierung durch die IETF (Internet Engineering Task Force) in TLS umbenannt. Die aktuelle Version 1.2 von TLS wurde im August 2008 verabschiedet.

Bei TLS handelt es sich um ein hybrides Verschlüsselungsprotokoll. Dies bedeutet, dass die beiden Kommunikationspartner zum Austausch eines symmetrischen Schlüssels eine asymmetrische Verschlüsselung nutzen. Die eigentliche Kommunikation findet dann mit der wesentlich schneller zu berechnenden symmetrischen Verschlüsselung statt. Bei der asymmetrischen Verschlüsselung gibt es einen öffentlichen und einen privaten Schlüssel. Wenn eine Nachricht mit dem öffentlichen Schlüssel verschlüsselt wird, lässt diese sich nur mit dem privaten Schlüssel wieder entschlüsseln. Um sicherzustellen, dass ein öffentlicher Schlüssel auch wirklich zu einer bestimmten anderen Stelle gehört, wurden CA (Certification Authority) eingeführt, die dies bestätigen können.

Wo sind nun die Schwachstellen an diesem Protokoll zu suchen? Die hybride Verschlüsselung ist technisch gesehen sicher, sofern zwei Annahmen getroffen werden:
• Es gibt nicht genügend Rechenleistung, um die Verschlüsselung mittels Brute-Force anzugreifen.
• Die Annahme der Theoretischen Informatik „P ist ungleich NP“ wird nicht als falsch bewiesen.

Demnach bleiben nur organisatorische Mängel im Zusammenhang mit den CA. Die beiden Wissenschaftler Steven Roosa (Holland & Knight LLP) und Stephen Schultze (Princeton University) zeigen in ihrem Arbeitspapier „Trust Darknet: Control and Compromise in the Internet’s Certificate Authority Model“ (http://ssrn.com/abstract=2249042 ) verschiedene Schwachstellen des Modells auf:
• Die CA gliedern Teile ihrer Arbeit an SubCA aus. SubCA haben die Aufgabe selbst Zertifikate zu erstellen und nutzen dabei die Vertrauenswürdigkeit des CA. RA (Registration Authority) übernehmen die kritische Aufgabe der Verifizierung und prüfen, ob die Domainadresse dem Antragssteller gehört. Diese Unteranbieter stellen andere Sicherheitsanforderungen. So wurde bekannt, dass 2011 ein malaysischer SubCA kürzere Schlüssel als sein übergeordneter CA nutzte, wodurch Angreifer bekannte Schwachstellen der kurzen Schlüssel nutzen konnten und ihre Schadsoftware damit signieren konnten.
• Ein weiteres Problem ist, dass fast alle Nutzer durch die Voreinstellung ihrer Software denselben CA vertrauen müssen. Zusätzlich müssen diese CA sich ebenfalls untereinander vertrauen und auch jede Art von Webseiten authentifizieren. Zwar gibt es die Möglichkeit der Einschränkung von CA auf bestimmte Arten von Domains (z.B. nur .de). Diese wird jedoch nicht genutzt.
• In der Regel werden die Listen, die die vertrauenswürdigen CA enthalten als read-only Datenstrukturen in der Software hinterlegt. Verliert nun ein CA seinen Status als vertrauenswürdig, weil er zum Beispiel, wie DigiNotar 2011, gehackt wurde, hat dies zur Folge, dass im Grunde jedes Softwareprodukt mit Updates versorgt oder sogar komplett neu installiert werden muss. Dies bedeutet eine enorme Inflexibilität.
• Problematisch ist auch die Unwissenheit vieler Endbenutzer über die Funktionsweise der vertrauenswürdigen CA. So zeigen Studien, dass viele Nutzer nach Einblendung des Warnhinweises Authentifizierung fehlgeschlagen die Warnhinweise ignorieren. Von einigen Forschern wird deswegen vorgeschlagen, den Nutzern die Möglichkeit, Warnmeldungen „weg zu klicken“, nicht mehr anzubieten.

Selbst eine perfekte Implementierung des spezifizierten Modells würde die bestehenden Probleme nicht lösen, sondern noch verstärken. Die gezeigten Schwachstellen können durch Veränderungen allerdings gemildert werden. Um Verbesserungen zu erreichen ist eine Veränderungen in drei Bereichen empfehlenswert. So soll die Arbeit der CA, RA und SubCA, sowie deren Verhältnisse untereinander transparenter werden. Für die Auditierung von RA und SubCA sollen dieselben Kriterien gelten, wie für CA, und mehr inhaltliche Ergebnisse der Audits öffentlich gemacht werden. Für die Selbstregulierung fordert das ISDSG, dass mit den Sicherheitsaspekten offener umgegangen und mehr Interessenvertreter mit einbezogen werden.

Viele Probleme beziehen sich auf die grundlegende Struktur des Systems. Jedoch besteht auch für Betreiber von Internetseiten, aber auch für ganz normale Nutzer, eine Chance die Sicherheit im Internet zu erhöhen. Als Webseitenbetreiber sollte auf die Vergabeweise der CA geachtet und anhand dessen entschieden werden, von wem Zertifikate bezogen werden. Als Endbenutzer ist unbedingt auf auftretende Meldungen im Browser zu achten, die auf ein erhöhtes Sicherheitsrisiko hinweisen. Jedem Internetnutzer sollte bewusst sein, dass keine Sicherheitsgarantie in der virtuellen Welt existiert und das blinde Vertrauen, genau wie auch in der physischen Welt, deplatziert ist.

10.07.2013 09:43

Klick zum Thema:

Das könnte auch Sie interessieren:

Verschlüsselung:

Absicherung von E-Ladeinfrastrukturen auf der SPS IPC Drives
Berlin, 14. November 2017 – Der internationale Cyber Security und Threat Intelligence Anbieter Infotecs präsentiert seine Security-Lösungen auf der SPS IPC Drives, Europas führender Fachmesse zur elektrischen Automatisierung am Stand 140 in Halle...

Infotecs zeigte Verschlüsselung für Drohnen sowie E-Auto-Lad...
Berlin, 19. Oktober 2017 – Der internationale Cyber Security und Threat Intelligence Anbieter Infotecs präsentierte auf der führenden IT-Sicherheitsmesse it-sa in Nürnberg verschiedene innovative Security-Lösungen, darunter die verschlüsselte...

Infotecs mit FSM Group auf größter Security-Messe Nordeuropa...
Berlin/Helsinki, 29. August 2017 – Infotecs, der internationale Cyber Security und Threat Intelligence Anbieter, ist Aussteller auf der FinnSec, der wichtigsten Safety und Security Messe in den nordischen Ländern. Die Security-Experten präsentieren...

Internet:

Die neue bbw-Studie Digitale Geldanlage 2017 - Chancen
Mit der Analyse „Digitalisierung der Geldanlage“ warten die Autoren von bbw Marketing“ mit einer neuen Trendstudie im Finanzmarkt auf. Die Digitalisierung ist in unserer Gesellschaft allgegenwärtig, das Internet bestimmt mehr und mehr unsere Leben....

Besichtigungsprotokolle sind beim Hauskauf unentbehrlich
(Bonn, den 21. 08. 2012) Eine gute Dokumentation ist das A und O eines Hauskaufs. Denn am Ende aller Besichtigungen und Verhandlungen steht ein notarieller Kaufvertrag, in dem, so ist es allgemein üblich, eine Sachmängelhaftung ausgeschlossen wird....

Neuer Kurs: IPv6 im Providernetz – Strategien für die Migrat...
Mit deutschsprachigen Unterlagen bei der ExperTeach GmbH Dietzenbach, 14.10.2011 – Die ExperTeach GmbH bietet neu für die Netzwerkspezialisten von Providern, die die Einführung von IPv6 planen, umsetzen und betreuen sollen, den 3-tägigen Kurs...

TLS:

Neuer Brady BMP61 Etikettendrucker ersetzt TLS2200 Drucker
Der neue tragbare Brady Etikettendrucker BMP61 ist ein zuverlässiger und robuster Begleiter für die Kennzeichnung von Kabeln, Leitungen und Bauteilen und ersetzt den Brady TLS2200 Drucker. Der BMP61 ist ein Industrie-tauglicher...

Internet-Sicherheit: Bitpalast stellt Webspace-Kunden SSL/TL...
Zusammenfassung: Der Webhoster Bitpalast stellt seinen Webspace-Kunden für jede Domain ein kostenloses SSL/TLS-Zertifikat zur Verfügung. Das Zertifikat der "Let's Encrypt"-Initiative führender IT-Unternehmen funktioniert mit allen gängigen...

SSL:

IKU präsentiert individuelle Antivirus-Lösungen für Linux-Sy...
Anfang März stellte der Saarbrücker Open Source-Spezialist IKU Systems & Services zwei AV-Entwicklungen erstmals der Öffentlichkeit vor. Mit den Lösungen AV Mail und AV Proxy stehen nun für Mail- und Proxyserver auf Linux-Basis flexible und...

Besseres Ranking mit SSL: Google belohnt sicherheitsbewusste...
Google belohnt sicherheitsbewusste Webmaster. Internetseiten, die mit einem SSL-Zertifikat gesichert sind, sollen künftig besser in den Ergebnislisten der Suchmaschine abschneiden. Das kündigte der Konzern in seinem Webmaster Central Blog...

Gemeinsam für die Digitale Gesellschaft - icertificate GmbH ...
Einer Studie der Initiative D21 zufolge nutzten 76,5 Prozent der Bürger in Deutschland im vergangenen das Internet. Sie lasen Nachrichten über Tageszeitungen, kauften ein oder waren gar beruflich online. Obwohl das Medium damit fest im Zentrum der...

Λ nach oben

Stichwort-Suche:

Pressemitteilung von:

Logo: ISDSG - Institut für Sicherheit und Datenschutz im Gesundheitswesen


ISDSG - Institut für Sicherheit und Datenschutz im Gesundheitswesen

ISDSG - Institut für Sicherheit und Datenschutz im Gesundheitswesen

Prof. Dr. Thomas Jäschke

Institutadresse
Westfalendamm 251
44141 Dortmund

Postanschrift
Deintelleweg 11
44309 Dortmund

Das ISDSG – Institut für Sicherheit und Datenschutz im Gesundheitswesen beschäftigt sich mit allen Fragen zum Thema Informationssicherheit und Datenschutz mit Schwerpunkt auf die Akteure des Gesundheitswesens. Das Institut,...

mehr »

 

 


Hinweis: Um Ihnen ein optimales Nutzererlebnis zu bieten, verwenden wir Cookies. Durch die Nutzung dieser Webseite erklären Sie sich damit einverstanden.   Nachricht schließen   mehr info