Sergey Nivens - Fotolia
Die wichtigsten Neuerungen von TLS 1.3 im Überblick
Verschlüsselung per TLS ist Standard für eine sichere Datenübertragung. Das Protokoll stand oft wegen Sicherheitslücken in der Kritik. Mit Version 1.3 soll vieles besser werden.
Im August 2018 hat die Internet Engineering Task Force (IETF) TLS 1.3 veröffentlicht. Zehn Jahre nach TLS 1.2 steht damit endlich eine neue Version des Verschlüsselungsprotokolls zur Verfügung. Das war auch dringend nötig, denn TLS (Transport Layer Security) ist längst nicht so sicher, wie man sich das in der heutigen Zeit wünschen würde. Zahlreiche Exploits waren bekannt, darunter Poodle, BEAST, CRIME, BREACH oder DROWN. Mit speziellen serverseitigen Gegenmaßnahmen lassen sich die Schwachstellen, die dafür ausgenutzt werden, in TLS 1.2 zwar schließen. Doch ein ungutes Gefühl bleibt.
Zuletzt sorgten die Sicherheitsforscher Hanno Böck und Juraj Somorovsky für Furore, als sie im Dezember 2017 ein Angriffsszenario vorstellten, das die bereits 1998 entdeckte Bleichenbacher-Schwachstelle ausnutzt. Diese sollte längst behoben sein. Die Wissenschaftler nannten das Szenario ROBOT, kurz für Return of Bleichenbacher’s Oracle Threat. Es ermöglicht Angreifern, den Session Key unter bestimmten Voraussetzungen mithilfe einer Brute-Force-Attacke zu erraten und dann den Datenverkehr zu entschlüsseln. Die Sicherheitsfunktion von TLS ist damit ausgehebelt.
Die drei Aufgaben von TLS: Authentifizierung, Vertraulichkeit und Integrität
TLS soll im Wesentlichen drei Aufgaben erfüllen: die Partner authentifizieren, die Vertraulichkeit der Kommunikation sichern und die Integrität der Daten garantieren. Das Protokoll basiert auf zwei Hauptkomponenten: dem Handshake-Protokoll und dem Record-Protokoll. Das Handshake-Protokoll authentifiziert die Kommunikationsteilnehmer, handelt die kryptographischen Modi und Parameter aus und etabliert das gemeinsame Schlüsselmaterial. Das Record-Protokoll nutzt die zuvor vom Handshake-Protokoll aufgestellten Parameter, um den Datenverkehr zwischen den Partnern zu schützen, so dass er nur an den Endpunkten lesbar ist.
TLS kommt überall da zum Einsatz, wo es um sichere Datenübertragung im Internet geht. Neben HTTPS für die sichere Website-Übertragung sind Anwendungsbereiche zum Beispiel FTPS für den sicheren File Transfer und SMTPS für die E-Mail-Transportverschlüsselung. Das Protokoll spielt daher eine entscheidende Rolle für den Datenschutz und die Wahrung von sensiblen Betriebsgeheimnissen. In Zeiten, in denen Hacker immer professioneller arbeiten und bei Datenschutzverletzungen gemäß der DSGVO hohe Strafen drohen, können sich Unternehmen keine Sicherheitslücken in der verschlüsselten Datenübertragung leisten.
Die wichtigsten Neuerungen von TLS 1.3
TLS 1.3 hat es sich zum Ziel gesetzt, die bekannten Schwachstellen von TLS 1.2 auszumerzen. Um für die Zukunft gewappnet zu sein, sollen komplexe Algorithmen auch Angriffen mit Quantencomputern standhalten. Außerdem ist TLS 1.3 schneller geworden, so dass es sich besser für latenzsensible IoT-Anwendungen, gerade im Bereich Edge Computing, eignet. Das sind die wichtigsten Neuerungen:
- Als symmetrische Verschlüsselungsalgorithmen akzeptiert TLS 1.3 nur noch AEAD-Algorithmen (Authenticated Encryption with Associated Data). Sie gewährleisten neben Vertraulichkeit auch Integrität und Authentizität der Daten.
- Das Cipher-Suite-Konzept wurde geändert und trennt jetzt die Authentifizierungs- und Schlüsselaustausch-Mechanismen vom Verbindungsabsicherungs-Algorithmus und der Hashfunktion, die mit der Schlüsselableitungsfunktion und dem Handshake Message Authentication Code (MAC) zum Einsatz kommt. Eine Cipher Suite in TLS 1.3 gibt somit weder den Schlüsselaustausch- noch den Authentifizierungs-Mechanismus vor; beide Algorithmen können unabhängig voneinander zwischen den Kommunikationspartnern ausgehandelt werden. Sie können also jeweils den stärksten der von beiden Parteien unterstützten Algorithmen auswählen.
- Für die Herstellung der sicheren Verbindung ist nur noch einer statt zwei Round Trips nötig. Außerdem wurde ein Zero-Round-Trip-Time-Modus (0-RTT) hinzugefügt, der bei latenzkritischen Anwendungen zum Einsatz kommen kann. Dadurch erfolgt der Verbindungsaubau schneller.
- Statische RSA und Diffie-Hellman Cipher Suites wurden entfernt. Alle Public-Key-basierten Schlüsseleinigungs-Verfahren unterstützen jetzt Forward Secrecy. Dies stellt sicher, dass man nicht mit einem gestohlenen Schlüssel auf den Klartext bereits zuvor übertragener und verschlüsselter Daten zugreifen kann.
- Alle Handshake-Nachrichten nach dem ServerHello sind jetzt verschlüsselt. Die neu eingeführte EncryptedExtensions-Nachricht ermöglicht es zudem, auch diverse Protokollerweiterungen, die bisher im Klartext versendet wurden, verschlüsselt zu übertragen. Dadurch kann ein Angreifer keine Metadaten mehr mitlesen und erkennen, wer mit wem kommuniziert. Überflüssige Handshake-Nachrichten wie ChangeCipherSpec fallen weg – außer sie werden für die Middlebox-Kompatibilität benötigt.
- Die Basis-Spezifizierung enthält jetzt elliptische Kurven, darunter neue Signatur-Algorithmen wie EdDSA. Eine weitere kryptographische Verbesserung ist der Einsatz von RSA Probabilistic Signature Scheme (RSASSA-PSS). Abgeschafft wurden die TLS-Kompression, der Digital Signature Algorithmn (DSA) und benutzerdefinierte Ephemeral-Diffie-Hellman-Gruppen. Damit wurden moderne, sicherere Algorithmen eingeführt und Schwachstellen beseitigt.
- Die Wiederaufnahme einer Sitzung mit oder ohne serverseitigen Status sowie die Pre-Shared-Key-basierten (PSK) Cipher Suites von früheren TLS-Versionen wurden ersetzt durch einen neuen PSK-Austausch. Damit werden nur noch Cipher Suites genutzt, die zusätzlich ephemere Schlüssel und Zufallszahlen enthalten. Das erhöht die Sicherheit, da bei älteren PSK Suites die Sicherheit der Verbindung lediglich auf der Entropie und der Vertraulichkeit des vorab ausgetauschten Schlüssels beruhte.
Kein Hintertürchen eingebaut
Kurz vor der Finalisierung von TLS 1.3 hatten vor allem Banken und Behörden darauf gedrängt, eine Hintertür in das Verschlüsselungsprotokoll einzubauen. Sie forderten eine Opt-In-Erweiterung, die es Befugten ermöglicht, verschlüsselte Nachrichten mitzulesen. Dies sei nötig, um den Datenverkehr im Rechenzentrum zu kontrollieren und betrügerische Aktivitäten aufzuspüren. Die IETF wehrte diese Forderung jedoch erfolgreich ab und veröffentlichte die neue Protokoll-Version ohne Hintertür.
„Dass die IETF darauf verzichtet hat, eine Hintertür für den großen Lauschangriff einzubauen, war eine wichtige und richtige Entscheidung. Ob sie durch eTLS wieder ausgehebelt wird, bleibt abzuwarten.“
Marcel Mock, totemo
Mittlerweile hat das Europäische Institut für Telekommunikationsnormen (ETSI) allerdings eine Variante von TLS 1.3 standardisiert, die die Mitlesewünsche umsetzt. eTLS, kurz für Enterprise TLS, erlaubt es Nachschlüssel vorzuhalten, mit denen verschlüsselte Daten im Klartext angezeigt werden können. Zwar ist eTLS nur für den internen Einsatz in Rechenzentren vorgesehen. Doch ist eine solche Hintertür einmal geschaffen, könnte sie auch für andere Zwecke ausgenutzt werden – zum Beispiel als Abhörschnittstelle für die Geheimdienste.
Fazit
Der Schutz von sensiblen Daten ist heute für Unternehmen unverzichtbar: sowohl im Hinblick auf die DSGVO als auch auf Betriebsgeheimnisse. TLS bildet die Basis für die sichere Datenübertragung und Kommunikation im Internet. Mit TLS 1.3 ist der IETF eine gründliche Erneuerung des Verschlüsselungsprotokolls gelungen.
Moderne Krypto-Algorithmen erhöhen die Sicherheit bei der Transportverschlüsselung. Der verschlankte Handshake und der neue 0-RTT-Modus steigern zudem die Performance und machen das Verschlüsselungsprotokoll tauglich für IoT-Anwendungen, die minimale Latenzzeiten erfordern. Dass die IETF darauf verzichtet hat, eine Hintertür für den großen Lauschangriff einzubauen, war eine wichtige und richtige Entscheidung. Ob sie durch eTLS wieder ausgehebelt wird, bleibt abzuwarten.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!