YetAnotherForum
Willkommen, Gast! Suche | Aktive Themen | Einloggen | Registrieren

Verschlüsselung: GCHQ kritisiert die kommende TLS-Version
pc-chaot
#1 Geschrieben : Dienstag, 13. März 2018 11:48:57
Rang: Administration


Gruppe: Moderator, Tester, Administrators, Registered

Mitglied seit: 23.01.2010
Beiträge: 10.937
Wohnort: zu hause
Wegen der Verbesserungen in Bezug auf Sicherheit und Privatsphäre durch TLS 1.3 müssten Unternehmen zukünftig mehr überwachen, als sie eigentlich wollten, erklärt das britische National Cyber Security Centre.

Transport Layer Security, kurz TLS, ist der Standard für Verschlüsselung im Web. Kurz vor der Verabschiedung der nächsten Version 1.3 erklärt Ian Levy vom britischen National Cyber Security Centre (NCSC) nun, dass diese zwar gut für Privatpersonen aber schlecht für Unternehmen sei. In der Security-Szene gilt TLS 1.3 als großer Wurf insbesondere wegen der damit verbundenen Verbesserungen der Sicherheit und der Privatsphäre im Web. Und genau die sind offenbar der Dorn im Auge des zum UK-Geheimdienst GCHQ gehörenden NCSC.

Blinde Proxies


Konkret kritisiert Levy, dass der Verbindungsaufbau gemäß TLS 1.3 jetzt komplett verschlüsselt erfolgt. So wird insbesondere das Zertifikat des aufgerufenen Servers nicht mehr im Klartext übertragen. Bisher konnten etwa Firewalls und Proxies in Firmennetzen am Zertifikat erkennen, mit welchem Server sich die Angestellten über eine HTTPS-Verbindung nach draußen verbinden wollten, ohne diese explizit zu öffnen. Dies stelle letztlich ein Privacy-Problem dar, erklärt Levy. Denn die Überwachungsgerätschaften würden sinnvollerweise sensitive Verbindungen mit persönlichen Daten etwa zu Servern von Banken oder der Gesundheitsfürsorge nicht antasten. Dieses Whitelisting würde mit TLS 1.3 unmöglich; sicherheitsbewusste Unternehmen müssten deshalb wohl oder übel ausnahmslos alle Verbbindungen nach draußen überwachen, lautet die Logik des NCSC-Technikers.

Dem widerspricht unter anderem Googles Krypto-Experte Adam Langley vehement. In seinem Blog-Beitrag zu TLS 1.3 und Proxies erklärt er, dass diese selektive Analyse schon mit TLS 1.2 nicht wirklich funktioniert habe. Dieser Ansatz sei nicht nur grundlegend fehlerhaft und führe immer wieder zu unnötigen Fehlern, Verlangsamung und sogar Sicherheitsproblemen. Er sei auch maßgeblich dafür verantwortlich, dass die Einführung von TLS 1.3 jetzt bereits mehrfach verschoben werden musste. Bei Experimenten vorab stellte sich nämlich heraus, dass Überwachungs-Proxies zu einer hohen Fehlerquote beim Aufbau von TLS-1.3-Verbindungen führen. Um eine einigermaßen reibungslose Einführung zu gewährleisten, muss deshalb der Standard mit kruden Workarounds nachgebessert werden.

QUELLE mit weiteren Links

Informationen über meine Test-Umgebungen <--- im Beitrag #4, auch mit den getesteten Betriebssystemen
In meinen Nachrichten-Quellen befinden sich (fast) immer weiterführende Links, Bilderstrecken und Videos!
Weitere Meldungen aus dem IT-Bereich findet Ihr unter heise.de und winfuture.de
Ist man in kleinen Dingen nicht geduldig, bringt man die großen Vorhaben zum Scheitern. (Konfuzius)


mfG --pc-chaot--
Benutzer, die gerade dieses Thema lesen
Guest
Das Forum wechseln  
Du kannst keine neue Themen in diesem Forum eröffnen.
Du kannst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge nicht löschen.
Du darfst deine Beiträge nicht editieren.
Du kannst keine Umfragen in diesem Forum erstellen.
Du kannst nicht an Umfragen teilnehmen.

YAFPro Theme Created by Jaben Cargman (Tiny Gecko)
Powered by YAF | YAF © 2003-2009, Yet Another Forum.NET
Diese Seite wurde in 0,028 Sekunden generiert.