Internet-Verschlüsselungsprotokoll Schwachstellen im TLS werden geschlossen

Beim Onlineshopping geben Kunden persönliche Daten in ihren Browser ein; das Verschlüsselungsprotokoll TLS soll dafür sorgen, dass sie sicher übertragen werden.
Beim Onlineshopping geben Kunden persönliche Daten in ihren Browser ein; das Verschlüsselungsprotokoll TLS soll dafür sorgen, dass sie sicher übertragen werden.

Das Verschlüsselungsprotokoll TLS soll private und geheime Daten der Nutzer schützen - Daten, wie Kreditkartennummern oder Bankkonten. Doch das Protokoll ist alles andere als sicher. Von Forschern der Universität Bochum wurden Sicherheitslücken mit aufgedeckt und werden nun gestopft.

Mit verschiedenen Angriffen haben die Forscher um Dr. Jörg Schwenk von der Ruhr-Universität Bochum Schwachstellen des Internet-Verschlüsselungsprotokoll TLS (Transport Layer Security) mit aufgedeckt. Nun wird das Protokoll grundlegend überarbeitet, um die Sicherheitslücken zu schließen. Zum Beispiel gelang es den IT-Experten einen Schlüssel zu stehlen, den zwei Parteien über die TLS-Version 1.2 aushandeln. Ein solcher Schlüssel ist erforderlich, sobald Kommunikationspartner vertrauliche oder geheime Informationen austauschen. Auf diese Weise übermitteln zum Beispiel Kunden ihre Kreditkartendaten an einen Onlineshop.

Das TLS-Protokoll bietet drei Wege an, um Schlüssel auszuhandeln. Die meisten Probleme entstehen durch eines der sogenannten Handshake-Verfahren.

Bildlich erklärt funktioniert es so: Der Server des Webshops schickt dem Kunden einen Briefkasten zu. Der Kunde steckt eine geheime Nachricht in den Briefkasten und schickt ihn zurück an den Server. Der öffnet den Briefkasten und bekommt so die geheime Nachricht, also den Schlüssel.

Schwenks Team schnappte sich den Schlüssel über einen Bleichenbacher-Angriff: Bevor sie die geheime Nachricht an den Server zurück schickten, versahen die Forscher sie mit Fehlern. Der Server erwartet, dass die Nachricht in einer bestimmten Form bei ihm ankommt. Da nun aber Fehler vorliegen, startet er eine Fehlerbehandlung, die Zeit kostet und dauert länger als ein normaler Schlüsselaustausch. Der Zeitunterschied erlaubte Rückschlüsse auf den Inhalt der Nachricht, also auf den Schlüssel, der eigentlich geheim bleiben sollte. Um derartige Angriffe künftig verhindern zu können, wird die neue TLS-Version 1.3 ein anderes Verfahren für die Schlüsselaushandlung nutzen.

Schwenks Gruppe war auch an weiteren Angriffen auf TLS beteiligt, zum Beispiel am Drown-Angriff im März 2016. Dabei umgingen die Angreifer die Sicherheitsmechanismen der aktuellen TLS-Version 1.2. Eine Vorgängerversion des Protokolls machte den Angriff möglich. Auf Servern sind häufig veraltete Versionen des Sicherheitsprotokolls installiert, damit möglichst viele verschiedene Browser unterstützt werden können. Auf ähnlichem Wege gelang es Bochumer Forschern, digitale Signaturen in der aktuellen TLS-Version 1.2 zu fälschen.