Standardisierte Hintertür im Verschlüsselungsstandard eTLS

Zur Zeit gibt es eine ziemlich große und heftige öffentliche Debatte um Uploadfilter und die Bedrohung der Meinungsfreiheit im Internet. Etwas unbemerkt davon gibt es in Fachkreisen eine für die Nutzer mindestens genauso schwerwiegende Diskussion. Und zwar betrifft es die Nachfolge von TLS1.2 (Transport Layer Security). Mittels TLS werden die Übertragungen im Internet verschlüsselt (immer wenn https in der Adresszeile zu sehen ist). Seit 2018 ist der Nachfolgestandard TLS1.3 standardisiert und behebt einige Sicherheitsprobleme der vorhergehenden Standards. Das US National Institute for Standards and Technology (NIST), welches TLS1.3 standardisiert hat, schreibt US-Behörden sogar vor, dass sie ab dem 01.01.2020 den Standard unterstützen müssen. Er wäre meiner Meinung nach ein guter Schritt zu mehr Sicherheit im Internet.

Auf der anderen Seite hingegen möchte die europäische Standardisierungsorganisation ETSI ihren Standard eTLS einführen. Der große Unterschied zwischen beiden Verfahren ist, dass eTLS die Entschlüsselung des Datenverkehrs auf dem Weg zwischen Sender und Empfänger möglich macht. Oder anders ausgedrückt, im eTLS-Protokoll ist ein statischer Zweitschlüssel vorgesehen, mit dem die Provider (und alle anderen, die ihn besitzen) den Datenverkehr entschlüsseln und mitlesen können. Die ETSI hat also per Design ein Protokoll unsicher gemacht und versucht dieses jetzt als neuen Standard durchzusetzen. eTLS hat außerdem kein Perfect Forward Secrecy wie TLS1.3. Und:

Bemerkenswert ist aber, dass ETLS offenbar keiner detaillierten Sicherheitsanalyse unterzogen wurde. So findet sich kein einziger Verweis auf irgendwelche wissenschaftlichen Arbeiten oder Sicherheitsanalysen, die das Protokolldesign untersuchen, im Standard.

https://www.golem.de/news/etls-etsi-veroeffentlicht-unsichere-tls-variante-1811-137694.html

Die ETSI bewirbt ihren Standard damit, dass er von der Industrie entwickelt wurde und auf deren Bedürfnisse zugeschnitten ist. Die Sicherheitsbedürfnisse der Internetnutzer wurden dabei aber scheinbar nicht berücksichtigt. Sollte sich dieser Standard durchsetzen, dann wäre das meiner Meinung nach ein drastischer Rückschritt in Sachen Sicherheit im Internet.

Mittlerweile übt die ETSI wohl auch Druck auf das BSI aus, den Standard in die technische Richtlinie zu kryptographischen Verfahren aufzunehmen, in der TLS1.3 schon enthalten ist. Damit könnte zumindest in Deutschland und Europa das unsichere eTLS Einzug halten. Eventuell könnte man über ein Browser-Plugin solche Verbindungen verhindern, müsste dann eventuell damit leben, dass keine Verbindung hergestellt werden kann oder man das veraltete TLS1.2 verwenden muss. Ich werde weiter berichten, wie sich die Situation entwickelt und sobald ein Browser-Plugin verfügbar ist, dass eTLS-Verbindungen verhindert.


Wie hat dir der Artikel gefallen? 1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (1 Stimmen, Durchschnitt: 5,00 von 5)

Loading...

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.