Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Verschlüsselung: Niemand hat die…

Wofür brauchen die einen statischen Sitzungsschlüssel?

  1. Thema

Neues Thema Ansicht wechseln


  1. Wofür brauchen die einen statischen Sitzungsschlüssel?

    Autor: me2 15.10.17 - 00:29

    Ganz ernsthaft Wofür brauchen die einen statischen Sitzungsschlüssel? Sind die Programmierer dieser Rechenzentren unfähig oder faul?

    Es geht hier drum dass ein statischer Schlüssel verwendet wird, der im Rechenzentrum weiter verteilt werden kann. Aber warum soll das mit vielen dynamischen Sitzungsschlüssel nicht gehen? Auch diese kann der Betreiber des Rechenzentrum an den Load-Balancer, die Firewall-Applikation oder andere Fronting-Server weiterreichen, zusammen mit den Informationen um sie zuzuordnen. Warum sollte man dafür einen statischen Schlüssel brauchen? Die dynamischen Schlüssel mitzuschicken ist natürlich ein bischen mehr Aufwand, den man erstmal in die Systeme reinstecken muss, aber kein wirklich großer, und man hätte doch das gleiche erreicht wie mit einem statischen Schlüssel, aber würde nicht sofort gleich PFS und dergleichen opfern.

  2. Re: Wofür brauchen die einen statischen Sitzungsschlüssel?

    Autor: crypt0 15.10.17 - 22:42

    Das ganze kam mit "den Banken" auf. Banken haben gesetzliche Vorgaben, die besagen, dass sie den Traffic in ihrem Netzwerk überwachen/protokollieren können müssen...
    Das Problem ist jetzt wenn die TLS 1.3 innerhalb ihres Netzes einsetzen - die Anwendung X spricht mit dem Datenbank-server Y - dann kann die Bank keine MitM-box dazwischen hängen. (ECDH)
    Der work-a-round:
    1. Man fixiere den (private) Wert des Servers (ECDH - private parameter)
    2. Dieser Wert wird an die middle-box geschickt - die box wird mit diesem Wert konfiguriert.
    3. Die box kann nun den TLS 1.3 traffic entschlüsseln.

    Würde man den privaten ECDH Wert nicht fixieren könnte man sich die Middle-box sparen und das logging am Server machen - das geht nur aus (wahrscheinlich) techn. orga. und gesetzl. Gründen nicht.
    Die Alternative wäre ein reverse proxy. Damit würde man die MitM box quasi explizit in die Netzwerktopologie mit aufnehmen - anstatt wie aktuell implizit einfach dazwischen zu hängen. Das Problem dabei: Architekturänderungen bei der Bank (=Kosten) und zudem kann man nicht mehr behaupten man habe nix gewusst von potenziellen MitM boxen / Angriffen der Geheimdienste. Die Schlaphütte müssten quasi ein Monitoring mit der Bank-IT "absprechen". Das dürfte beiden Seiten gar nicht gefallen...

  3. Re: Wofür brauchen die einen statischen Sitzungsschlüssel?

    Autor: chefin 16.10.17 - 08:26

    me2 schrieb:
    --------------------------------------------------------------------------------
    > Ganz ernsthaft Wofür brauchen die einen statischen Sitzungsschlüssel? Sind
    > die Programmierer dieser Rechenzentren unfähig oder faul?
    >
    > Es geht hier drum dass ein statischer Schlüssel verwendet wird, der im
    > Rechenzentrum weiter verteilt werden kann. Aber warum soll das mit vielen
    > dynamischen Sitzungsschlüssel nicht gehen? Auch diese kann der Betreiber
    > des Rechenzentrum an den Load-Balancer, die Firewall-Applikation oder
    > andere Fronting-Server weiterreichen, zusammen mit den Informationen um sie
    > zuzuordnen. Warum sollte man dafür einen statischen Schlüssel brauchen? Die
    > dynamischen Schlüssel mitzuschicken ist natürlich ein bischen mehr Aufwand,
    > den man erstmal in die Systeme reinstecken muss, aber kein wirklich großer,
    > und man hätte doch das gleiche erreicht wie mit einem statischen Schlüssel,
    > aber würde nicht sofort gleich PFS und dergleichen opfern.

    Die Schlüssel werden ausgehandelt nachdem der Loadbalancer seine Anfragen auf die Arbeitsserver verteilt hat. Dann ist der "Schaden" aber schon passiert. Die Arbeitsserver werden zb mit Anfragen überflutet ohne das man sie rechtzeitig blockieren kann.

    Wenn der Loadbalancer aber den "zentralen" key kennt, schaut er in die Daten rein, erkennt das zu 20. Mal in dieser Sekunde die selbe IP eine Anfrage stellt und blockiert es ohne weiter drauf einzugehen.

    Soweit die Theorie. Für den Betreiber eine mögliche Lösung, ich bin mir aber auch sicher, das man das anders regeln kann. Allerdings ist das zurück spiegeln der Keys an den Loadbalancer genauso unsicher wie ein zentraler Key. Es weis ein zentrales Gerät alle keys, dieses Gerät ist von einer Behörde überwachbar und würde folglich jede Verschlüsselung aufbrechen können. Wir reden hier nach nicht davon,d as irgendwelche Hacker unsere Daten entschlüsseln, sondern das wir uns mit der Verschlüsselung vor Behörden schützen.

    Jede Entschlüsselung am Loadbalancer ist also potentiell eine Gefahr für den User. Egal wie die auch gemacht wird. Man muss den key absolut lokal auf dem Server lassen. Den dem Server des Betreibers MUSS ich vertrauen, den der handelt mit mir ja den Schlüssel aus.

  4. Re: Wofür brauchen die einen statischen Sitzungsschlüssel?

    Autor: crypt0 16.10.17 - 20:51

    chefin schrieb:
    --------------------------------------------------------------------------------
    > Die Schlüssel werden ausgehandelt nachdem der Loadbalancer seine Anfragen
    > auf die Arbeitsserver verteilt hat. Dann ist der "Schaden" aber schon
    > passiert. Die Arbeitsserver werden zb mit Anfragen überflutet ohne das man
    > sie rechtzeitig blockieren kann.
    >
    > Wenn der Loadbalancer aber den "zentralen" key kennt, schaut er in die
    > Daten rein, erkennt das zu 20. Mal in dieser Sekunde die selbe IP eine
    > Anfrage stellt und blockiert es ohne weiter drauf einzugehen.
    >

    Das hat damit nichts zu tun. TLS liegt im/über dem Transport Layer (TCP). IP basierte Filterung ist mit und ohne TLS (1.3) problemlos möglich.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  2. LORENZ Life Sciences Goup, Frankfurt am Main
  3. Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB, Lemgo
  4. dSPACE GmbH, Wolfsburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 47,95€
  2. 185,00€ (Bestpreis + Geschenk!)
  3. 98,00€ (Bestpreis!)
  4. 469,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Technologie: Warum Roboter in Japan so beliebt sind
Technologie
Warum Roboter in Japan so beliebt sind

Japaner produzieren nicht nur mehr Roboter als jede andere Nation, sie gehen auch selbstverständlicher mit ihnen um. Das liegt an der besonderen Geschichte und Religion des Inselstaats - und an Astro Boy.
Von Miroslav Stimac

  1. Kreativität Roboterdame Ai-Da soll zeichnen und malen
  2. Automatisierung Roboterhotel entlässt Roboter
  3. Cimon Die ISS bekommt einen sensiblen Kommunikationsroboter

Jobporträt: Wenn die Software für den Anwalt kurzen Prozess macht
Jobporträt
Wenn die Software für den Anwalt kurzen Prozess macht

IT-Anwalt Christian Solmecke arbeitet an einer eigenen Jura-Software, die sogar automatisch auf Urheberrechtsabmahnungen antworten kann. Dass er sich damit seiner eigenen Arbeit beraubt, glaubt er nicht. Denn die KI des Programms braucht noch Betreuung.
Von Maja Hoock

  1. Struktrurwandel IT soll jetzt die Kohle nach Cottbus bringen
  2. IT-Jobporträt Spieleprogrammierer "Ich habe mehr Code gelöscht als geschrieben"
  3. Recruiting Wenn die KI passende Mitarbeiter findet

Passwort-Richtlinien: Schlechte Passwörter vermeiden
Passwort-Richtlinien
Schlechte Passwörter vermeiden

Groß- und Kleinbuchstaben, mindestens ein Sonderzeichen, aber nicht irgendeins? Viele Passwort-Richtlinien führen dazu, dass Nutzer genervt oder verwirrt sind, aber nicht unbedingt zu sichereren Passwörtern. Wir geben Tipps, wie Entwickler es besser machen können.
Von Hanno Böck

  1. Acutherm Mit Wärmebildkamera und Mikrofon das Passwort erraten
  2. Datenschutz Facebook speicherte Millionen Passwörter im Klartext
  3. Fido-Sticks im Test Endlich schlechte Passwörter

  1. 5G: Swisscom refarmt UMTS-Frequenz bei 2.100 MHz
    5G
    Swisscom refarmt UMTS-Frequenz bei 2.100 MHz

    UMTS bei 2.100 MHz kann man in der Schweiz bald nicht mehr nutzen. Der Bereich geht per Refarming an effizientere 4G- und 5G-Technologien.

  2. Copyright: Nintendo hat offenbar Super Mario Bros für C64 gestoppt
    Copyright
    Nintendo hat offenbar Super Mario Bros für C64 gestoppt

    Sieben Jahre hat ein Programmierer nach eigenen Angaben an einer Umsetzung von Super Mario Bros für den C64 gearbeitet. Wenige Tage nach der Veröffentlichung verschwindet das Spiel nun schon wieder von größeren Portalen - vermutlich wegen Nintendo.

  3. T-Mobile: 5G im Millimeterspektrum bleibt sehr begrenzt
    T-Mobile
    5G im Millimeterspektrum bleibt sehr begrenzt

    Mit 5G im Millimeterspektrum lassen sich nur kleine Bereiche in Städten ausleuchten. Für ein landesweites Netz geht es laut T-Mobile US darum, alle Frequenzbereiche für 5G zu nutzen.


  1. 17:41

  2. 16:20

  3. 16:05

  4. 16:00

  5. 15:50

  6. 15:43

  7. 15:00

  8. 15:00