Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Verschlüsselung: Niemand hat die…

Wofür brauchen die einen statischen Sitzungsschlüssel?

  1. Thema

Neues Thema Ansicht wechseln


  1. Wofür brauchen die einen statischen Sitzungsschlüssel?

    Autor: me2 15.10.17 - 00:29

    Ganz ernsthaft Wofür brauchen die einen statischen Sitzungsschlüssel? Sind die Programmierer dieser Rechenzentren unfähig oder faul?

    Es geht hier drum dass ein statischer Schlüssel verwendet wird, der im Rechenzentrum weiter verteilt werden kann. Aber warum soll das mit vielen dynamischen Sitzungsschlüssel nicht gehen? Auch diese kann der Betreiber des Rechenzentrum an den Load-Balancer, die Firewall-Applikation oder andere Fronting-Server weiterreichen, zusammen mit den Informationen um sie zuzuordnen. Warum sollte man dafür einen statischen Schlüssel brauchen? Die dynamischen Schlüssel mitzuschicken ist natürlich ein bischen mehr Aufwand, den man erstmal in die Systeme reinstecken muss, aber kein wirklich großer, und man hätte doch das gleiche erreicht wie mit einem statischen Schlüssel, aber würde nicht sofort gleich PFS und dergleichen opfern.

  2. Re: Wofür brauchen die einen statischen Sitzungsschlüssel?

    Autor: crypt0 15.10.17 - 22:42

    Das ganze kam mit "den Banken" auf. Banken haben gesetzliche Vorgaben, die besagen, dass sie den Traffic in ihrem Netzwerk überwachen/protokollieren können müssen...
    Das Problem ist jetzt wenn die TLS 1.3 innerhalb ihres Netzes einsetzen - die Anwendung X spricht mit dem Datenbank-server Y - dann kann die Bank keine MitM-box dazwischen hängen. (ECDH)
    Der work-a-round:
    1. Man fixiere den (private) Wert des Servers (ECDH - private parameter)
    2. Dieser Wert wird an die middle-box geschickt - die box wird mit diesem Wert konfiguriert.
    3. Die box kann nun den TLS 1.3 traffic entschlüsseln.

    Würde man den privaten ECDH Wert nicht fixieren könnte man sich die Middle-box sparen und das logging am Server machen - das geht nur aus (wahrscheinlich) techn. orga. und gesetzl. Gründen nicht.
    Die Alternative wäre ein reverse proxy. Damit würde man die MitM box quasi explizit in die Netzwerktopologie mit aufnehmen - anstatt wie aktuell implizit einfach dazwischen zu hängen. Das Problem dabei: Architekturänderungen bei der Bank (=Kosten) und zudem kann man nicht mehr behaupten man habe nix gewusst von potenziellen MitM boxen / Angriffen der Geheimdienste. Die Schlaphütte müssten quasi ein Monitoring mit der Bank-IT "absprechen". Das dürfte beiden Seiten gar nicht gefallen...

  3. Re: Wofür brauchen die einen statischen Sitzungsschlüssel?

    Autor: chefin 16.10.17 - 08:26

    me2 schrieb:
    --------------------------------------------------------------------------------
    > Ganz ernsthaft Wofür brauchen die einen statischen Sitzungsschlüssel? Sind
    > die Programmierer dieser Rechenzentren unfähig oder faul?
    >
    > Es geht hier drum dass ein statischer Schlüssel verwendet wird, der im
    > Rechenzentrum weiter verteilt werden kann. Aber warum soll das mit vielen
    > dynamischen Sitzungsschlüssel nicht gehen? Auch diese kann der Betreiber
    > des Rechenzentrum an den Load-Balancer, die Firewall-Applikation oder
    > andere Fronting-Server weiterreichen, zusammen mit den Informationen um sie
    > zuzuordnen. Warum sollte man dafür einen statischen Schlüssel brauchen? Die
    > dynamischen Schlüssel mitzuschicken ist natürlich ein bischen mehr Aufwand,
    > den man erstmal in die Systeme reinstecken muss, aber kein wirklich großer,
    > und man hätte doch das gleiche erreicht wie mit einem statischen Schlüssel,
    > aber würde nicht sofort gleich PFS und dergleichen opfern.

    Die Schlüssel werden ausgehandelt nachdem der Loadbalancer seine Anfragen auf die Arbeitsserver verteilt hat. Dann ist der "Schaden" aber schon passiert. Die Arbeitsserver werden zb mit Anfragen überflutet ohne das man sie rechtzeitig blockieren kann.

    Wenn der Loadbalancer aber den "zentralen" key kennt, schaut er in die Daten rein, erkennt das zu 20. Mal in dieser Sekunde die selbe IP eine Anfrage stellt und blockiert es ohne weiter drauf einzugehen.

    Soweit die Theorie. Für den Betreiber eine mögliche Lösung, ich bin mir aber auch sicher, das man das anders regeln kann. Allerdings ist das zurück spiegeln der Keys an den Loadbalancer genauso unsicher wie ein zentraler Key. Es weis ein zentrales Gerät alle keys, dieses Gerät ist von einer Behörde überwachbar und würde folglich jede Verschlüsselung aufbrechen können. Wir reden hier nach nicht davon,d as irgendwelche Hacker unsere Daten entschlüsseln, sondern das wir uns mit der Verschlüsselung vor Behörden schützen.

    Jede Entschlüsselung am Loadbalancer ist also potentiell eine Gefahr für den User. Egal wie die auch gemacht wird. Man muss den key absolut lokal auf dem Server lassen. Den dem Server des Betreibers MUSS ich vertrauen, den der handelt mit mir ja den Schlüssel aus.

  4. Re: Wofür brauchen die einen statischen Sitzungsschlüssel?

    Autor: crypt0 16.10.17 - 20:51

    chefin schrieb:
    --------------------------------------------------------------------------------
    > Die Schlüssel werden ausgehandelt nachdem der Loadbalancer seine Anfragen
    > auf die Arbeitsserver verteilt hat. Dann ist der "Schaden" aber schon
    > passiert. Die Arbeitsserver werden zb mit Anfragen überflutet ohne das man
    > sie rechtzeitig blockieren kann.
    >
    > Wenn der Loadbalancer aber den "zentralen" key kennt, schaut er in die
    > Daten rein, erkennt das zu 20. Mal in dieser Sekunde die selbe IP eine
    > Anfrage stellt und blockiert es ohne weiter drauf einzugehen.
    >

    Das hat damit nichts zu tun. TLS liegt im/über dem Transport Layer (TCP). IP basierte Filterung ist mit und ohne TLS (1.3) problemlos möglich.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BWI GmbH, bundesweit
  2. BWI GmbH, Meckenheim
  3. ekom21 - KGRZ Hessen, Darmstadt, Gießen, Kassel
  4. BWI GmbH, Bonn

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 469€ (Bestpreis!)
  2. (u. a. Wreckfest für 16,99€)
  3. 99€
  4. 99,90€ + Versand (Vergleichspreis 127,32€ + Versand)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

Mädchen und IT: Fehler im System
Mädchen und IT
Fehler im System

Bis zu einem gewissen Alter sind Jungen und Mädchen gleichermaßen an Technik interessiert. Wenn es dann aber um die Berufswahl geht, entscheiden sich immer noch viel mehr junge Männer als Frauen für die IT. Ein wichtiger Grund dafür ist in der Schule zu suchen.
Von Valerie Lux

  1. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  2. 5G Milliardenlücke beim Digitalpakt Schule droht
  3. Medienkompetenz Was, Ihr Kind kann nicht programmieren?

16K-Videos: 400 MByte für einen Screenshot
16K-Videos
400 MByte für einen Screenshot

Die meisten Spiele können nur 4K, mit Downsampling sind bis zu 16K möglich. Wie das geht, haben wir bereits in einem früheren Artikel erklärt. Jetzt folgt die nächste Stufe: Wie erstellt man Videos in solchen Auflösungen? Hier wird gleich ein ganzer Schwung weiterer Tools und Tricks nötig.
Eine Anleitung von Joachim Otahal

  1. UL 3DMark Feature Test prüft variable Shading-Rate
  2. Nvidia Turing Neuer 3DMark-Benchmark testet DLSS-Kantenglättung

  1. Radikalisierung: Die meisten Menschen leben nicht in einer Blase
    Radikalisierung
    Die meisten Menschen leben nicht in einer Blase

    Dass fast jeder in gefährlichen Filterblasen oder Echokammern lebt, ist ein Mythos, sagt die Kommunikationswissenschaftlerin Merja Mahrt. Radikalisierung findet nicht nur im Internet statt, doch darauf wird meist geschaut.

  2. Mozilla: Firefox 70 zeigt Übersicht zu Tracking-Schutz
    Mozilla
    Firefox 70 zeigt Übersicht zu Tracking-Schutz

    Der Tracking-Schutz des Firefox blockiert sehr viele Elemente, die in der aktuellen Version 70 des Browsers für die Nutzer ausgewertet werden. Der Passwortmanager Lockwise ist nun Teil des Browsers und die Schloss-Symbole für HTTPS werden verändert.

  3. Softbank: Wework fällt von 47 auf 8 Milliarden US-Dollar
    Softbank
    Wework fällt von 47 auf 8 Milliarden US-Dollar

    In einer neuen Vereinbarung erlangt die japanische Softbank die Kontrolle über das Co-Working-Startup Wework. Es fällt dabei erheblich im Wert und entgeht dem drohenden Bankrott.


  1. 19:37

  2. 16:42

  3. 16:00

  4. 15:01

  5. 14:55

  6. 14:53

  7. 14:30

  8. 13:35