Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Verschlüsselung: Niemand hat die…

Wofür brauchen die einen statischen Sitzungsschlüssel?

  1. Thema

Neues Thema Ansicht wechseln


  1. Wofür brauchen die einen statischen Sitzungsschlüssel?

    Autor: me2 15.10.17 - 00:29

    Ganz ernsthaft Wofür brauchen die einen statischen Sitzungsschlüssel? Sind die Programmierer dieser Rechenzentren unfähig oder faul?

    Es geht hier drum dass ein statischer Schlüssel verwendet wird, der im Rechenzentrum weiter verteilt werden kann. Aber warum soll das mit vielen dynamischen Sitzungsschlüssel nicht gehen? Auch diese kann der Betreiber des Rechenzentrum an den Load-Balancer, die Firewall-Applikation oder andere Fronting-Server weiterreichen, zusammen mit den Informationen um sie zuzuordnen. Warum sollte man dafür einen statischen Schlüssel brauchen? Die dynamischen Schlüssel mitzuschicken ist natürlich ein bischen mehr Aufwand, den man erstmal in die Systeme reinstecken muss, aber kein wirklich großer, und man hätte doch das gleiche erreicht wie mit einem statischen Schlüssel, aber würde nicht sofort gleich PFS und dergleichen opfern.

  2. Re: Wofür brauchen die einen statischen Sitzungsschlüssel?

    Autor: crypt0 15.10.17 - 22:42

    Das ganze kam mit "den Banken" auf. Banken haben gesetzliche Vorgaben, die besagen, dass sie den Traffic in ihrem Netzwerk überwachen/protokollieren können müssen...
    Das Problem ist jetzt wenn die TLS 1.3 innerhalb ihres Netzes einsetzen - die Anwendung X spricht mit dem Datenbank-server Y - dann kann die Bank keine MitM-box dazwischen hängen. (ECDH)
    Der work-a-round:
    1. Man fixiere den (private) Wert des Servers (ECDH - private parameter)
    2. Dieser Wert wird an die middle-box geschickt - die box wird mit diesem Wert konfiguriert.
    3. Die box kann nun den TLS 1.3 traffic entschlüsseln.

    Würde man den privaten ECDH Wert nicht fixieren könnte man sich die Middle-box sparen und das logging am Server machen - das geht nur aus (wahrscheinlich) techn. orga. und gesetzl. Gründen nicht.
    Die Alternative wäre ein reverse proxy. Damit würde man die MitM box quasi explizit in die Netzwerktopologie mit aufnehmen - anstatt wie aktuell implizit einfach dazwischen zu hängen. Das Problem dabei: Architekturänderungen bei der Bank (=Kosten) und zudem kann man nicht mehr behaupten man habe nix gewusst von potenziellen MitM boxen / Angriffen der Geheimdienste. Die Schlaphütte müssten quasi ein Monitoring mit der Bank-IT "absprechen". Das dürfte beiden Seiten gar nicht gefallen...

  3. Re: Wofür brauchen die einen statischen Sitzungsschlüssel?

    Autor: chefin 16.10.17 - 08:26

    me2 schrieb:
    --------------------------------------------------------------------------------
    > Ganz ernsthaft Wofür brauchen die einen statischen Sitzungsschlüssel? Sind
    > die Programmierer dieser Rechenzentren unfähig oder faul?
    >
    > Es geht hier drum dass ein statischer Schlüssel verwendet wird, der im
    > Rechenzentrum weiter verteilt werden kann. Aber warum soll das mit vielen
    > dynamischen Sitzungsschlüssel nicht gehen? Auch diese kann der Betreiber
    > des Rechenzentrum an den Load-Balancer, die Firewall-Applikation oder
    > andere Fronting-Server weiterreichen, zusammen mit den Informationen um sie
    > zuzuordnen. Warum sollte man dafür einen statischen Schlüssel brauchen? Die
    > dynamischen Schlüssel mitzuschicken ist natürlich ein bischen mehr Aufwand,
    > den man erstmal in die Systeme reinstecken muss, aber kein wirklich großer,
    > und man hätte doch das gleiche erreicht wie mit einem statischen Schlüssel,
    > aber würde nicht sofort gleich PFS und dergleichen opfern.

    Die Schlüssel werden ausgehandelt nachdem der Loadbalancer seine Anfragen auf die Arbeitsserver verteilt hat. Dann ist der "Schaden" aber schon passiert. Die Arbeitsserver werden zb mit Anfragen überflutet ohne das man sie rechtzeitig blockieren kann.

    Wenn der Loadbalancer aber den "zentralen" key kennt, schaut er in die Daten rein, erkennt das zu 20. Mal in dieser Sekunde die selbe IP eine Anfrage stellt und blockiert es ohne weiter drauf einzugehen.

    Soweit die Theorie. Für den Betreiber eine mögliche Lösung, ich bin mir aber auch sicher, das man das anders regeln kann. Allerdings ist das zurück spiegeln der Keys an den Loadbalancer genauso unsicher wie ein zentraler Key. Es weis ein zentrales Gerät alle keys, dieses Gerät ist von einer Behörde überwachbar und würde folglich jede Verschlüsselung aufbrechen können. Wir reden hier nach nicht davon,d as irgendwelche Hacker unsere Daten entschlüsseln, sondern das wir uns mit der Verschlüsselung vor Behörden schützen.

    Jede Entschlüsselung am Loadbalancer ist also potentiell eine Gefahr für den User. Egal wie die auch gemacht wird. Man muss den key absolut lokal auf dem Server lassen. Den dem Server des Betreibers MUSS ich vertrauen, den der handelt mit mir ja den Schlüssel aus.

  4. Re: Wofür brauchen die einen statischen Sitzungsschlüssel?

    Autor: crypt0 16.10.17 - 20:51

    chefin schrieb:
    --------------------------------------------------------------------------------
    > Die Schlüssel werden ausgehandelt nachdem der Loadbalancer seine Anfragen
    > auf die Arbeitsserver verteilt hat. Dann ist der "Schaden" aber schon
    > passiert. Die Arbeitsserver werden zb mit Anfragen überflutet ohne das man
    > sie rechtzeitig blockieren kann.
    >
    > Wenn der Loadbalancer aber den "zentralen" key kennt, schaut er in die
    > Daten rein, erkennt das zu 20. Mal in dieser Sekunde die selbe IP eine
    > Anfrage stellt und blockiert es ohne weiter drauf einzugehen.
    >

    Das hat damit nichts zu tun. TLS liegt im/über dem Transport Layer (TCP). IP basierte Filterung ist mit und ohne TLS (1.3) problemlos möglich.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. d.velop Life Sciences GmbH, Gescher
  2. DASGIP Information and Process Technology GmbH, Jülich
  3. KDO Service GmbH, Oldenburg
  4. SEG Automotive Germany GmbH, Stuttgart-Weilimdorf

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 4,60€
  2. 2,99€
  3. 2,99€
  4. 5,25€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Final Fantasy 7 Remake angespielt: Cloud Strife und die (fast) unendliche Geschichte
Final Fantasy 7 Remake angespielt
Cloud Strife und die (fast) unendliche Geschichte

E3 2019 Das Remake von Final Fantasy 7 wird ein Riesenprojekt, allein die erste Episode erscheint auf zwei Blu-ray-Discs. Kurios: In wie viele Folgen das bereits enorm umfangreiche Original von 1997 aufgeteilt wird, kann bislang nicht mal der Producer sagen.

  1. Final Fantasy 14 Online Report Zwischen Cosplay, Kirmes und Kampfsystem
  2. Square Enix Final Fantasy 14 erhält Solo-Inhalte und besonderen Magier
  3. Rollenspiel Square Enix streicht Erweiterungen für Final Fantasy 15

Digitaler Knoten 4.0: Auto und Ampel im Austausch
Digitaler Knoten 4.0
Auto und Ampel im Austausch

Auf der Autobahn klappt das autonome Fahren schon recht gut. In der Stadt brauchen die Autos jedoch Unterstützung. In Braunschweig testet das DLR die Vernetzung von Autos und Infrastruktur, damit die autonom fahrenden Autos im fließenden Verkehr links abbiegen können.
Ein Bericht von Werner Pluta

  1. LTE-V2X vs. WLAN 802.11p Wer hat Recht im Streit ums Auto-WLAN?
  2. Vernetztes Fahren Lobbyschlacht um WLAN und 5G in Europa
  3. Gefahrenwarnungen EU setzt bei vernetztem Fahren weiter auf WLAN

Mobile-Games-Auslese: Magischer Dieb trifft mogelnden Doktor
Mobile-Games-Auslese
Magischer Dieb trifft mogelnden Doktor

Ein Dieb mit Dolch in Daggerhood, dazu ein (historisch verbürgter) Arzt in Astrologaster sowie wunderschön aufbereitetes Free-to-Play-Mittelalter in Marginalia Hero: Golem.de stellt die spannendsten neuen Mobile Games vor.
Von Rainer Sigl

  1. Hyper Casual Games 30 Sekunden spielen, 30 Sekunden Werbung
  2. Mobile-Games-Auslese Rollenspiel-Frühling mit leichten Schusswechseln
  3. Gaming Apple Arcade wird Spiele-Flatrate für iOS und MacOS

  1. Windows 10: Docker Desktop nutzt künftig WSL 2
    Windows 10
    Docker Desktop nutzt künftig WSL 2

    Das neue Windows Subsystem für Linux nutzt eine ähnliche Architektur, wie sie Docker bisher selbst gebaut hat - nur eben nativ. Das Docker-Team wechselt für den Windows-Support deshalb auf das WSL 2 und verspricht eine nahtlose Integration.

  2. Lidl Connect: Smartphone-Tarife erhalten mehr Datenvolumen - ohne LTE
    Lidl Connect
    Smartphone-Tarife erhalten mehr Datenvolumen - ohne LTE

    Der Lebensmittel-Discounter Lidl hat seine eigenen Smartphone-Tarife überarbeitet. In allen Optionen wird das enthaltene Datenvolumen erhöht. Lidl-Kunden nutzen das Vodafone-Netz, aber der LTE-Zugang ist weiterhin nicht dabei.

  3. Steam Play: Tschüss Windows, hallo Linux - ein Gamer zieht um
    Steam Play
    Tschüss Windows, hallo Linux - ein Gamer zieht um

    Wenn ein Gamer von Windows auf Linux umsteigt, ist das aufwendig - nahm ich an. Die Distribution Manjaro macht jedoch immerhin die Installation leicht. Laufen Spiele auch und laufen sie so schnell wie unter Windows?


  1. 13:10

  2. 12:25

  3. 12:07

  4. 11:52

  5. 11:43

  6. 11:32

  7. 11:24

  8. 11:11