Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Verschlüsselung: Niemand hat die…

Wofür brauchen die einen statischen Sitzungsschlüssel?

  1. Thema

Neues Thema Ansicht wechseln


  1. Wofür brauchen die einen statischen Sitzungsschlüssel?

    Autor: me2 15.10.17 - 00:29

    Ganz ernsthaft Wofür brauchen die einen statischen Sitzungsschlüssel? Sind die Programmierer dieser Rechenzentren unfähig oder faul?

    Es geht hier drum dass ein statischer Schlüssel verwendet wird, der im Rechenzentrum weiter verteilt werden kann. Aber warum soll das mit vielen dynamischen Sitzungsschlüssel nicht gehen? Auch diese kann der Betreiber des Rechenzentrum an den Load-Balancer, die Firewall-Applikation oder andere Fronting-Server weiterreichen, zusammen mit den Informationen um sie zuzuordnen. Warum sollte man dafür einen statischen Schlüssel brauchen? Die dynamischen Schlüssel mitzuschicken ist natürlich ein bischen mehr Aufwand, den man erstmal in die Systeme reinstecken muss, aber kein wirklich großer, und man hätte doch das gleiche erreicht wie mit einem statischen Schlüssel, aber würde nicht sofort gleich PFS und dergleichen opfern.

  2. Re: Wofür brauchen die einen statischen Sitzungsschlüssel?

    Autor: crypt0 15.10.17 - 22:42

    Das ganze kam mit "den Banken" auf. Banken haben gesetzliche Vorgaben, die besagen, dass sie den Traffic in ihrem Netzwerk überwachen/protokollieren können müssen...
    Das Problem ist jetzt wenn die TLS 1.3 innerhalb ihres Netzes einsetzen - die Anwendung X spricht mit dem Datenbank-server Y - dann kann die Bank keine MitM-box dazwischen hängen. (ECDH)
    Der work-a-round:
    1. Man fixiere den (private) Wert des Servers (ECDH - private parameter)
    2. Dieser Wert wird an die middle-box geschickt - die box wird mit diesem Wert konfiguriert.
    3. Die box kann nun den TLS 1.3 traffic entschlüsseln.

    Würde man den privaten ECDH Wert nicht fixieren könnte man sich die Middle-box sparen und das logging am Server machen - das geht nur aus (wahrscheinlich) techn. orga. und gesetzl. Gründen nicht.
    Die Alternative wäre ein reverse proxy. Damit würde man die MitM box quasi explizit in die Netzwerktopologie mit aufnehmen - anstatt wie aktuell implizit einfach dazwischen zu hängen. Das Problem dabei: Architekturänderungen bei der Bank (=Kosten) und zudem kann man nicht mehr behaupten man habe nix gewusst von potenziellen MitM boxen / Angriffen der Geheimdienste. Die Schlaphütte müssten quasi ein Monitoring mit der Bank-IT "absprechen". Das dürfte beiden Seiten gar nicht gefallen...

  3. Re: Wofür brauchen die einen statischen Sitzungsschlüssel?

    Autor: chefin 16.10.17 - 08:26

    me2 schrieb:
    --------------------------------------------------------------------------------
    > Ganz ernsthaft Wofür brauchen die einen statischen Sitzungsschlüssel? Sind
    > die Programmierer dieser Rechenzentren unfähig oder faul?
    >
    > Es geht hier drum dass ein statischer Schlüssel verwendet wird, der im
    > Rechenzentrum weiter verteilt werden kann. Aber warum soll das mit vielen
    > dynamischen Sitzungsschlüssel nicht gehen? Auch diese kann der Betreiber
    > des Rechenzentrum an den Load-Balancer, die Firewall-Applikation oder
    > andere Fronting-Server weiterreichen, zusammen mit den Informationen um sie
    > zuzuordnen. Warum sollte man dafür einen statischen Schlüssel brauchen? Die
    > dynamischen Schlüssel mitzuschicken ist natürlich ein bischen mehr Aufwand,
    > den man erstmal in die Systeme reinstecken muss, aber kein wirklich großer,
    > und man hätte doch das gleiche erreicht wie mit einem statischen Schlüssel,
    > aber würde nicht sofort gleich PFS und dergleichen opfern.

    Die Schlüssel werden ausgehandelt nachdem der Loadbalancer seine Anfragen auf die Arbeitsserver verteilt hat. Dann ist der "Schaden" aber schon passiert. Die Arbeitsserver werden zb mit Anfragen überflutet ohne das man sie rechtzeitig blockieren kann.

    Wenn der Loadbalancer aber den "zentralen" key kennt, schaut er in die Daten rein, erkennt das zu 20. Mal in dieser Sekunde die selbe IP eine Anfrage stellt und blockiert es ohne weiter drauf einzugehen.

    Soweit die Theorie. Für den Betreiber eine mögliche Lösung, ich bin mir aber auch sicher, das man das anders regeln kann. Allerdings ist das zurück spiegeln der Keys an den Loadbalancer genauso unsicher wie ein zentraler Key. Es weis ein zentrales Gerät alle keys, dieses Gerät ist von einer Behörde überwachbar und würde folglich jede Verschlüsselung aufbrechen können. Wir reden hier nach nicht davon,d as irgendwelche Hacker unsere Daten entschlüsseln, sondern das wir uns mit der Verschlüsselung vor Behörden schützen.

    Jede Entschlüsselung am Loadbalancer ist also potentiell eine Gefahr für den User. Egal wie die auch gemacht wird. Man muss den key absolut lokal auf dem Server lassen. Den dem Server des Betreibers MUSS ich vertrauen, den der handelt mit mir ja den Schlüssel aus.

  4. Re: Wofür brauchen die einen statischen Sitzungsschlüssel?

    Autor: crypt0 16.10.17 - 20:51

    chefin schrieb:
    --------------------------------------------------------------------------------
    > Die Schlüssel werden ausgehandelt nachdem der Loadbalancer seine Anfragen
    > auf die Arbeitsserver verteilt hat. Dann ist der "Schaden" aber schon
    > passiert. Die Arbeitsserver werden zb mit Anfragen überflutet ohne das man
    > sie rechtzeitig blockieren kann.
    >
    > Wenn der Loadbalancer aber den "zentralen" key kennt, schaut er in die
    > Daten rein, erkennt das zu 20. Mal in dieser Sekunde die selbe IP eine
    > Anfrage stellt und blockiert es ohne weiter drauf einzugehen.
    >

    Das hat damit nichts zu tun. TLS liegt im/über dem Transport Layer (TCP). IP basierte Filterung ist mit und ohne TLS (1.3) problemlos möglich.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Schütz GmbH & Co. KGaA, Selters (Westerwald)
  2. ADAC Luftrettung gGmbH, München
  3. Chemische Fabrik Budenheim KG, Budenheim
  4. KÖNIGSTEINER GmbH, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 64,99€ (Release am 25. Oktober)
  2. 4,99€
  3. (-15%) 16,99€
  4. 16,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Vision 5 und Epos 2 im Hands on: Tolinos neue E-Book-Reader-Oberklasse ist gelungen
Vision 5 und Epos 2 im Hands on
Tolinos neue E-Book-Reader-Oberklasse ist gelungen

Die Tolino-Allianz bringt zwei neue E-Book-Reader der Oberklasse auf den Markt. Der Vision 5 hat ein 7 Zoll großes Display, beim besonders dünnen Epos 2 ist es ein 8-Zoll-Display. Es gibt typische Oberklasse-Ausstattung - und noch etwas mehr.
Ein Hands on von Ingo Pakalski

  1. Tolino Page 2 Günstiger E-Book-Reader erhält Displaybeleuchtung

16K-Videos: 400 MByte für einen Screenshot
16K-Videos
400 MByte für einen Screenshot

Die meisten Spiele können nur 4K, mit Downsampling sind bis zu 16K möglich. Wie das geht, haben wir bereits in einem früheren Artikel erklärt. Jetzt folgt die nächste Stufe: Wie erstellt man Videos in solchen Auflösungen? Hier wird gleich ein ganzer Schwung weiterer Tools und Tricks nötig.
Eine Anleitung von Joachim Otahal

  1. UL 3DMark Feature Test prüft variable Shading-Rate
  2. Nvidia Turing Neuer 3DMark-Benchmark testet DLSS-Kantenglättung

Funkstandards: Womit funkt das smarte Heim?
Funkstandards
Womit funkt das smarte Heim?

Ob Wohnung oder Haus: Smart soll es bitte sein. Und wenn das nicht von Anfang an klappt, soll die Nachrüstung zum Smart Home so wenig aufwendig wie möglich sein. Dafür kommen vor allem Funklösungen infrage, wir stellen die gebräuchlichsten vor.
Von Jan Rähm

  1. Local Home SDK Google bietet SDK für Smarthomesteuerung im lokalen Netzwerk
  2. GE Smarte Lampe mit 11- bis 13-stufigem Resetverfahren
  3. IoT Smart Homes ohne Internet, geht das? Ja!

  1. iLife MP8 Micro: Winziger Windows-PC passt in die Handfläche
    iLife MP8 Micro
    Winziger Windows-PC passt in die Handfläche

    Der iLife MP8 Micro ist ein Beispiel dafür, wie klein Komplettsysteme mit Windows 10 mittlerweile sein können, ohne zu viele Anschlüsse aufzugeben. Der Mini-PC nutzt eine Gemini-Lake-CPU von Intel und sollte für einfache Office-Arbeiten ausreichen.

  2. Datenethik: Regierungskommission bringt Verbot von Algorithmen ins Spiel
    Datenethik
    Regierungskommission bringt Verbot von Algorithmen ins Spiel

    Eine Regierungskommission macht Vorschläge für eine umfassende Regulierung von Algorithmen. Sie fordert unter anderem eine Kontrollinstanz, Algorithmus-Beauftragte in Unternehmen und sogar das Verbot von Algorithmen mit "unvertretbarem Schädigungspotenzial".

  3. Google: Chrome 78 bringt Experimente und bessere Tab-Übersicht
    Google
    Chrome 78 bringt Experimente und bessere Tab-Übersicht

    Die aktuelle Version 78 des Chrome-Browsers von Google erleichtert die Tab-Übersicht. Außerdem enthält die Version experimentelle APIs etwa für den Dateisystemzugriff, testet DoH und bietet einen forcierten Dark-Mode.


  1. 15:15

  2. 15:00

  3. 14:43

  4. 14:28

  5. 14:14

  6. 14:00

  7. 13:48

  8. 13:35