Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Verschlüsselung: Niemand hat die…

Wofür brauchen die einen statischen Sitzungsschlüssel?

  1. Thema

Neues Thema Ansicht wechseln


  1. Wofür brauchen die einen statischen Sitzungsschlüssel?

    Autor: me2 15.10.17 - 00:29

    Ganz ernsthaft Wofür brauchen die einen statischen Sitzungsschlüssel? Sind die Programmierer dieser Rechenzentren unfähig oder faul?

    Es geht hier drum dass ein statischer Schlüssel verwendet wird, der im Rechenzentrum weiter verteilt werden kann. Aber warum soll das mit vielen dynamischen Sitzungsschlüssel nicht gehen? Auch diese kann der Betreiber des Rechenzentrum an den Load-Balancer, die Firewall-Applikation oder andere Fronting-Server weiterreichen, zusammen mit den Informationen um sie zuzuordnen. Warum sollte man dafür einen statischen Schlüssel brauchen? Die dynamischen Schlüssel mitzuschicken ist natürlich ein bischen mehr Aufwand, den man erstmal in die Systeme reinstecken muss, aber kein wirklich großer, und man hätte doch das gleiche erreicht wie mit einem statischen Schlüssel, aber würde nicht sofort gleich PFS und dergleichen opfern.

  2. Re: Wofür brauchen die einen statischen...

    Autor: crypt0 15.10.17 - 22:42

    Das ganze kam mit "den Banken" auf. Banken haben gesetzliche Vorgaben, die besagen, dass sie den Traffic in ihrem Netzwerk überwachen/protokollieren können müssen...
    Das Problem ist jetzt wenn die TLS 1.3 innerhalb ihres Netzes einsetzen - die Anwendung X spricht mit dem Datenbank-server Y - dann kann die Bank keine MitM-box dazwischen hängen. (ECDH)
    Der work-a-round:
    1. Man fixiere den (private) Wert des Servers (ECDH - private parameter)
    2. Dieser Wert wird an die middle-box geschickt - die box wird mit diesem Wert konfiguriert.
    3. Die box kann nun den TLS 1.3 traffic entschlüsseln.

    Würde man den privaten ECDH Wert nicht fixieren könnte man sich die Middle-box sparen und das logging am Server machen - das geht nur aus (wahrscheinlich) techn. orga. und gesetzl. Gründen nicht.
    Die Alternative wäre ein reverse proxy. Damit würde man die MitM box quasi explizit in die Netzwerktopologie mit aufnehmen - anstatt wie aktuell implizit einfach dazwischen zu hängen. Das Problem dabei: Architekturänderungen bei der Bank (=Kosten) und zudem kann man nicht mehr behaupten man habe nix gewusst von potenziellen MitM boxen / Angriffen der Geheimdienste. Die Schlaphütte müssten quasi ein Monitoring mit der Bank-IT "absprechen". Das dürfte beiden Seiten gar nicht gefallen...

  3. Re: Wofür brauchen die einen statischen...

    Autor: chefin 16.10.17 - 08:26

    me2 schrieb:
    --------------------------------------------------------------------------------
    > Ganz ernsthaft Wofür brauchen die einen statischen Sitzungsschlüssel? Sind
    > die Programmierer dieser Rechenzentren unfähig oder faul?
    >
    > Es geht hier drum dass ein statischer Schlüssel verwendet wird, der im
    > Rechenzentrum weiter verteilt werden kann. Aber warum soll das mit vielen
    > dynamischen Sitzungsschlüssel nicht gehen? Auch diese kann der Betreiber
    > des Rechenzentrum an den Load-Balancer, die Firewall-Applikation oder
    > andere Fronting-Server weiterreichen, zusammen mit den Informationen um sie
    > zuzuordnen. Warum sollte man dafür einen statischen Schlüssel brauchen? Die
    > dynamischen Schlüssel mitzuschicken ist natürlich ein bischen mehr Aufwand,
    > den man erstmal in die Systeme reinstecken muss, aber kein wirklich großer,
    > und man hätte doch das gleiche erreicht wie mit einem statischen Schlüssel,
    > aber würde nicht sofort gleich PFS und dergleichen opfern.

    Die Schlüssel werden ausgehandelt nachdem der Loadbalancer seine Anfragen auf die Arbeitsserver verteilt hat. Dann ist der "Schaden" aber schon passiert. Die Arbeitsserver werden zb mit Anfragen überflutet ohne das man sie rechtzeitig blockieren kann.

    Wenn der Loadbalancer aber den "zentralen" key kennt, schaut er in die Daten rein, erkennt das zu 20. Mal in dieser Sekunde die selbe IP eine Anfrage stellt und blockiert es ohne weiter drauf einzugehen.

    Soweit die Theorie. Für den Betreiber eine mögliche Lösung, ich bin mir aber auch sicher, das man das anders regeln kann. Allerdings ist das zurück spiegeln der Keys an den Loadbalancer genauso unsicher wie ein zentraler Key. Es weis ein zentrales Gerät alle keys, dieses Gerät ist von einer Behörde überwachbar und würde folglich jede Verschlüsselung aufbrechen können. Wir reden hier nach nicht davon,d as irgendwelche Hacker unsere Daten entschlüsseln, sondern das wir uns mit der Verschlüsselung vor Behörden schützen.

    Jede Entschlüsselung am Loadbalancer ist also potentiell eine Gefahr für den User. Egal wie die auch gemacht wird. Man muss den key absolut lokal auf dem Server lassen. Den dem Server des Betreibers MUSS ich vertrauen, den der handelt mit mir ja den Schlüssel aus.

  4. Re: Wofür brauchen die einen statischen...

    Autor: crypt0 16.10.17 - 20:51

    chefin schrieb:
    --------------------------------------------------------------------------------
    > Die Schlüssel werden ausgehandelt nachdem der Loadbalancer seine Anfragen
    > auf die Arbeitsserver verteilt hat. Dann ist der "Schaden" aber schon
    > passiert. Die Arbeitsserver werden zb mit Anfragen überflutet ohne das man
    > sie rechtzeitig blockieren kann.
    >
    > Wenn der Loadbalancer aber den "zentralen" key kennt, schaut er in die
    > Daten rein, erkennt das zu 20. Mal in dieser Sekunde die selbe IP eine
    > Anfrage stellt und blockiert es ohne weiter drauf einzugehen.
    >

    Das hat damit nichts zu tun. TLS liegt im/über dem Transport Layer (TCP). IP basierte Filterung ist mit und ohne TLS (1.3) problemlos möglich.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. M-net Telekommunikations GmbH, München
  2. Bechtle Onsite Services GmbH, Berlin
  3. EUROGATE GmbH & Co. KGaA, KG, Hamburg, Bremerhaven
  4. Radeberger Gruppe KG, Raum Frankfurt am Main

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Hitman Goty, God Eater 2 Rage Burst, Tropico 4 Collector's Bundle)
  2. 49,94€
  3. 19,95€
  4. 13,95€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Timex Data Link im Retro-Test: Bill Gates' Astronauten-Smartwatch
Timex Data Link im Retro-Test
Bill Gates' Astronauten-Smartwatch

Mit der Data Link haben Timex und Microsoft bereits vor 25 Jahren die erste richtige Smartwatch vorgestellt. Sie hat es sogar bis in den Weltraum geschafft. Das Highlight ist die drahtlose Datenübertragung per flackerndem Röhrenmonitor - was wir natürlich ausprobieren mussten.
Ein Test von Tobias Költzsch

  1. Smart Watch Swatch fordert wegen kopierter Zifferblätter von Samsung Geld
  2. Wearable EU warnt vor deutscher Kinder-Smartwatch
  3. Sportuhr Fossil stellt Smartwatch mit Snapdragon 3100 vor

WD Blue SN500 ausprobiert: Die flotte günstige Blaue
WD Blue SN500 ausprobiert
Die flotte günstige Blaue

Mit der WD Blue SN500 bietet Western Digital eine spannende NVMe-SSD an: Das M.2-Kärtchen basiert auf einem selbst entwickelten Controller und eigenem Flash-Speicher. Das Resultat ist ein schnelles, vor allem aber günstiges Modell als bessere Alternative zu Sata-SSDs.
Von Marc Sauter

  1. WD Black SN750 ausprobiert Direkt hinter Samsungs SSDs
  2. WD Black SN750 Leicht optimierte NVMe-SSD mit 2 TByte
  3. Ultrastar DC ME200 Western Digital baut PCIe-Arbeitsspeicher mit 4 TByte

Ocean Discovery X Prize: Autonome Fraunhofer-Roboter erforschen die Tiefsee
Ocean Discovery X Prize
Autonome Fraunhofer-Roboter erforschen die Tiefsee

Öffentliche Vergaberichtlinien und agile Arbeitsweise: Die Teilnahme am Ocean Discovery X Prize war nicht einfach für die Forscher des Fraunhofer Instituts IOSB. Deren autonome Tauchroboter zur Tiefseekartierung schafften es unter die besten fünf weltweit.
Ein Bericht von Werner Pluta

  1. JAB Code Bunter Barcode gegen Fälschungen

  1. Funklöcher: Telekom weist Vorwürfe zu schlechtem Antennenstandort zurück
    Funklöcher
    Telekom weist Vorwürfe zu schlechtem Antennenstandort zurück

    Nach den Vorwürfen eines Ortsteilbürgermeisters bei der Standortauswahl in einem Ort in Thüringen sieht sich die Telekom missverstanden. Auch sei die Ausleuchtung beider Ortsteile mit einer Antenne nicht möglich, sagt ein Sprecher.

  2. Bethesda: Wolfenstein Youngblood erscheint mit Nazis und Hakenkreuzen
    Bethesda
    Wolfenstein Youngblood erscheint mit Nazis und Hakenkreuzen

    Kein anonymes Regime, sondern Nazis und keine erfundenen Symbole, sondern Hakenkreuze: Wolfenstein Youngblood und das VR-Actionspiel Cyberpilot erscheinen auch in Deutschland in einer ungeschnittenen Version.

  3. Roli Lumi: Mit LED-Keyboard und Guitar-Hero-Klon musizieren lernen
    Roli Lumi
    Mit LED-Keyboard und Guitar-Hero-Klon musizieren lernen

    Roli will Anfängern den Einstieg in das Musikmachen erleichtern und finanziert deshalb auf Kickstarter das Roli-Lumi-Keyboard mit passender App. Nutzer lernen damit, Lieder zu spielen, indem das Keyboard die richtigen Tasten aufleuchten lässt. Es lassen sich zwei Keyboards zu einem größeren zusammenstecken.


  1. 18:13

  2. 17:54

  3. 17:39

  4. 17:10

  5. 16:45

  6. 16:31

  7. 15:40

  8. 15:27