Verschlüsselung im Web: TLS soll sicherer werden

Transport Layer Security (TLS) schützt unter anderem HTTPS-Verbindungen zwischen Browser und Web-Server vor dem Abhören. Eine konkrete Schwäche des Protokolls erleichtert jedoch Angriffe: Es verschlüsselt den zur Sicherung der Integrität berechneten Message Authentication Code (MAC). Dadurch kann der Empfänger die Korrektheit der Nachricht erst nach dem Entschlüsseln prüfen.

Dieser Ablauf wird kurz als "MAC then Encrypt" (MtE) bezeichnet und ermöglicht Angriffe wie das Padding Oracle und Die glückliche 13. Besser wäre es umgekehrt: Bereits 2001 zeigte (PDF-Dokument) Hugo Krawczyk, dass "Encrypt then MAC" (EtM), bei dem der MAC-Wert über die verschlüsselte Nachricht gebildet wird, deutlich sicherer ist – auch mit der bei TLS 1.0 und 1.1 bislang benutzten Verschlüsselungstechnik CBC (Cipher Block Chaining).

Nun liegt seit Ende Juni 2012 bei der zuständigen Arbeitsgruppe der IETF (Internet Engineering Task Force) der Entwurf für eine Ergänzung des TLS-Protokoll um EtM vor. Das Verfahren ließe sich, so die Verfechter, leicht als TLS-Erweiterung implementieren, sodass keine tiefgreifenden Änderungen an Browsern und Servern erforderlich seien. Zudem koexistiere es friedlich mit der bisherigen MtE-Technik: Ein Browser könne einfach EtM vom Server erbitten und auf das ältere Verfahren zurückgreifen, wenn der Server das neue nicht unterstützt. Auch das Bundesamt für Sicherheit in der Informationstechnik befürwortet EtM in seiner eCard-API (PDF-Dokument).

Der Chef der TLS-Arbeitsgruppe bei der IETF, Eric Rescorla, äußerte sich jedoch skeptisch zu dem Vorschlag: Clients könnten Angriffsstellen bieten, wenn sie den Fallback auf MtE fehlerhaft implementieren. Gegenüber heise online kritisierte ein deutscher Sicherheitsexperte diese Auffassung: Man müsse sich fragen, ob die Leiter der IETF-Arbeitsgruppen sich wirklich für das Beheben alter Schwachstellen interessierten oder nicht eher für das Vorantreiben von der NSA beeinflusster Algorithmen. (ck)