IETF an ETSI: Finger weg von TLS

Der Streit um eine abhörbare Version des TLS-Standards namens eTLS aus dem Haus der europäischen Standardisierungsorganisation ETSI geht in die nächste Runde. Die für den Security-Bereich zuständigen Experten der Internet Engineering Task Force (IETF) pochen in einem am Mittwoch veröffentlichten Brief an die ETSI auf ihr Urheberrecht für die Bezeichnung Transport Layer Security. eTLS verdiene diesen Namen nicht. "Wo TLS draufsteht, dürfen keine statischen Keys drinstecken", lässt sich die Position der IETF kompakt zusammenfassen.

Europäischer Abhörstandard

Um innerhalb von Rechenzentren und Unternehmensnetzen Datenverkehr kontrollierbar zu machen, verabschiedete das Technical Committee Cyber im November ein Protokoll, das in das Ende-zu-Ende-Design des neuen IETF Standards TLS 1.3 eingreift. Durch die Nutzung von statischen, anstelle der von der IETF vorgesehenen temporären Diffie-Helman-Schlüssel und die Hinterlegung dieser Schlüssel bei Mittelboxen, wollen verschiedene Unternehmen und Sicherheitsbehörden, die Ende-zu-Ende-verschlüsselten Datenströme wieder sichtbar machen. Die TLS Arbeitsgruppe der IETF hatte die entsprechenden Konzepte nach intensiver Diskussion verworfen.

Es mag zwar richtig sein, wenn die ETSI eTLS (ETSI TS 103 523-3) als eine "Implementierungs-Variante von Transport Layer Security 1.3" bezeichne, schreiben Benjamin Kaduk von Akamai und Eric Rescorla von Mozilla in ihrem Brief an die ETSI. Korrekt sei auch, dass die MSP-Server mit RFC 8446 konformen TLS-1.3-Clients interagieren können. Die Nutzung der statischen Schlüssel verletze das Design von RFC 8446 aber so gravierend, dass TLS eben nicht mehr als Grundlage und Label von der ETSI genutzt werden könne. "Es handelt sich um ein fundamental anderes Protokoll und das sollte auch in der Bezeichnung klar zum Ausdruck kommen", so das Fazit.

Kampfansage an eTLS Server

Für "TLS" macht die IETF urheberrechtliche Ansprüche geltend. Immerhin werde der Standard seit über 20 Jahren von der IETF unter diesem Namen entwickelt, unterstreichen Kaduk und Rescorla. Während die "offizielle" IETF-Antwort also die Urheberrechtskeule herausholt und sich die Verwendung ihres Namens für die nicht-standardgemäße Protokollvariante verbittet, legte ein Mitglied der TLS-Arbeitsgruppe einen technischen Vorschlag vor, um das Aufschlüsseln von TLS-1.3-Datenverkehr zu verhindern. Daniel Kahn Gillmor von der American Civil Liberty Union (ACLU) empfiehlt in dem Entwurf, dass RFC 8446 konforme TLS-Clients nicht mit Servern kommunizieren dürfen, die statische Schlüssel verwenden.

Als Hinweis dafür, welche Server dies tun, soll laut Kahn Gillmor die in eTLS vorgesehenen URI-Labels dienen. Wenn ein TLS-Client ein Zertifikat erhalte, das im entsprechenden Feld (subjectAltName) Hinweise auf eTLS enthalte, müsse der Client die Verbindung sofort beenden.

Die Debatte über eine solche Abwehrmaßnahme, die die Nutzer im Unternehmensnetz von bestimmten Diensten – oder ihren Kunden – abschneiden könnten, ist bereits im Gang. Experten fürchten, dass eTLS-Server einfach, wie schon im ETSI-Konzept vorgesehen, die entsprechenden URI-Labels weglassen und auf einen heimlichen Betrieb von eTLS umstellen. Auch dagegen werden bereits Maßnahmen diskutiert: Wer es sich leisten könne, so Kahn Gillmors Gegenvorschlag, solle seinerseits überwachen, ob ein Server mehrfach die gleichen Diffie-Helman-Schlüsselanteile wiederverwende. Doch dazu müssten die entsprechenden Clients ihrerseits anfangen, Schlüsselmaterial zu tracken. (des)