TLS-Aufschlüsselung: Malware und Angriffe in verschlüsselten Datenströmen erkennen
Die Schlacht um Aufschlüsselungs-Optionen für TLS haben Strafverfolger und Provider verloren. Eine Forschungsgruppe soll nun die Gefahrenabwehr ausloten.
- Monika Ermert
Wie sich Angriffe in verschlüsselten Datenströmen aufdecken lassen, soll künftig eine eigene Arbeitsgruppe bei der Internet Research Task Force (IRTF) erforschen. Das schlugen am Rande der Tagung der Internet Engineering Task Force (IETF) in Bangkok vergangene Woche Beamte des britischen National Cyber Security Centre (NCSC) vor. Unterstützung für die "Stopping Malware and Researching Threats"-Initiative (SMART) kam bei einem ersten Treffen unter anderem vom Canadian Centre for Cybersecurity und einzelnen Unternehmensvertretern aus dem Security- und Hardwarebereich.
Arbeitsgruppe gegründet
Die zunehmende Verschlüsselung von Datenströmen mittels dem neuen TLS1.3 und anderen Netzwerkprotokollen der IETF sorgte zuletzt für harte Diskussionen darüber, ob das Pendel zu weit in Richtung Vertraulichkeit ausgeschlagen hat. Die NCSC hatte zu denen gehört, die sich in der IETF dafür stark gemacht hatten, TLS 1.3 mit einer Aufschlüsselungs-Option zu versehen. Das scheiterte aber am Widerstand der TLS-Arbeitsgruppe.
Bei der IRTF – der Forschungsschwester der IETF – will das NCSC gemeinsam mit einigen Partnern daher eine Arbeitsgruppe etablieren, die die Entwickler künftig beraten soll, was die stärkere Verschlüsselung und generell das Design neuer Protokolle für Malware- und andere Angriffe bedeuten.
Es gehe keineswegs darum, die Arbeit der IETF Security Area zu duplizieren. Die prüft laut eigenen Statuten mögliche Sicherheitsprobleme neuer Protokollvorschläge – manchmal auch Datenschutzaspekte, versicherten Kirsty Paine von der NCSC und Kathleen Moriarty von Dell, bis vor kurzem Leiterin der Security Area bei der IETF in Bangkok. Vor allem aber beeilten sich Paine und Moriarty, dem Verdacht entgegenzutreten, man wolle auf diesem Weg Verschlüsselungsstandards der IETF in irgendeiner Weise schwächen.
Guten Datenverkehr von schlechtem unterscheiden
Laut den Befürwortern der SMART Gruppe geht es vielmehr darum, Angriffstypen vorzustellen und anhand von Case Studies zu zeigen, wie diese durch neue Protokolle verändert und erleichtert werden. Erforscht werden soll, wie sich Angriffe trotz Verschlüsselung noch erkennen lassen und mittels "welcher Metriken guter und schlechter Verkehr" unterschieden werden kann.
Obwohl vom Fokus her forschungsorientiert, kann man sich dabei durchaus vorstellen, alternative Vorschläge in die IETF-Arbeitsgruppen zurückzuspielen. Eine solche Gruppe werde eine Riesenlücke in der IETF schließen, lobte Bret Jordan von Symantec, und bei richtiger Darstellung "eine Menge Leute" anziehen. Ob die Arbeitsgruppe zu einem Interface für nationale Cyber-Security-Behörden wird, muss man abwarten.
Das erste offizielle Treffen der neuen Forschungsgruppe soll in Prag stattfinden, einen Call for Papers für den zweiten Workshop zum Thema "Coordinating Attack Response at Internet Scale (CARIS) Workshop Report" versprachen Paine und Moriarty noch für diesen Monat. (tiw)