SNI-Sicherheitslücke: Abhilfe naht
ID: 1656411
Das Problem
SNI ist eine unverschlüsselte Datei, die den Namen der ausgewählten Website enthält. Sie wird vom Browser gesendet, wenn man Web-Seiten sicher besucht. Doch SNI ist ein Kompromiss: Es öffnet ein kleines Datenschutzloch auf Kosten der Schließung einer viel größeren Lücke. Noch vor wenigen Jahren war das Web weitgehend unverschlüsselt und der gesamte Inhalt der HTTP-Nachrichten konnte durch Interloper überlagert und modifiziert werden. In diesem Zusammenhang war das SNI-Leck ein kleiner Preis für die enorme Steigerung der Privatsphäre und Sicherheit, indem es HTTPS auf Shared Hosts einfacher macht.
Man wusste zwar, dass diese Lücke früher oder später geschlossen werden muss, doch bisher wusste niemand wie das Problem gelöst werden kann. Die Lösung von Cloudflare heißt Encrypted SNI und soll schon bald getestet werden.
Die SNI-Sicherheitslücke
Wenn man eine Website über eine verschlüsselte HTTPS-Verbindung besucht, fragt der Computer den Hosting-Server, nach seinem digitalen Zertifikat. Er vergleicht den Namen im Zertifikat mit dem Namen der Website. Stimmen die Namen überein, wird ein verschlüsselter Tunnel zwischen den beiden Computern errichtet und es können HTTP-Nachrichten gesendet und empfangen werden.
Es gibt jedoch einen Haken. Häufig besucht man eine Website auf einem Server, der viele verschiedene Websites mit unterschiedlichen Zertifikaten hostet. Dann muss der Computer dem Server mitteilen, für welche Website er ein Zertifikat möchte, um einen verschlüsselten Tunnel zu erstellen. Das Problem: Der Computer sagt dem Server, welche Website er über HTTP verwenden möchte, kann jedoch keine HTTP-Nachrichten senden, bis er einen verschlüsselten Tunnel erstellt hat ? eine Endlosschleife, die ins Nichts führen würde.
SNI hilft diese Blockade zu überwinden. SNI ermöglicht es einem Webbrowser, den Namen der gewünschten Website im Voraus zu senden und zwar bevor der verschlüsselte Tunnel gebildet wird. Damit weiß der Server, welches Zertifikat er senden soll. Die SNI-Daten werden jedoch in Klartext gesendet und können somit von jedem gelesen werden, der Browserverkehr abfangen kann, etwa ein ISP oder ein betrügerischer Wi-Fi-Zugangspunkt.
Die Lösung
Der Prozess der Aushandlung eines verschlüsselten Tunnels zwischen dem Browser und einem Webserver wird als "Handshake" bezeichnet. Dabei werden Klartext-SNI-Daten gesendet, um dem Server mitzuteilen, welches Zertifikat man wünscht. Es wird überprüft, ob man mit diesem Server spricht und es wird vereinbart, welche Verschlüsselungen verwendet werden sollen. Auch die Verschlüsselungscodes werden ausgetauscht.
Die Korrektur von SNI ist deshalb so schwierig, weil die gesendeten SNI-Daten vom Server entschlüsselt werden müssen, bevor er den Handshake durchführen kann. Die Lösung besteht darin, die nötigen Informationen in das lesbare globale Internet-Adressbuch DNS (Domain Name System) zu packen. Der Ansatz von Cloudflare ist, dass Website-Besitzer neben ihrer IP-Adresse ein Paar kryptographischer Schlüssel erstellen ? einen öffentlichen und einen privaten, wobei der öffentliche Schlüssel im DNS-Eintrag veröffentlicht ist.
Der öffentliche Schlüssel kann von jedermann verwendet werden, um einen symmetrischen Verschlüsselungscode abzuleiten, den nur der Eigentümer des geheimen, privaten Schlüssels (der Eigentümer der Website) freischalten kann. Der Server nutzt seinen privaten Schlüssel und den öffentlichen Schlüssel des Browsers, um den Schlüssel abzuleiten, der die SNA-Daten entschlüsseln kann. Danach erfolgt der Handshake für die verschlüsselte HTTP-Sitzung.
Cloudflare versucht diese ESNI über die IETF (Internet Engineering Task Force) zu einem offenen Standard zu machen. Die Funktion ist bereits für jeden verfügbar, der Cloudflare-Nameserver verwendet. Bisher wird diese Technologie noch von keinem Browser unterstützt. Doch es ist zu erwarten, dass dieses Feature in einem der nächsten Builds von Firefox integriert ist.
Mehr Details zur Lösung der SNI-Sicherheitslücke beschreibt Mark Stockley auf Naked Security unter:
https://nakedsecurity.sophos.com/2018/09/26/finally-a-fix-for-the-encrypted-webs-achilles-heel/
Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
Datum: 02.10.2018 - 15:13 Uhr
Sprache: Deutsch
News-ID 1656411
Anzahl Zeichen: 4805
Kontakt-Informationen:
Stadt:
Wiesbaden
Kategorie:
New Media & Software
Diese Pressemitteilung wurde bisher 2122 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"SNI-Sicherheitslücke: Abhilfe naht"
steht unter der journalistisch-redaktionellen Verantwortung von
Sophos Technology GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Unternehmen in Deutschland, Österreich und der Schweiz stehen wie viele Organisationen weltweit vor der Herausforderung, eine wachsende Zahl an IT- und Cybersecurity-Vorgaben zu erfüllen. Eine aktuelle, von Sophos in Auftrag gegebene internationale Studie zeigt, wie stark regulatorische Anforderun
Entwickler-Tools als neue Angriffsfläche ...
Aktuelle Angriffe auf den Infrastruktur-Scanner Checkmarx KICS und den Kommandozeilen-Client von Bitwarden zeigen eine neue Qualität von Supply-Chain-Attacken. Die Angreifer verteilten trojanisierte Versionen über offizielle Kanäle wie npm, Docker Hub und GitHub Actions. Sie unterwanderten damit
Security-Blindspot: Wie Angreifer QEMU nutzen, um Erkennungssysteme zu umgehen ...
Sophos-Analysten untersuchen den aktiven Missbrauch von QEMU (Quick Emulator), einem Open-Source-Maschinenemulator und Virtualisierungs-Tool. Angreifer nutzen QEMU und weitere gängigere, auf Hypervisoren basierende Virtualisierungs-Tools, wie Hyper-V, VirtualBox und VMware, seit längerer Zeit. Gru
Weitere Mitteilungen von Sophos Technology GmbH
Tetenal beantragt Eröffnung des Insolvenzverfahrens ...
Der klassische Fotomarkt schrumpft weiter. Die Key-Player der analogen Boomzeiten haben Schwierigkeiten sich der neuen Situation anzupassen. Teils fallen Technologien ganz weg, teils bestehen Sie als Nischenprodukte weiter. Diese können oft nur von kleinen Spezialunternehmen weiter betrieben werden
Vorreiter bei Digitalisierung - Userlane in den Top 10 der Later-Stage Startups von Microsoft ...
Microsoft zeichnet Userlane als eines der zehn innovativsten europäischen Unternehmen aus. Userlane ist bekannt für sein Navigationssystem für Software. Laut Microsoft haben die gewählten Unternehmen das Potential, Enterprises durch den Einsatz disruptiver Technologien und AI bei der Digitalisie
PubEngine setzt auf Open Annotation Standard ...
Open Annotation bietet Endanwendern die Möglichkeit, Dokumente mit Notizen und Markierungen zu versehen und über das Web zu teilen. "Wir haben uns für diesen offenen Standard entschieden, da er klare Vorteile gegenüber einer proprietären Notiz- und Markierungsfunktion bietet," sag
PubEngine integriert Machine Learning Algorithmus mit Adaptivem Ranking ...
Die optimale Suche und Trefferlistensortierung ist essenziell für den Erfolg jeder Publishing Plattform. Die PubEngine integriert daher für die noch bessere Sortierung den maschinellen Lern-Algorithmus zum adaptiven Ranking, der das Benutzerverhalten kontinuierlich aufzeichnet und automatisch beim
