Convergence – endlich ein Fix für SSL?

Vor wenigen Wochen wurde die Open-Source-Webseite von MySQL von Hackern mit JavaScript-Code injiziert und damit der Traffic auf die Malware-Seite BlackHole umgeleitet. Zum Glück dauerte die Weiterleitung nur wenigen Stunden, da verschiedene Sicherheits-Firmen sofort den Betreiber der Seite, Oracle, informierten und das Loch schnell gestopft war. Nun sind derartige Injektionen an sich nichts ungewöhnliches, was diesen Fall so besonders interessant gemacht hat, war die Tatsache, dass dieser Angriff nur möglich war, weil die Hacker Root-Access-Rechte hatten.

Laut den Security-Experten von Trend Micro haben sich die Hacker die Zugänge für die MySQL-Cluster-Server für rund 3000 Dollar auf dem Schwarzmarkt beschafft. Möglich wurde das durch die Attacken auf die SSL-Zertifikatsanbieter DigiNotar, Comodo und Global Sign, die dazu geführt haben, dass sich Hacker immer häufiger Root-Access verschaffen können.

Schon seit 2004 weiß man um die Probleme von SSL/TLS. “Es ist schon lange bekannt, dass es eine Schwäche in diesem Protokoll gibt, und dass wir schon längst einen Update hätten vornehmen müssen”, bestätigt der SSL-Vater Taher Elgamal. Doch seiner Ansicht nach ist es nicht nur das Protokoll, sondern das gesamte Eco-System heutiger Websicherheit. “Wenn ich die Chance hätte, würde ich bessere Browser machen”, sagte Elgamal jüngst in einem Gespräch mit silicon.de und schob damit den Schwarzen Peter an die Browser-Hersteller.

Doch die Browser sind nur eine weitere Schwachstelle der gesamten Infrastruktur-Schwäche. Laut Moxie Marlinspike vom Security-Anbieter Qualys gibt es inzwischen über 650 Organisationen, die wie Comodo oder Global Sign, berechtigt sind, Zertifikate abzuzeichnen. “Bei so vielen digitalen Stempeln wird das ursprüngliche Prinzip eines ‘Single Point of Trust’ ad absurdum geführt”, sagte Marlinspike jüngst auf einer Sicherheits-Konferenz in San Francisco.

Sein Unternehmen hat sich deshalb eine Lösung einfallen lassen, die von immer mehr Sicherheitsexperten anerkannt wird. “Convergence” nennt Marlinspike das Verfahren, das nicht auf der Public-Key-Infrastructure aufsetzt, sondern aus einem konföderierten Netz an Notar-Servern besteht, die unabhängig für ein Zertifikat bürgen. Seit April denken Marlinspike und andere Security-Experten bereits über die Implementierung dieser Idee nach. Eines der großen Probleme ist der Traffic der schnell und sicher bewältigt werden muss. Doch inzwischen gibt eine Lösung, die man sich als eine Art Peer-to-Peer-Infrastruktur von unabhängigen Notaren vorstellen kann.

Dazu muss man etwas tiefer in die Funktionsweise von Convergence einsteigen. Hierbei ersetzen die unabhängigen Notare die SSL-Autoritäten. Diese Notare vergleichen ein beim Enduser heruntergeladenes SSL-Zertifikat mit dem gleichen SSL-Zertifikat, das sich der Notar herunterlädt. Sind beide identisch ist alles OK. Mit diesem einfachen Verfahren kann jeder Server im Netz zum Notar werden. Hierzu muss nur die Convergence-Notary-Software heruntergeladen und installiert werden.

Das wichtigste an dieser neuen Security-Technologie ist, dass der Enduser Kontrolle über seine Sicherheit bekommt. Er entscheidet darüber, welchen Server er als vertrauenswürdigen Notar auswählt, er kann auch mehrere Notare deklarieren und er kann darüber entscheiden, wie viele davon grünes Licht geben müssen: nur einer, die Mehrheit oder gar alle.

Wegen dieser Abläufe auf dem Client-System kommt allerdings auch Convergence nicht ohne Browser-Erweiterung aus. Bislang gibt es nur ein Add-on für Firefox, das sich noch im Beta befindet, doch falls sich das Verfahren ausbreitet, wird es bald auch Erweiterungen für die anderen Browser geben.

Aber nicht nur das Browser-Problem muss noch gelöst werden, es gibt auch noch andere Schwierigkeiten. Beispielsweise das Problem, dass eine Webseite 100 verschiedene Zertifikate für dieselbe Domain hat, oder aber das Protokoll-Problem bei gekapselten Internet-Anmeldungen, wie beispielsweise in Hotels oder an Flughäfen. Doch der eingeschlagene Weg ist vielversprechend, denn er verabschiedet sich von einer zentralistischen Lösung und macht es damit jedem Hacker schwerer, Megaprobleme auszulösen.

Silicon-Redaktion

View Comments

  • z.T. irreführend...
    Der Artikel ist teilweise irreführend, da der Eindruck erweckt wird, das SSL bzw. TLS Protokoll an sich sei "fehleranfällig" bzw. Ursache der Probleme. Das ist so schlicht falsch, denn ursächlich war/ist die Implementierung der CA Infrastruktur über die Browser- / Endgerätehersteller wie deren auf Profitmaximierung ausgelegte CA Politik. So bekam und bekommt bisher die CA ihr root Zertifikat in die Browser, welche die min. 50.000 USD pro Jahr an die Browser Alliance zahlt, Sicherheitsaspekte sind da eher Makulatur geblieben. Was kommen musste, da kam auch.

    Bereits seit Jahren kritisiere ich diese Politik wie auch für eine neue CA Struktur werbe, die - ähnlich PGP/GPG - auf einem verteilten, nichthierarchischen Zedrtifizierungssystem aufsetzt.

    Die Politik der Browser Alliance führte aber auch dazu, das man User schlicht dumm gehalten hat und erzählt hat, eine Verbindung sei "sicher" wenn keine Warnmeldung erscheint und "das Schloß zu ist". In dieser Reihe allein auf Profitmaximierung ausgelegten "Verbesserungen" reihen sich einmal mehr die nun eingeführten "EV Zertifikate" ein, bei dem "die Browserleiste grün wird" und der Anwender sich damit "noch sicherer als sicher" fühlen dürfen soll.

    Sicherheit war und ist nicht ohne Mitwirkung eines Anwenders realisierbar - egal ob nun mit SSL/TLS oder "einem neuen Protokoll".

    SSL/TLS ist nicht die Ursache, sondern die Lösung des Problemes, wenn man es nur richtig anfässt.

    cheers,

    Niels Dettenbach.
    http://www.syndicat.com/

Recent Posts

Sofortzahlungen im Wandel: Sicherheit und KI als treibende Kräfte

Echtzeitüberweisungen erfüllen die Erwartungen der Nutzer an Geschwindigkeit, sind jedoch anfällig für spezifische Sicherheits- und…

3 Stunden ago

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

2 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

3 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

3 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

4 Tagen ago

KI-Bluff bei AIOps erkennen

Die Auswahl einer Lösung sollte anhand von echten Leistungsindikatoren erfolgen, um echte KI von Behauptungen…

4 Tagen ago