Was ist ein TLS Protokoll?
Ein TLS Zertifikat gewährleistet eine sichere Kommunikation zwischen zwei Hosts aus Basis einer transportgeschützten Verbindung. TLS-Zertifikate sind Bestandteil des Transport-Layers.
Im TCP/IP-Referenzmodell ist die Transportschicht der vierte Layer von insgesamt 7 Layern, im OSI-Modell ebenfalls.
Wofür steht TLS?
TLS steht für Transport Layer Security und ist ein geschütztes Transport-Protokoll für den Datenaustausch in Netzwerken wie dem Internet.
Das TLS-Protokoll der Version 1.3 wurde bereits im August 2018 als RFC 8446 durch die Internet Engineering Task Force (IETF) veröffentlicht.
Wozu dienen TLS-Protokolle?
TLS-Protokolle dienen der IT-Sicherheit und dem Datenschutz: Dazu stellt ein TLS-Protokoll zwei wesentliche Eigenschaften zur geschützten Verarbeitung von Daten beim Transport sicher:
- Vertraulichkeit der Transport-Verbindung
- Integrität der Transport-Verbindung
Vertraulichkeit und Integrität einer Verbindung sind grundlegende Schutzziele der Informationssicherheit darstellen. TLS-Protokolle sind eng an SSL-Zertifikate als Vertrauensanker angebunden und sind für Nutzer somit ein wichtiges Merkmal im Zusammenhang mit der Vertrauenswürdigkeit einer Webseite.
Was bedeutet Vertraulichkeit & Integrität für den Transport von Daten?
Die Vertraulichkeit gewährleistet, dass der Inhalt der Datenübertragung nur für die kommunizierenden Hosts sichtbar ist, während die Integrität den Inhalt vor unberechtigter Modifikation schützt.
Darüber hinaus setzt TLS bei einer Verbindung immer die Authentifizierung des Servers gegenüber dem Client voraus, womit der Client zweifelsfrei die Identität des Servers überprüfen kann.
Unverzichtbar sind TLS-Zertifikate für Webseiten und auch für APIs und exponierte Microservices.
Wie funktioniert eine geschützte TLS-Verbindung?
Eine geschützte TLS-Verbindung besteht aus zwei Komponenten:
1) Einem Handshake protocol, das vorbereitende Schritte zur Etablierung einer sicheren Datenübertragung durchführt
und
2) Dem Record Protocol, das für die eigentliche Verschlüsselung der Datenübertragung zuständig ist.
Handshake protocol
Bevor zwischen zwei Hosts eine sichere Verbindung zur Kommunikation stattfinden kann, müssen beide Teilnehmer auf einem sicheren Weg Schlüsselinformationen austauschen.
Da zu Beginn keine Schlüssel zur Verschlüsselung existieren und damit der Vorgang des Austauschs für alle Teilnehmer des Netzwerks transparent einsehbar ist, liegt die Herausforderung darin, ein sicheres Geheimnis zwischen den Hosts in ihrer Rolle als Kommunikationsteilnehmer zu etablieren.
Die Schlüsselinformationen werden dazu:
- auf Basis eines Protokolls – wie dem Diffie-Hellman-Protokoll – ausgetauscht
Die Schlüsselinformationen besteht aus zwei Bestandteilen:
1) Secret Value
2) Secret Key
Mit dem Secret Key erfolgt die symmetrische oder asymmetrische Verschlüsselung und Entschlüsselung der Kommunikation zwischen den Hosts.
Für diese Berechnung eines gemeinsamen Secret Values aus den Schlüsselinformationen kann wiederum entweder auf das meist genutzte Diffie-Hellman-Verfahren (Finite Field DH) oder auf ein Verfahren unter Einsatz von elliptischen Kurven (Elliptic Curve DH) zurückgegriffen werden.
Unabhängig von der Wahl des Verfahrens wird das Protokoll mit (EC)DHE abgekürzt.
Neben dem reinen Einsatz von (EC)DHE unterstützt TLS 1.3 den Austausch von Schlüsselinformationen über Pre-Shared Keys (PSK) und eine Kombination aus PSK und (EC)DHE.
Pre-Shared Keys etablieren die Transport-Verbindung
Beide Methoden setzen jedoch eine zuvor etablierte Verbindung voraus, in der beide Hosts einen Pre-Shared Key für eine später genutzte Verbindung teilen. Der Vorteil der Verwendung eines PSK ist, dass der Client bereits mit dem ersten Paket Anwendungsdaten versenden kann, die mit dem PSK verschlüsselt sind. Daraus resultiert ein 0-RTTHandshake, der die Latenz zu Beginn der Verbindung auf ein Minimum reduziert.
Mit dem Secret Key erfolgt die Ver- und Entschlüsselung der Kommunikation zwischen den Hosts.
Asymmetrische und symmetrische Verfahren zur kryptografischen Verschlüsselung
Ein solcher authentischer Schlüsselaustausch kann mit asymmetrischen Verfahren wie typischerweise RSA oder Diffie-Hellman erfolgen.
Empfehlenswerter sind hingegen symmetrische Verfahren wie AES oder H-MAC weile diese Kryptoverfahren einer noch deutlich höhere Schutzklasse entsprechen, dafür erfordern sie auch entsprechend höhere Rechenaufwände bei der Entschlüsselung.
Nach der von Kerkhoff für die Kryptografie gültigen Regel, sollten angewandte Verschlüsselungsmechanismen offen kommuniziert werden, dazu zählt natürlich auch das genutzte TLS-Zertifikat.
Paket-Informationen im TLS-Datenaustausch
Zur Initiierung einer Verbindung zum Server sendet der Client ein Paket mit folgendem Inhalt:
- Zufällig generierter Nonce (random)
- Liste mit unterstützten symmetrischen Verschlüsselungen sowie Hash-Algorithmen (cipher_suites)
- Legacy-Datenfelder, damit der TLS-1.3-Handshake wie ein TLS-1.2-Handshake erscheint (legacy_version, legacy_session_id, legacy_compression_methods)
- individuell definierte TLS-Erweiterungen
Record Protocol
Damit das Record Protocol im weiteren Ablauf der Kommunikation den eigentlichen Datentransfer starten kann, muss der Handshake-Prozess erfolgreich beendet sein. Somit ist der Server gegenüber dem Client mittels Handshake Protocol authentifiziert und die Traffic-Schlüssel stehen auf beiden Hosts bereit. Jetzt kann der eigentliche Datentransfer zwischen Client und Server starten.
Wozu wird das Record Protokoll genutzt?
Zu übertragende Daten können von jeder Seite entgegengenommen werden und sind dabei in sogenannte records unterteilt.
Hierbei wird jeder record verschlüsselt und an den adressierten Kommunikationsteilnehmer gesendet.
Wenn ein Host TLS-Daten empfängt, dann werden diese verifiziert, entschlüsselt, wieder zusammengesetzt und an die darüberliegende Applikationsschicht übergeben.
Limitation von Hardware-Sicherheitsmodulen (HSM) und Secure Enclaves
Forschungen zu Trusted Execution Environments (TEEs), wie Intel TDX und AMD SEV, haben gezeigt, dass selbst fortschrittliche Schutzmechanismen in HSMs und Secure Enclaves anfällig für raffinierte Angriffstechniken sind. Besonders hervorzuheben sind sogenannte Single-Stepping– und Instruction Counting-Angriffe. Diese Angriffe nutzen Mikroarchitektur-Schwächen, um auf sicherheitskritische Daten zuzugreifen, selbst wenn die zugrunde liegenden Schutzmechanismen aktiv sind.
Ein zentraler Schwachpunkt liegt in den Seitenkanalangriffen, bei denen durch Manipulation der zeitlichen Ausführung (z. B. durch Cache-Angriffe) Informationen über den internen Kontrollfluss gewonnen werden können. StumbleStepping, eine neuartige Angriffstechnik, macht deutlich, dass sogar Schutzmaßnahmen wie Single-Stepping-Prevention-Mechanismen ungewollt Informationen über die Anzahl ausgeführter Instruktionen preisgeben können
Die Sicherheitsforscher des Institut für IT-Sicherheit der Universität zu Lübeck haben bewiesen gezeigt, dass:
- Zeit- und Cache-Seitenkanäle nicht vollständig eliminiert werden können, da sie inhärente Designprobleme moderner CPU-Architekturen ausnutzen.
- Die Umsetzung von sicherheitskritischem Code in konstanter Zeit extrem schwierig und fehleranfällig ist, was weitere Angriffspunkte eröffnet.
Solche Einschränkungen unterstreichen die Notwendigkeit von weitergehenden Design- und Sicherheitsüberarbeitungen, da bestehende Module wie Intel TDX und AMD SEV weiterhin Schwachstellen aufweisen, die durch clevere Angriffsmethoden ausgenutzt werden können. Das Paper der IT-Sicherheitsforscher findest du hier.
🎙️ Podcast Folge 18: Confidential Computing – Sicherheit unter der Lupe 🔍
Wie sicher sind Hardware-Sicherheitsmodule (HSM) und Secure Enclaves wirklich? In der achtzehnten Folge des Rock the Prototype Podcasts tauchen wir tief in die Welt des Confidential Computing ein. Wir beleuchten die Grundlagen, der Hardware Secure Modules, analysieren Angriffstechniken und zeigen, warum selbst modernste Schutzmechanismen an ihre Grenzen stoßen können.
👉 Erfahre, wie HSMs und TEEs wie Intel TDX oder AMD SEV funktionieren – und wo sie verwundbar sind.
🎧 Listen on Spotify: 👉 Spotify Podcast: spoti.fi/3NJwdLJ
🍎 Enjoy on Apple Podcasts: 👉 Apple Podcasts: apple.co/3CpdfTs
Der Rock the Prototype Podcast – Ein Muss für alle, die IT-Sicherheit besser verstehen möchten!
Jetzt reinhören! 🎧
IT-Security Special Cybercrime Hoerspiel im Podcast
In unserer neuesten Podcast-Folge tauchen wir in eine Welt ein, in der KI-gesteuerte Hackerangriffe die Cybersecurity auf die Probe stellen. Erlebe einen digitalen Krieg, in dem synchronisierte Cyberangriffe die globale Infrastruktur bedrohen und IP-Adressen zum Spielball werden. Begleite Anna und Simon auf ihrer spannenden Reise durch die tiefen Weiten des Cybercrime.
Fiction versus Realität
In der aufregenden Welt unseres Cybercrime-Hörspiels treffen Anna und Simon auf Herausforderungen, die unsere Vorstellungskraft übersteigen. Aber wie nah ist diese Fiction wirklich an der Realität?
Tatsächlich nutzen echte Cyberkriminelle oft heimliche und aggressive Methoden, um in Systeme einzudringen, Schlupflöcher zu entdecken und wertvolle Informationen zu stehlen. Die Espionage-Taktiken, die in der Geschichte angedeutet werden, spiegeln die Strategien wider, die von echten Hackern verwendet werden, um so lange wie möglich im Verborgenen zu bleiben und ihre Ziele effektiv zu kompromittieren.
Wissenswerte Fakten rund um IT-Security
Die Realität zeigt: Die Bedrohungen durch Hacker, Staatsakteure und organisierte Hackergruppen sind greifbar und kontinuierlich wachsend. Während unser Hörspiel die Spannung und den Thrill solcher Szenarien einfängt, ist es unabdingbar, sich mit den realen Fakten und Abwehrmaßnahmen vertraut zu machen, um in unserer digital vernetzten Welt sicher zu bleiben.
Jetzt Podcast Folge hören!
Unsere Folge bietet nicht nur Bits und Bytes, sondern auch tiefe Einblicke in die aktuellen Bedrohungen durch Hackergruppen und die globalen Herausforderungen der Cybersecurity.
Dein Feedback ist uns wichtig! Teile mit uns deine Gedanken und Interaktionen und erfahre, wie du dich vor den Bedrohungen des digitalen Zeitalters schützen kannst.
Jetzt verfügbar bei iTunes, Spotify und überall dort, wo du deine Podcasts hörst!
Rock the Prototype Podcast
Der Rock the Prototype Podcast und der Rock the Prototype YouTube-Kanal sind die perfekte Anlaufstelle für alle, die tiefer in die Welt der Softwareentwicklung, des Prototypings und IT-Technologie eintauchen wollen.
🎧 Listen on Spotify: 👉 Spotify Podcast: spoti.fi/3NJwdLJ
🍎 Enjoy on Apple Podcasts: 👉 Apple Podcasts: apple.co/3CpdfTs
Im Podcast erwarten dich spannende Diskussionen und wertvolle Insights zu aktuellen Trends, Tools und Best Practices – ideal, um unterwegs am Ball zu bleiben und frische Perspektiven für eigene Projekte zu gewinnen. Auf dem YouTube-Kanal findest du praxisnahe Tutorials und Schritt-für-Schritt-Anleitungen, die technische Konzepte anschaulich erklären und dir helfen, direkt in die Umsetzung zu gehen.
Rock the Prototype YouTube Channel
🚀 Rock the Prototype ist 👉 Dein Format rund um spannende Themen wie Softwareentwicklung, Prototyping, Softwarearchitektur, Cloud, DevOps & vieles mehr.
📺 👋 Rock the Prototype YouTube Channel 👈 👀
✅ Softwareentwicklung & Prototyping
✅ Programmieren lernen
✅ Software Architektur verstehen
✅ Agile Teamwork
✅ Prototypen gemeinsam erproben
THINK PROTOTYPING – PROTOTYPE DESIGN – PROGRAMMIEREN & DURCHSTARTEN – JETZT MITMACHEN!
Warum es sich lohnt, regelmäßig vorbeizuschauen?
Beide Formate ergänzen sich perfekt: Im Podcast kannst du ganz entspannt Neues lernen und inspirierende Denkanstöße bekommen, während du auf YouTube das Gelernte direkt in Aktion siehst und wertvolle Tipps zur praktischen Anwendung erhältst.
Egal, ob du gerade erst mit der Softwareentwicklung anfängst, Dich für Prototyping, UX Design oder IT Security begeisterst. Wir bieten Dir neue Technologie Trends die wirklich relevant sind – und mit dem Rock the Prototype Format findest du immer relevante Inhalte, um dein Wissen zu erweitern und deine Skills auf das nächste Level zu heben!
