SlideShare ist ein Scribd-Unternehmen logo
Das SSL-Dilemma
cirosec TrendTage – März 2015
Christopher Dreher
cirosec GmbH
2
Agenda
3
 Verschlüsselung im WWW
 SSL/TLS, was läuft falsch?
– Designschwächen
– Implementierungsfehler
 Vertrauen in Zertifikatsstellen
 Das Revocation-Problem
 Fehlkonfigurationen erkennen und fixen
 Ausblick
Verschlüsselung im WWW
Von damals bis heute
5
 HTTPS wurde von Netscape entwickelt und zusammen
mit SSLv1 erstmals 1994 erwähnt
 Kipp Hickman von Netscape veröffentlichte SSLv2 als
IETF Draft in 1995
The SSL Protocol is designed to
provide privacy between two
communicating applications
(a client and a server).
Second, the protocol is designed
to authenticate the server, and
optionally the client. [...]
Quelle: Wikipedia
Von damals bis heute
6
 SSLv2 gilt seit Ende 1996 als gebrochen
– Aktiver Man-in-the-Middle-Angriff erlaubt die komplette
Kompromittierung der Vertraulichkeit und Integrität der
gesicherten Übertragen (http://osvdb.org/56387)
 SSLv3 wird wiederum von drei Wissenschaftlern bei
Netscape erarbeitet und 1996 veröffentlicht
 1999 wird SSL zu TLS umbenannt, jedoch minimale
Änderung der Spezifikation zu SSLv3 (SSLv3.1->TLS 1.0)
SSL und/oder TLS
7
 2000 – 2006 erfolgt eine Vielzahl wissenschaftlicher
Angriffe gegen SSLv3 und TLS 1.0
– Padding-Oracle-Angriff gegen Padding der Block Cipher (2002 Vaudenay
„Security Flaws Induced by CBC Padding Applications to SSL, IPSEC, WTLS...“)
– Timing-Attacke (2003 Brumley u. Boneh „Remote timing attacks are practical“)
– Chosen-Plaintext-Attacke: IV ist vorhersagbar (2006 Bard)
 TLS 1.1 wird 2006 als Standard veröffentlicht (RFC4346)
– Entfernung der Export Ciphers (40 Bit)
 Bereits 2008 wird die finale Version von TLS 1.2
als Ablösung von TLS 1.1 veröffentlicht (RFC5246)
SSL und TLS im Web 2015
8
Quelle: Universal-Pictures
SSL und TLS im Web 2015
9
Quelle: https://www.trustworthyinternet.org/ssl-pulse/
SSL und/oder TLS
10
TLS
Browser
#*+x!3@f_
TLS
Webserver
Daten werden
verschlüsselt übertragen
Server beweist seine
Identität durch Zertifikat
Verbindungsaufbau bei TLS
11
Client-Hello Server-Hello
Protokollversion
Algorithmus AES
Client-Zufallszahl
Liste von Algorithmen
Protokollversion TLS 1.1
Server-Zufallszahl
TLS 1.1
Verbindungsaufbau bei TLS
12
Client Key Exchange
Pre-Master-Secret
privat
öffentlich
AES
TLS 1.1 TLS 1.1
Verbindungsaufbau bei TLS
13
Pre-Master-Secret
Fixer Startwert
Client-Zufallszahl +
Server-Zufallszahl privat
öffentlich
AES
TLS 1.1
Master-Secret
Symmetrischer Sitzungsschlüssel
TLS 1.1
Designschwächen in SSL / TLS
Designschwächen in SSL / TLS
15
 Probleme basieren nicht auf den einzelnen
Implementierungen von SSL (OpenSSL, LibreSSL,
MatrixSSL, PolarSSL, GnuTLS usw.)
 Lässt sich in der Regel nicht durch die Entwickler
beheben, sondern bedarf
– Anpassung und Änderung des Protokolls (Versionsupdate)
– Workaround durch Deaktivierung betroffener Cipher Suites
POODLE: SSLv3 vulnerability
(CVE-2014-3566)
23
 Padding Oracle On Downgraded Legacy Encryption
 Angreifer muss einen passiven Man-in-the-Middle-Angriff
durchführen (Sniffing) und innerhalb des Opfer-Browsers
256 x n (n-Byte langes Cookie) Anfragen abschicken
können
 https://www.openssl.org/~bodo/ssl-poodle.pdf
POODLE: SSLv3 vulnerability
(CVE-2014-3566)
 Keine bekannte Ausnutzung in the wild
– Wahrscheinlicher im Gegensatz zu BEAST, BREACH oder CRIME
 Empfehlung: Deaktivierung von SSLv3
Verwundbare SSL/TLS-Versionen
TLS 1.2 -
TLS 1.1 -
TLS 1.0 -
SSL 3.0 JA
SSL 2.0 JA
24
POODLE: SSLv3 vulnerability
(CVE-2014-3566)
25
Quelle: http://news.netcraft.com/archives/2014/10/15/googles-poodle-affects-oodles.html
SSLv3 Downgrade
26
Quelle: http://news.netcraft.com/archives/2014/10/15/googles-poodle-affects-oodles.html
FREAK: < TLS 1.1 vulnerability
27
 Factoring RSA Export Keys
 Angreifer muss einen aktiven Man-in-the-Middle-Angriff
durchführen und verlangt vom Server die Verwendung
von EXPORT Cipher Suites
 Faktorisierung von 512bit RSA-Schlüsseln kostet ca. 100$
Amazon EC2-Rechenzeit und dauert weniger als 8
Stunden
 https://www.smacktls.com/
FREAK: < TLS 1.1 vulnerability
 Empfehlung: Deaktivierung von TLS 1.0 und kleiner
Verwundbare SSL/TLS-Versionen
TLS 1.2 -
TLS 1.1 -
TLS 1.0 JA
SSL 3.0 JA
SSL 2.0 JA
28
Quelle: https://freakattack.com/
HTTPS serves of Alexa‘s Top 1 Million Domains
Implementierungsfehler in SSL / TLS
Implementierungsfehler in SSL / TLS
30
 Fehler erzeugt durch einzelne Entwickler / Teams
innerhalb einer Bibliothek
 Fehlerhafte Qualitätssicherung des Codes
 Typische Softwareschwachstellen
– Buffer Overflows
– Control Flow Manipulation
Heartbleed (CVE-2014-0160)
31
 Heartbeat-Nachrichten dienen der Sicherstellung einer
intakten Kommunikationsverbindung über UDP
 Fehlerhafte Überprüfung der Längenangabe der
Heartbeat-Anfrage
 Heartbeat-Antwort liefert die empfangene Nachricht
zurück und mehr (max. 64 kB)
– Auslesen zufälliger Werte, die zum aktuellen Zeitpunkt in dem
dynamischen Prozessspeichers des Webserver-Prozesses liegen
 http://heartbleed.com/ Verwundbare OpenSSL-Versionen
OpenSSL 1.0.1 bis 1.0.1f
OpenSSL 1.0.2-beta bis 1.0.2-beta1
Heartbleed (CVE-2014-0160)
32
Quelle: http://xkcd.com/1354/
Heartbleed (CVE-2014-0160)
33
Quelle: http://xkcd.com/1354/
Heartbleed (CVE-2014-0160)
34
„A HeartbeatRequest message can arrive almost
at any time during the lifetime of a connection.
Whenever a HeartbeatRequest message is
received, it SHOULD be answered with a
corresponding HeartbeatResponse message.“
https://tools.ietf.org/html/rfc6520
OpenSSL CCS Injection Vulnerability
(CVE-2014-0224)
35
 Begünstigte die Erzwingung zur Verwendung
von schwachem Schlüsselmaterial durch
externe Angreifer auf der Leitung
 ChangeCipherSpec-Instruktion konnte zu
beliebigen Zeiten injected werden
 http://ccsinjection.lepidum.co.jp/
Verwundbare OpenSSL-Versionen
OpenSSL 1.0.1 bis 1.0.1g
OpenSSL 1.0.0 bis 1.0.0l
Alle Versionen vor OpenSSL 0.9.8y
Vertrauen in Zertifikatsstellen
Authentisierung / Identifizierung bei
TLS
37
 Woher weiß der Browser, dass der angefragte Server
legitim ist?
 Server-Zertifikate sind wie Ausweisdokumente
– Der Aussteller der Zertifikate ist vergleichbar mit
einer nationalen Passbehörde
Vertrauenswürdige CAs in Browsern
38
 Keine zentrale Datenbank
 Internet Explorer / M$ CTL
 Mozilla Firefox
 iOS / Android
 Insgesamt über 650 CAs
inklusive Sub-CAs
Quelle: https://www.eff.org/observatory
Beispiel: Aufbrechen der Verschlüsselung
39
TLS-Verbindung 1 TLS-Verbindung 2
WebserverAngreiferBrowser
Echtes ZertifikatGefälschtes Zertifikat
Beispiel: Aufbrechen der Verschlüsselung
40
 Gefälschtes Zertifikat ist nicht gültig
 Ist das ein Problem?
You Won’t Be Needing These Any More
41
 Untersuchung von ca. 48 Mio. HTTPS-Seiten ergab:
– Über 140 CA-Zertifikate in den unterschiedlichen Truststores
werden nicht verwendet (Geheimdienste lassen grüßen)
– Von insgesamt 426 CA-Zertifikaten werden nur 2/3 benutzt
 Welche CAs werden für .de-Domains gebraucht?
 http://fc14.ifca.ai/papers/fc14_submission_100.pdf
DigiNotar Hack
42
 Analyse-Bericht Fox-IT:
http://www.rijksoverheid.nl/bestanden/documenten-en-
publicaties/rapporten/2012/08/13/black-tulip-update/black-tulip-update.pdf
Quelle: Heise
Türktrust-Versagen
43
Quelle: Heise
Malware/Adware und CAs
44
Quelle: Heise
Exkurs Zertifikate
45
Quelle: https://www.certcenter.de/ssl-guide
Domain Validation
- Verschlüsselung
- Validierung der
Domain-Kontrolle
- Vorhängeschloss im
Browser
- Ausstellung in
wenigen Minuten
Organization Validation
- Authentifizierung des
Unternehmens
- Nachweis des Rechts zur
Domainnutzung
- Unternehmensinfo im
Zertifikat
- Ausstellung in 1-2 Tagen
Extended Validation
- Strikte
Industriestandard-
Authentifizierung für
Unternehmen
- Für Unternehmen
vorteilhafte grüne
Adressleiste im Browser
- Ausstellung in 7-10
Tagen
Exkurs Zertifikate
46
DV- oder OV-Zertifikate
EV-Zertifikate
Und 2015 …
47
48
<undisclosed CA>
49
<undisclosed CA>
50
<undisclosed CA>
51
<undisclosed CA>
52
Beispiel: Man-in-the-Middle-Angriff
Browser
Angreifer mit
gültigem Server-
Zertifikat
Webserver
Führt DNS-Spoofing durch,
kann dadurch Datenverkehr
mitlesen sowie verändern
53
Das Revocation-Problem
Lebenszyklus von Zertifikaten
55
 Zertifikatsantrag: Ein Benutzer beantragt ein Zertifikat.
 Antragsprüfung: Die Registration Authority (RA) prüft die
Identität des Benutzers/Antragstellers.
 Generierung/Ausstellung der Zertifikate: Die Certificate
Authority (CA) stellt das Zertifikat aus. Dieses Zertifikat
enthält Angaben zu Inhaber, Herausgeber, erlaubter
Nutzung und Lebensdauer (gültig von und gültig bis)
 Revokation/Ungültigkeit: Das Zertifikat wird vor dem
Verfall revoziert bzw. für ungültig erklärt.
 Zertifikats-Laufzeitende: Die Lebensdauer des Zertifikats
ist abgelaufen.
 Zertifikats-Renewal: Erneuerung des Zertifikats.
Widerrufen von Zertifikaten
56
 Welche Möglichkeiten gibt es, um ein Zertifikat zu
widerrufen?
Quelle: Cartoonstock.com
Quelle: stern.de
CRL-Listen
57
 Jede CA hat die Möglichkeit, Sperrlisten
(Certificate-Revocation-Listen) zu publizieren
CRL-Listen
58
CRL-Listen
59
Quelle: https://isc.sans.edu/crls.html
Zitat: https://blog.cloudflare.com/the-hard-costs-of-heartbleed/
CRL-Listen
60
 Werden vom Webbrowser in regelmäßigen Abständen
abgerufen
 Blacklist-Ansatz
 Soft-Fail bei allen Browsern
– Wenn keine CRL bezogen werden konnte,
gelten alle Zertifikate als gültig
– Angreifer auf der Netzwerkebene kann Empfang einer aktuellen
CRL einfach unterbinden
OCSP
61
 Online Certificate Status Protocol
 Netzwerkprotokoll auf Basis von HTTP
 Clients (Webbrowser) können dadurch den Status von
Zertifikaten bei der CA erfragen
 OCSP-Antworten sind digital von der CA signiert
Web
Browser
Web
Server
OCSP
Server
Fetch One
OCSP Status
Fetch
Certificate
OCSP
62
 Vor dem Aufruf einer HTTPS-Webseite wird eine Anfrage
vom Browser an den OCSP-Responder der CA gestellt
OCSP-
Anfrage
Status
good
Browser
ruft
Seite auf
OCSP-
Anfrage
Status
revoked
Browser
verweigert
Aufruf
OCSP
63
 Was passiert, wenn der OCSP-Responder nicht antwortet?
OCSP-
Anfrage
???
Browser
ruft
Seite auf
Browser
ruft
Seite auf
Quelle: https://sirdoomsbadcompany.wordpress.com
OCSP
64
 OCSP bietet im Gegensatz zu CRLs folgende Vorteile:
– Sekundengenaue Datenbasis
– CA kann Zertifikat als bad markieren, wenn verwendete Schlüssel-
Algorithmen/-Längen oder Signaturverfahren als nicht mehr sicher
gelten
 Außer Firefox bietet kein Browser den Hard-Fail an
– OCSP-Responder werden als Flaschenhals des WWWs angesehen
– Gefährdung der Privatsphären
Revocation-Wirrwarr
65
 Behandlung von widerrufenen Zertifikaten obliegt den
Browsern
 Reicht vom Nichtbeachten des Widerruf-Status bis hin
zum Verweigern des Verbindungsaufbaus
 Umfassende Analyse von IE, Firefox, Chrome unter
Windows sowie unter iOS/Android
(https://www.grc.com/revocation)
Revocation, wenn es klappt …
66
OCSP Hard-Fail
67
Fehlkonfigurationen erkennen und fixen
Fehlkonfiguration erkennen
69
 Veraltete/unsichere Protokollversionen
 Unsichere Cipher Suites
 Veraltete SSL/TLS-Implementierungen
 Abgelaufene Zertifikate
 Unvollständige Zertifikatskette
 Unsichere Zertifikatssignatur
 Fehlerhafter CommonName
Fehlermeldung durch falschen
Hostnamen
70
Fehlermeldung durch falschen
Hostnamen
71
Fehlermeldung durch falschen
Hostnamen
72
Fehleranalyse offline
73
 testssl.sh (https://testssl.sh/)
 SSLyze (https://github.com/nabla-c0d3/sslyze)
 SSLMap (https://github.com/iphelix/sslmap)
 OWASP O-Saft (https://www.owasp.org/index.php/O-
Saft)
 TestSSLServer (http://www.bolet.org/TestSSLServer/)
 nmap, Nessus, OpenVAS, …
testssl.sh
74
testssl.sh
75
Fehleranalyse online
76
77
78
79
80
Hilfe bei der Serverkonfiguration
81
Hilfe bei der Serverkonfiguration
82
Welche Algorithmen sind zu wählen?
83
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/T
echnischeRichtlinien/TR02102/BSI-TR-02102-2_pdf
Wichtige Server-Header
 HSTS (HTTP Strict Transport Security)
– Signalisiert dem Browser, dass alle zukünftigen Anfragen
ausschließlich über HTTPS erfolgen dürfen
– Verhindert anschließende SSL-Stripping-Attacken
 HPKP (HTTP Public Key Pinning)
– Pinning des Zertifikats der CA und/oder Domain (CN)
– https://github.com/hannob/hpkp
84
Ausblick
OCSP Stapling
86
 OCSP-Anfragen werden vom Browser an den Server
verlagert
 Webserver liefert zusammen mit dem Zertifikat eine
aktuelle und von der CA signierte OCSP-Antwort aus
Web
Browser
Web
Server
OCSP
Server
Fetch One
OCSP Status
Fetch
Certificate
& OCSP
OCSP Stapling
87
 Vorteile:
– Auslastung der OCSP-Responder hält sich in Grenzen
– Keine Verletzung der Privatsphäre
– Keine Verzögerung beim Browsen
 Unterstützung der Webserver:
– Apache ab Version 2.3.3
– nginx ab Version 1.3.7
– LiteSpeed ab Version 4.2.4
http://news.netcraft.com/archives/2013/07/19/microsoft
-achieves-world-domination-in-ocsp-stapling.html
OCSP must-staple
88
 OCSP Stapling hat folgendes Problem:
– Wird ein Serverzertifikat gestohlen (privater Schlüssel), so kann
der Angreifer dieses für gezielte Man-in-the-Middle-Angriffe
nutzen, indem er einfach bei seinem Server das OCSP Stapling
deaktiviert und dem Opfer den Revocation-Status der CA
verschweigt.
 X.509v3 Extension: OCSP Stapling Required
 http://tools.ietf.org/html/draft-hallambaker-
muststaple-00
2015 … 2016 … 2017
89
90

Weitere ähnliche Inhalte

Andere mochten auch

Brochure Ecole de langue italienne 2012
Brochure Ecole de langue italienne 2012Brochure Ecole de langue italienne 2012
Brochure Ecole de langue italienne 2012
Piccola Università Italiana
 
Le neveu du magicien
Le neveu du magicienLe neveu du magicien
Le neveu du magicien
School
 
Galaxias
Galaxias Galaxias
Ojeda 1º 7 trabajo final
Ojeda 1º 7 trabajo finalOjeda 1º 7 trabajo final
Ojeda 1º 7 trabajo final
PabloPereira
 
Le 14 Juillet
Le 14 JuilletLe 14 Juillet
Le 14 Juillet
Jocelyn Prud'homme
 
Constelaciones diario de viajes
Constelaciones diario de viajesConstelaciones diario de viajes
Constelaciones diario de viajes
Silvia Garavaglia
 
PLANETAS DEL SISTEMA SOLAR
PLANETAS DEL SISTEMA SOLARPLANETAS DEL SISTEMA SOLAR
PLANETAS DEL SISTEMA SOLAR
cosasdelcoledepulgar
 
La competitividad en el sector de las distribuciones de Linux de escritorio (...
La competitividad en el sector de las distribuciones de Linux de escritorio (...La competitividad en el sector de las distribuciones de Linux de escritorio (...
La competitividad en el sector de las distribuciones de Linux de escritorio (...
Juan Matallana Camacho
 
Tercero
TerceroTercero
Tercero
ligiachaves
 
FORAG - Brand Effects Native – „Wer liefert was“
FORAG - Brand Effects Native – „Wer liefert was“FORAG - Brand Effects Native – „Wer liefert was“
FORAG - Brand Effects Native – „Wer liefert was“
BurdaForward Advertising
 
Étude de cas: scénarisation du documentaire interactif Sacrée montagne - ONF.ca
Étude de cas: scénarisation du documentaire interactif Sacrée montagne - ONF.caÉtude de cas: scénarisation du documentaire interactif Sacrée montagne - ONF.ca
Étude de cas: scénarisation du documentaire interactif Sacrée montagne - ONF.ca
amlavigne
 
Projet DISP'eau : optimisation de la gestion de la ressource en eau et de la ...
Projet DISP'eau : optimisation de la gestion de la ressource en eau et de la ...Projet DISP'eau : optimisation de la gestion de la ressource en eau et de la ...
Projet DISP'eau : optimisation de la gestion de la ressource en eau et de la ...
Qualiméditerranée
 
LE CLIMAT. EL PUERTO DE SANTA MARÍA. PRINTEMPS
LE CLIMAT. EL PUERTO DE SANTA MARÍA. PRINTEMPSLE CLIMAT. EL PUERTO DE SANTA MARÍA. PRINTEMPS
LE CLIMAT. EL PUERTO DE SANTA MARÍA. PRINTEMPS
IES JOSÉ LUIS TEJADA
 
6-Cm18 noté
6-Cm18 noté6-Cm18 noté
6-Cm18 noté
mathome79
 
Lis. mon enfance
Lis. mon enfanceLis. mon enfance
Lis. mon enfance
School
 
85162 nachdenken
85162 nachdenken85162 nachdenken
85162 nachdenken
aragon567
 
Raúl n. l'enfance de mon père
Raúl n. l'enfance de mon pèreRaúl n. l'enfance de mon père
Raúl n. l'enfance de mon père
School
 

Andere mochten auch (20)

Brochure Ecole de langue italienne 2012
Brochure Ecole de langue italienne 2012Brochure Ecole de langue italienne 2012
Brochure Ecole de langue italienne 2012
 
Le neveu du magicien
Le neveu du magicienLe neveu du magicien
Le neveu du magicien
 
Galaxias
Galaxias Galaxias
Galaxias
 
Ojeda 1º 7 trabajo final
Ojeda 1º 7 trabajo finalOjeda 1º 7 trabajo final
Ojeda 1º 7 trabajo final
 
Le 14 Juillet
Le 14 JuilletLe 14 Juillet
Le 14 Juillet
 
Constelaciones diario de viajes
Constelaciones diario de viajesConstelaciones diario de viajes
Constelaciones diario de viajes
 
PLANETAS DEL SISTEMA SOLAR
PLANETAS DEL SISTEMA SOLARPLANETAS DEL SISTEMA SOLAR
PLANETAS DEL SISTEMA SOLAR
 
La competitividad en el sector de las distribuciones de Linux de escritorio (...
La competitividad en el sector de las distribuciones de Linux de escritorio (...La competitividad en el sector de las distribuciones de Linux de escritorio (...
La competitividad en el sector de las distribuciones de Linux de escritorio (...
 
Tercero
TerceroTercero
Tercero
 
FORAG - Brand Effects Native – „Wer liefert was“
FORAG - Brand Effects Native – „Wer liefert was“FORAG - Brand Effects Native – „Wer liefert was“
FORAG - Brand Effects Native – „Wer liefert was“
 
Double vision
Double visionDouble vision
Double vision
 
Bebes igle
Bebes igleBebes igle
Bebes igle
 
Étude de cas: scénarisation du documentaire interactif Sacrée montagne - ONF.ca
Étude de cas: scénarisation du documentaire interactif Sacrée montagne - ONF.caÉtude de cas: scénarisation du documentaire interactif Sacrée montagne - ONF.ca
Étude de cas: scénarisation du documentaire interactif Sacrée montagne - ONF.ca
 
Projet DISP'eau : optimisation de la gestion de la ressource en eau et de la ...
Projet DISP'eau : optimisation de la gestion de la ressource en eau et de la ...Projet DISP'eau : optimisation de la gestion de la ressource en eau et de la ...
Projet DISP'eau : optimisation de la gestion de la ressource en eau et de la ...
 
PAÍSES DEL MUNDO
PAÍSES DEL MUNDOPAÍSES DEL MUNDO
PAÍSES DEL MUNDO
 
LE CLIMAT. EL PUERTO DE SANTA MARÍA. PRINTEMPS
LE CLIMAT. EL PUERTO DE SANTA MARÍA. PRINTEMPSLE CLIMAT. EL PUERTO DE SANTA MARÍA. PRINTEMPS
LE CLIMAT. EL PUERTO DE SANTA MARÍA. PRINTEMPS
 
6-Cm18 noté
6-Cm18 noté6-Cm18 noté
6-Cm18 noté
 
Lis. mon enfance
Lis. mon enfanceLis. mon enfance
Lis. mon enfance
 
85162 nachdenken
85162 nachdenken85162 nachdenken
85162 nachdenken
 
Raúl n. l'enfance de mon père
Raúl n. l'enfance de mon pèreRaúl n. l'enfance de mon père
Raúl n. l'enfance de mon père
 

Ähnlich wie cirosec TrendTage März 2015 - Das SSL Dilemma

BetterCrypto: Applied Crypto Hardening
BetterCrypto: Applied Crypto HardeningBetterCrypto: Applied Crypto Hardening
BetterCrypto: Applied Crypto Hardening
Aaron Zauner
 
Transportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPSTransportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPS
Markus Groß
 
Domino Security Present and Future ConnectED Review - ICS.UG 2016
Domino Security Present and Future ConnectED Review - ICS.UG 2016Domino Security Present and Future ConnectED Review - ICS.UG 2016
Domino Security Present and Future ConnectED Review - ICS.UG 2016
ICS User Group
 
Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen TalkSicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Udo Ornik
 
Admincamp 2016 - Securing IBM Collaboration with TLS (German)
Admincamp 2016 - Securing IBM Collaboration with TLS (German)Admincamp 2016 - Securing IBM Collaboration with TLS (German)
Admincamp 2016 - Securing IBM Collaboration with TLS (German)
Novakenstein
 
Docker Security - Architektur und Sicherheitsfunktionen von Containervirtuali...
Docker Security - Architektur und Sicherheitsfunktionen von Containervirtuali...Docker Security - Architektur und Sicherheitsfunktionen von Containervirtuali...
Docker Security - Architektur und Sicherheitsfunktionen von Containervirtuali...
inovex GmbH
 
E Security
E SecurityE Security
E Security
Udo Ornik
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Security
kuehlhaus AG
 
Making the internet faster HTTP/3 und QUIC
Making the internet faster HTTP/3 und QUICMaking the internet faster HTTP/3 und QUIC
Making the internet faster HTTP/3 und QUIC
QAware GmbH
 
Inside HTTP: Webdebugging mit FIddler
Inside HTTP: Webdebugging mit FIddlerInside HTTP: Webdebugging mit FIddler
Inside HTTP: Webdebugging mit FIddler
Max Nowack
 
Sicheres Root-Server Hosting mit Linux
Sicheres Root-Server Hosting mit LinuxSicheres Root-Server Hosting mit Linux
Sicheres Root-Server Hosting mit Linux
markusmarkert
 
Azure Days 2019: Master the Move to Azure (Konrad Brunner)
Azure Days 2019: Master the Move to Azure (Konrad Brunner)Azure Days 2019: Master the Move to Azure (Konrad Brunner)
Azure Days 2019: Master the Move to Azure (Konrad Brunner)
Trivadis
 
Ausfallsichere Kultur mit Plone
Ausfallsichere Kultur mit PloneAusfallsichere Kultur mit Plone
Ausfallsichere Kultur mit Plone
Jens Klein
 
OSCamp Kubernetes 2024 | Confidential Containers – Sensible Daten und Privats...
OSCamp Kubernetes 2024 | Confidential Containers – Sensible Daten und Privats...OSCamp Kubernetes 2024 | Confidential Containers – Sensible Daten und Privats...
OSCamp Kubernetes 2024 | Confidential Containers – Sensible Daten und Privats...
NETWAYS
 
Das dreckige Dutzend - ADF Migration nach 12c in der IKB - DOAG 2014.
Das dreckige Dutzend - ADF Migration nach 12c in der IKB - DOAG 2014.Das dreckige Dutzend - ADF Migration nach 12c in der IKB - DOAG 2014.
Das dreckige Dutzend - ADF Migration nach 12c in der IKB - DOAG 2014.
Torsten Kleiber
 
EN 6.3: 4 Kryptographie
EN 6.3: 4 KryptographieEN 6.3: 4 Kryptographie
EN 6.3: 4 Kryptographie
Sven Wohlgemuth
 
VPN&Verschlüsselung
VPN&VerschlüsselungVPN&Verschlüsselung
VPN&Verschlüsselung
Westermo Network Technologies
 
Ajax, Comet & Co.
Ajax, Comet & Co.Ajax, Comet & Co.
Ajax, Comet & Co.
Roman Roelofsen
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
QAware GmbH
 
Pub/Sub for the masses- Ein Einführungsworkshop in MQTT [GERMAN]
Pub/Sub for the masses- Ein Einführungsworkshop in MQTT [GERMAN]Pub/Sub for the masses- Ein Einführungsworkshop in MQTT [GERMAN]
Pub/Sub for the masses- Ein Einführungsworkshop in MQTT [GERMAN]
Dominik Obermaier
 

Ähnlich wie cirosec TrendTage März 2015 - Das SSL Dilemma (20)

BetterCrypto: Applied Crypto Hardening
BetterCrypto: Applied Crypto HardeningBetterCrypto: Applied Crypto Hardening
BetterCrypto: Applied Crypto Hardening
 
Transportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPSTransportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPS
 
Domino Security Present and Future ConnectED Review - ICS.UG 2016
Domino Security Present and Future ConnectED Review - ICS.UG 2016Domino Security Present and Future ConnectED Review - ICS.UG 2016
Domino Security Present and Future ConnectED Review - ICS.UG 2016
 
Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen TalkSicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
 
Admincamp 2016 - Securing IBM Collaboration with TLS (German)
Admincamp 2016 - Securing IBM Collaboration with TLS (German)Admincamp 2016 - Securing IBM Collaboration with TLS (German)
Admincamp 2016 - Securing IBM Collaboration with TLS (German)
 
Docker Security - Architektur und Sicherheitsfunktionen von Containervirtuali...
Docker Security - Architektur und Sicherheitsfunktionen von Containervirtuali...Docker Security - Architektur und Sicherheitsfunktionen von Containervirtuali...
Docker Security - Architektur und Sicherheitsfunktionen von Containervirtuali...
 
E Security
E SecurityE Security
E Security
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Security
 
Making the internet faster HTTP/3 und QUIC
Making the internet faster HTTP/3 und QUICMaking the internet faster HTTP/3 und QUIC
Making the internet faster HTTP/3 und QUIC
 
Inside HTTP: Webdebugging mit FIddler
Inside HTTP: Webdebugging mit FIddlerInside HTTP: Webdebugging mit FIddler
Inside HTTP: Webdebugging mit FIddler
 
Sicheres Root-Server Hosting mit Linux
Sicheres Root-Server Hosting mit LinuxSicheres Root-Server Hosting mit Linux
Sicheres Root-Server Hosting mit Linux
 
Azure Days 2019: Master the Move to Azure (Konrad Brunner)
Azure Days 2019: Master the Move to Azure (Konrad Brunner)Azure Days 2019: Master the Move to Azure (Konrad Brunner)
Azure Days 2019: Master the Move to Azure (Konrad Brunner)
 
Ausfallsichere Kultur mit Plone
Ausfallsichere Kultur mit PloneAusfallsichere Kultur mit Plone
Ausfallsichere Kultur mit Plone
 
OSCamp Kubernetes 2024 | Confidential Containers – Sensible Daten und Privats...
OSCamp Kubernetes 2024 | Confidential Containers – Sensible Daten und Privats...OSCamp Kubernetes 2024 | Confidential Containers – Sensible Daten und Privats...
OSCamp Kubernetes 2024 | Confidential Containers – Sensible Daten und Privats...
 
Das dreckige Dutzend - ADF Migration nach 12c in der IKB - DOAG 2014.
Das dreckige Dutzend - ADF Migration nach 12c in der IKB - DOAG 2014.Das dreckige Dutzend - ADF Migration nach 12c in der IKB - DOAG 2014.
Das dreckige Dutzend - ADF Migration nach 12c in der IKB - DOAG 2014.
 
EN 6.3: 4 Kryptographie
EN 6.3: 4 KryptographieEN 6.3: 4 Kryptographie
EN 6.3: 4 Kryptographie
 
VPN&Verschlüsselung
VPN&VerschlüsselungVPN&Verschlüsselung
VPN&Verschlüsselung
 
Ajax, Comet & Co.
Ajax, Comet & Co.Ajax, Comet & Co.
Ajax, Comet & Co.
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
 
Pub/Sub for the masses- Ein Einführungsworkshop in MQTT [GERMAN]
Pub/Sub for the masses- Ein Einführungsworkshop in MQTT [GERMAN]Pub/Sub for the masses- Ein Einführungsworkshop in MQTT [GERMAN]
Pub/Sub for the masses- Ein Einführungsworkshop in MQTT [GERMAN]
 

cirosec TrendTage März 2015 - Das SSL Dilemma

  • 1. Das SSL-Dilemma cirosec TrendTage – März 2015 Christopher Dreher cirosec GmbH
  • 2. 2
  • 3. Agenda 3  Verschlüsselung im WWW  SSL/TLS, was läuft falsch? – Designschwächen – Implementierungsfehler  Vertrauen in Zertifikatsstellen  Das Revocation-Problem  Fehlkonfigurationen erkennen und fixen  Ausblick
  • 5. Von damals bis heute 5  HTTPS wurde von Netscape entwickelt und zusammen mit SSLv1 erstmals 1994 erwähnt  Kipp Hickman von Netscape veröffentlichte SSLv2 als IETF Draft in 1995 The SSL Protocol is designed to provide privacy between two communicating applications (a client and a server). Second, the protocol is designed to authenticate the server, and optionally the client. [...] Quelle: Wikipedia
  • 6. Von damals bis heute 6  SSLv2 gilt seit Ende 1996 als gebrochen – Aktiver Man-in-the-Middle-Angriff erlaubt die komplette Kompromittierung der Vertraulichkeit und Integrität der gesicherten Übertragen (http://osvdb.org/56387)  SSLv3 wird wiederum von drei Wissenschaftlern bei Netscape erarbeitet und 1996 veröffentlicht  1999 wird SSL zu TLS umbenannt, jedoch minimale Änderung der Spezifikation zu SSLv3 (SSLv3.1->TLS 1.0)
  • 7. SSL und/oder TLS 7  2000 – 2006 erfolgt eine Vielzahl wissenschaftlicher Angriffe gegen SSLv3 und TLS 1.0 – Padding-Oracle-Angriff gegen Padding der Block Cipher (2002 Vaudenay „Security Flaws Induced by CBC Padding Applications to SSL, IPSEC, WTLS...“) – Timing-Attacke (2003 Brumley u. Boneh „Remote timing attacks are practical“) – Chosen-Plaintext-Attacke: IV ist vorhersagbar (2006 Bard)  TLS 1.1 wird 2006 als Standard veröffentlicht (RFC4346) – Entfernung der Export Ciphers (40 Bit)  Bereits 2008 wird die finale Version von TLS 1.2 als Ablösung von TLS 1.1 veröffentlicht (RFC5246)
  • 8. SSL und TLS im Web 2015 8 Quelle: Universal-Pictures
  • 9. SSL und TLS im Web 2015 9 Quelle: https://www.trustworthyinternet.org/ssl-pulse/
  • 10. SSL und/oder TLS 10 TLS Browser #*+x!3@f_ TLS Webserver Daten werden verschlüsselt übertragen Server beweist seine Identität durch Zertifikat
  • 11. Verbindungsaufbau bei TLS 11 Client-Hello Server-Hello Protokollversion Algorithmus AES Client-Zufallszahl Liste von Algorithmen Protokollversion TLS 1.1 Server-Zufallszahl TLS 1.1
  • 12. Verbindungsaufbau bei TLS 12 Client Key Exchange Pre-Master-Secret privat öffentlich AES TLS 1.1 TLS 1.1
  • 13. Verbindungsaufbau bei TLS 13 Pre-Master-Secret Fixer Startwert Client-Zufallszahl + Server-Zufallszahl privat öffentlich AES TLS 1.1 Master-Secret Symmetrischer Sitzungsschlüssel TLS 1.1
  • 15. Designschwächen in SSL / TLS 15  Probleme basieren nicht auf den einzelnen Implementierungen von SSL (OpenSSL, LibreSSL, MatrixSSL, PolarSSL, GnuTLS usw.)  Lässt sich in der Regel nicht durch die Entwickler beheben, sondern bedarf – Anpassung und Änderung des Protokolls (Versionsupdate) – Workaround durch Deaktivierung betroffener Cipher Suites
  • 16. POODLE: SSLv3 vulnerability (CVE-2014-3566) 23  Padding Oracle On Downgraded Legacy Encryption  Angreifer muss einen passiven Man-in-the-Middle-Angriff durchführen (Sniffing) und innerhalb des Opfer-Browsers 256 x n (n-Byte langes Cookie) Anfragen abschicken können  https://www.openssl.org/~bodo/ssl-poodle.pdf
  • 17. POODLE: SSLv3 vulnerability (CVE-2014-3566)  Keine bekannte Ausnutzung in the wild – Wahrscheinlicher im Gegensatz zu BEAST, BREACH oder CRIME  Empfehlung: Deaktivierung von SSLv3 Verwundbare SSL/TLS-Versionen TLS 1.2 - TLS 1.1 - TLS 1.0 - SSL 3.0 JA SSL 2.0 JA 24
  • 18. POODLE: SSLv3 vulnerability (CVE-2014-3566) 25 Quelle: http://news.netcraft.com/archives/2014/10/15/googles-poodle-affects-oodles.html
  • 20. FREAK: < TLS 1.1 vulnerability 27  Factoring RSA Export Keys  Angreifer muss einen aktiven Man-in-the-Middle-Angriff durchführen und verlangt vom Server die Verwendung von EXPORT Cipher Suites  Faktorisierung von 512bit RSA-Schlüsseln kostet ca. 100$ Amazon EC2-Rechenzeit und dauert weniger als 8 Stunden  https://www.smacktls.com/
  • 21. FREAK: < TLS 1.1 vulnerability  Empfehlung: Deaktivierung von TLS 1.0 und kleiner Verwundbare SSL/TLS-Versionen TLS 1.2 - TLS 1.1 - TLS 1.0 JA SSL 3.0 JA SSL 2.0 JA 28 Quelle: https://freakattack.com/ HTTPS serves of Alexa‘s Top 1 Million Domains
  • 23. Implementierungsfehler in SSL / TLS 30  Fehler erzeugt durch einzelne Entwickler / Teams innerhalb einer Bibliothek  Fehlerhafte Qualitätssicherung des Codes  Typische Softwareschwachstellen – Buffer Overflows – Control Flow Manipulation
  • 24. Heartbleed (CVE-2014-0160) 31  Heartbeat-Nachrichten dienen der Sicherstellung einer intakten Kommunikationsverbindung über UDP  Fehlerhafte Überprüfung der Längenangabe der Heartbeat-Anfrage  Heartbeat-Antwort liefert die empfangene Nachricht zurück und mehr (max. 64 kB) – Auslesen zufälliger Werte, die zum aktuellen Zeitpunkt in dem dynamischen Prozessspeichers des Webserver-Prozesses liegen  http://heartbleed.com/ Verwundbare OpenSSL-Versionen OpenSSL 1.0.1 bis 1.0.1f OpenSSL 1.0.2-beta bis 1.0.2-beta1
  • 27. Heartbleed (CVE-2014-0160) 34 „A HeartbeatRequest message can arrive almost at any time during the lifetime of a connection. Whenever a HeartbeatRequest message is received, it SHOULD be answered with a corresponding HeartbeatResponse message.“ https://tools.ietf.org/html/rfc6520
  • 28. OpenSSL CCS Injection Vulnerability (CVE-2014-0224) 35  Begünstigte die Erzwingung zur Verwendung von schwachem Schlüsselmaterial durch externe Angreifer auf der Leitung  ChangeCipherSpec-Instruktion konnte zu beliebigen Zeiten injected werden  http://ccsinjection.lepidum.co.jp/ Verwundbare OpenSSL-Versionen OpenSSL 1.0.1 bis 1.0.1g OpenSSL 1.0.0 bis 1.0.0l Alle Versionen vor OpenSSL 0.9.8y
  • 30. Authentisierung / Identifizierung bei TLS 37  Woher weiß der Browser, dass der angefragte Server legitim ist?  Server-Zertifikate sind wie Ausweisdokumente – Der Aussteller der Zertifikate ist vergleichbar mit einer nationalen Passbehörde
  • 31. Vertrauenswürdige CAs in Browsern 38  Keine zentrale Datenbank  Internet Explorer / M$ CTL  Mozilla Firefox  iOS / Android  Insgesamt über 650 CAs inklusive Sub-CAs Quelle: https://www.eff.org/observatory
  • 32. Beispiel: Aufbrechen der Verschlüsselung 39 TLS-Verbindung 1 TLS-Verbindung 2 WebserverAngreiferBrowser Echtes ZertifikatGefälschtes Zertifikat
  • 33. Beispiel: Aufbrechen der Verschlüsselung 40  Gefälschtes Zertifikat ist nicht gültig  Ist das ein Problem?
  • 34. You Won’t Be Needing These Any More 41  Untersuchung von ca. 48 Mio. HTTPS-Seiten ergab: – Über 140 CA-Zertifikate in den unterschiedlichen Truststores werden nicht verwendet (Geheimdienste lassen grüßen) – Von insgesamt 426 CA-Zertifikaten werden nur 2/3 benutzt  Welche CAs werden für .de-Domains gebraucht?  http://fc14.ifca.ai/papers/fc14_submission_100.pdf
  • 35. DigiNotar Hack 42  Analyse-Bericht Fox-IT: http://www.rijksoverheid.nl/bestanden/documenten-en- publicaties/rapporten/2012/08/13/black-tulip-update/black-tulip-update.pdf Quelle: Heise
  • 38. Exkurs Zertifikate 45 Quelle: https://www.certcenter.de/ssl-guide Domain Validation - Verschlüsselung - Validierung der Domain-Kontrolle - Vorhängeschloss im Browser - Ausstellung in wenigen Minuten Organization Validation - Authentifizierung des Unternehmens - Nachweis des Rechts zur Domainnutzung - Unternehmensinfo im Zertifikat - Ausstellung in 1-2 Tagen Extended Validation - Strikte Industriestandard- Authentifizierung für Unternehmen - Für Unternehmen vorteilhafte grüne Adressleiste im Browser - Ausstellung in 7-10 Tagen
  • 39. Exkurs Zertifikate 46 DV- oder OV-Zertifikate EV-Zertifikate
  • 41. 48
  • 46. Beispiel: Man-in-the-Middle-Angriff Browser Angreifer mit gültigem Server- Zertifikat Webserver Führt DNS-Spoofing durch, kann dadurch Datenverkehr mitlesen sowie verändern 53
  • 48. Lebenszyklus von Zertifikaten 55  Zertifikatsantrag: Ein Benutzer beantragt ein Zertifikat.  Antragsprüfung: Die Registration Authority (RA) prüft die Identität des Benutzers/Antragstellers.  Generierung/Ausstellung der Zertifikate: Die Certificate Authority (CA) stellt das Zertifikat aus. Dieses Zertifikat enthält Angaben zu Inhaber, Herausgeber, erlaubter Nutzung und Lebensdauer (gültig von und gültig bis)  Revokation/Ungültigkeit: Das Zertifikat wird vor dem Verfall revoziert bzw. für ungültig erklärt.  Zertifikats-Laufzeitende: Die Lebensdauer des Zertifikats ist abgelaufen.  Zertifikats-Renewal: Erneuerung des Zertifikats.
  • 49. Widerrufen von Zertifikaten 56  Welche Möglichkeiten gibt es, um ein Zertifikat zu widerrufen? Quelle: Cartoonstock.com Quelle: stern.de
  • 50. CRL-Listen 57  Jede CA hat die Möglichkeit, Sperrlisten (Certificate-Revocation-Listen) zu publizieren
  • 53. CRL-Listen 60  Werden vom Webbrowser in regelmäßigen Abständen abgerufen  Blacklist-Ansatz  Soft-Fail bei allen Browsern – Wenn keine CRL bezogen werden konnte, gelten alle Zertifikate als gültig – Angreifer auf der Netzwerkebene kann Empfang einer aktuellen CRL einfach unterbinden
  • 54. OCSP 61  Online Certificate Status Protocol  Netzwerkprotokoll auf Basis von HTTP  Clients (Webbrowser) können dadurch den Status von Zertifikaten bei der CA erfragen  OCSP-Antworten sind digital von der CA signiert Web Browser Web Server OCSP Server Fetch One OCSP Status Fetch Certificate
  • 55. OCSP 62  Vor dem Aufruf einer HTTPS-Webseite wird eine Anfrage vom Browser an den OCSP-Responder der CA gestellt OCSP- Anfrage Status good Browser ruft Seite auf OCSP- Anfrage Status revoked Browser verweigert Aufruf
  • 56. OCSP 63  Was passiert, wenn der OCSP-Responder nicht antwortet? OCSP- Anfrage ??? Browser ruft Seite auf Browser ruft Seite auf Quelle: https://sirdoomsbadcompany.wordpress.com
  • 57. OCSP 64  OCSP bietet im Gegensatz zu CRLs folgende Vorteile: – Sekundengenaue Datenbasis – CA kann Zertifikat als bad markieren, wenn verwendete Schlüssel- Algorithmen/-Längen oder Signaturverfahren als nicht mehr sicher gelten  Außer Firefox bietet kein Browser den Hard-Fail an – OCSP-Responder werden als Flaschenhals des WWWs angesehen – Gefährdung der Privatsphären
  • 58. Revocation-Wirrwarr 65  Behandlung von widerrufenen Zertifikaten obliegt den Browsern  Reicht vom Nichtbeachten des Widerruf-Status bis hin zum Verweigern des Verbindungsaufbaus  Umfassende Analyse von IE, Firefox, Chrome unter Windows sowie unter iOS/Android (https://www.grc.com/revocation)
  • 59. Revocation, wenn es klappt … 66
  • 62. Fehlkonfiguration erkennen 69  Veraltete/unsichere Protokollversionen  Unsichere Cipher Suites  Veraltete SSL/TLS-Implementierungen  Abgelaufene Zertifikate  Unvollständige Zertifikatskette  Unsichere Zertifikatssignatur  Fehlerhafter CommonName
  • 66. Fehleranalyse offline 73  testssl.sh (https://testssl.sh/)  SSLyze (https://github.com/nabla-c0d3/sslyze)  SSLMap (https://github.com/iphelix/sslmap)  OWASP O-Saft (https://www.owasp.org/index.php/O- Saft)  TestSSLServer (http://www.bolet.org/TestSSLServer/)  nmap, Nessus, OpenVAS, …
  • 70. 77
  • 71. 78
  • 72. 79
  • 73. 80
  • 74. Hilfe bei der Serverkonfiguration 81
  • 75. Hilfe bei der Serverkonfiguration 82
  • 76. Welche Algorithmen sind zu wählen? 83 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/T echnischeRichtlinien/TR02102/BSI-TR-02102-2_pdf
  • 77. Wichtige Server-Header  HSTS (HTTP Strict Transport Security) – Signalisiert dem Browser, dass alle zukünftigen Anfragen ausschließlich über HTTPS erfolgen dürfen – Verhindert anschließende SSL-Stripping-Attacken  HPKP (HTTP Public Key Pinning) – Pinning des Zertifikats der CA und/oder Domain (CN) – https://github.com/hannob/hpkp 84
  • 79. OCSP Stapling 86  OCSP-Anfragen werden vom Browser an den Server verlagert  Webserver liefert zusammen mit dem Zertifikat eine aktuelle und von der CA signierte OCSP-Antwort aus Web Browser Web Server OCSP Server Fetch One OCSP Status Fetch Certificate & OCSP
  • 80. OCSP Stapling 87  Vorteile: – Auslastung der OCSP-Responder hält sich in Grenzen – Keine Verletzung der Privatsphäre – Keine Verzögerung beim Browsen  Unterstützung der Webserver: – Apache ab Version 2.3.3 – nginx ab Version 1.3.7 – LiteSpeed ab Version 4.2.4 http://news.netcraft.com/archives/2013/07/19/microsoft -achieves-world-domination-in-ocsp-stapling.html
  • 81. OCSP must-staple 88  OCSP Stapling hat folgendes Problem: – Wird ein Serverzertifikat gestohlen (privater Schlüssel), so kann der Angreifer dieses für gezielte Man-in-the-Middle-Angriffe nutzen, indem er einfach bei seinem Server das OCSP Stapling deaktiviert und dem Opfer den Revocation-Status der CA verschweigt.  X.509v3 Extension: OCSP Stapling Required  http://tools.ietf.org/html/draft-hallambaker- muststaple-00
  • 82. 2015 … 2016 … 2017 89
  • 83. 90

Hinweis der Redaktion

  1. Seit 2011 ca. über 20 bekannte Angriffe gegen SSL/TLS Cipher, CAs und Implementierungen Eine Schwachstelle braucht einen markanten Namen, eine eigene Website und das wichtigste ein passendes Logo
  2. Wie lange verschlüsseln wir im Internet schon? Gab es was anderes als SSL Vorstellung prominenter Beispiele, tatsächliche Bedrohung, Maßnahmen, nicht alle können durch neue Protokollversionen behoben werden Woher kommen die Zertifikate, wie weiß der Browser wem zu vertrauen ist Was passiert wenn ein Zertifikat kompromittiert wurde DIY Analysen Was bringt die Zukunft und welche Ansätze gibt es dem Dilemma zu entkommen?
  3. - e-Commerce treibender Faktor der SSL-Verschlüsselung
  4. SSLv2 Handshake war nicht geschützt  Downgrade Attacke MAC basierte ausschließlich auf MD5  Length Extension Attacke Microsoft nimmt Einfluss und ist Namensgeber für TLS
  5. - Entfernung der EXPORT Ciphers, Überbleibsel aus den late 80s / early 90s kalter Krieg
  6. - Jetzt liegen 7 Jahren dazwischen und das gesamte Internet ist gesichert durch TLS 1.2?
  7. Alexa Top 1 Million liefert ca. 150 000 gesicherte Webseiten Weniger als ¼ der SSL/TLS-Server sind sicher Unterstützte Protokolle können das Sicherheitsniveau nicht 1:1 abbilden Rating von SSLLabs
  8. TLS dient zur verschlüsselten Übertragung der Daten zwischen Browser und Server Authentisierung über Zertifikate um die Identität zu beweisen
  9. - TLS-Handshake wird vom Client initiiert (Zufallszahl, unterstützte Protokolle und untersützte Algorithmen ( Ciphersuites)
  10. Lempel-Ziv-Welch-Algorithmus Begründer der heutigen Kompremierungen Wörterbuch mit vorher fester Größe wird genutzt um häufige Werte abzulegen und dann nur noch Referenzen auf Einträge in Wörterbuch im komprimierten Ausgabe verwenden Angreifer manipuliert Request indem er bekannte Werte, wie z.B. Header in die URL der Anfrage kopiert
  11. - Ähnlich zu CRIME aber Ausnutzung der HTTP-Kompression anstelle der TLS-Kompression
  12. - Theoretisch weil HTTP-Kompression ein essentieller Bestandteil der heutigen Architektur im Internet ausmacht (Bandbreite kostet)
  13. - 2011 hat man Empfohlen die CBC Ciphers von AES wegen BEAST nicht mehr zu nutzen
  14. - SSLv3 Downgrade Attack  Dadurch sind auch alle TLS1.0 anfällig die noch SSLv3 unterstützem
  15. Aktiver Man-in-the-Middle Angriff verweigert TLS Handshake ist noch nicht authentisiert und Browser bemerkt den aktiven Man-in-the-Middle Angriff nicht
  16. Der kalte Krieg schlägt zurück Finit-State-Machines (Endliche Automaten wurden genutzt um alle erreichbaren Zustände unterschiedlicher Ciphersuites zu analysieren)
  17. 10% der Alexa Top 1 Million Webseiten bieten noch EXPORT Cipher an Abschließend zu Designschwächen: Eine Vielzahl von serverseitigen Bibliotheken und Implementierungen sind betroffen Behebung dauert in der Regel zu lange (Appliances hinken hinter her)  Browser-Hersteller versuchen Schwachstellen client-seitig zu mitigieren
  18. Einführung um TLS über unzuverlässige, verbindungslose UDP-Verbindungen zu gewährleisten Deutsche Ingineurkunst von einem Studenten der FH Münster im Zuge seiner Promotion Bug war 27 Monate im Code (31.12.2011 – 7.4.2014)  Gefahr von OpenSource Software (nur ein fest angestellter Mitarbeiter<)
  19. Eintrittswahrscheinlichkeit HOCH da Heartbeat-Anfragen zu JEDER Zeit erfolgen können „Katastrophal ist das richtige Wort. Auf einer Skala von 1 bis 10 ist dies eine 11.“ Bruce Schneier
  20. CCS kann normalerweise nur am Ende des TLS-Handshakes erfolgen und ist verschlüsselt Bug war über 16 Jahre im TLS-Code und wurde durch einen mathematischen Ansatz zur formalen Beweisführung
  21. - Damit Browsern Zertifikaten trauen können, müssen die Wurzeln (Root-Zertifikate) in Browser verankert sein
  22. Geld regiert die Welt Lobby-Arbeit
  23. - Aktiver Man-in-the-Middle, der ein gefälschtes Serverzertifikat vorweist (nicht vertrauenswürdige CA, Selbstsigniert)
  24. - Wenn Unternehmen TLS aufbrechen ist der Proxy verantwortlich, wie nicht vertrauenswürdige Verbindungen nach innen weitergeleitet werden
  25. In allen Truststores haben die Forscher 426 CAs ermittelt Davon wurden nur 2/3 tatsächlich im Internet gefunden, was ist mit den restlichen über 140 Cas?
  26. - Wildcard-Zertifikat für *.google.com ausgestellt um Iranische Google-Mail Nutzer zu überwachen
  27. - Verkettung unglücklicher Umstände führte zur Signatur von zwei Sub-/Intermediate CA Zertifikaten
  28. - Im Februar 2015 war Lenovo negativ in der Schlagzeilen, da Adware Vorinstalliert war, welches ein Root-Zertifikat in die CTL von Microsoft installiert hat und der private Schlüssel dieses Root-Zertifikates konnte aus der Adware selbst exportiert werden
  29. Keine Bindung zwischen TLD und CA CAs unterscheiden sich wesentlich im Punkto Kosten
  30. - Haben CAs in den letzten Jahren dazu gelernt? Manche vllt. schon
  31. - Im Gegensatz zu OV oder EV Zertifikaten erfolgt die Verifikation bei DV Zertifikaten in der Regel vollautomatisiert ab
  32. Aktiver Man-in-the-Middle Angriff z.B. in einem öffentlichen WLAN oder lokalen Netzwerk
  33. Was versteht man unter Revocation?
  34. Zertifikate sind keine materiellen Gegenstände die zurückgefordert werden können Was einmal im Internet ist, bleibt da für immer
  35. Heartbleed verursachte ein Anwachsen der Globalsign CRL von 22kb auf 4,7MB (Kosten 400.00$ pro Monat) Wer verursacht die Kosten
  36. - Soft-Fail Ansatz erlaubt einem Anfgreifer auf Netzwerkebene das Unterbinden des CRL-Downloads
  37. - Reaktion ist Browser-abhängig im Zuge von Heartbleed wurde aber offensichtlich, dass aktuelle OCSP-Infrastrukturen der CAs nicht für hohe Lasten ausgelegt sind
  38. Browser, sogar unterschiedliche Versionen behandelt Revocation anders
  39. Wie schon gesehen, reicht es nicht aus die aktuellste TLS-Version zu unterstützen, sondern auch alte explizit zu deaktivieren Schwache Ciphers, nicht authentisierte Ciphers, NULL Ciphers Abgelaufene Zertifikate werden von Browsern wie nicht vertrauenswürdige Zertifikate behandelt Wenige CAs signieren Zertifikate direkt mit der Root-CA, welche in Browsern als vertrauenswürdige hinterlegt sind (Kronjuwelen) SHA1 wird ab 2016 von Chrome … Feherlhafte Servernamen (Kommt nicht vor?)
  40. - Wichtig: Manche Projekte veraltet und Cipherlisten statisch
  41. - Fallstrick wenn OpenSSL nicht mit allen Protokollen / Cipher Suites kompiliert wurde
  42. - Header wird im Anschluss behandelt
  43. - Wichtig Haken setzen bei nicht Veröffentlichung
  44. Zeitersparnis, um nicht sämtliche Browser selbst Testen zu müssen Kunden sind nicht Security-affin und müssen zufriedengestellt Tradeoff zwischen Sicherheit und operativem Betrieb: Oft Risikoakzeptanz
  45. - Wie man hier sieht wird RC4 noch unterstützt? Warum?
  46. Woher weiß der Browser, dass mein Ziel über HTTPS erreicht werden soll Mit Hilfe von SSL-Stripping kann ein aktiver Man-in-the-Middle Angreifer ein Downgrade auf HTTP erzwingen HTST Header übergibt dem Browser eine Zeitspanne für die ausschließlich TLS zum Ziel gesprochen werden darf Pinning ist in der sicheren Entwicklung von mobilen Apps gefordert Soll dazu dienen, dass nur legitime Zertifikate vom Browser erlaubt werden Wichtig wenn man beim Zertifikatwechsel auch die CA wechselt, dass frühzeitig überschneidend anzukündigen
  47. Bisher hat der Browser vor jedem Seitenaufruf eine OCSP-Anfrage gestellt
  48. - Der Hauptgrund warum ein Zertifikate revoked wird, ist der Verdachtsmoment, dass es kompromittiert wurde
  49. TLSA-Record in DNS wiederum mit Fingerprint (OOB-Lösung) aber DNSSEC erforderlich Lets Encrypt: Delivering TLS Everywhere (Mozilla, Akamai, Cisco, EFF, IdenTrust)