Jump to navigation

Logo RUB
  • Corona-Infos
  • Studium
  • Forschung
  • Transfer
  • News
  • Über uns
  • Einrichtungen
 
MENÜ
  • RUB-STARTSEITE
  • News
  • Wissenschaft
  • Studium
  • Transfer
  • Leute
  • Hochschulpolitik
  • Kultur und Freizeit
  • Vermischtes
  • Servicemeldungen
  • Serien
  • Dossiers
  • Bildergalerien
  • Presseinformationen
    • Abonnieren
  • RUB in den Medien
    • Abonnieren
  • Rubens
  • Rubin
    • Abonnieren
    • Printarchiv
  • Archiv
  • English
  • Redaktion

Newsportal - Ruhr-Universität Bochum

Presseinformation
Ein Portemonnaie mit Kreditkarten liegt auf einer Computertastatur.
Beim Onlineshopping geben Kunden persönliche Daten in ihren Browser ein; das Verschlüsselungsprotokoll TLS soll dafür sorgen, dass sie sicher übertragen werden.
© Roberto Schirdewahn
IT-Sicherheit

Schwachstellen im Internet-Verschlüsselungsprotokoll schließen

Beim E-Mails schicken oder Onlineshoppen senden wir sensible Daten wie Passwörter und Kontoinformationen durch das Internet. Absolut sicher sind sie derzeit nicht.

Das Internet-Verschlüsselungsprotokoll TLS – kurz für Transport Layer Security – wird grundlegend überarbeitet. Forscher um Prof. Dr. Jörg Schwenk von der Ruhr-Universität Bochum haben mit verschiedenen Angriffen dazu beigetragen, Sicherheitslücken in dem Protokoll aufzudecken. Das Bochumer Wissenschaftsmagazin Rubin berichtet über die Arbeit des Teams am Horst-Görtz-Institut für IT-Sicherheit.

Angriff auf den Schlüsselaustausch

Den IT-Experten gelang es zum Beispiel, einen Schlüssel zu stehlen, den zwei Parteien über die TLS-Version 1.2 aushandeln. Ein solcher Schlüssel ist immer erforderlich, wenn die Kommunikationspartner geheime Informationen austauschen wollen, etwa wenn ein Kunde einem Onlineshop Kreditkartendaten übermittelt.

Das TLS-Protokoll bietet drei Wege an, um Schlüssel auszuhandeln. Die meisten Probleme bereitete eines der sogenannten Handshake-Verfahren. Bildlich erklärt funktioniert es so: Der Server des Webshops schickt dem Kunden einen Briefkasten zu. Der Kunde steckt eine geheime Nachricht in den Briefkasten und schickt ihn zurück an den Server. Der öffnet den Briefkasten und kommt so an die geheime Nachricht, also den Schlüssel, heran.

Erfolgreicher Bleichenbacher-Angriff

Über einen Bleichenbacher-Angriff verschaffte sich Schwenks Team Zugang zu dem Schlüssel: Dazu versahen die IT-Sicherheitsexperten die geheime Nachricht mit Fehlern, bevor sie sie in den Briefkasten steckten und an den Server schickten. Der Server erwartet, dass die Nachricht in einer bestimmten Form bei ihm ankommt; tut sie das nicht, startet er eine Fehlerbehandlung.

Für die Fehlerbehandlung braucht der Server länger, als wenn er normal mit dem Schlüsselaustausch fortfahren kann. Dieser Zeitunterschied erlaubte Rückschlüsse auf den Inhalt der Nachricht, also auf den Schlüssel, der eigentlich geheim bleiben sollte. Die neue TLS-Version 1.3, die die Internet Engineering Task Force derzeit standardisiert, wird ein anderes Verfahren für die Schlüsselaushandlung nutzen.

Weitere Sicherheitslücken gefunden

Schwenks Gruppe war auch an weiteren Angriffen auf TLS beteiligt, zum Beispiel am Drown-Angriff, der im März 2016 für Aufsehen sorgte. Dabei umgingen die die Angreifer die Sicherheitsmechanismen der aktuellen TLS-Version 1.2, indem sie sich über eine Vorgängerversion Zugang verschafften. Häufig sind auf Servern alte Versionen des Sicherheitsprotokolls installiert, um möglichst viele verschiedene Browser unterstützen zu können. Auf ähnlichem Wege gelang es Bochumer Forschern, digitale Signaturen in der aktuellen TLS-Version 1.2 zu fälschen.

Ausführlicher Beitrag mit Bildern in Rubin

Das Wissenschaftsmagazin der Ruhr-Universität berichtet ausführlich über die Arbeit von Jörg Schwenks Team. Texte auf der Webseite und Bilder aus dem Downloadbereich dürfen unter Angabe des Copyrights für redaktionelle Zwecke frei verwendet werden.

Pressekontakt

Prof. Dr. Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit
Horst-Görtz-Institut für IT-Sicherheit
Ruhr-Universität Bochum
Tel.: 0234 32 26692
E-Mail: joerg.schwenk@rub.de

Veröffentlicht
Montag
20. Juni 2016
14.14 Uhr
Von
Julia Weiler (jwe)
Share
Teilen
Das könnte Sie auch interessieren
Das Wissenschaftlerteam
Kryptografie

Sicherheit mit Sollbruchstelle

Kita-App auf Smartphone
IT-Sicherheit

Wie Kita-Apps Eltern und Kinder ausspionieren können

Wi-Fi-Router mit IRShield
IT-Sicherheit

Neue Gegenmaßnahme gegen unerwünschte drahtlose Überwachung

Derzeit beliebt
Eine Hand stellt das Thermostatventil einer Heizung zwischen 1 und 2 ein. Das spart viel Energie für Wärme.
Energie gespart

Danke!

Die neuen Gleichstellungsbeauftragten der RUB, Dr. Wanda Gerding (links) und Nadine Müller, stehen gemeinsam auf der Unibrücke. Im Hintergrund ist ein Teil des Campus zu sehen.
Erstmals als Tandem

Zwei neue Gleichstellungsbeauftragte wurden gewählt

Benedikt Göcke, Blue Square, Veranstaltung
Religion

Existiert Gott?

 
Mehr Wissenschaft
Ressort
 
Zur Startseite
News
  • A-Z
  • N
  • K
Logo RUB
Impressum | Kontakt
Ruhr-Universität Bochum
Universitätsstraße 150
44801 Bochum

Datenschutz
Barrierefreiheit
Impressum
Schnellzugriff
Service und Themen
Anreise und Lagepläne
Hilfe im Notfall
Stellenangebote
Social Media
Facebook
Twitter
YouTube
Instagram
Seitenanfang y Kontrast N
Impressum | Kontakt