In den Anfängen des Internets waren einige Aspekte wie die Datensicherheit nicht so wichtig wie heute. Die gesamte Kommunikation wurde offen und unverschlüsselt von einem Computer auf einen anderen übertragen. Wir könnten es mit einer Postkarte vergleichen: Jeder Postbote kann es lesen.

Das TLS-Protokoll , auch als SSL / TLS bekannt, führte die Verschlüsselung übertragener Inhalte ein . Um die Analogie fortzusetzen, wäre eine solche Verschlüsselung das Äquivalent eines versiegelten Umschlags, den nur der rechtmäßige Empfänger lesen kann.

1. Was ist TLS?
2. Wie funktioniert TLS?
3. Vor- und Nachteile von TLS
4. TLS-Anwendungsfelder
5. TLS-Anwendungen
6. Bekannte Angriffe auf TLS

TLS ist das Akronym für Transportschicht-Sicherheit, die als Transportschicht-Sicherheit ins Spanische übersetzt wird . Dieser Name bezieht sich auf die Transportschicht des TCP / IP-Modells. TLS ist ein Prozess , der Internetdatenströme verschlüsselt, sodass nur ihre legitimen Empfänger sie lesen können. Es war zuvor als SSL (Secure Socket Layer) bekannt. Da diese Abkürzung immer noch beliebter ist als TLS, wird TLS häufig mit der doppelten Bezeichnung SSL / TLS bezeichnet.

TLS verschlüsselt durch symmetrische Verschlüsselung den gesamten Datenverkehr, der über TCP stattfindet.

Obwohl es in der Praxis einfach klingt, ist die Realität komplizierter. Das Hauptproblem besteht darin, dass der Server dem Client den Schlüssel mitteilen muss und dies außerdem tun muss, bevor die Kommunikation mit TLS gesichert wird. Wenn Sie regelmäßig verschlüsselte Dateien per E-Mail senden, kennen Sie dieses Problem: Sie verschlüsseln eine Datei und müssen das Kennwort beispielsweise telefonisch mit dem Empfänger teilen.

Um dieses Problem zu lösen, das TLS-Protokoll Verwenden Sie die folgende Methode:

1. Wenn der Client, z. B. ein Webbrowser, den Webserver kontaktiert, sendet er zuerst sein Zertifikat. Dieses  SSL-Zertifikat  belegt, dass der Server authentisch ist und keine falsche Identität fälscht.
2. Der Client überprüft die Gültigkeit des Zertifikats und der Server sendet eine mit dem öffentlichen Schlüssel ( öffentlicher Schlüssel ) verschlüsselte Zufallszahl an den Server.
3. Aus dieser Zufallszahl generiert der Server einen Sitzungsschlüssel ( Sitzungsschlüssel ), mit dem die Kommunikation verschlüsselt werden muss. Da die Zufallszahl vom Client stammt, kann der Client sicher sein, dass der Sitzungsschlüssel tatsächlich vom kontaktierten Server stammt.
4. Der Server leitet den Sitzungsschlüssel verschlüsselt an den Client weiter . Diese Verschlüsselung erfolgt mit dem kryptografischen Diffie-Hellmann-Protokoll.
5. Jetzt können beide Parteien ihre Daten sicher mit dem Sitzungsschlüssel senden.

Der Grund dafür, dass die asymmetrische Kryptografie nur für die Übertragung des Sitzungsschlüssels verwendet wird (nicht jedoch für die Verschlüsselung des Datenstroms selbst), ist der Nachteil, der sich aus der Geschwindigkeit ergibt: Die asymmetrische Kryptografie ist relativ langsam und würde die Geschwindigkeit verzögern Datenkommunikation.

TLS ist eine einfache Lösung, um den Datenverkehr im Web sicherer zu machen, da die Parteien den Inhalt selbst nicht verschlüsseln müssen, z. B. die Daten eines Formulars. Stattdessen ist es ausreichend, dass der Datenverkehr über das TLS-Protokoll erfolgt , unabhängig vom Betriebssystem und den Computeranwendungen, die von den Beteiligten verwendet werden. Während der Übertragung werden alle Datenströme automatisch verschlüsselt.

Der Preis für dieses Wertpapier ist eine etwas langsamere Verbindung, da die gerade beschriebenen Prozessphasen “Zertifikat, Zufallszahl und Schlüsselaustausch”. es ist auf rechnerischer Ebene sehr anspruchsvoll.

Wie bereits erläutert, kann TLS unabhängig von der Anwendung oder dem Betriebssystem universell eingesetzt werden. Infolgedessen verfügen viele Anwendungsprotokolle über eine sichere Version von TLS. Das Bezeichnungsschema ist sehr einfach: Wenn das Protokoll über TLS kommuniziert, wird der Buchstabe S nach dem Protokollnamen gesetzt.

Der wichtigste Bereich von TLS ist der World Wide Web oder genauer gesagt das HTTP-Protokoll. Die verschlüsselte Variante heißt  HTTPS .

Andere häufige Anwendungsfälle sind:

• POP3S : E-Mails vom Server werden mit dem POP3-Protokoll empfangen.
• IMAPS : Der Posteingang wird mithilfe des IMAP-Protokolls mit dem Server synchronisiert.
• SMTPS : E-Mails senden.
• FTPS : Dateiübertragung über das FTP-Protokoll.
• SIPS : Voice-over-IP-Telefonie mit dem SIP-Protokoll.
• IRCS : verschlüsselte Chats.

OpenVPN, eine kostenlose Software zum Aufbau eines virtuellen privaten Netzwerks (VPN), verwendet ebenfalls das TLS-Protokoll .

Einige wichtige Anwendungen von TLS sind:

• OpenSSL – Bei weitem Ihre häufigste Anwendung, da die meisten Webseiten HTTPS verwenden.
• GnuTLS : Entwickelt von der Free Software Foundation .
• LibreSSL : Entwickelt von OpenBSD.
• NSS : Entwickelt von Network Security Services .
• BoringSSL : Entwickelt von Google.
• Cryptlib : Entwickelt von Peter Gutmann.
• Botan : BSD-Lizenz, entwickelt von Jack Lloyd.
• JSSE : Entwickelt von Java Secure Socket Extension und Oracle.
• S2n : Entwickelt von Amazon.

Diese Liste ist nicht vollständig. Informationen zur Verwendung von TLS finden Sie im englischen Wikipedia-Artikel TLS App Comparison .

TLS ist nicht völlig sicher vor Angriffen und Lecks. Einige bekannte Angriffspunkte sind:

• Bugs : wie das berühmte Heartbleed Loch , ein schwerer Fehler in frühen OpenSSL – Versionen, die im Jahr 2014 festgelegt wurden.
• Schwache Verschlüsselung – Infolge der US-Exportbeschränkungen für Krypto wurden exportierbare Versionen entwickelt leichter zu entziffern als die Originale.
• Komprimierungsangriffe : Die Verwendung der HTTP-Komprimierung anstelle der TLS-Komprimierung erleichtert Hackern das Erraten von TLS-verschlüsseltem Inhalt durch eine Vielzahl von Prozessen.
• Der BEAST-Angriff betraf TLS Version 1.0 und wurde bereits 2014 beschrieben. Aktuelle Versionen von TLS sind sicherer gegen solche Angriffe.
• Der Padding Oracle- Angriff wurde 2002 entdeckt und erst in SSL Version 3.0 korrigiert. Die aktuelle TLS-Version 1.3 ist nicht betroffen.

Darüber hinaus wurde versucht, die Entstehung einer vollständig sicheren TLS-Verschlüsselung zu vermeiden, damit die Behörden verschlüsselte Kommunikationen überprüfen können, beispielsweise wenn sie im Zusammenhang mit Finanztransaktionen oder kriminellen Aktivitäten stehen. Eine der Organisationen, die am meisten daran gearbeitet haben, dass TLS eine solche Schwachstelle aufweist, war das ETSI (European Telecommunications Standards Institute).