TLS 1.3 in den USA als Pflicht? ETSI warnt vor Chaos

Die US-Cybersicherheitsbehörde NIST ist fest entschlossen, die TLS 1.3 Transportverschlüsselung als Standard in ihren Behörden festzulegen und riskiert damit laut dem Europäischen Institut für Telekommunikationsnormen (ETSI) schwere Gefährdungen der Sicherheit.

Bis zum Januar 2020 soll die Umstellung erfolgen

Europa richtete eine Stellungnahme an die US-amerikanische Behörde für Cyber-Sicherheit, die den TLS 1.3-Befürwortern Folgen katastrophalen Ausmaßes prophezeit. Enorme Schäden würde die Umstellung anrichten und überhaupt sei die Entscheidung rätselhaft und überraschend. Dabei hatte die Internet Engineering Task Force bei der Entwicklung der neuen Generation der Transportschichtsicherheit genau Gegenteiliges im Sinn, und zwar einen deutlichen Schritt hin zu mehr Privatsphäre und Sicherheit. Auch, wenn die Vorgängerversionen vorerst noch erlaubt bleiben sollen, gibt es an der Durchsetzung der Sicherheitstechnologie als neue Leitlinie scheinbar nichts mehr zu rütteln.

Für Europas Sicherheitsexperten ein No-Go

Eine Umstellung von TLS 1.2 auf TLS 1.3 hat direkte Auswirkungen auf die Überwachung und Kontrolle im Internet. Das betrifft die privaten Nutzer genauso wie große Unternehmen bis hin zu Banken und Behörden. Jeder, der eine Cloud nutzt, sollte wissen, dass die 1.3er-Version ein Sicherheitsfeature beinhaltet, das sich Forward Secrecy nennt. Die Intention für die Entwicklung dieser Technik war, dass ein Angreifer sich im Ernstfall nur auf die aktuelle Internet-Session Zugriff verschaffen könnte, was schlimm genug wäre. Auf die vorhergehenden Sitzungen hat er jedoch immerhin keinen Zugriff. Insgesamt ist die neue Version viel sicherer.

ServerHello und das war´s auch schon – kein Klartext mehr

Im Prinzip wurden alle Schwachpunkte der Version 1.2 behoben. Insbesondere wurde darauf geachtet, dass Forward Secrecy unterstützt wird, womit es praktisch ausgeschlossen ist, mit einem gestohlenen Schlüssel auf zuvor übertragene Daten zuzugreifen. Im Gegensatz zu früher wird ausnahmslos alles an Handshake-Nachrichten verschlüsselt. Die Höflichkeit weicht der Anonymität. Diese Tatsache ruft bei den US-Sicherheitsleuten Begeisterung hervor, denn ein Zugriff gelingt auch den gewieftesten Profis nicht mehr.

Erst DSGVO einführen und dann gemeinsam mit den Hackern über zu viel Datenschutz jammern?

Die spinnen, die Europäer. Je länger man darüber nachdenkt, desto mehr drängt sich der Gedanke auf, dass das schon ein wenig schizophren anmutet. Lass das einfach einmal kurz auf dich wirken:
Auf die erheblichen Verbesserungen der Verschlüsselungsmöglichkeiten reagieren die Kritiker aus Europa verschnupft. Sie preisen die nachweislich angreifbaren Vorgängerversionen an, die mit Brute-Force-Attacken und allerhand anderen Horrorszenarien in Verbindung gebracht wurden. Seltsam, nicht wahr? Zu den möglichen Motiven kann sich nun jeder selbst seine Verschwörungstheorie zusammenreimen. Möchte da vielleicht jemand doch ein kleines Hintertürchen offen wissen, um hier und da bei den US-Behörden…ach nein, lassen wir das einmal. Es war ja nur eine Idee, wahrscheinlich völlig abwegig.

Kann eine Verschlüsselung zu sicher sein?

Kann sie, sagt die europäische ETSI. In manchen Unternehmen, speziell Behörden und Banken, sei es verpflichtend, die eigenen Internet-Aktivitäten zu überwachen und Daten bzw. deren Übertragung aus vorangegangenen Internetsitzungen zu analysieren. So sollen Sicherheitslücken aufgedeckt werden. Dafür bräuchte es eine Opt-In-Erweiterung, die direkt in das Verschlüsselungsprotokoll integriert wird. Theoretisch könnte nun also jemand bestimmt werden, der „undercover“ die geheimen Daten mitliest. Die Amerikaner ziehen es jedoch konsequent durch und verzichten darauf, irgendwem Befugnisse dafür zu geben. So ganz scheinen sie also den Motiven der ETSI nicht zu trauen und wir sind ein wenig enttäuscht, dass der Umstieg auf TLS 1.3 hierzulande auf so wenig Gegenliebe in Expertenkreisen stößt. Das lässt tief blicken und bestätigt uns darin, weiterhin unabhängig in Sachen Datenschutz und Sicherheit im Internet aufzuklären.

 

Quelle: Heise.de; Foto: pixabay.com


Erstellt am: 13. März 2019

Schreibe einen Kommentar

Weitere Artikel

Torlock: beste Torrentseite für e-Books & Anime

Torlock: beste Torrentseite für e-Books & Anime

Hast du gewusst, dass Torrenting nicht nur für Filme und Serien eine gute Idee ist? Auch e-Books und Anime sind im Angebot einiger Torrentseiten zu finden. Am besten für diesen Zweck empfinden wir Torlock – erfahre hier alles zum Angebot der Seite, ob Torlock legal ist, wie du dich beim Torrenting schützen kannst & mehr!Mach dich rundum schlau zum Thema Torlock – in diesem Artikel beantworten wir dir folgende Fragen:Was ist Torlock?Wie funktioniert Torlock?Ist Torlock legal?Wie kannst du dich beim ...
Weiterlesen …
Torrentz2 (torrentz2 eu): beste Torrentseite für Musik

Torrentz2 (torrentz2 eu): beste Torrentseite für Musik

Die kleine – aber feine – Torrentseite Torrentz2 bzw. torrentz2 eu ist vor allem bei Musikfans sehr beliebt, da wirklich eine große Bibliothek verfügbar ist. Was Torrentz2 sonst noch kann, warum du ein VPN für Torrenting nutzen solltest u. v. m. erfährst du im folgenden Artikel.Damit du siehst, ob wir alle deine Fragen zu Torrentz2 beantworten, hier eine Vorab-Übersicht der behandelten Themen:Was ist Torrentz2?Wie funktioniert Torrentz2?Wie erreichst du Torrentz2?Ist Torrentz2 legal?Wie kannst du dich beim Torrenting schützen?Was ist Torrentz2?Torrentz2 ist ...
Weiterlesen …
VPNTESTER OnTour/21, Perfect-Privacy, NordVPN + Surfshark

VPNTESTER OnTour/21, Perfect-Privacy, NordVPN + Surfshark

VPNTESTER on Tour in Deutschland und Litauen!Wir sind soweit, die Koffer sind gepackt es gibt noch letzte Covid-Tests danach bestreiten eine weitere Reiserunde um einige VPN Anbieter direkt zu besuchen. Dies tun wir auf eigene Kosten und werden auch von den Unternehmen nicht eingeladen, denn dies sind besuche unseres Trust-Level Zertifikates, das auch vorsieht, dass wir die Anbieter auch direkt inspizieren und auch technische Angaben direkt uns belegen lassen.VPNTESTER OnTour September 2021Warum wir VPN Anbieter persönlich besuchen?Wir nehmen unsere Aufgabe ...
Weiterlesen …
ExpressVPN wurde verkauft an Kape (CyberGhost, ZenMate, PIA)

ExpressVPN wurde verkauft an Kape (CyberGhost, ZenMate, PIA)

Der sehr bekannte VPN-Anbieter „ExpressVPN „wurde durch Kape Technologies übernommen, Zu dieser Firma gehören bereits CyberGhost, ZenMate und PrivetInternetAccess (PIA). Damit verstärkt Kape seine Marktmacht im VPN Segement deutlich, was dies für die bestehenden Kunden bedeuten wird ist auch bereits abzusehen.(16.09.2021, Redaktion)ExpressVPN von ehemaligen Crossraider-Malware Unternehmen gekauft?ExpressVPN wurde in der vergangen Woche von Kape Technologies, einem an der Londoner Börse notierten Unternehmen das vorwiegend bestehende Internetmarken vereint gekauft. Interessant daran ist es besonders, wenn man sich die Geschichte von Kape ...
Weiterlesen …
Wird geladen...