Sicherheit in Netzen Modul 5: TLS Transport Layer Security Teil 1

Größe: px

Ab Seite anzeigen:

Download "Sicherheit in Netzen Modul 5: TLS Transport Layer Security Teil 1"

Björn Esser
vor 5 Jahren
Abrufe

1 Sicherheit in Netzen Modul 5: TLS Transport Layer Security Teil 1 1. TLS-Einordnung (OSI-Referenzmodell, Geschichte) 2. TLS-Datenübertragung 3. TLS Schlüssel und Algorithmen 4. TLS-Handshake 5. TLS-Implementierung (PDUs, TLS-Sockets) 6. Ausgewählte Angriffe gegen TLS

2 Einordnung von TLS in die TCP/IP-Architektur und das OSI-Modell application Kern- Appl. Kern- Appl. presentation (TLS)-SAP (TLS)-SAP session TLS (TLS)-PDUs TLS (TLS)-SAP (TCP)-SAP (TCP)-SAP transport (TCP)-PDUs TCP TCP UDP system A system B M. Leischner Sicherheit in Netzen Folie 2

3 Historie: Entwicklung von SSL zu TLS PCT (1995) (Private Communication Technology) Microsoft First Release WTLS (1998) WAP Forum DTLS 1.0 (April 2006) IEFT (RFC 4347) SSLv1 (1994) Netscape nicht veröffentlicht SSLv2 (1994) Netscape First Release SSLv3 (1995) Netscape TLS 1.0 (1999) IEFT (RFC 2246) TLS 1.1 (April 2006) IEFT (RFC 4346) TLS 1.2 (Aug. 2008) IEFT (RFC 5246, 104pages, obsoleted) TLS 1.3 (Aug., 2018) IEFT (RFC 8446, PS, 160pages) Sicherheitsmängel nur noch relativ geringe Modifikationen Designentscheidungen und Ziele: Ende-zu-Ende-Sicherheit Einfachheit Integrität und Vertraulichkeit (von Datenströmen) (Starke, gegenseitige) Authentifizierung möglich Schutz vor Replay-Attacken Mehrere Verbindungen in einer Sitzung SSL/TLS setzt auf TCP auf ( DTLS) Oft keine Integration von SSL/TLS in das Betriebssystem (Kernel) M. Leischner Sicherheit in Netzen Folie 3

4 TLS: Sicherheitsdienst / Grenzen und Probleme Sicherheitsdienst: Flexible Instanzen-Authentisierung Client prüft Server, Server prüft Client, Client/Server gegenseitig Vertraulichkeit ausgetauschter Nutzdaten Nur wenn vereinbart, versch. Verschlüsselungverf. (RC4, DES, Triple-DES, AES, ) Nachrichtenauthentisierung und Datenintegrität Hashing + Verschlüsselung Schutz gegen Replay-Attacken Grenzen und Probleme: Verbindlichkeit von Transaktionen nur aufwändig realisierbar keine Anonymität keine (etablierte) Unterstützung UDP-basierter Dienste kein automatischer Rückruf von Zertifikaten, manuelles Trust-Management M. Leischner Sicherheit in Netzen Folie 4

5 Sicherheit in Netzen Modul 6: TLS Transport Layer Security 1. TLS-Einordnung (Geschichte, OSI-Referenzmodell) 2. TLS-Datenübertragung 3. TLS Schlüssel und Algorithmen 4. TLS-Handshake 5. TLS-Implementierung (PDUs, SSL-Sockets) 6. Ausgewählte Angriffe gegen TLS

6 TLS-Sitzung und TLS-Verbindung Handshake Secure Session abgekürzter Handshake connection state connection state connection state session state Secure Connection Secure Connection Secure Connection session state session identifier: Identifikator der Session peer certificate: X509.v3[X509] Zertifikat des Partners (optional). compression method: Kompressionsalgorithmus cipher spec: definiert Sicherheitsalgorithmen für Schlüsselaustausch, Verschlüsselung, Hashwertbildung master secret: 48-Byte Geheimzahl is resumable: ein Flag, das anzeigt, ob aus der Session heraus neue Verbindungen aufgebaut werden können. connection state server and client random: Zufallszahlen, die von Client und Server zu Beginn der Verbindung gewählt werden. server / client write MAC secret: die Geheimzahl, die bei MAC bzw. HMAC Operationen auf Daten vom Server angewandt wird. server / client write key: Schlüssel für die symmetrische Datenverschlüsselung initialization vector: Initialisierungsvektor im CBC-Mode sequence numbers: zählen der TLS-Records durch (64-Bit lang) M. Leischner Sicherheit in Netzen Folie 6

7 TLS-Architektur: Feinstruktur TLS Anwendung Handshake protocol Alert protocol Change cipher spec protocol App. data protocol handshake layer Record Layer TCP Layer Sockets IP Layer M. Leischner Sicherheit in Netzen Folie 7

8 TLS-Architektur: Feinstruktur TLS Anwendung Handshake protocol Alert protocol Change cipher spec protocol Steht zu Beginn jeder neuen Verbindung Leitet im Fehlerfall eine Meldung Vereinbarung von kryptographischen über den darunterliegenden besteht nur aus einer Nachricht, die Schlüsseln und Algorithmen Record-Layer anzeigt, zwischen an das andere dass die Ende sendende Fragmentierung der Server und Client der Verbindung Applikation weiter. zu dem Übermittelt im Handshake die Nutzdaten höherer vereinbarten Anwendungsdaten kryptographischen Schichten an den Record Layer. Die zertifikatsbasierte Authentifizierung Algorithmus Komprimierung und Schlüssel (optional) Daten werden wechselt. gemäß der bestehenden Session-Parameter fragmentiert, des Servers sowie optional desclients Absicherung gemäß Vereinbarungen im komprimiert Handshake- und verschlüsselt. Protokoll Weiterreichung an die Transportschicht App. data protocol handshake layer Record Layer TCP Layer Sockets IP Layer M. Leischner Sicherheit in Netzen Folie 8

9 TLS-Architektur: Feinstruktur (blasenfreier Text) Handshake protocol - Steht zu Beginn jeder neuen Verbindung. - Vereinbarung von kryptographischen Schlüsseln und Algorithmen zwischen Server und Client - zertifikatsbasierte Authentifizierung des Servers sowie optional des Clients Alert protocol: Leitet im Fehlerfall eine Meldung über den darunterliegenden Record-Layer an das andere Ende der Verbindung weiter. Change cipher spec protocol besteht nur aus einer Nachricht, die anzeigt, dass die sendende Applikation zu dem im Handshake vereinbarten kryptographischen Algorithmus und Schlüssel wechselt. App. data protocol: Übermittelt die Nutzdaten höherer Schichten an den Record Layer. Die Daten werden gemäß der bestehen-den Session-Parameter fragmentiert, komprimiert und verschlüsselt. Record Layer: - Fragmentierung der Anwendungsdaten - Komprimierung (optional) - Absicherung gemäß Vereinbarungen im Handshake-Protokoll - Weiterreichung an die Transportschicht M. Leischner Sicherheit in Netzen Folie 9

10 TLS-Architektur: Record-Protokoll Anwendungsstrom a b c d e f g h i j fragment Fragment bcd efg hij compress komprimierter Block seq.nr. keyed-hash kompr. Block + MAC encrypt verschlüsselter Block add header Record transmit TCP-Strom M. Leischner Sicherheit in Netzen Folie 10

11 Sicherheit in Netzen Modul 6: TLS Transport Layer Security 1. TLS-Einordnung (Geschichte, OSI-Referenzmodell) 2. TLS-Datenübertragung 3. TLS Schlüssel und Algorithmen 4. TLS-Handshake 5. TLS-Implementierung (PDUs, SSL-Sockets) 6. Ausgewählte Angriffe gegen TLS

12 Definition von TLS-Cipher-Suites Eine Cipher-Suite definiert Sicherheitsalgorithmen für Schlüsselaustausch Verschlüsselung beim Datenaustausch (Record Protocol) Hashwertbildung Beispiele: TLS_NULL_WITH_NULL_NULL TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA bedeutet: Schlüsselaustausch mit ECDH_ECDSA (= Fixed ECDH (= elliptic Curve Diffie-Hellman) with ECDSA-signed certificates) AES mit 128 Bit Blocklänge im Cipher Block Chaining Mode Der Secure Hash Algorithm SHA-1 wird zur Berechnung des MAC (message authentication code) benutzt. Der Zahlencode für TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA ist 0xC0, 0x04, siehe RFC 4492 Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS) M. Leischner Sicherheit in Netzen Folie 12

Schlüsselhierarchie und Schlüsselgenerierung client-random server-random Pre-Master-Secret

der PRF (basierend auf SHA-256) ist in RFC5246, 5.

function (PRF) client- write- MACkey server- write- MAC- Key key_block client- write- Key

13 Schlüsselhierarchie und Schlüsselgenerierung client-random server-random Pre-Master-Secret hängt von Key-Exchange- Algorithmus ab pseudo-random function (PRF) Die recht komplexe Bildung der PRF (basierend auf SHA-256) ist in RFC5246, 5. HMAC and the Pseudorandom Function beschrieben Master-Secret Immer 48 Byte lang pseudo-random function (PRF) client- write- MACkey server- write- MAC- Key key_block client- write- Key server write Key client- write- IV server- write- IV wird für jede Verbindung in der Session neu erzeugt M. Leischner Sicherheit in Netzen Folie 13

14 Beispiel: Berechnung des Record-MAC-Werts HMAC_hash (MAC_write_key, seq_num + type + version + length + fragment) hash ist der gekeyed MAC-Algorithmus, auf den sich beide Partner geeinigt haben, z.b. HMAC-SHA seq_num ist die Sequenz Nummer für diesen Rekord Die Sequenznummer (64 bit) wird nicht explizit übertragen Diese Sequenz Nummer ist in keiner Weise mit der Sequenznummer von TCP korreliert Die Sequenznummer wird auf Null gesetzt, wenn die TLS-Verbindung gestartet wird die Sequenznummer wird nach jedem Rekord erhöht nach einem Overflow muss das Schlüsselmaterial neu verhandelt werden M. Leischner Sicherheit in Netzen Folie 14

Ähnliche Dokumente

Sicherheit in Netzen Modul 7: TLS Transport Layer Security

Sicherheit in Netzen Modul 7: TLS Transport Layer Security 1. TLS-Einordnung (Geschichte, OSI-Referenzmodell) 2. TLS-Datenübertragung 3. TLS Schlüssel und Algorithmen 4. TLS-Handshake 5. TLS-Implementierung