SSL/TLS. Präsentation zur Seminararbeit. im Seminar Internetsicherheit. Michael Hübschmann 26. Juni 2014 Betreuung: Dipl. Inf.

Transkript

1 SSL/TLS Präsentation zur Seminararbeit im Seminar Internetsicherheit Michael Hübschmann 26. Juni 2014 Betreuung: Dipl. Inf. Kuzman Katkalov

2 Überblick 1. Motivation 2. Von SSL zu TLS, die Geschichte der sicheren Datenübertragung im Internet 3. Funktionsweise von SSL/TLS 4. Angriffsmöglichkeiten und Sicherheitslücken 5. Fazit und Ausblick 6. Diskussion Überblick 2

3 MOTIVATION 3

4

5 Motivation 5

6 SSL/TLS Verschlüsselung Motivation 5

7 VON SSL ZU TLS, DIE GESCHICHTE DER SICHEREN DATENÜBERTRAGUNG IM INTERNET 6

8 Netscape Navigator Quelle: Von SSL zu TLS, die Geschichte der sicheren Datenübertragung im Internet 7

9 Von SSL zu TLS SSL T Von SSL zu TLS, die Geschichte der sicheren Datenübertragung im Internet 8

10 Von SSL zu TLS 1993 SSL 1.0 SSL T Von SSL zu TLS, die Geschichte der sicheren Datenübertragung im Internet 8

11 Von SSL zu TLS SSL 1.0 SSL 2.0 erster öffentlicher Verschlüsselungs algorithmus für das Internet SSL T Von SSL zu TLS, die Geschichte der sicheren Datenübertragung im Internet 8

12 Von SSL zu TLS SSL 1.0 SSL 2.0 erster öffentlicher Verschlüsselungs algorithmus für das Internet SSL T Von SSL zu TLS, die Geschichte der sicheren Datenübertragung im Internet 8

13 Von SSL zu TLS SSL 1.0 SSL 2.0 erster öffentlicher Verschlüsselungs algorithmus für das Internet 1996 SSL 3.0 SSL T Von SSL zu TLS, die Geschichte der sicheren Datenübertragung im Internet 8

14 Von SSL zu TLS SSL 1.0 SSL 2.0 erster öffentlicher Verschlüsselungs algorithmus für das Internet 1996 SSL IETF Working Group for TLS SSL T Von SSL zu TLS, die Geschichte der sicheren Datenübertragung im Internet 8

15 Von SSL zu TLS TLS Von SSL zu TLS, die Geschichte der sicheren Datenübertragung im Internet 8

16 Von SSL zu TLS 1996 TLS 1.0 TLS Von SSL zu TLS, die Geschichte der sicheren Datenübertragung im Internet 8

17 Von SSL zu TLS 1996 TLS 1.0 TLS Von SSL zu TLS, die Geschichte der sicheren Datenübertragung im Internet 8

18 Von SSL zu TLS TLS 1.0 TLS 1.1 TLS Von SSL zu TLS, die Geschichte der sicheren Datenübertragung im Internet 8

19 Von SSL zu TLS TLS 1.0 TLS TLS 1.2 TLS Von SSL zu TLS, die Geschichte der sicheren Datenübertragung im Internet 8

20 FUNKTIONSWEISE VON SSL/TLS 9

21 Was ist SSL/TLS? Authentizität Funktionsweise von SSL/TLS 10

22 Was ist SSL/TLS? Authentizität Vertraulichkeit Funktionsweise von SSL/TLS 10

23 Was ist SSL/TLS? Authentizität Vertraulichkeit Integrität Funktionsweise von SSL/TLS 10

24 Was ist SSL/TLS? Client-Server Protokoll Authentifikation: Asymetrische Verschlüsselung Nachrichtenverschlüsselung: symmetrisch Austauschbare Verschlüsselungs- und Hash Algorithmen Funktionsweise von SSL/TLS 11

25 Verwendung im Internet Funktionsweise von SSL/TLS 12

26 Verwendung im Internet Funktionsweise von SSL/TLS 12

27 TLS Record Protocol CipherSuite Schlüsselaustausch und/oder Authentifizierungs Algorithmus Verschlüsselungsalgo rithmus (Block- oder Stromchiffre) Hash Algorithmus Funktionsweise von SSL/TLS 13

28 TLS Record Protocol CipherSuite Schlüsselaustausch und/oder Authentifizierungs Algorithmus Verschlüsselungsalgo rithmus (Block- oder Stromchiffre) Hash Algorithmus Funktionsweise von SSL/TLS 13

29 TLS Record Protocol Funktionsweise von SSL/TLS 14

30 TLS Record Protocol Funktionsweise von SSL/TLS 14

31 TLS Record Protocol Funktionsweise von SSL/TLS 14

32 TLS Record Protocol Funktionsweise von SSL/TLS 14

33 TLS Record Protocol Funktionsweise von SSL/TLS 14

34 TLS Record Protocol Funktionsweise von SSL/TLS 14

35 TLS Handshake Protocol Funktionsweise von SSL/TLS 15

36 TLS Handshake Protocol Funktionsweise von SSL/TLS 16

37 TLS Handshake Protocol Funktionsweise von SSL/TLS 17

38 TLS Change Cipher Spec Protocol ChangeCipherSpec Nachricht 1 Byte lang Funktionsweise von SSL/TLS 18

39 TLS Change Cipher Spec Protocol ChangeCipherSpec Nachricht 1 Byte lang Warum dafür ein Eigenes Protokoll? Vorher unverschlüsselt, nachher CipherSuite In einem Fragment unverschlüsselt und verschlüsselt? Funktionsweise von SSL/TLS 18

40 TLS Change Cipher Spec Protocol ChangeCipherSpec Nachricht 1 Byte lang Warum dafür ein Eigenes Protokoll? Vorher unverschlüsselt, nachher CipherSuite In einem Fragment unverschlüsselt und verschlüsselt? Geht nicht Funktionsweise von SSL/TLS 18

41 TLS Public Key Infrastructure Zertifikat Öffentlicher Schlüssel a b9 46 7b ae e b c9 34 c e1 c b2 e3 e8 f8 b5 e3 23 Zertifikatinhaber Universität Augsburg Gültig bis Ausstellende Zertifizierungsstelle UAUX-CA Signatur der Zertifizierungsstelle e 5e 9f 46 cf fa 28 dd 35 4e b7 fb bf 3e f6 da Funktionsweise von SSL/TLS 19

42 TLS Public Key Infrastructure Kann ich der Zertifizierungsstelle vertrauen Funktionsweise von SSL/TLS 20

43 TLS Public Key Infrastructure Lösung: Hierarchie UAUX-CA Funktionsweise von SSL/TLS 21

44 TLS Public Key Infrastructure Lösung: Hierarchie DFN-Verein CA UAUX-CA Funktionsweise von SSL/TLS 21

45 TLS Public Key Infrastructure Lösung: Hierarchie Root CA Telekom DFN-Verein CA UAUX-CA Funktionsweise von SSL/TLS 21

46 TLS Public Key Infrastructure Lösung: Hierarchie Root CA Telekom der Telekom vertraue ich natürlich DFN-Verein CA UAUX-CA Funktionsweise von SSL/TLS 21

47 , unexpected_message(10), bad_record_mac(20), decryption_failed_reserved(21), record_overflow(22), decompression_failure(30), handshake_failure(40), no_c te(43), certificate_revoked(44), certificate_expired(45), certificate_unknown(46), illegal_parameter(47), unknown_ca(48), access_denied(49), decode_error(50), dec TLS Alert Protocol Warnmeldungen bei Protokollfehlern Kommunikationspartner wird benachrichtigt Funktionsweise von SSL/TLS 22

48 , unexpected_message(10), bad_record_mac(20), decryption_failed_reserved(21), record_overflow(22), decompression_failure(30), handshake_failure(40), no_c te(43), certificate_revoked(44), certificate_expired(45), certificate_unknown(46), illegal_parameter(47), unknown_ca(48), access_denied(49), decode_error(50), dec TLS Alert Protocol Warnmeldungen bei Protokollfehlern Kommunikationspartner wird benachrichtigt close_notify(0), unexpected_message(10), bad_record_mac(20), decryption_failed_reserved(21), record_overflow(22), decompression_failure(30), handshake_failure(40), no_certificate_reserved(41), bad_certificate(42), unsupported_certificate(43), certificate_revoked(44), certificate_expired(45), certificate_unknown(46), illegal_parameter(47), unknown_ca(48), access_denied(49), decode_error(50), Funktionsweise von SSL/TLS 22

49 TLS Application Data Protocol Funktionsweise von SSL/TLS 23

50 Verwendete Kryptographie Verfahren Quelle: Funktionsweise von SSL/TLS 25

51 Verwendete Kryptographie Verfahren Quelle: Funktionsweise von SSL/TLS 25

52 Verwendete Kryptographie Verfahren Alte Hash-Verfahren wie MD5-Hash durch SHA256 ersetzt Quelle: Funktionsweise von SSL/TLS 26

53 Verwendete Kryptographie Verfahren Alte Hash-Verfahren wie MD5-Hash durch SHA256 ersetzt Geknackte Verschlüsselungsverfahren wie DES/3DES/RC2/RC4 durch AES (mit großem Schlüssel und CBC oder GCM) ersetzt Quelle: Funktionsweise von SSL/TLS 26

54 Verwendete Kryptographie Verfahren Alte Hash-Verfahren wie MD5-Hash durch SHA256 ersetzt Geknackte Verschlüsselungsverfahren wie DES/3DES/RC2/RC4 durch AES (mit großem Schlüssel und CBC oder GCM) ersetzt Schlüsselaustausch Verfahren sind noch alle in TLS 1.2 im Einsatz: RSA und einige Varianten des Diffie-Hellmann Algorithmus Quelle: Funktionsweise von SSL/TLS 26

55 ANGRIFFSMÖGLICHKEITEN UND SICHERHEITSLÜCKEN 27

56 CRIME Compression Ratio Info-Leak Made Easy Angriffsmöglichkeiten und Sicherheitslücken 28

57 CRIME Compression Ratio Info-Leak Made Easy Angriffsmöglichkeiten und Sicherheitslücken 28

58 DEFLATE Lempel-Ziv-Storer-Szymanski-Algorithmus (LZ77) Huffman Codierung Angriffsmöglichkeiten und Sicherheitslücken 29

59 CRIME Chosen-Plaintext Attack Angriffsmöglichkeiten und Sicherheitslücken 30

60 CRIME Chosen-Plaintext Attack Side-Channel Attack Angriffsmöglichkeiten und Sicherheitslücken 30

61 CRIME Chosen-Plaintext Attack Side-Channel Attack Man erhält verschlüsselte Daten wie z.b. geheime Session Cookies Angriffsmöglichkeiten und Sicherheitslücken 30

62 CRIME Chosen-Plaintext Attack Side-Channel Attack Man erhält verschlüsselte Daten wie z.b. geheime Session Cookies Wenige Tausend Anfragen, wenige Minuten Angriffsmöglichkeiten und Sicherheitslücken 30

63 CRIME Angreifer Quelle: lca2gizeuofalu2hou/edit#slide=id.g1d134dff_1_222 Angriffsmöglichkeiten und Sicherheitslücken 31

64 CRIME Idee Die Idee: Angriffsmöglichkeiten und Sicherheitslücken 32

65 CRIME Idee Die Idee: Das geheime Cookie wird zusammen mit dem wählbaren Klartext komprimiert. Angriffsmöglichkeiten und Sicherheitslücken 32

66 CRIME Idee Die Idee: Das geheime Cookie wird zusammen mit dem wählbaren Klartext komprimiert. Das bedeutet bei Übereinstimmungen zwischen Klartext und Cookie verkürzt der LZ77 Algorithmus die komprimierte Anfrage. Angriffsmöglichkeiten und Sicherheitslücken 32

67 CRIME Idee Die Idee: Das geheime Cookie wird zusammen mit dem wählbaren Klartext komprimiert. Das bedeutet bei Übereinstimmungen zwischen Klartext und Cookie verkürzt der LZ77 Algorithmus die komprimierte Anfrage. Mithilfe von LZ77 Window oder begrenzter TLS Record Länge, bekommt man Byte für Byte. Angriffsmöglichkeiten und Sicherheitslücken 32

68 CRIME Beispiel mit LZ77 Window Zwei Anfragen Chosen Plaintext Geheime Sitzungsdaten s sicher Chosen Plaintext Geheime Sitzungsdaten s789 sicher Angriffsmöglichkeiten und Sicherheitslücken 33

69 CRIME Beispiel mit LZ77 Window Zwei Anfragen Chosen Plaintext Geheime Sitzungsdaten s sicher Fenster des LZ77 Chosen Plaintext Geheime Sitzungsdaten s789 sicher Fenster des LZ77 Durchlauf des LZ77 Algorithmus Angriffsmöglichkeiten und Sicherheitslücken 34

70 CRIME Beispiel mit LZ77 Window Zwei Anfragen Chosen Plaintext Geheime Sitzungsdaten s sicher Keine Übereinstimmungen innerhalb des Fensters Chosen Plaintext Geheime Sitzungsdaten s789 sicher Eine Übereinstimmung innerhalb des Fensters Verschlüsselte und komprimierte Daten mit Länge x Verschlüsselte und komprimierte Daten mit Länge <x Angriffsmöglichkeiten und Sicherheitslücken 35

71 CRIME Beispiel mit LZ77 Window Zwei Anfragen Chosen Plaintext Geheime Sitzungsdaten Das erste Chosen Zeichen Plaintext Geheime Sitzungsdaten s sicher s789 sicher Keine Übereinstimmungen innerhalb des Fensters des Geheimtextes ist ein s Eine Übereinstimmung innerhalb des Fensters Verschlüsselte und komprimierte Daten mit Länge x Verschlüsselte und komprimierte Daten mit Länge <x Angriffsmöglichkeiten und Sicherheitslücken 36

72 BEAST CRIME TIME BREACH TIME BEAST CRIME BREACH 37

73 TIME Timing Info-leak Made Easy Angriffsmöglichkeiten und Sicherheitslücken 38

74 TIME Timing Info-leak Made Easy Nur noch Zeitmessung für Kompression, Verwendung der TLS Record Größenbeschränkung Angriffsmöglichkeiten und Sicherheitslücken 38

75 TIME Timing Info-leak Made Easy Nur noch Zeitmessung für Kompression, Verwendung der TLS Record Größenbeschränkung Kein Man in the middle mehr notwendig Angriffsmöglichkeiten und Sicherheitslücken 38

76 CRIME und TIME - Maßnahmen TLS-Kompression deaktivieren Angriffsmöglichkeiten und Sicherheitslücken 39

77 CRIME und TIME - Maßnahmen TLS-Kompression deaktivieren Alle Browser haben TLS-Kompression seitdem deaktiviert Angriffsmöglichkeiten und Sicherheitslücken 39

78 BREACH Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext Angriffsmöglichkeiten und Sicherheitslücken 40

79 BREACH Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext HTTP Kompression anstatt TLS Kompression Angriffsmöglichkeiten und Sicherheitslücken 40

80 BREACH Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext HTTP Kompression anstatt TLS Kompression Betrachtet nicht die verschlüsselte Anfrage, sondern die Server-Antwort Angriffsmöglichkeiten und Sicherheitslücken 40

81 BREACH - Maßnahmen Das Geheime Cookie maskieren Angriffsmöglichkeiten und Sicherheitslücken 41

82 BREACH - Maßnahmen Das Geheime Cookie maskieren (mit Nachrichtennummerhash oder ähnlichem) Angriffsmöglichkeiten und Sicherheitslücken 41

83 BREACH - Maßnahmen Das Geheime Cookie maskieren (mit Nachrichtennummerhash oder ähnlichem) Zufällige Mülldaten anfügen Angriffsmöglichkeiten und Sicherheitslücken 41

84 BREACH - Maßnahmen Das Geheime Cookie maskieren (mit Nachrichtennummerhash oder ähnlichem) Zufällige Mülldaten anfügen (Länge wird unvorhersehbar) Angriffsmöglichkeiten und Sicherheitslücken 41

85 OpenSSL Heartbleed Open-Source Implementierung von SSL/TLS Unterstützt alle verbreiteten Betriebssysteme Angriffsmöglichkeiten und Sicherheitslücken 42

86 OpenSSL Heartbleed Open-Source Implementierung von SSL/TLS Unterstützt alle verbreiteten Betriebssysteme Heartbeat OpenSSL Erweiterung Prüft ob Verbindung noch steht Angriffsmöglichkeiten und Sicherheitslücken 42

87 Heartbleed Angriffsmöglichkeiten und Sicherheitslücken Quelle: xkcd.com/1354/ 43

88 Heartbleed Angriffsmöglichkeiten und Sicherheitslücken Quelle: xkcd.com/1354/ 44

89 Heartbleed Angriffsmöglichkeiten und Sicherheitslücken Quelle: xkcd.com/1354/ 45

90 Heartbleed - Zusammenfassung 2 Jahre alt Sicherer Serverspeicher wird in 64 kbyte Blöcken ausgelesen Schwer nachverfolgbar Zugangsdaten, private Schlüssel der Zertifikate abfragbar Angriffsmöglichkeiten und Sicherheitslücken 46

91 FAZIT UND AUSBLICK 47

92 Fazit Bei Untersuchung bis jetzt die Hälfte der Server nicht aktualisiert (Heartbleed) Implementierung des Protokolls meist größte Fehlerquelle OpenSource nicht sicherer als Closed Source Viel Geld und Aufwand für Kryptographie, Verschlüsselungsprotokolle sowie deren Implementierungen Fazit und Ausblick 48

93 Ausblick Entwicklung von TLS 1.3 hat begonnen Neue Exploits machen Änderungen am Protokoll notwendig Durch Unabhängigkeit von den Algorithmen bleibt TLS zukunftssicher Exploits Exploits Fazit und Ausblick 49

94 Diskussion Vielen Dank für die Aufmerksamkeit Diskussion 50