"Der Wechsel von Version 1.2 des Sicherheitsprotokolls TLS auf Version 1.3 ist umstritten. Das ist ein heißes Thema."
Manfred Kloiber: Ein heißes Thema sei der Umstieg von TLS 1.2 auf 1.3, sagt Laurence Pitt von Juniper Networks. Der geplante Wechsel beim Sicherheitsprotokoll für das World Wide Web ist umstritten. Seit fast drei Jahren wurde und wird er noch immer in der Internet Engineering Taskforce, im technischen Standardisierungsgremium für das Internet heftig diskutiert. In diesem Streit geht es aber nicht nur um die Verträglichkeit der neuen Version des sicheren Transportprotokolls mit den Sicherheitsboxen verschiedener Hersteller, sondern auch um die Einflussnahme von Sicherheitsbehörden auf die Definition des Protokolls. Was ist da los, Peter Welchering?
Peter Welchering: Nachrichtendienste haben so massiv wie noch nie versucht, auf die Version 1.3 des Transport Layer Security, also des TLS-Protokolls, Einfluss zu nehmen. Vor gut einer Woche hat aber das zuständige Standardisierungsgremium, die Internet Engineering Task Force, die neue Transportverschlüsselung verabschiedet. Und ganz knapp blieben die Wünsche der Sicherheitsbehörden unberücksichtigt. Die wollten nämlich eine Protokollerweiterung durchbringen. Diese Protokollerweiterung haben sie Inspektionserlaubnis genannt. Da sollte im TLS-Protokoll verankert werden, dass der Server beim Aufbau einer TLS-Verbindung einen Dritten zuschaltet oder einen Nachschlüssel erlaubt, mit dem die verschlüsselte Verbindung dann auch im Nachhinein entschlüsselt werden kann.
Manfred Kloiber: Ein heißes Thema sei der Umstieg von TLS 1.2 auf 1.3, sagt Laurence Pitt von Juniper Networks. Der geplante Wechsel beim Sicherheitsprotokoll für das World Wide Web ist umstritten. Seit fast drei Jahren wurde und wird er noch immer in der Internet Engineering Taskforce, im technischen Standardisierungsgremium für das Internet heftig diskutiert. In diesem Streit geht es aber nicht nur um die Verträglichkeit der neuen Version des sicheren Transportprotokolls mit den Sicherheitsboxen verschiedener Hersteller, sondern auch um die Einflussnahme von Sicherheitsbehörden auf die Definition des Protokolls. Was ist da los, Peter Welchering?
Peter Welchering: Nachrichtendienste haben so massiv wie noch nie versucht, auf die Version 1.3 des Transport Layer Security, also des TLS-Protokolls, Einfluss zu nehmen. Vor gut einer Woche hat aber das zuständige Standardisierungsgremium, die Internet Engineering Task Force, die neue Transportverschlüsselung verabschiedet. Und ganz knapp blieben die Wünsche der Sicherheitsbehörden unberücksichtigt. Die wollten nämlich eine Protokollerweiterung durchbringen. Diese Protokollerweiterung haben sie Inspektionserlaubnis genannt. Da sollte im TLS-Protokoll verankert werden, dass der Server beim Aufbau einer TLS-Verbindung einen Dritten zuschaltet oder einen Nachschlüssel erlaubt, mit dem die verschlüsselte Verbindung dann auch im Nachhinein entschlüsselt werden kann.
Das ist von der Internet Engineering Task Force abgelehnt worden. Aber eine Allianz aus Sicherheitsbehörden und Banken will diese Protokollerweiterung jetzt doch noch über das europäische Institut für Telekommunikationsstandards durchbringen.
Neu an dieser Diskussion war, dass die Nachrichtendienste ihre bisherige Zurückhaltung in Diskussionen der Internet-Standardisierungsgremien weitgehend aufgegeben haben und ihre Überwachungskonzepte sehr aktiv und offensiv in die Protokolle einbringen wollen. Das ist eine neue Qualität.
Kloiber: Und diese neue Qualität der Diskussion über Internet-Standards hat sich sehr langsam entwickelt. Deutlich wurde sie bei der mehrjährigen Diskussion um die Aktualisierung des Standards für eine sichere Transportverschlüsselung. Deshalb haben wir einen Blick zurückgeworfen und den Verlauf der Diskussion nachgezeichnet.
Es ging darum, wie Datenpäckchen auf dem Weg durchs Internet verschlüsselt werden. Schon vor knapp drei Jahren wurden Aktualisierungen des Protokolls für die Transportverschlüsselung angemahnt. Die große Neuerung war, dass bereits der Verbindungsaufbau von einem Rechner zu einem Server kryptografisch abgesichert wird. Zunächst haben ausgerechnet die Banken Einwände erhoben. Die waren zwar nicht prinzipiell gegen die kryptografische Absicherung bereits beim Verbindungsaufbau. Aber sie wollten einen Nachschlüssel, um auch bereits beim Verbindungsaufbau mithören zu können. Die Entwickler der neuen TLS-Version hatten bereits auf der Tagung der Internet Engineering Task Force im Sommer 2016 in Berlin gegen einen solchen Nachschlüssel argumentiert. Da aber das europäische Institut für Telecom-Standards einer Abhörschnittstelle prinzipiell zugestimmt hatte, schien Anfang 2017 der Einbau einer Hintertür in die neue TLS-Version sehr wahrscheinlich.
Kloiber: Und diese neue Qualität der Diskussion über Internet-Standards hat sich sehr langsam entwickelt. Deutlich wurde sie bei der mehrjährigen Diskussion um die Aktualisierung des Standards für eine sichere Transportverschlüsselung. Deshalb haben wir einen Blick zurückgeworfen und den Verlauf der Diskussion nachgezeichnet.
Es ging darum, wie Datenpäckchen auf dem Weg durchs Internet verschlüsselt werden. Schon vor knapp drei Jahren wurden Aktualisierungen des Protokolls für die Transportverschlüsselung angemahnt. Die große Neuerung war, dass bereits der Verbindungsaufbau von einem Rechner zu einem Server kryptografisch abgesichert wird. Zunächst haben ausgerechnet die Banken Einwände erhoben. Die waren zwar nicht prinzipiell gegen die kryptografische Absicherung bereits beim Verbindungsaufbau. Aber sie wollten einen Nachschlüssel, um auch bereits beim Verbindungsaufbau mithören zu können. Die Entwickler der neuen TLS-Version hatten bereits auf der Tagung der Internet Engineering Task Force im Sommer 2016 in Berlin gegen einen solchen Nachschlüssel argumentiert. Da aber das europäische Institut für Telecom-Standards einer Abhörschnittstelle prinzipiell zugestimmt hatte, schien Anfang 2017 der Einbau einer Hintertür in die neue TLS-Version sehr wahrscheinlich.
Wenn Geheimdienste mithören wollen
Diskussionen auf der Embedded-Systems-Konferenz im Frühjahr 2017 in Nürnberg brachten diese Abhörschnittstelle dann zum Kippen. Das für viele Entwickler überzeugende Argument lautete: Eine Abhörschnittstelle passe nicht in die Welt offener Systeme. Sie könnte also auch nicht allgemein zugänglich gemacht werden. Die TLS-Version 1.3 würde damit Elemente enthalten, die einem offenen Internet zuwiderlaufen würden. Professor Axel Sikora von der Hahn-Schickard-Gesellschaft fasst das entscheidende Argument so zusammen.
"Das Paradigma lautet da schon, offene Systeme zu machen, die auch von vielen angegriffen werden und dann über viele Generationen hin gehärtet werden, siehe TLS als Protokoll. Also, da glaube ich schon an die Offenheit der Lösung, die auch viel breiter in der Community getestet werden kann, als das ein einzelnes Unternehmen sich selbst leisten kann."
"Das Paradigma lautet da schon, offene Systeme zu machen, die auch von vielen angegriffen werden und dann über viele Generationen hin gehärtet werden, siehe TLS als Protokoll. Also, da glaube ich schon an die Offenheit der Lösung, die auch viel breiter in der Community getestet werden kann, als das ein einzelnes Unternehmen sich selbst leisten kann."
Das Gebot der offenen Systeme
In der Internet Community überzeugte das Gebot der offenen Systeme. Doch einige Sicherheitsunternehmen aus dem Bankenbereich sahen ihre Produkte bei Verabschiedung der so definierten Version der Transportverschlüsselung gefährdet. Ihre Sicherheitsboxen bauten eine eigene Verbindungsanfrage auf, die dann erst zu einem späteren Zeitpunkt die Transportverschlüsselung hereinnahm.
Diesen Ansatz fanden auch die Vertreter verschiedener Nachrichtendienste ganz apart. Denn sie konnten die von ihnen gewünschten Überwachungsschnittstellen an genau diesen Sicherheitsboxen regelrecht anflanschen. Sicherheitsforscher entgegneten, dass durch solche herstellereigenen Aufsätze auf das TLS-Protokoll gerade die Arbeit der Sicherheitscommunity erschwert werden. Hans-Peter Bauer, Chef des Sicherheitsunternehmens McAfee Deutschland, bringt das so auf den Punkt.
"Alles, was sich im Grunde rund um das Thema Internet bewegt, alle diese Werkzeuge, mit denen man Sicherheit betreibt, liefern im Grunde Daten und Informationen. Diese Informationen muss man in gebündelter Form korrelieren, auswerten und all den Werkzeugen wieder zurückgeben, um diese Intelligenz eben an jedem Einfallstor, an jedem Ort seiner Organisation zu haben."
Die Diskussion geht weiter
Die Internet-Standardisierungsgremien hat das überzeugt. Die Nachrichtendienste allerdings wollen sich mit der Abstimmungsniederlage bei der Standardisierung der neuen Transportverschlüsselung nicht abfinden. Sie wollen ihre Nachschlüssel in den kommenden Monaten doch noch durchsetzen.