Beim Großteil aller berichteten Sicherheitsprobleme handelt es sich um Implementationsfehler. Von Zeit zu Zeit taucht dann aber auch einmal ein grundlegendes Problem aus, wie es nun bei dem zur Verschlüsselung von Datenverbindungen im Internet genutzten TLS-Protokoll der Fall ist.

Triple Handshake

Sicherheitsforscher haben vor einigen Monaten einen Trick gefunden, mit dem die TLS-Authentifizierung unter gewissen Umständen ausgetrickst werden kann. Die sogenannte Triple-Handshake-Attacke nutzt den Umstand, das bei Aufnahme der TLS-Verbindung zu wenige Informationen ausgetauscht werden, um später folgende Annahmen im TLS-Protokoll wirklich abzusichern. In Folge kann sich ein Server mittels eines gefälschten Zertifikats als jemand anderer ausgeben und so eine falsche Sicherheit vorspiegeln.

Ausgebessert

Dass das Problem für einen großen Teil der Nutzer rein akademischer Natur bleiben wird, ist nicht zuletzt dem vorbildlichen Umgang der Entdecker dieser Problematik zu verdanken. Die Forscher des Pariser INRIA-Instituts haben den Protokollfehler bereits vor Monaten an die TLS Working Group und zahlreiche Browserhersteller gemeldet. Die erwähnte Attacke läuft entsprechend in aktuellen Ausgaben von Firefox, Chrome und Internet Explorer 11 bereits ins Leere.

Offene Fragen

Unklar ist hingegen, wie viele der zahlreichen anderen Programme und Bibliotheken, die TLS nutzen, noch für dieses Problem anfällig sind. Zudem handelt es sich bei all den aktuellen Updates nur um klassische Bugfixes. Auf Sicht will die TLS Working Group das Defizit aber auch auf Protokollebene beheben. (apo, derStandard.at, 5.3.2014)