TLS 1.3 wird zum Standard

Es hat wirklich lange gedauert, nun jedoch ist auf der Londoner IETF-Tagung TLS 1.3 beschlossen worden. Zuletzt forderten Banken und Behörden einen Zugang zu den verschlüsselten Verbindungen. Nun ist auch dieses Thema ausgeräumt und TLS 1.3 befindet sich auf dem Weg zum Standard.

Opt-In-Technik für das Mitlesen

Beim 101. Treffen der IETF in London forderten Banken und Behörden eine Opt-in-Technik für das Mitlesen des verschlüsselten Verkehrs – um Fehlersuchen ginge es angeblich. Mit diesem Opt-in-Verfahren sollte das Aufbrechen der Transportverschlüsselung im Data Center möglich sein. Ein so ermöglichtes Mitlesen sei laut den Verfechtern dieser Option notwendig, um Fehler aufspüren zu können sowie betrügerische Aktivitäten aufzudecken bzw. zu verhindern. Details zum Thema berichtet unter anderem heise. Der Vorschlag wurde beim Treffen von der IETF abgelehnt.

Details des TLS-Standards

Mit dem Treffen in London hat die neue Version TLS 1.3 das Siegel der IESG (Internet Engineering Steering Group) bekommen. Nach den zahlreichen Verzögerungen wird das Protokoll in wenigen Wochen bald zum Standard der IETF. TLS 1.3 ist insgesamt leichter als der Vorgänger TLS 1.2. Kryptoalgorithmen wurden optimiert, über die Pakete werden weniger Metadaten mitgeliefert. Bereits der Aufbau der Verbindung wird mit TLS 1.3 kryptographisch gesichert.

Auch soll mithilfe von Zero-Round-Trip-Time-Resumption (0-RTT) Nutzern ermöglicht werden, kürzlich besuchte Websites beim reconnect schneller aufzubauen. Zusätzlich beschlossene Sicherheitsmaßnahmen sollen dafür sorgen, dass dieses Feature nicht von Angreifern missbraucht wird.

TLS 1.3 ist Geheimdiensten ein Dorn im Auge

TLS 1.3 bringt zahlreiche Neuerungen bezüglich der Sicherheit und Privatsphäre der User. Was die neue Version der Transportverschlüsselung bringt, verrät Ihnen die c’t. Das britische National Cyber Security Centre (NCSC; zugehörig zum britischen Geheimdienst GCHQ) ist nicht begeistert von den Features: Sie seien zwar gut für Privatpersonen, jedoch schlecht für Unternehmen.

Kritisiert wurde insbesondere der komplett verschlüsselte Verbindungsaufbau gemäß TLS 1.3. Das Zertifikat des aufgerufenen Servers wird nicht mehr im Klartext übertragen. In der Folge müssten sicherheitsbewusste Unternehmen mit TLS 1.3 dazu übergehen, ausnahmslos alle Verbindungen nach draußen zu überwachen.

Dass eine solche selektive Analyse bereits mit der Vorgängerversion TLS 1.2 nicht funktionierte, hält Adam Langley, Googles Krypto-Experte, entgegen. Weiter schreibt er, dass derlei Überlegungen maßgeblich für das mehrfache Verschieben von TLS 1.3 verantwortlich seien.

TLS 1.3 auf dem Weg zum Standard

Die TLS-Version 1.3 hat nun also sämtliche Hürden genommen und ist auf dem Weg zum Standard bei der IETF. Mit TLS 1.3 wird die bislang sicherste Protokollversion veröffentlicht. Kein Wunder, dass überwachende Unternehmen darin Schwierigkeiten sehen. Für die Privatsphäre der User jedoch ist TLS 1.3 ein echter Gewinn.