DutchEnglishFrenchGermanItalianSpanish
Haben Sie Fragen? +49 (0) 36967-595-0

Details

Sichere Kommunikation leicht gemacht: Datafox HTTPS im Einsatz

16.04.2018
Mitschnitt einer http-Kommunikation im LAN. Sie erkennen die ausgetauschten Nutzdaten im Klartext des Datenpakets

Im Moment erscheint es so, als ob Angriffsszenarien wie Spectre und Meltdown Funktionen in der PC-Welt in Frage stellen, an die wir uns seit über 10 Jahren gewöhnt haben. Teile der in den letzten Jahren realisierten Performance-Zugewinne in der CPU-Architektur gehen auf Technologien wie spekulative Ausführung, Sprungvorhersage und ähnliche „nicht exakte“ Methoden zurück. Dabei werden Instruktionen ausgeführt, bevor feststeht, dass der Programmablauf diese erfordert – eben spekulativ – das Resultat der Instruktionen wird erst dann angewendet („commit“), wenn die Notwendigkeit der Ausführung der Instruktion ermittelt wurde. Dieser Commit erfolgt relativ schnell verglichen mit der Ausführungszeit der gesamten Instruktion – leider verändert aber bereits die spekulative Ausführung der Instruktion den Inhalt von CPU-Caches. Eine Eigenschaft, die sich Spectre und Meltdown zu Nutze machen.
Die aktuell ablaufende Diskussion um die Möglichkeit der Schließung der zugrundeliegenden Sicherheitslücken, die Patch-Versuche, die mit geringfügig veränderten Angriffen wieder überwunden werden können, zeigen ein Stück weit, wie schwierig und unübersichtlich das Feld geworden ist – und es wird mir jeder CPU-Generation komplizierter. Im Moment gilt jedes System, auf dem der Nutzer Code ausführen lassen kann, als gefährdet, wenn die CPU für Spectre oder Meltdown anfällig ist.
Auch wir bei Datafox befassen uns mit den Auswirkungen von Sicherheitsproblemen – selbst wenn unsere CPUs nicht direkt betroffen sind. Zentrale Fragen sind dabei immer, was wir beitragen können, um Kommunikation sicher zu gestalten oder welche Hindernisse wir aus dem Weg räumen können, um sichere Kommunikation einfacher zu machen.
Sicherlich bietet die Kommunikationsverschlüsselung aktuell einen Ansatz, End-zu-End-Verschlüsselung bei DLL-basierten Server-Anwendungen zu ermöglichen – aber nicht jeder unserer Partner möchte eine DLL-basierte Kommunikation implementieren. Vielen unserer Anwender fällt es zu dem leicht, Web-Technologien einzusetzen, und auch hier wollen wir eine robuste, sichere Kommunikationslösung anbieten können.

Derselbe Inhalt – allerdings mit aktivierter https Verschlüsselung: Im Datenpaket ist auf Netzebene kein Inhalt mehr erkennbar.
Derselbe Inhalt – allerdings mit aktivierter https Verschlüsselung: Im Datenpaket ist auf Netzebene kein Inhalt mehr erkennbar.

Wir haben uns daher entschlossen, https als Ergänzung zur Kommunikationsverschlüsselung per DLL im http-Umfeld zu implementieren. Https bietet den Vorteil, dass es als Standard recht gut auf Kompatibilität mit einer Vielzahl unterschiedlicher Implementierungen abgestimmt ist und wir auf diese Weise keine Vorgaben für die Server-Seite machen müssen – ein Kritikpunkt, den wir bei der DLL-basierten Kommunikation häufiger vernommen haben.
Mit der Firmware-Version 04.03.11 wird die https-Kommunikation für alle Datafox Hardware V4 Geräte verfügbar werden. Erste eigene Einblicke in die Realisierung können Interessierte bereits seit Dezember 2017 mit dem Release-Candidate 04.03.11.00.https.1 selbst erlangen.
Wie gelingt es nun, mit https eine sichere Verbindung zwischen Client und Server zu gewährleisten?
Https setzt hierzu sowohl symmetrische als auch asymmetrische Verschlüsselung ein. Symmetrische Verschlüsselung nutzt denselben Schlüssel zum Ver- und Entschlüsseln. Der Schlüssel stellt damit nach dem Austausch ein Sicherheitsrisiko dar, da der Diebstahl des Schlüssels einen Angreifer in die Lage versetzt, sowohl zu ver- als auch zu entschlüsseln.
Bei asymmetrischer Kommunikation werden zwei unterschiedliche, zueinander „passende“ Schlüssel eingesetzt: Eine Kommunikation, die mit einem der Schlüssel verschlüsselt wurde, kann nur mit dem anderen Schlüssel entschlüsselt werden. Auf diese Art und Weise kann der Empfänger einer verschlüsselten Nachricht feststellen, ob die Nachricht auch wirklich vom gewollten Versender stammt – eine Eigenschaft, die https beim Austausch des Sitzungsschlüssels nutzt. Dieser Sitzungsschlüssel wird für die (symmetrische) Verschlüsselung des Nutzdatenstroms eingesetzt.
Bislang wird der https Handshake – so wird die Aushandlung des Sitzungsschlüssels bezeichnet – als sicher betrachtet, auch wenn Fehler in einzelnen Implementierungen durchaus ungewolltes und ungeahntes Potential hatten: Hier sei an die Heartbleed-Lücke der OpenSSL-Bibliothek erinnert.
Bei der Implementierung einer https Verschlüsselung ist darauf zu achten, dass keine zu schwachen Verschlüsselungsverfahren eingesetzt werden, also solche, die in kurzer Zeit auch ohne Kenntnis des Schlüssels das Entschlüsseln der Daten ermöglichen. Erfreulicher Weise bietet https hier bereits Antworten. Etwa wird während des https Handshakes der stärkste symmetrische Cipher durch den Server gewählt, der für beide Kommunikationspartner verfügbar ist – oder der Verbindungsaufbau abgebrochen. Zusätzlich können https Kommunikationspartner die verwendbaren Cipher-Suites einschränken, so dass etwa SSLv3 und TLS 1.0, die als unsicher gelten, nicht mehr für einen Verbindungsaufbau akzeptiert werden.

Somit stellt das https Protokoll ein sicheres Kommunikationsverfahren auch über unsichere Netzwerke dar. Die Eigenschaft, den Kommunikationsschlüssel in zwei Teile zu zerlegen (Zertifikat und Key) ist dabei ein wesentliches Merkmal, mit dem beide Kommunikationspartner sich gegenseitig im Rahmen der Verbindungsaushandlung prüfen können, ohne dazu vertrauliche Informationen über das Netz übertragen zu müssen.

Zurück

Lesen Sie weitere Datafox-News
BDE-Erfassung mit der Kopplung zur Microsoft Dynamics NAV  ERP-Software und den Datafox IPC EVO 18.5

Anwenderbericht HKS-Betriebsdatenerfassung mit Kopplung zu Microsoft Dynamics NAV2016 und dem

Schulungswoche bei Datafox

Die letzte Schulungswoche für dieses Jahr steht kurz bevor. Starten Sie jetzt in den erfolgreichen

Nach dem sehr erfolgreichen Partnerstand auf der diesjährigen Hannover Messe möchten wir auch 2019

Bewährte Qualität und neue Wege.
© 2018 | Datafox GmbH