Veiligheidsprotocol TLS wordt danig verbouwd

Netscape-logoBeveiliging van het webverkeer is nog steeds mensenwerk en dat betekent dat er fouten in zitten waar louche types als NSA-spionnen en webboeven misbruikt van kunnen maken om hun euvele daden uit te voeren.  Zo bleek ook het protocol voor communicatiebeveiliging TLS niet waterdicht. Het wordt nu Transport Layer Security-protocol drastisch op de schop genomen worden. De versie zal dit of komend jaar beschikbaar komen.
Om een bericht te versleutelen zijn er twee zaken van belang. Er dient een versleutelingsprotocol te zijn dat beschrijft welk algoritme moet worden gebruikt om het bericht te veranderen en er moet een sleutel zijn die bekend is aan beide partijen om het bericht te versleutelen en te ontsleutelen. Het protocol mag bekend zijn, de sleutel, uiteraard, niet.
Om de twee partijen op een veilige manier met elkaar te laten communiceren, moeten ze het eens worden over de sleutel, die alleen bij de twee partijen bekend is. Tijdens dat onderhandelingsproces kunnen er kwetsbaarheden/lekken voorkomen, evenals tijdens de versleuteling.
Onderzoekers rond Jörg Schwenk van de Ruhr-universiteit in Bochum (D) hadden, onder meer, ontdekt dat in het TLS-protocol (de huidige versie 1.2) het mogelijk is die sleutel te stelen die er tussen de twee communicerende partijen wordt afgesproken. Dat is natuurlijk niet zo handig. In de nieuwe versie, waaraan wordt gewerkt door de Internet Engineering Taskforce zal een andere manier van uitwisseling van de sleutel worden gebruikt.
Het bleek de onderzoekers ook mogelijk de veiligheidsmechanismes van versie 1.2 te omzeilen door een oudere TLS-versie te gebruiken. Die oudere versies staan vaak op servers om maar zo veel mogelijk gebruikers terwille te zijn. Een andere onderzoeksgroep slaagde er in digitale handtekeningen aan te maken die nep waren (en die door het protocol geaccepteerd werden).
TLS is oorspronkelijk ontwikkeld door Netscape, het bedrijf dat de eerste (gratis) webrauzer ontwikkeld had. Netscape introduceerde het protocol Secure Socket Layer (SSL) in 1994. In latere versies werd dat TLS. In de nieuwe versie zal vrijwel alles veranderd worden, zowel op het niveau van de versleuteling als dat van de onderhandeling tussen webgebruiker en server over de sleutel van de code.

Bron: Science Daily

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.