Mehr Webserver-Sicherheit durch Forward Secrecy

In Zeiten großangelegter Aushorchkampagnen wird die Verschlüsselung der Datenübertragung immer wichtiger und entsprechend komplexer. Denn um verschlüsselt übertragene Daten auf Webseiten effektiv vor Mitlauschern im Netz zu schützen, genügt der Einsatz von SSL alleine nicht mehr.

Um für unsere Kunden hier eine bestmögliche Lösung anbieten zu können, haben wir mit dem Update auf Apache 2.2.26 alle nicht mehr sicheren Verschlüsselungsalgorithmen deaktiviert und weitere Maßnahmen zur Verbesserung der SSL-Sicherheit getroffen.

Konventionelles SSL

Bisher wurde für jede SSL-Webseite jeweils ein fester Schlüssel zur Übertragung verwendet. Dadurch war es in der Vergangenheit theoretisch jemandem, der im Besitz dieses Schlüssels war, möglich, auf dem Weg zum Kunden mitgehörte SSL-Übertragungen im Nachhinein zu entschlüsseln. Diese Übertragungen konnten zum Beispiel auch zunächst gespeichert werden, um dann nach erfolgtem Schlüsseldiebstahl dekodiert zu werden.

Elliptic-Curve-Diffie-Hellman (ECDH) – Verschlüsselung

Ein Schlüsselbund mit sehr vielen Schlüsseln.

Für jede Sitzung wird im Elliptic-Curves-Diffie-Hellman Verfahren ein individueller Schlüssel genutzt.
Foto © creative commons CC BY-SA by plenty r.

Dem wird durch die nun von uns genutzte Forward Secrecy ein Riegel vorgeschoben: Bei jeder Übertragung kommt nun ein zufällig generierter neuer Schlüssel zum Einsatz, der durch das sichere Elliptic-Curve-Diffie-Hellman Schlüsselaustauschverfahren (ECDH) mit dem Webbrowser ausgehandelt wird. Da so für jede Übertragung eine jeweils neue Verschlüsselung genutzt wird, müsste also nun statt einem einzigen Schlüssel sehr viele geknackt werden, was in absehbarer Zeit nicht realistisch möglich ist.

Dieser Beitrag wurde unter Webhosting veröffentlicht. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *