Rapport: TLS-overhaling kan blive et sikkerhedsproblem

"TLS 1.3 er et resultat af Internet Enginering Task Force (IETF), og er lavet for at sikre brugerne mod dataindsamling og aflytning,"

Den er nu primært lavet for at beskytte Google, FaceBook imod forskere der snager i hvor meget de spionerer imod deres brugere.

Meget apropos har Kina dog lige blokeret for TLS 1.3 i deres firewall.

Den er nu primært lavet for at beskytte Google, FaceBook imod forskere der snager i hvor meget de spionerer imod deres brugere.

Ikke at jeg er ekspert, men det er vel muligt at installere et certifikat på en proxy og forhåndsgodkende det på klienten, så klienten kun ser proxy'ens certifikater og proxyen terminere sessioner fra FAANG mfl. på proxy'en vil trafikken kunne læses ukrypteret, med mindre selvfølgelig at applikationen har et hardcodet klient certifikat eller en kontrol af servercertifikate er det rigtige ud fra en hardcoded liste.

med mindre selvfølgelig at applikationen har et hardcodet klient certifikat eller en kontrol af servercertifikate er det rigtige ud fra en hardcoded liste.

Sjovt du skulle nævne netop det...

det er vel muligt at installere et certifikat på en proxy og forhåndsgodkende det på klienten, så klienten kun ser proxy'ens certifikater og proxyen terminere sessioner

Det er præcis sådan "TLS Intercept" proxy'er fungerer - dens rod-certifikat er præinstalleret på klienterne, og proxy'en laver så et certifikat "on-the-fly" så når klienten går på https://www.version2.dk/ så får den også et certifikat med det rigtige navn i.

Det virker kun fordi TLS 1.2 (og tidligere) ikke krypterer "www.version2.dk" i sit TLS handshake, så proxy'en kan se hvilket website den skal lave et certifikat til. I TLS 1.3 er dette felt krypteret, så proxy'en ikke kan aflæse det i tide. Det er det "Encrypted Server Name Indication (ESNI)" gør.

Om du så helst vil have privatliv eller et beskyttende filter mod ondsindede websites er en subjektiv afgørelse. Personligt mener jeg at det fuldt ud kan forsvares at lave TLS Intercept på en arbejdsplads, mens det er fuldstændig uacceptabelt når jeg er hjemme i privaten.

Det må du gerne uddybe. Hvad mener du, at der er galt med TLS 1.3? Ud fra et teoretisk perspektiv er TLS 1.3 lavet som det er, fordi det ellers ikke ville være sikkert.

Meningen med SSL/TLS har altid været at skabe (integritet)/konfidentialitet mellem 2 enheder, ikke andet. Og det fungerer det godt til.

med mindre selvfølgelig at applikationen har et hardcodet klient certifikat eller en kontrol af servercertifikate er det rigtige ud fra en hardcoded liste.

Hvis du mener certificate pinning, kan det også håndteres i forhold til TLS interception, forudsat at du selv "kompromitterer" klienten (Frida script), eller en angriber gør det for dig. Det er fx gjort i denne analyse af TikTok samt den analyse af "exposure notification" apps på Android som Version2 skrev om for nylig.

Det må du gerne uddybe. Hvad mener du, at der er galt med TLS 1.3? Ud fra et teoretisk perspektiv er TLS 1.3 lavet som det er, fordi det ellers ikke ville være sikkert.

TLS 1.3 med en valgfri udvidelse (ESNI m.v.) giver mulighed for at kryptere det domænenavn, som overføres i forbindelse med det indledende TLS handshake hvis der bruges SNI (som er nødvendig hvis der er flere domæner, virtuelle servere i Apache-speak, på samme IP-adresse). Cloudflare understøtter dette.

Der er selvfølgelig andre forskelle mellem TLS 1.2 og TLS 1.3.

Udover kryptering af HTTP-trafikken (URL, indhold, etc) giver TLS 1.3 med ESNI mulighed for at skjule domænet over for alle servere (din ISP, dit lands store firewall, din virksomheds DPI firewall, etc) mellem klienten og serveren. Det kan gøre en forskel hvis bestemte domæner er blokeret (DNS-opslaget vil også skulle laves krypteret med DNS over TLS eller HTTPS).

Visse ISP'er i Danmark bruger SNI snooping til at blokere domæner (Hi3G og muligvis andre) i stedet for DNS-blokering.

Udover privacy aspektet kan ESNI måske få nogle stater til at holde igen med blokeringer, fordi der vil være større collateral damage. Det er ikke længere muligt at blokere et domæne ved SNI snooping, kun al trafik til den IP-adresse som den uønskede webside er på, sammen med alle de ikke-uønskede. På samme måde kunne stater og andre før HTTPS lave blokering på URL niveau, i stedet for domæne niveau.

Eller.. de kan gå mere håndhændet til værks, som Kina der blokerer TLS 1.3 med ESNI. Ultimativt vil det koble Kina af internettet som Nordkorea (og så langt vil selv Kina nok ikke gå). Det betyder under alle omstændigheder, at flere borgere rammes ("collateral damage"), hvilket måske kan få flere til at gøre oprør mod den undertrykkende stat.

Artiklen burde nok lige ses efter i sømmene: "DNS er allerede tilgængeligt og understøttet på flere browsere". Nu har DNS været tilgængeligt i mange årtier, så det giver ingen mening. Det den oprindelige artikel i TechRepublic omtaler er DNS-over-HTTPS (DoH) altså krypteret DNS opslag via HTTPS eller TLS protokollen (DNS-over-TLS). Det er næppe et sikkerhedsproblem (i første omgang) for brugerne, men derimod på enterprise niveau.

Meningen med SSL/TLS har altid været at skabe (integritet)/konfidentialitet mellem 2 enheder, ikke andet. Og det fungerer det godt til.

De to enheder er hhv. Google eller FaceBook servere i deres datacenter og deres App på din enhed.

Målet med TLS1.3 er at sørge for at ingen, nogensinde kan se hvad der sker på den forbindelse.

Det lyder måske meget ideelt og flot, indtil man overvejer at de to firmaer begge har en forretningsmodel der handler om at vide alt om alle, "come hell or GDPR".

Målet med TLS1.3 er at sørge for at ingen, nogensinde kan se hvad der sker på den forbindelse

Man kan vel i et lab, på enheden, undersøge hvad der er på vej ud af dimsen?

Ja, men TLS 1.3 virker som det skal. Hvad ville I hellere have haft?

Alle andre SSL/TLS versioner er usikre by design.

Hvad ville du så have haft i stedet? Hvad skulle TLS så have kunnet give?

Det lyder måske meget ideelt og flot, indtil man overvejer at de to firmaer begge har en forretningsmodel der handler om at vide alt om alle, "come hell or GDPR".

Nu er der andet på internettet end Google og Facebook.

Men selv for disse tjenester med alle deres fejl og mangler: hvad skulle det dog gavne, at NSA eller FE overvåge min kommunikation?

Facebook kan jeg fravælge. FE's ulovlige masseovervågning kan kun bekæmpes med TLS.

Målet med TLS1.3 er at sørge for at ingen, nogensinde kan se hvad der sker på den forbindelse.

Det er altså ganske trivielt at se på klienten, der altså er i din fulde kontrol. Specielt når det kommer til webbrowsere, så skal du ikke gøre andet end at starte developer funktionen, så har du direkte adgang til alt kommunikation uden kryptering.

den studsede jeg godt nok også noget over ?

Det er altså ganske trivielt at se på klienten, der altså er i din fulde kontrol. Specielt når det kommer til webbrowsere, så skal du ikke gøre andet end at starte developer funktionen, så har du direkte adgang til alt kommunikation uden kryptering.

Web-browsere er ikke den primære spionage platform, mobiltelefoner er.

Hvordan vil du se hvad din Android eller iPhone sender hjem til moderskibet ?

Hvordan vil du se hvad din Android eller iPhone sender hjem til moderskibet ?

Rootet enhed med Frida giver fint adgang til at se trafikken – hvilket generelt ikke er nok med mindre der bruges en naiv plaintekst protokol under TLS, og derfor suppleres med old-school reverse engineering.

Rootet enhed med Frida giver fint adgang til at se trafikken – hvilket generelt ikke er nok med mindre der bruges en naiv plaintekst protokol under TLS, og derfor suppleres med old-school reverse engineering.

Og dét synes du er godt nok til og som "oversight" af FaceBook og Google ?

Hvordan ved du forresten at din mobiltelefon repræsentativ ?

@phk Men forskellen på nuværende TLS 1.2 og TLS 1.3 er jo KUN at man så ikke kan se domænenavnet. De siger jo INTET om hvad f.ex. google eller facebook apps sender til moderskibet - så hvordan ændrer TLS1.3 på den situation ?

At det klart er et problem med hvilke data diverse apps kan sende kvit og frit til moderskibet mm. - er jo ikke relevant ifbm. TLS 1.3 vs. TLS 1.2 ?

så hvordan ændrer TLS1.3 på den situation ?

Det er ikke specielt TLS1.3, men derimod den ukritiske jublen hvergang der bliver krypteret lidt hårdere og det medfølgende helt ukritiske fripas til hvor meget FaceBook og Google spionerer, mens ethvert tiltag fra vores demokratiske valgte folketing bliver udbasuneret som togafgang til tugthuslejr.

Og dét synes du er godt nok til og som "oversight" af FaceBook og Google ?

Om det er godt nok er uden for emnet. Pointen er at det er muligt at bryde TLS på klienten, også selvom det er en Android eller iPhone, og derfor har TLS ikke forhindret forskere i at få fat i ukrypteret trafik til Facebook og Google.

apps

En vigtig forskel på netop 1.3 er, at den skifter til AEAD's som forhindrer diverse oracle attacks. 1.3 er med andre ord den eneste som ikke i et eller andet omfang kan brydes.

få fat i ukrypteret trafik til Facebook og Google

Hvis de virkelig har noget at skjule, så er det næppe i klartekst og veldokumenterede formater til at begynde med.

Og de vil under alle omstændigheder ikke kunne undgå trafikanalyse. De kan allerhøjest håbe på at skjule sig i den kommunikation som iøvrigt går til deres datacentre.

En vigtig forskel på netop 1.3 er, at den skifter til AEAD's som forhindrer diverse oracle attacks. 1.3 er med andre ord den eneste som ikke i et eller andet omfang kan brydes.

Hvilket formodentlig er årsagen til at Kina har spærret for TLS1.3 nu.

Spørgsmålet er hvor mange andre lande der følger efter.