Sicherheit der Webpakete / PFS

Wie vor einigen Monaten durch diverse Datenschutzaffären bekannt wurde, archivieren verschiedene nationale Behörden sämtliche verschlüsselte Kommunikation im Internet. Ganz nach dem Motto „Heute sammeln, morgen knacken“ werden die Daten jetzt gesammelt, um später an die Inhalte zu gelangen. Um dieser Problematik entgegenzuwirken, werden wir ab sofort mit einem zusätzlichen PFS-Verfahren unsere Hosting-Pakete durch einen stärkeren Schlüssel zusätzlich absichern. Hierbei wird sich auch das SSL-Rating unserer Server erhöhen, was die gesamte Sicherheitsarchitektur unserer Systeme verstärkt. Sie als Kunde erhalten damit noch sicherere SSL-Verbindungen in folgenden Bereichen:

  • E-Mails: Von Client zu Mailserver | von Mailserver zu Mailserver
  • Browser: Login in das Adminpanel | SSL-Zertifikate Ihrer Domain | WebFTP
  • FTP: Verbindung vom FTP-Programm zum Server mittels FTPS und FTPES

Voraussetzung dafür ist, dass Betriebssysteme und Clients (E-Mail-Programme, Internetbrowser etc.) auf dem aktuellen Updatestand sind.

Das Perfect Forward Secrecy Verfahren (PFS) soll verhindern, dass bereits übertragene Daten mit Hilfe von bekannten Schlüsseln nachträglich entschlüsselt werden können. Das Alter der bereits übertragenen Dateien spielt hierbei nahezu keine Rolle.

Um solche bereits übertragenen Dateien wie z.B. Webseitenbesuche und E-Mails der Protokolle HTTPS, IMAPS, POP3S und SMTP/TLS zu entschlüsseln, müssen Angreifer lediglich einen Session-Schlüssel brechen, der irgendwann einmal gültig war. So können Daten, die für lange Zeit aufbewahrt wurden, vollständig zu einem späteren Zeitpunkt entschlüsselt werden.

Wenn PFS verwendet wird, darf SSL/TLS den geheimen Schlüssel nur zum Authentisieren des Webservers und der Schlüsselaustausch-Daten verwenden. Für den Austausch des symmetrischen Sitzungsschlüssels handeln die Kommunikationspartner jedes Mal ein neues, temporär gültiges Schlüsselpaar aus. Sobald der Schlüsselaustausch abgeschlossen ist, muss das temporäre Schlüsselpaar sofort gelöscht werden.

Hierbei wird der geheime Schlüssel nur zur Prüfung des Schlüsselaustausches selbst verwendet. Für die einzelne Session wird ein neuer geheimer Schlüssel und ein neuer öffentlicher Schlüssel generiert, der nur für die Session gilt und danach gelöscht wird.

Um einen sicheren Austausch der Schlüssel zu gewährleisten, wird hierfür das Diffie-Hellmann-Verfahren verwendet, welches temporäre Schlüssel beim Client und Server erzeugt, von denen nur ein Teil übertragen wird. Nach Beenden der Verbindung werden die Schlüssel gelöscht.

Da die temporärem Schlüssel von den Master-Schlüsseln erzeugt werden, wäre es möglich, diese voneinander abzuleiten. Dies wird durch PFS verhindert, indem die temporären Schlüssel nur für eine kurze Zeit gültig sind und der Schlüsselaustausch über das Diffie-Hellman-Verfahren neu gestartet wird.

Auf Grund der Tatsache, dass PFS und Diffie-Hellman mehr CPU-Zeit als ältere Verfahren benötigen, werden diese nicht von jeder Software unterstützt.

Doch auch die besten Verschlüsselungsarten können zunichte gemacht werden, wenn andere Angriffspunkte wie folgende Beispiele nicht gesichert werden:

  • aktuelle Software und Betriebssysteme
  • regelmässige Updates
  • gute Passwörter, die nicht leicht zu erraten oder zu errechnen sind
  • Viren-Scans
  • Ende-zu-Ende-Verschlüsselung von E-Mails, welche auf dem PC sonst im Klartext gespeichert werden

Falls Sie Fragen oder Anregungen zur Sicherheit unserer Serversysteme haben, können Sie sich gerne an unseren Support unter support@webhostone.de wenden.

Zurück