Titelaufnahme

Titel
SSL/TLS : Angriffe auf deren Sicherheit & Verschlüsselung
Weitere Titel
SSL/TLS Attacks on their Savety & Encryption
VerfasserWeissleder, Roland
Betreuer / BetreuerinKoschuch, Manuel
Erschienen2015
Datum der AbgabeJanuar 2015
SpracheDeutsch
DokumenttypBachelorarbeit
Schlagwörter (DE)SSL / TLS / Protokoll / Internet / sicher / Heartbleed / POODLE / Bleichenbacher / Angriff / Sicherheit / Sicherheitslücke
Schlagwörter (EN)SSL / TLS / Protocoll / Internet / save / Heartbleed / POODLE / Bleichenbacher / Attack / Security / Security gap
Zugriffsbeschränkung
 _
Klassifikation
Zusammenfassung (Deutsch)

Der Secure Sockets Layer (SSL) bzw. Transport Layer Security (TLS) findet heutzutage Verwendung bei einer Vielzahl von Verbindungen im Internet, speziell bei jenen, von denen ein gewisses Level an Sicherheit vorausgesetzt wird. Solche Verbindungen können zum Beispiel Transaktionen oder Nachrichten sein, die diverse private und/oder vertrauliche Daten beinhalten. Diese Arbeit beschäftigt sich mit genau jenem Sicherheitsaspekt, indem zuerst ein Überblick vom Aufbau und der Funktionsweise der Protkolle gegeben wird und anschließend bisher bekannte Sicherheitslücken in Form von Angriffen behandelt werden. Da es sich um eine Vielzahl von Faktoren handelt, die Angriffe auf die SSL/TLS Protokollstruktur ermöglicht haben, wird zusätzlich versucht, die Angriffe zu kategorisieren und somit unterscheiden zu können, ob es sich um einen Angriff auf das Protokoll selbst, auf eine bestimmte Implementierung/Biliothek, auf bestimmte verwendete Verschlüsselungsverfahren, auf bestimmte Cipher Suites oder um einen per Cookie bzw. Kompression ermöglichten Angriff handelt. Drei der Angriffe werden des weiteren im Detail behandelt: dabei handelt es sich um den POODLE Angriff, den Heartbleed Bug sowie den Bleichenbacher Angriff. Abschließend werden Empfehlungen für das Schließen von eventuell vorhandenen Sicherheitslücken gegeben. Motivation der Arbeit ist es,dem Leser einen groben Überblick vermitteln zu können, welche Risiken bzw. Sicherheitslücken es bei der alltäglichen Verwendung des Protokolls gib und welche Schritte notwendig sind, um sich zumindest vor den bisher bekannten Lücken schützen zu können

Zusammenfassung (Englisch)

The "`Secure Sockets Layer"' (SSL) and "`Transport Layer Security"' (TLS) are commonly used nowadays in the internet, especially when using connections, from which a certain level of security is recommended. Such connections may be some kind of transactions or messages, containing a high amount of private and/or confidential data. This thesis occupies the security aspects, giving a short overview of the design and function of the protocols used and the vulnerabilities abused in some known attacks. Due to the high quantity of various vulnerabilities, the work will categorize them, giving a survey whether the attacks were enabled by a lack of security in the protocol itself, or if it is either because of a specific implementation/library, specific encryption methods, specific cipher suites or an attack enabled by cookies / compression.

Subsequently, three different attacks were chosen to be discussed in detail: the POODLE attack, the Heartbleed Bug and the Bleichenbacher Attack (Million Message Attack). Furthermore, this paper will try to give some recommendations when using SSL/TLS to avoid some or most of the known attacks and bugs.