Abwechslung tut gut und deswegen dreht sich diese Ausgabe des Wochenrückblicks schwerpunktmäßig wieder um Open Source Software. Für alle, die sich schon in den letzten Wochen gewundert haben: der Wochenrückblick hat zwischenzeitlich die Themenfelder erweitert und passt als solches nicht immer in den Ubuntuusers.de Planeten oder das OSBN. Wenn es sich allerdings (thematisch) anbietet, versuche ich auch in Zukunft einige Ausgaben extra für die OSS-Blognetze zu schreiben.
TLS 1.3 fast fertig
TLS 1.3, die neue Version des weit verbreiteten Standards für Transportverschlüsselung, kann in absehbarer Zeit als Standard durch die IETF veröffentlicht werden. (Heise, Golem) Bis zuletzt gab es zwischen diversen Interessensgruppen, die am Standard mitarbeiten, Diskussionen, ob und wie z.B. die Verbindungen entschlüsselt werden können.
Mit TLS 1.3 soll für weniger Metadaten und bessere Kryptoalgorithmen gesorgt werden. Hier kann ich den c't-Artikel empfehlen, der die Thematik genauer beleuchtet.
DNS über HTTPS?
Um mehr Diskretion im Datenverkehr zu schaffen, bietet sich natürlich die o.g. Transportverschlüsselung an. Man darf aber keinesfalls andere Angriffsvektoren vernachlässigen. Im Datenverkehr eines "üblichen" Endnutzers findet sich nämlich nicht nur aktuell absicherbare Protokolle wie HTTPS oder SSH, sondern auch DNS vor. Und hier klafft bisher ein Problem, da diese Anfragen (mithilfe von DNS-Anfrage können die jeweiligen IP-Adressen zu Domains ermittelt werden) unverschlüsselt übertragen werden. Der Sicherheitsgewinn, der bei der Vermeidung von Metadaten bei TLS 1.3 bald gewonnen wird, wird möglicherweise an solchen Stellen wettgemacht, da die Liste angefragter Domains auch Aufschluss über das Nutzungsverhalten gibt.
Generell lässt sich das Problem durch den Einsatz von VPNs verlagern, es bleibt im Endeffekt aber immer noch keine ganzheitliche Lösung, da ab dem VPN-Endpunkt i.d.R. alles unverschlüsselt weiter läuft. Gibt es eine salonfähige Lösung für das Problem?
Jein. Die IETF hat da etwas in der Schublade, das sich DNS over HTTPS (DoH, unveröffentlicht!) nennt. Warte, DNS-Anfragen über HTTPS schieben? ">D'oh! Naja, aber es ist wenigstens ein Weg, um die Verbreitung von verschlüsselten DNS-Anfragen auf dem "ersten Übertragungsabschnitt" zwischen dem Endgerät und seinem Zugangspunkt abzusichern - sprich: DNS kann in offenen WLANs/Hotspots abgesichert werden. Aber der HTTPS-Endpunkt erfährt natürlich (in der bisherigen Umsetzung, wie ich es gesehen habe) von allen Anfragen des Nutzers.
Mozilla hat nun vor einigen Tagen angekündigt, eine solche DoH-Implementierung für eine Studie im Firefox Nightly mit einigen Nutzern für eine begrenzte Zeit zu testen. Als Partner für den HTTPS-Serverendpunkt wird Cloudflare angegeben.
Kritisiert wird unter anderen, dass der Nutzer vorher über die Studie nicht informiert wird, denn immerhin lässt sich über den DNS-Verlauf einiges über den Nutzer aussagen.
So my understanding of the study is that for those in the study branch (50% of Nightly users) we'll be sending every hostname they visit to Cloudflare. That sounds problematic to me.
– Dave Townsend
Der Thread zu der Studie ist in der Google Groups-Diskussion zu finden.
Artikeltipps
Hier noch einige Artikeltipps über OSS aus dem Planeten, die ich empfehlenswert finde in dieser Woche:
- Mozillas Passwortmanager in Firefox und Thunderbird gelten als unsicher
- Netzware hat etwas zum Thema Web-App-Manifests geschrieben. Spannendes Thema, damit habe ich mich bereits vor einiger Zeit schon beschäftigen dürfen.
- techgrube.de beschäftigt sich mit verschiedenen Anbietern für Cloud-Backups unter Linux