Erkennen von aktiven Man-In-The-Middle Angriffen auf SSL/TLS

Moderator: Aktive Fachschaft

Forumsregeln
Auch ohne Registrierung können Beiträge in diesem Unterforum geschrieben werden.
erik.tews
Computerversteher
Computerversteher
Beiträge: 326
Registriert: 5. Jan 2004 20:48

Erkennen von aktiven Man-In-The-Middle Angriffen auf SSL/TLS

Beitrag von erik.tews »

Erkennen von aktiven Man-In-The-Middle Angriffen auf SSL/TLS mit Hilfe von Fingerprints von SSL/TLS-Stacks und Netzwerkstacks.

Um Man-In-The-Middle Angriffe auf SSL/TLS zu erkennen, wurden in der Vergangenheit viele Vorschläge gemacht. Allerdings basieren die meisten Ideen darauf, dass das Server-Zertifikat noch genauer geprüft wird, und mit verschiedenen Gegenstellen abgeglichen wird.
1. Ziele der Arbeit
In der Arbeit soll ein anderes Vorgehen untersucht werden. Jede SSL und TLS Implementierung hat gewisse Eigenschaften, die sie von anderen Implementierungen unterscheidet, zum Beispiel die unterstützten Ciphersuites und Protokoll-Features. Ebenso hat jeder TCP und IP Stack Eigenschaften, die sich von anderen Betriebssystemen unterscheidet. In der Arbeit soll aus all diesen Eigenschaften ein Fingerprint generiert werden, der sich von dem anderer Server und potentieller Angreifer unterscheidet. Wird ein aktiver Man-In-The-Middle Angriff auf eine Verbindung ausgeführt, ändert sich mit hoher Wahrscheinlichkeit. Ziel der Arbeit ist dann ein Tool, dass diese Fingerprints automatisch durch passives mitlesen des Netzwerkverkehrs auswertet, und bei unerwarteten Änderungen Alarm schlägt.
2. Vorarbeiten
Es gibt bereits eine prototypische Implementierung des Angriffs. Im Rahmen der Arbeit soll diese Implementierung verbessert werden, und mehr Eigenschaften zu dem Fingerprint hinzugefügt werden. Die Programmiersprache ist Java.
3. Kontakt
Bei Interesse melden sie sich bei Erik Tews e_tews@seceng.informatik.tu-darmstadt.de

Zurück zu „Abschlussarbeiten“