TLS-Ciphersuites legen fest, welche kryptografischen Algorithmen für Schlüsselaustausch, Verschlüsselung und Integrität verwendet werden. Der Artikel erklärt den Aufbau von Ciphersuites, deren Sicherheitslevel und warum die richtige Auswahl für eine sichere TLS-Kommunikation entscheidend ist.
Sichere Internetkommunikation basiert heute nahezu immer auf TLS (Transport Layer Security). Welche kryptografischen Algorithmen dabei eingesetzt werden, legt die sogenannte Ciphersuite fest. In diesem Artikel zeigen wir, wie Ciphersuites aufgebaut sind, welche Sicherheitslevel es gibt und was das für die Praxis bedeutet.
Eine Ciphersuite ist eine Kombination aus Algorithmen für den Schlüsselaustausch, die Authentifizierung, die Verschlüsselung und die Integritätssicherung.
Ein Beispiel ist
ECDHE-RSA-AES256-GCM-SHA384.
Hierbei steht:
Ja nach TLS-Version unterscheiden sich die Ciphersuites leicht in ihrer Benennung. Die Wahl der Ciphersuite legt dabei auch das Sicherheitslevel der verwendeten Verfahren fest und bestimmt somit die Sicherheit der übertragenen Daten.
TLS 1.3 unterstützt aus heutiger Sicht ausschliesslich sichere Algorithmen und angemessene Sicherheitslevel. In früheren TLS-Versionen existierten hingegen Ciphersuites, die heute als unsicher gelten und daher nicht genutzt werden sollen. So bietet beispielsweise die Ciphersuite TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5 keinerlei angemessene Sicherheit, obwohl TLS verwendet wird.
Eine Übersicht sicherer Ciphersuites findet sich unter https://ciphersuite.info/
Allein der Einsatz von TLS garantiert noch keine sichere Kommunikation. Erst die Auswahl geeigneter Ciphersuites stellt sicher, dass Schlüsselaustausch, Verschlüsselung und Integrität dem gewünschten Sicherheitsniveau entsprechen. Fehlkonfigurationen oder die Unterstützung veralteter Ciphersuites können dazu führen, dass Daten trotz TLS praktisch angreifbar sind.
Ein grundlegendes Verständnis von Ciphersuites ist daher wichtig, um TLS-Konfigurationen korrekt zu bewerten, Sicherheitsanforderungen einzuhalten und unnötige Risiken zu vermeiden.
OpenSSL kategorisiert Ciphersuites in verschiedene Sicherheitsstufen. Die Skala reicht von SECLEVEL=1 mit rund 80 Bit Sicherheit bis zu SECLEVEL=5 mit 256 Bit Sicherheit. Für die meisten Anwendungen gilt SECLEVEL=3 mit 128 Bit Sicherheit als empfohlener Standard.
## Praxisbeispiele
In TLS 1.3 sind gängige Ciphersuites beispielsweise:
Auch in TLS 1.2 existieren sichere Kombinationen wie ECDHE-RSA-AES256-GCM-SHA384.
Fazit: Die Wahl der richtigen Ciphersuite ist entscheidend für die Sicherheit der Kommunikation. Mit dem Aufkommen der Post-Quanten-Kryptografie wird es künftig notwendig sein, TLS-Ciphersuites zu verwenden, die auch post-quanten-sichere Algorithmen integrieren.
FortIT steht für Secure Digital Business und unterstützt Unternehmen mit innovativen Digitalisierungsprojekten und strategischen Initiativen. Mit fundiertem Wissen über moderne Technologien sorgt FortIT für rasch sichtbare Ergebnisse und langfristigen Erfolg.
