Komoly biztonsági hiba érinti az eTLS protokollt

 

Hivatalosan is sérülékeny az Európai Távközlési Szabványosítási Intézet (ETSI) által fejlesztett Enterprise Transport Security (ETS, vagy eTLS) protokoll, amely a biztonságos Internetes kommunikációt lehetővé tévő TLS 1.3 alternatívájaként került volna bevezetésre. A Massachusettsi Műszaki Egyetem (MIT) február végén rendelt CVE számot (CVE 2019-9191) az ETSI szabványához, arra hivatkozva, hogy az eTLS nem rendelkezik a titkos kulcscserét lehetővé tévő Perfect Forward Secrecy biztonsági funkcióval. Ez komoly biztonsági hiányosságnak számít, ugyanis a támadók által elfogott titkosított adatforgalom későbbi dekódolásának megakadályozását szolgálja. Az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete (NIST) épp emiatt utasította el az ETSI javaslatát, amelyben ellenezte a TLS 1.3 bevezetését, ami helyett saját fejlesztésű szabványát igyekezett előtérbe helyezni.

(www.heise.de)