mTLS-Definition #

Mutual Transport Layer Security (mTLS), oft auch als Two-Way TLS bezeichnet, ist eine erweiterte Erweiterung des weit verbreiteten Transport Layer Security (TLS)-Protokolls. Das Hauptziel von mTLS besteht darin, sicherzustellen, dass sich beide Parteien in einem Kommunikationskanal, der Client und der Server, durch den Austausch digitaler Zertifikate gegenseitig authentifizieren. Dieser gegenseitige Authentifizierungsprozess basiert auf den Grundprinzipien von TLS, einem Protokoll, das selbst aus dem früheren Secure Sockets Layer (SSL)-Protokoll hervorgegangen ist, das Mitte der 1990er Jahre von Netscape Communications entwickelt wurde.

Was ist ein privater und ein öffentlicher Schlüssel? #

In mTLS spielen private und öffentliche Schlüssel eine entscheidende Rolle beim Aufbau einer sicheren Kommunikation:

public Key #

Definition: Ein öffentlicher Schlüssel ist ein kryptografischer Schlüssel, der offen geteilt werden kann.
Verwendung in mTLS: Es ist Teil eines digitalen Zertifikats und wird von anderen verwendet, um Daten zu verschlüsseln oder Signaturen des entsprechenden privaten Schlüssels zu überprüfen.

Private Key #

Definition: Ein privater Schlüssel ist ein geheimer kryptografischer Schlüssel, der vom Besitzer vertraulich behandelt wird.
Verwendung in mTLS: Es wird verwendet, um mit dem öffentlichen Schlüssel verschlüsselte Daten zu entschlüsseln oder digitale Signaturen zu erstellen.

So arbeiten sie in mTLS zusammen #

• Verschlüsselung: Mit einem öffentlichen Schlüssel verschlüsselte Daten können nur mit dem entsprechenden privaten Schlüssel entschlüsselt werden. Dadurch wird sichergestellt, dass nur der vorgesehene Empfänger sie lesen kann.
• Authentifizierung: Eine mit einem privaten Schlüssel erstellte Signatur kann von jedem mit dem entsprechenden öffentlichen Schlüssel verifiziert werden, wodurch die Identität des Absenders bestätigt wird.

In mTLS:

• Client- und Server-Authentifizierung: Beide Parteien tauschen Zertifikate mit ihren öffentlichen Schlüsseln aus. Jede Partei verwendet diese, um die andere zu authentifizieren.
• Sicherer Schlüsselaustausch: Sie handeln auf sichere Weise einen gemeinsamen geheimen Schlüssel aus, der zur Verschlüsselung der weiteren Kommunikation verwendet wird, und nutzen dabei die Eigenschaften ihrer öffentlichen und privaten Schlüssel.

Dieser Mechanismus stellt sicher, dass sowohl Client als auch Server verifiziert werden und die Kommunikation sicher bleibt.

Was ist symmetrische und asymmetrische Verschlüsselung #

Bei mTLS wird zur Sicherung der Kommunikation sowohl symmetrische als auch asymmetrische Verschlüsselung verwendet:

Asymmetrische Verschlüsselung #

Definition: Verwendet ein Schlüsselpaar (öffentlich und privat). Der öffentliche Schlüssel verschlüsselt Daten und nur der entsprechende private Schlüssel kann sie entschlüsseln.
Verwendung in mTLS:

• Zertifikatsaustausch: Während des Handshakes werden öffentliche Schlüssel in Zertifikaten verwendet, um die Identität festzustellen und beide Parteien zu authentifizieren.
• Digitale Signaturen: Jede Partei signiert Nachrichten mit ihrem privaten Schlüssel und die andere Partei überprüft die Signatur mit dem öffentlichen Schlüssel.

Symmetrische Verschlüsselung #

Definition: Verwendet einen einzigen gemeinsamen geheimen Schlüssel sowohl für die Verschlüsselung als auch für die Entschlüsselung von Daten.
Verwendung in mTLS:

• Sichere Kommunikation: Nach dem Handshake wird ein symmetrischer Schlüssel generiert und zum Verschlüsseln aller nachfolgenden Datenaustausche verwendet, um Vertraulichkeit und Geschwindigkeit zu gewährleisten.

So arbeiten sie in mTLS zusammen #

• Schlüsselaustausch: Asymmetrische Verschlüsselung ermöglicht einen sicheren Schlüsselaustausch und die Überprüfung von Identitäten.
• Sitzungsverschlüsselung: Die symmetrische Verschlüsselung verschlüsselt die Daten während der Sitzung und ermöglicht eine schnelle und effiziente Kommunikation.

Diese Kombination nutzt die Stärken beider Verschlüsselungsarten, um eine sichere, authentifizierte und effiziente Kommunikation zu gewährleisten.

Entwicklung von TLS #

TLS wurde als Nachfolger von SSL eingeführt, um die Sicherheitsmängel und -beschränkungen des SSL-Protokolls zu beheben. TLS 1.0, die erste offizielle Version von TLS, wurde 1999 unter RFC 2246 standardisiert. Im Laufe der Jahre wurde TLS mehrfach überarbeitet, um Sicherheit und Leistung zu verbessern. Zum Zeitpunkt der Erstellung dieses Artikels ist TLS 1.3 die neueste Version.

Die Rolle der gegenseitigen Authentifizierung in TLS #

Das TLS-Protokoll beinhaltete von Anfang an die Möglichkeit zur gegenseitigen Authentifizierung, obwohl diese Funktion in vielen herkömmlichen Anwendungen nicht häufig genutzt wurde. In typischen TLS-Implementierungen wird dem Client gegenüber nur die Identität des Servers mithilfe eines X.509-Zertifikats authentifiziert, während die Identitätsüberprüfung des Clients häufig der Anwendungsschicht überlassen wird. Dies wird deutlich, wenn Sie in der Adressleiste Ihres Webbrowsers das Vorhängeschlosssymbol sehen, das auf eine sichere Verbindung hinweist, bei der die Identität des Servers überprüft wurde.

Bei der gegenseitigen Authentifizierung in TLS müssen jedoch beide Parteien ihre Zertifikate vorlegen. Diese Zwei-Wege-Verifizierung stellt sicher, dass sowohl der Client als auch der Server den Identitäten des jeweils anderen vertrauen können, wodurch ein sichererer Kommunikationskanal entsteht. Trotz ihrer robusten Sicherheitsvorteile wurde die gegenseitige Authentifizierung in Verbraucheranwendungen aufgrund der Komplexität und des Betriebsaufwands, die mit der Verwaltung clientseitiger Zertifikate verbunden sind, bisher nur begrenzt eingesetzt.

Wie funktioniert mTLS #

mTLS (mutual TLS) erhöht die Sicherheit, indem es erfordert, dass sich Client und Server gegenseitig authentifizieren. Hier ist eine detaillierte Aufschlüsselung der erforderlichen Schritte:

1. Client stellt Verbindung zum Server her:

• Der Kunde sendet eine „Hallo Kunde“-Nachricht an den Server.
• Diese Nachricht enthält unterstützte TLS-Versionen, Verschlüsselungssammlungen und eine zufällig generierte Nummer für die Sitzungssicherheit.

2. Server präsentiert TLS-Zertifikat:

• Der Server antwortet mit einem „Hallo Server" Botschaft.
• Es wählt die TLS-Version und die Verschlüsselungssammlung aus und stellt eine eigene Zufallszahl bereit.
• Der Server sendet sein digitales Zertifikat, das von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert ist.
• Das Zertifikat enthält den öffentlichen Schlüssel und die Identitätsinformationen des Servers.
• Der Server fordert das Zertifikat des Clients an und gibt an, dass eine Client-Authentifizierung erforderlich ist.

3. Der Client überprüft das Serverzertifikat anhand der Zertifizierungsstelle:

• Der Client überprüft das Serverzertifikat anhand seiner Liste vertrauenswürdiger Zertifizierungsstellen.
• Wenn die Überprüfung fehlschlägt, wird die Verbindung beendet.

4. Der Client legt ein TLS-Zertifikat vor:

• Der Client sendet sein Zertifikat, das auch seinen öffentlichen Schlüssel und seine Identität enthält.
• Dieses Zertifikat wird vom Server verwendet, um die Identität des Clients zu überprüfen.

5. Der Server überprüft das Client-Zertifikat gegenüber der Zertifizierungsstelle:

• Der Server überprüft das Client-Zertifikat anhand seiner Liste vertrauenswürdiger Zertifizierungsstellen.
• Wenn die Überprüfung fehlschlägt, wird die Verbindung beendet.

6. Schlüsselaustausch und sichere Kommunikation:

• Aus den ausgetauschten Zufallszahlen und der gewählten Chiffriersammlung generieren beide Parteien einen gemeinsamen geheimen Schlüssel. Dieses gemeinsame Geheimnis wird zur Verschlüsselung weiterer Kommunikationen verwendet.
• Beide Parteien senden „Fertig Objekte”-Nachrichten, verschlüsselt mit dem gemeinsamen geheimen Schlüssel. Dies bestätigt, dass der Handshake erfolgreich und sicher war.
• Nach dem Handshake wird die gesamte Kommunikation mit symmetrischer Verschlüsselung auf Basis des gemeinsamen geheimen Schlüssels verschlüsselt. Dadurch werden Vertraulichkeit und Integrität der ausgetauschten Daten gewährleistet.

Da sich Client und Server gegenseitig authentifizieren müssen, bietet mTLS ein höheres Maß an Sicherheit, was für sensible Umgebungen, in denen Vertrauen von größter Bedeutung ist, von entscheidender Bedeutung ist.

So implementieren Sie mTLS mit RELIANOID #

Zur Implementierung von mTLS mit RELIANOID, folge diesen Schritten:

1. Angeben von Serverzertifikaten: Laden Sie ein oder mehrere Serverzertifikate hoch, einschließlich Platzhalterzertifikaten (falls erforderlich), um die Serverkommunikation zu sichern.
2. Client-Zertifikatanforderung: Wählen Sie den Modus für die Handhabung von Client-Zertifikaten:

• Fordern Sie das Zertifikat an: Optional, schlägt nicht fehl, wenn der Client kein Zertifikat vorlegt.
• Fragen und scheitern: Erfordert ein Zertifikat. Die Verbindung schlägt fehl, wenn es nicht vorgelegt wird.
• Fragen, aber nicht bestätigen: Akzeptiert das Zertifikat ohne Überprüfung.

3. Verschlüsselungskonfiguration: Definieren Sie eine Liste zulässiger Chiffren, um sicherzustellen, dass sichere Verschlüsselungsprotokolle verwendet werden.
4. CA-Listendatei: Stellen Sie eine Datei mit vertrauenswürdigen Zertifizierungsstellen (CAs) bereit, die der Server zum Überprüfen von Client-Zertifikaten verwendet.
5. Liste überprüfen: Laden Sie eine Datei mit CA-Stammzertifikaten im PEM-Format hoch. Diese Liste wird verwendet, um Client-Zertifikate gegenüber vertrauenswürdigen CAs zu authentifizieren.
6. CRL-Liste: Fügen Sie eine Datei mit Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) im PEM-Format ein. Diese dient zur Überprüfung und Ablehnung widerrufener Zertifikate.

Durch das Festlegen dieser Konfigurationen stellen Sie eine sichere mTLS-Einrichtung sicher, die gegenseitige Authentifizierung und sichere Kommunikation ermöglicht.

mTLS in modernen Anwendungen #

Die Einführung von mTLS hat in den letzten Jahren stark zugenommen, insbesondere als Reaktion auf wachsende Cybersicherheitsbedrohungen und regulatorische Anforderungen. In den 2010er Jahren und darüber hinaus gab es in verschiedenen Branchen einen erheblichen Anstieg bei der Implementierung von mTLS, bedingt durch den Bedarf an verbesserten Sicherheitsmaßnahmen zum Schutz sensibler Daten während der Übertragung.

Anwendungsfälle und Vorteile von mTLS #

mTLS ist besonders in Business-to-Business-Umgebungen (B2B) verbreitet, in denen hohe Sicherheitsstandards oberstes Gebot sind. In solchen Szenarien interagiert häufig eine begrenzte Anzahl homogener Clients mit bestimmten Webdiensten. Der operative Aufwand für die Verwaltung von Zertifikaten in diesen kontrollierten Umgebungen wird durch die erheblichen Sicherheitsvorteile gemildert, die mTLS bietet. Einige wichtige Anwendungsfälle für mTLS sind:

Sichere API-Kommunikation #

mTLS wird häufig verwendet, um die Kommunikation zwischen verschiedenen Mikrodiensten in einem verteilten System zu sichern und sicherzustellen, dass nur authentifizierte Dienste miteinander interagieren können.

Finanzdienstleistungen #

Im Finanzsektor trägt mTLS zum Schutz vertraulicher Transaktionen bei, indem es sicherstellt, dass sowohl der Client (z. B. eine Bankanwendung) als auch der Server (z. B. das Backend-System eines Finanzinstituts) einander vertrauen können.

Datenschutz im Gesundheitswesen #

mTLS wird eingesetzt, um die Übertragung sensibler Gesundheitsdaten zwischen medizinischen Geräten, Gesundheitsdienstleistern und Cloud-Diensten zu schützen und die Einhaltung von Vorschriften wie HIPAA sicherzustellen.

Fazit #

Mutual Transport Layer Security (mTLS) baut auf den grundlegenden Elementen von TLS auf und erweitert dessen Funktionen um die gegenseitige Authentifizierung. Obwohl das Konzept seit den frühen Versionen Teil von TLS ist, hat es sich in den letzten Jahren aufgrund des zunehmenden Bedarfs an robusten Sicherheitsmaßnahmen in modernen Anwendungen immer weiter verbreitet. Indem sichergestellt wird, dass sich beide Parteien in einem Kommunikationskanal gegenseitig authentifizieren können, bietet mTLS ein höheres Maß an Vertrauen und Sicherheit und ist damit ein unverzichtbares Werkzeug zum Schutz vertraulicher Daten in der heutigen vernetzten digitalen Landschaft.

Implementierung von mTLS mit RELIANOID ist dank seiner benutzerfreundlichen Konfigurationsoptionen unkompliziert. Durch die Angabe von Serverzertifikaten, die Verwaltung der Client-Zertifikatanforderungen und die Auswahl akzeptabler Chiffren können Sie für robuste Sicherheit sorgen. Darüber hinaus verbessert die Verwendung von CA-Listen, Prüflisten und CRL-Dateien das Vertrauen und die Zertifikatsvalidierung. Dieses umfassende Setup erleichtert eine sichere gegenseitige Authentifizierung und Datenintegrität und macht den mTLS-Implementierungsprozess effizient und effektiv.