{"id":1120,"date":"2014-04-08T10:19:24","date_gmt":"2014-04-08T08:19:24","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=1120"},"modified":"2026-02-16T11:15:21","modified_gmt":"2026-02-16T10:15:21","slug":"knowledgebase-perfect-forward-secrecy-pfs","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/knowledgebase-perfect-forward-secrecy-pfs\/","title":{"rendered":"Knowledgebase: Perfect Forward Secrecy (PFS)"},"content":{"rendered":"

Seit den Enth\u00fcllungen Edward Snowdens steigt die Anzahl derer, die ihre Nachrichten verschl\u00fcsseln. Positiv, wie wir finden, mit einem Aber: Bei herk\u00f6mmlichen Verbindungen \u00fcber SSL-Zertifikate<\/a>\/TLS\u00a0sind Man-in-the-middle-Angriffe<\/a> wahrscheinlich. Ihre Kommunikation kann also belauscht und manipuliert werden. So gab es schon F\u00e4lle, in denen verschl\u00fcsselte Verbindungen dadurch verhindert wurden, dass Angreifer aus „TLS“ „T1S“ gemacht haben \u2013 darauf folgt ein Fallback auf unverschl\u00fcsselte Verbindungen, es sei denn, der Client schlie\u00dft solche Verbindungen aus. Dann aber wird die Verbindung g\u00e4nzlich abgebrochen.<\/p>\n

Eine L\u00f6sung, um Man-in-the-middle-Attacken genauso auszuschlie\u00dfen wie das nachtr\u00e4gliche Entschl\u00fcsseln von Kommunikationen, nennt sich Perfect Forward Secrecy (PFS). Wir ver\u00f6ffentlichten k\u00fcrzlich bereits einen Artikel, wie Sie PFS konfigurieren<\/a>. Heute erhalten Sie wichtige Infos dazu \u00fcbersichtlich zusammengestellt:<\/p>\n

<\/p>\n

Perfect Forward Secrecy: Wo liegen die Unterschiede zu herk\u00f6mmlichen verschl\u00fcsselten Verbindungen?<\/h2>\n

Perfect Forward Secrecy bietet Ihnen zwei wesentliche Vorteile: Ein kompromittierter Schl\u00fcssel wirkt sich nicht auf andere Sitzungen auf dem Server aus. PFS nutzt einen Session Key, durch den das nachtr\u00e4gliche Entschl\u00fcsseln Ihrer Kommunikation nicht mehr m\u00f6glich ist. Schauen wir uns das genauer an:<\/p>\n

Bei einer herk\u00f6mmlich verschl\u00fcsselten Verbindung ohne PFS sendet der Client ein „Hello“ an den Server. Der Server weist sich durch das Zertifikat aus und der Client schl\u00e4gt einen Sitzungsschl\u00fcssel vor. Er versendet den Schl\u00fcssel verschl\u00fcsselt an den Server, dieser wiederum dechiffriert diesen Schl\u00fcssel mithilfe des geheimen Schl\u00fcssels und best\u00e4tigt ihn. Anschlie\u00dfend erfolgt der verschl\u00fcsselte Datenaustausch. Ohne den geheimen Schl\u00fcssel (Private Key) l\u00e4sst sich die Kommunikation nicht dekodieren. Wenn es aber jemanden gelingt, an den geheimen Schl\u00fcssel zu gelangen, kann nicht nur eine Kommunikation dechiffriert werden, sondern alle, die mit dem Server ausgetauscht wurden. Dieses Entschl\u00fcsseln von Nachrichten mithilfe des Private Keys ist nicht nur Geheimdiensten vorbehalten, sondern gelingt jedem, der ein bisschen Ahnung und den geheimen Schl\u00fcssel mitbringt.<\/p>\n

Unter Verwendung von PFS tauschen Client und Server wieder ein „Hello“ aus. Der Schl\u00fcsselaustausch funktioniert via Diffie Hellman<\/a>, also mithilfe elliptischer Kurven, und \u2013 das ist das Wesentliche: Der Schl\u00fcssel wird niemals, zu keinem Zeitpunkt \u00fcber die Leitung \u00fcbertragen. Client und Server einigen sich also auf einen Schl\u00fcssel, der nie durch die Leitung kommt. Es handelt sich um einen Sitzungsschl\u00fcssel (Session Key), der nach der Kommunikation vernichtet wird. Das bedeutet: Selbst wenn der geheime Schl\u00fcssel in die H\u00e4nde von Geheimdiensten kommt, kann weder die bestimmte Kommunikation noch eine andere, die mit dem Server stattfand, entschl\u00fcsselt werden.<\/p>\n

Wo liegen die Vor- und Nachteile von PFS?<\/h3>\n

Kryptographie-Experten haben die dahinterstehende Mathematik ausreichend begutachtet und f\u00fcr sicher befunden. Hinzu kommt der Vorteil von verh\u00e4ltnism\u00e4\u00dfig kurzen Schl\u00fcssell\u00e4ngen, sodass Performanceeinbu\u00dfen bei Verwendung von DHE nicht passieren. Um ein Sicherheitsniveau von 256 Bit zu erreichen, br\u00e4uchte RSA eine Schl\u00fcssell\u00e4nge von 15.360 Bit, w\u00e4hrend DHE mit 512 Bit zurechtkommt. Man erreicht also das doppelte Sicherheitsniveau dadurch, dass DHE die doppelte Schl\u00fcssell\u00e4nge verwendet.<\/p>\n

Nachteilig zu erw\u00e4hnen ist die Tatsache, dass elliptische Kurven auf eine hohe Zufallsrate setzen. Das kann bei Servern mit knappen Ressourcen zum Problem werden. Nicht zu verachten ist weiter die Tatsache, dass elliptische Kurven nach Standards von NIST\/ NSA angetrieben wurden. Kritiker weisen auf diverse undurchsichtige Parameter hin, bei denen nicht ganz klar ist, warum es sie gibt: Um das Verfahren zu st\u00e4rken oder das Abh\u00f6ren zu vereinfachen? Alternativen zu NIST-Kurven sind leider nicht standardisiert, sodass es abzuw\u00e4gen gilt. Kryptologen auf der ganzen Welt, also sowohl in Europa als auch in den USA und anderswo, sind sich allerdings dahingehend einig, dass das Prinzip gut und wirksam ist.<\/p>\n

Wie teste ich meinen Server?<\/h3>\n

Nutzen Sie SSLLabs zum Testen Ihres Servers<\/a>. Geben Sie Ihre Domain ein, um sich anzuschauen, wie Ihr Server abschneidet. Um Ihren Server zu testen, kommen Sie an OpenSSL<\/a> nicht vorbei. Nutzen Sie daf\u00fcr das Kommando s_client -host www.ihredomain.com -port 443. Sie erhalten als Ausgabe Cipher-Suiten, die Sie allerdings selbstst\u00e4ndig interpretieren m\u00fcssen. Als Beispiel: DHE-RSA-AES256-SHA bedeutet, dass der Schl\u00fcsselaustausch via DHE vonstattengeht, die Authentifizierung via RSA, die Verschl\u00fcsselung via AES mit 256 Bit, die Integrationspr\u00fcfung via SHA.<\/p>\n

Sie k\u00f6nnen mit OpenSSL auch bestimmte Sachen abfragen, beispielsweise k\u00f6nnen Sie nur eine bestimmte TLS-Version erlauben. Ihre Cipher-Suiten k\u00f6nnen Sie auf DH einschr\u00e4nken. Beachten Sie aber der Fallback bei \u00e4lteren Browsern, ansonsten kann keine verschl\u00fcsselte Verbindung aufgebaut werden.<\/p>\n

Ein Problem mit OpenSSL k\u00f6nnen Sie mit Ubuntu bekommen: Die Entwickler haben TLS 1.2 deaktiviert. Verwenden Sie als Alternative Debian oder RedHat.<\/p>\n

Ihre IPv6-Server testen Sie idealerweise mittels GnuTLS<\/a> \u2013 einer Gnu-Implementierung, die dasselbe kann wie OpenSSL.<\/p>\n

Beachten Sie bitte generell, dass Ihre Tests immer nur auf den v on Ihnen verwendeten Client ausgelegt sind. Testen Sie auch mit anderen Clients, die Sie \u00fcblicherweise nicht verwenden. Daneben ist es sinnvoll, Verbindungen auf dem Server zu protokollieren, damit Sie sich einen \u00dcberblick dar\u00fcber verschaffen k\u00f6nnen, welche Features eingesetzt wurden. Wenn beispielsweise selten bis gar nicht mit RC4 gearbeitet wird, k\u00f6nnen Sie auch darauf verzichten.<\/p>\n

Zu welchen Problemen kann es kommen?<\/h3>\n

OpenSSL in der Version 1.0.1. versteht zwar TLS 1.2, allerdings k\u00f6nnen einzelne Server auf Debian Stable problematisch werden. So ist Apache 2.2 etwa f\u00e4hig, TLS 1.2 zu verstehen, aber kein ECDH. Mit dem Internet Explorer funktioniert PFS nicht. Sie k\u00f6nnen aber zu Apache 2.4 wechseln und haben das IE-Problem ausger\u00e4umt. Exim 4.8 versteht ebenfalls TLS 1.2, aber auch kein ECDH. Dovecot 2.1 kann zwar DH, aber kein ECDH. Dieses Problem l\u00f6sen Sie, indem Sie auf die Version 2.2 umsteigen. Dieselben Probleme finden Sie auch in RedHat. BetterCrypto.org bietet Ihnen in diesem PDF<\/a> Konfigurationen, die Sie via Copy&Paste einfach anwenden k\u00f6nnen. Passen Sie diese gegebenenfalls an, denn RC4 ignoriert das Dokument aufgrund der fehlenden Sicherheit. Wenn Sie RC4 auch ignorieren, schlie\u00dfen Sie Windows XP aus. Daneben schlie\u00dft dieses Dokument SSL in der Version 3 aus („-sslv3“), was gleichbedeutend damit ist, dass Sie den IE6 ausschlie\u00dfen.<\/p>\n

PFS-Konfiguration auf Windows-Servern<\/h3>\n

Auf Windows-Servern ist Schannel f\u00fcr die Verschl\u00fcsselung zust\u00e4ndig. F\u00fcr die Einrichtung via Group Policies finden Sie auf msdn.microsoft.com<\/a> eine Anleitung, f\u00fcrs Einrichten via Registry Keys in Microsofts Support-Seiten<\/a>. Nun sind diese nicht unbedingt anwenderfreundlich formuliert. Einfacher machen Sie es sich mit dem Tool IIS Crypto<\/a>, das Sie kostenfrei herunterladen k\u00f6nnen. Erstellen Sie darin die Konfiguration und spielen Sie diese auf dem Server ein. Das Tool stammt von einer kanadischen Firma, die den Quelltext leider noch nicht offengelegt hat. Wenn Sie sich dabei sicherer f\u00fchlen, arbeiten Sie zun\u00e4chst auf einem Testserver und \u00fcbertragen Sie dann erst Ihre Konfiguration nach dem Testen auf Ihren Server.<\/p>\n

Wo finde ich weiterf\u00fchrende Informationen?<\/h2>\n

In unserem Blogbeitrag „Perfect Forward Secrecy konfigurieren<\/a>“ sind wir sehr ausf\u00fchrlich geworden. Auch BetterCrypto.org<\/a> bietet zahlreiche Informationen und das OpenSSL Cookbook<\/a> wird Ihnen ebenfalls eine gro\u00dfe Hilfe sein.<\/p>\n