TLSTestTool TaSK vom BSI für den Kryptografiecheck Part 2

Valentin Schmidt

Allgemeines

defender icon

Das TLSTestTool TaSK des BSI ist ein wertvolles Werkzeug, um die eigenen kryptographischen Verfahren zu überprüfen und damit ein Kryptographiekonzept zu erstellen. Insbesondere für Unternehmen, die unter die NIS2 fallen, wird dies zur Pflicht.

Gemeinsam mit unserem Partner, einem Netzwerkingenieur der Bundeswehr, zeigen wir Ihnen, wie Sie das Tool unter Linux (+Docker), FreeBSD (+Jail) und Windows installieren. Hierzu beuschen Sie bitte Part 1 unter: https://byte-sized.de/linux-unix/task-framework-bsi-installieren-part-1/.

Das TLSTestTool TaSK prüft Protokolle wie HTTPS, SMTP usw. auf ihre kryptographischen Eigenschaften und vergleicht diese mit dem Anforderungen der TR-03116 vom BSI. Sehr viele dieser Protokolle verwenden TLS, das mit den unterschiedlichsten kryptographischen Algorithmen ausgestattet sein kann. Das Tool vergleicht den aktuellen Stand der kryptographischen Algorithmen mit den Empfehlungen des BSI. Genauer gesagt handelt es sich dabei um den technische Richtline TR-03116, der die Anforderungen an die Kryptografie für behördliche Anforderungen auf Bundesebene festlegt und somit als De-facto-Standard anzusehen ist. Damit erhält man eine direkte Bewertung der kryptographischen Mittel, die sich am Stand der Technik orientiert.

Konfiguration

Die Installation und Konfiguration des TaSK-Tools ist nichts für Anfänger. Wer hier eine grafische Oberfläche erwartet, wird enttäuscht sein. Grundsätzlich muss man verstehen, dass das Framework aus den zwei Komponenten task sowie tlstool besteht. Der Bereich /task/ enthält alles zu der Richtlinie TR-03116 wie entsprechende Konfigurationsdateien etc. und ist auch für die folgende Demonstration die Arbeitsdirectroy.

Der Bereich /TLStestTool/ enthält das eigentliche Testtool sowie deren benötigten Komponenten. Dieses kann auch Standalone verwendet werden, verliert aber dadurch den Bezug zur TR-03116.

Wir haben die Installation auf folgendem Gerät realisiert:

  • Kali Linux 2023.3
  • VMware Workstation 17 Player
  • VM Ubuntu-Server 22.04 LTS

Das zentrale Kommando zur Ausführung des TaSK-Tools ist ein Java-Archiv und befindet sich in folgendem Ordner:

TasK/task/com.achelos.task.commandlineinterface/target/com.achelos.task.commandlineinterface-1.0.1-jar-with-dependencies.jar

Diese Java-Archivdatei benötigt die folgenden Parameter:

--config-file GlobalConfig.xml: Hier müssen globale Konfigurationsparameter eingetragen werden. Eine Vorlage der Datei ist unter task/data/configuration/ExampleGlobalConfig.xml zu finden:

  1. tls_test_tool_path: /home/toor/tools/TasK/tlstesttool/build/src/TlsTestTool
  2. loglevel: medium
  3. specification_directroy: home/toor/tools/TasK/task/data/specification/
  4. report_directroy: /tmp
Task GlobalConfig
GlobalConfig Datei

--mics-file ServerMICS.xml: Die MICS-Dateien sind die Konfigurationsdateien für das Testobjekt. Je nach Typ stehen unter data/input/ verschiedene MICS zur Verfügung. Wir verwenden die Server MICS und tragen folgendes ein:

  1. URL: testrouter.test.intern
  2. Port: 443
Task MICS-Datei
Konfiguration MICS-Datei

Ausführung

Wir kopieren beide Dateien (GlobalConfig & ServerMICS) in unser Arbeitsverzeichnis und führen folgenden Befehl aus:

java -jar com.achelos.task.commandlineinterface-1.0.1-jar-with-dependencies.jar --config-file GlobalConfig.xml --mics-file ServerMICS.xml --generate-pdf-report

TLSTESTTOOL Task Scan
Erfolgreich umgesetzer TLS-Scan

Durch das --generate-pdf-report wird nun im Verzeichnis /tmp auch ein .pdf Report des Scanergebnisses erzeugt. Dieser sieht wie folgt aus:

Report-TaSK-RTR-Webinterface

Das Ergebnis zeigt deutlich, dass das HTTPS-Webinterface des Routers nicht mehr dem Stand der Technik entspricht. Ein nächster Schritt wäre die Aktualisierung der Cipher Suite auf einen aktuellen Stand bzw. Ausmusterung des Gerätes. Die notwendigen Anforderungen lassen sich direkt aus dem PDF-Bericht ableiten.

Ergebnis

Das TaSK-Tool des BSI ist ein wertvolles Werkzeug, um die eigenen kryptographischen Verfahren zu überprüfen und damit ein Kryptographiekonzept zu erstellen. Insbesondere für Unternehmen, die unter die NIS2 fallen, wird dies zur Pflicht.
Insgesamt bietet das TaSK Tool eine integrierte Lösung zur Sicherstellung der Compliance mit dem TR-03116 Standard, wodurch Organisationen ihre Sicherheitsmaßnahmen optimieren und schnellere Fortschritte in Richtung einer robusten IT-Sicherheitsstruktur erzielen können.

Quick Wins mit dem TaSK Tool:

  • Effizienzsteigerung: Durch die Automatisierung von Compliance-Checks und Risikobewertungen werden Ressourcen freigesetzt, um sich auf strategischere Sicherheitsmaßnahmen zu konzentrieren.
  • Schnellere Reaktionszeiten: Das Tool ermöglicht eine schnelle Erkennung von kryptografischen Mängeln in TLS-Fähigen Netzwerkprotkollen.
  • Transparente Dokumentation: Die einfache Verwaltung von Sicherheitsdokumentationen erleichtert Audits und verbessert die Transparenz gegenüber Regulierungsbehörden.
  • Anpassungsfähigkeit: Das TaSK Tool ermöglicht die Anpassung an spezifische Anforderungen und Änderungen im TR-03116 Standard, um stets auf dem neuesten Stand zu bleiben.