Nachricht über TCP/IP

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen


  • Randbemerkung: Wenn Du eine CA findest, die immernoch ausschliesslich MD5 verwendet, kannst Du mir auch bescheid sagen ;)
    Ich sehe gefälschte Zertifikate gar nicht als das Hauptproblem der SSL-PKI. Das Problem sind eher die CAs selber. Daher sind EV-Zertifikate auch nichts weiter als snake oil und eine Gelddruckmaschine. Ich habe Einblick in verschiedene CA-Infrastrukturen gehabt, und was ich da gesehen habe, ist nicht dazu geneigt, mein Vertrauen in die SSL-PKI zu erhöhen. Auch sollte man sich mal kritisch die als vertrauenswürdig eingestuften CAs in Browser und Betriebssystem anschauen. Dass Regierungen als CA eingetragen sind, mag beim paranoiden Betrachter durchaus Hintergedanken an Online-Durchsuchung und Bundestrojaner hervorrufen.

    SSL als Technik ist fein. Gut anwendbar, Identifikation, Authentisierung und Verschlüsselung in einem (erklär mal einem unbedarften Programmierer, warum AES alleine keine gute Wahl für die Kommunikation zwischen Client und Server ist). Die SSL-PKI hingegen sehe ich durchaus kritisch. Das ist in der Hauptsache ein Goldesel für die CAs.

  • klausel schrieb:


    Randbemerkung: Wenn Du eine CA findest, die immernoch ausschliesslich MD5 verwendet, kannst Du mir auch bescheid sagen ;)
    Ich sehe gefälschte Zertifikate gar nicht als das Hauptproblem der SSL-PKI. Das Problem sind eher die CAs selber. Daher sind EV-Zertifikate auch nichts weiter als snake oil und eine Gelddruckmaschine. Ich habe Einblick in verschiedene CA-Infrastrukturen gehabt, und was ich da gesehen habe, ist nicht dazu geneigt, mein Vertrauen in die SSL-PKI zu erhöhen. Auch sollte man sich mal kritisch die als vertrauenswürdig eingestuften CAs in Browser und Betriebssystem anschauen. Dass Regierungen als CA eingetragen sind, mag beim paranoiden Betrachter durchaus Hintergedanken an Online-Durchsuchung und Bundestrojaner hervorrufen.

    SSL als Technik ist fein. Gut anwendbar, Identifikation, Authentisierung und Verschlüsselung in einem (erklär mal einem unbedarften Programmierer, warum AES alleine keine gute Wahl für die Kommunikation zwischen Client und Server ist). Die SSL-PKI hingegen sehe ich durchaus kritisch. Das ist in der Hauptsache ein Goldesel für die CAs.

    Ich gebe Dir grösstenteils Recht und sehe das genauso. Mit dem Goldesel bin ich etwas vorsichtig, ich denke, so eine Prüfung kann tatsächlich einiges kosten, zudem sind auch noch Versicherungen bei den teuren Zertifikaten enthalten. Naja. Zum Thema "Regierungen" und Schindluder: Es wird sicher nie geklärt werden, wie Stuxnet an zwei korrekte Zertifikate herangekommen ist ;)
    C++

  • Stuxnet a.k.a. 'Einfach weil es geht'. +kicher+
    Aus Hackersicht eine großartige Leistung. Leider wird das nicht gebührend gewürdigt.
    Und entgegen der Faustregel 'nicht alles, was geht, sollte man auch tun' wurde das auch noch zum Schaden Anderer in Umlauf gebracht...

    Nichts desto trotz eine großartige Leistung.
    «Applejack» "Don't you use your fancy mathematics to muddle the issue!"

    Iä-86! Iä-64! Awavauatsh fthagn!

    kmr schrieb:

    Ach, Du bist auch so ein leichtgläubiger Zeitgenosse, der alles glaubt, was irgendwelche Typen vor sich hin brabbeln. :-P

  • Lucas de Vil schrieb:

    Stuxnet a.k.a. 'Einfach weil es geht'. +kicher+
    Aus Hackersicht eine großartige Leistung. Leider wird das nicht gebührend gewürdigt.
    Und entgegen der Faustregel 'nicht alles, was geht, sollte man auch tun' wurde das auch noch zum Schaden Anderer in Umlauf gebracht...

    Nichts desto trotz eine großartige Leistung.

    Ein 63 seitiges Dossier über die genaue Funktionsweise finde ich dann doch schon eine bemerkenswerte Würdigung:
    symantec.com/content/en/us/ent…s/w32_stuxnet_dossier.pdf
    Daraus:
    Stuxnet is of such great complexity—requiring significant resources to develop—that few attackers will be capable of producing a similar threat [...] Stuxnet has highlighted direct-attack attempts on critical infrastructure are possible and not just theory or movie plotlines [...] The real-world implications of Stuxnet are beyond any threat we have seen in the past. [...] Stuxnet is the type of threat we hope to never see again.
    C++

  • Lucas de Vil schrieb:

    Stuxnet a.k.a. 'Einfach weil es geht'. +kicher+
    Aus Hackersicht eine großartige Leistung. Leider wird das nicht gebührend gewürdigt.
    Und entgegen der Faustregel 'nicht alles, was geht, sollte man auch tun' wurde das auch noch zum Schaden Anderer in Umlauf gebracht...

    Nichts desto trotz eine großartige Leistung.
    Das einzig wirklich erstaunliche an Stuxnet ist, dass so etwas erst jetzt passiert. Man möchte als Otto Normalmensch gar nicht wissen, was in großen (kritischen) Infrastrukturen in Bezug IT-Sicherheit alles abläuft. Je mehr man der Meinung ist, DAS MUSS EINFACH SICHER SEIN, desto härter der Aufprall des Kinns auf der Tischkante (Rutschfaktor Ssssst und Aufprallfaktor Bumms). Leider habe ich vor Jahren die rote Pille genommen.

    Und da ist es - um zum Anfang des Threads zu kommen - umso nervtötender, wenn in 2010 noch mit Telnet hantiert wird. Wenn ich jemandem iPhone-Programmierung beibringen möchte, lasse ich ihn auch nicht erst Konsolenprogramme schreiben, weil ... DAS IST JA VIEL EINFACHER ZUM TESTEN!!!11

  • zerm schrieb:

    Ich gebe Dir grösstenteils Recht und sehe das genauso. Mit dem Goldesel bin ich etwas vorsichtig, ich denke, so eine Prüfung kann tatsächlich einiges kosten, zudem sind auch noch Versicherungen bei den teuren Zertifikaten enthalten. Naja. Zum Thema "Regierungen" und Schindluder: Es wird sicher nie geklärt werden, wie Stuxnet an zwei korrekte Zertifikate herangekommen ist ;)
    Da habe ich doch gerade noch was schönes bei netzpolitik.org gefunden. China hat am 8. April für 18 Minuten 15% des gesamten weltweiten Internet-Traffics transparent nach China umgeroutet und auf diese Weise man-in-the-middle gespielt. Diese Aktion, verbunden mit der Tatsache, dass das CNNIC als trusted CA in allen Browsern eingetragen ist, ist extrem gruselig. Und zeigt schön die konzeptionelle Schwachstelle von SSL.

  • Lucas de Vil schrieb:

    klausel schrieb:

    Und zeigt schön die konzeptionelle Schwachstelle von SSL.

    Ist ein 'Web of Trust' da besser?

    Wenn man es richtig macht, ja, zumindest in diesem Punkt. Richtig bedeutet, dass man Identität der Kommunikationsteilnehmer überprüft. Da reicht schon ein Telefonat, in dem man den Fingerprint des Public Key vergleicht. Die konzeptionelle Schwäche von SSL (und jeder PKI) ist die Vertrauenswürdigkeit der CA. Wenn diese kompromittiert oder per se nicht vertrauenswürdig, ist die gesamte PKI nicht vertrauenswürdig, da das Schlüsselmaterial von den CAs ausgegeben wird. Beim Web of trust erstellt sich jeder Teilnehmer sein Schlüsselmaterial selber, womit die Kompromittierung durch eine zentrale Stelle konzeptionell ausgeschlossen ist.

    Wir brauchen jetzt aber nicht darüber zu diskutieren, ob ein Web of trust in der Praxis besser anwendbar ist. Das Beispiel mit China zeigt lediglich, dass man sich auf SSL nicht verlassen sollte, wenn man andere Angriffsvektoren als MitM durch böse Buben im selben Hotspot ausschließen möchte. Daher ist für sensible Daten die Verschlüsselung auf Anwendungsebene unerlässlich.