SSL. Oder: Einmal aufmachen, bitte.

CR172 Warum die Verschlüsselung nicht (mehr) funktioniert. ()

Alle braven Nutzer bekommen seit Ewigkeiten beigebracht: Wenn wir sicher surfen wollt, müsst ihr ein httpS vor die Webadresse eurer Onlinebank schreiben. Nur dann ist die Kommunikation wirklich, ehrlich und total sicher. Und das gilt auch für alle anderen Seiten, bei denen irgendwelchen Informationen übertragen werden. Oder halt eben nicht. Spätestens seit den Skandalen um Zertifikatsherausgeber wie Diginotar, dem Abhören von GMail-Traffic durch den Iran[2] und der weitreichenden BEAST-Attacke[3] ist klar: SSL und TLS sind kaputt. So kaputt, dass sich die Frage stellt, ob es ein Fehler im System oder eine behebbare Sicherheitslücke ist. Eine Problem um das es im Chaosradio gehen soll. Stephan "tomate" Urbach, fukami und Matthias "Wetterfrosch" Mehldau werden die Funktionsweise, Fallstricke und fundamentalen Fehler bei verschlüsselter Datenübertragung im Netz erklären, beleuchten und mit euch diskutieren. Links: * [1] http://www.vasco.com/company/press_room/news_archive/2011/news_diginotar_reports_security_incident.aspx * DigiNotar http://www.heise.de/firma/DigiNotar * [2] http://netzpolitik.org/2011/wie-der-iran-mit-hilfe-einer-niederlandischen-firma-gmail-abhorte/ * [3] https://blog.torproject.org/blog/tor-and-beast-ssl-attack

27 Gedanken zu „SSL. Oder: Einmal aufmachen, bitte.

  1. Pingback: chaosradio 172 | Die Hörsuppe

  2. Ich habe ein wenig Feedback für euch:
    könntet ihr bitte
    1. die Podcasts bitte direkt nach der Sendung auf der Chaosradio-Seite einstellen und nicht erst (teilweise) Tage später.
    2. Die Ankündigung für die nächste Sendung aktuell halten und den Eintrag zur Sendung dort vor und nicht nach der Sendung machen? – Danke

    • Hallo Heinz,

      entschuldige, dass das mitunter etwas länger dauert. Unsere Ansprüche sind auch andere, aber das Projekt Chaosradio lebt von freiwilligem, unbezahlten Engagement (ok, es gibt eine kleines Honorar, das dem CCCB zugute kommt).

      Daher freue ich mich, dass Radio Fritz mitlerweile das MP3 sehr unmittelbar auf ihrer Website als Podcast veröffentlicht. Der Mitschnitt seitens des Clubs is immer eine mit Chaos verbundene Angelegenheit.

      Also klicke doch hier und mach die Lauscher auf:
      http://download.fritz.de/bluemoon/bm_110929.mp3

  3. Pingback: CR 172 SSL. Oder: Einmal aufmachen bitte. » Von markus » netzpolitik.org

  4. hmm, ich fänd ja sone kleine schriftliche zusammenfassung der sendung nicht schlecht, da ich jetzt grad nicht zwei stunden nachhören kann um mir ein urteil über die situation bilden zu können.

    • Was soll denn ein „snakeoil Zertifikat“ sein, und warum soll es gefährlich sein? Dass es abgelaufen und selbstausgestellt ist, wird ja in der Sendung erwähnt. Die Leute mögen zwar genügend Ahnung haben, um SSL und sein Ökosystem als unzulänglich zu kritisieren, eigene Alternativen hat man aber leider auch nicht. Vorschläge aus irgendwelchen Papers, die es sicher zahlreich gibt, sauber und nutzbar zu implementieren und in eine verbreitete Software zu integrieren, statt nur auf die Existenz des einen oder anderen Papers hinzuweisen, ist ja offenbar zu mühsam, was ja angesichts der eigenen Schwächen irgendwelcher alternativer Modelle irgendwo auch verständlich sein mag. Doch mehr als Zustände feststellen, kann man so halt nicht. Wer es also bisher noch nicht wusste, hat nun von den Mängeln im SSL- und Zertifizierungssystem gehört. Erfreulich wäre jedoch, wenn sich Leute mal hinsetzten und eine brauchbare Alternative entwürfen und ordentlich implementierten (nicht: hackten). Schlecht dokumentierte und dahingehackte Open-Source-Software gibt es schon genug, was Hochwertiges wäre mal schön. Und in C oder C++ sollte man damit besser gar nicht erst anfangen.

  5. Oliver hat recht. Hm, was ist da los mit dem Zertifikat?

    Und ich stimme den anderen Kommentatoren zu: Chaosradio.de aktuell zu halten wäre schon was ganz ganz feines. Das muss doch machbar sein.

  6. Mal vielleicht eine blöde Frage, aber habt ihr schon mal überlegt das Verarbeiten der MP3-Datei zu automatisieren?
    So in der Art, ein VDR nimmt das auf, kodiert das in eine kleine Datei, und schickt den Link in eine (interne) Mailingliste. So bald jemand mit der Schnittliste antwortet nimmt er diese, schneidet die Sendung danach, kodiert das in MP3 und macht Torrent und Webseite.

  7. Wenn ich Eure Sendung hören will Erscheint in meinem „PeerBlock“ „Technischer Überwachungs-Verein Südwest e.V“, was hat das zu bedeuten? Wird natürlich geblockt! Ist das Euer Verein ?

  8. Ich hab eine ganz simple Frage: Ich möchte den aktuellen fingerprint von meiner Bank auf einem „Nebenkanal“ erfahren. Wie stelle ich sicher, dass der Typ am Telefon (oder der Brief) nicht einfach schnell in den Browser schaut und den Fingerprint vom Zertifikat abliest, so wie ich das selbst mache. Also kein Nebenkanal.
    Was gibts für Vorschläge, wie ich die Bank möglichst zwinge, das originale unterschriebene Zertifikat („offline“) zu überprüfen?

  9. es gab jetzt öfter den Punkt, dass bestimmte Dinge dem NormalUser nicht zu vermitteln sind. Wie wäre es denn, diese Dinge in die Schulen zu Bringen, dort bereits ein entsprechendes Bewustsein für IT-Sicherheit zu schaffen.

  10. @merch
    —Ich möchte den aktuellen fingerprint von meiner Bank auf einem “Nebenkanal” erfahren. Wie stelle ich sicher, dass der Typ am Telefon (oder der Brief) nicht einfach schnell in den Browser schaut und den Fingerprint vom Zertifikat abliest, so wie ich das selbst mache. Also kein Nebenkanal.—-

    Mach doch folgendes. Schreibe die Fingersprints des Zertifikates deiner Bank ab, oder kopiere von mir aus auch das ganze Zertifikat.

    Anschließend setzt du ein Schreiben auf, mit der bitte um Überprüfung und gibst dies bei deiner Bank ab. Gegenbefalls mit einem beiliegenden Rückporto-Umschlag.

    • soweit ists mir klar. trotzdem bin ich drauf angewiesen, dass der oder die Bankmitarbeiterin dann wirklich das originale Zertifikat vergleicht und mir nicht einfach so sagt, dass es ok ist, obwohl er sich nicht auskennt. oder hab ich da einen Denkfehler?

  11. @merch
    –oweit ists mir klar. trotzdem bin ich drauf angewiesen, dass der oder die Bankmitarbeiterin dann wirklich das originale Zertifikat vergleicht und mir nicht einfach so sagt, dass es ok ist, obwohl er sich nicht auskennt. —

    Hier gehe ich eben davon aus das entweder der Mitarbeiter der Bank das einfach ein die IT-Abteilung weiterleitet weil er bestimmt nicht so viel Ahnung hat das er wüßte wo er dieses Zertifikat finden soll. Daher ach das kopieren.

    Oder wenn er das weiß das er dieses Zertifikat auf der Arbeit (in der Bank) überprüft. Und hier (hoffe) ich einfach das die Bank nicht über einen „normalen Telekom DSL-Anschluss“ online geht. Und die (oder alle!) Computer bei der Bank vom IT-Unternehmen entsprechen abgesichter sind. Somit sollte bei Ihnen auch die Original Zertifikate hinterlegt sein und eben nicht ihre (HAUSEIGENEN) SSL-Zertifikate von einer „Dubiosen“ Zertifikat-Stelle.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert