razzor1984
BIOS-Overclocker(in)
SSL-Zertifikate Fluch oder Segen ? (CHROME & FIREFOX erhöhen die Anforderungen)
Vor Kurzem habe ich eine News mit dem Thema „Wie sich Geheimdienste selbst Zertifikate ausstellen könnten !“ erstellt. Ein paar Rückmeldungen von Usern habe die News als zu technisch aufwendig abgetan, manche waren auch der Meinung, dass es ausführlicher behandelt werde muss.
Hier die genaue Erklärung der SSL Zertifikate:
Was kann man sich unter einem SSL Zertifikat eigentlich vorstellen ?
Jeder von euch hat sicher einen Ausweis irgendeiner Art, ob das jetzt ein Pass oder der Führerschein bzw Personalausweis ist, ist einmal zweitrangig. Ein SSL Zertifikat ist für die Domain X (aber an diese gebunden) eine Art Ausweis.
Wie auch im realen leben kann nicht jeder Ausweise erstellen, dies dürfen nur zertifizierte Firmen.
Viele Zertifikate bauen auf den X.509 Standard auf, dieser schreibt eine Public-Key-Algorithmus zur Signierung vor.
Nun aber zu dem großen Problem!
Der ganze Zertifikatsmarkt ist komplett intransparent, es gibt auch genug Zertifaktsstellen die in totalitären Regimen wie China, Russland ansässig sind.
Der jetzige NSA-Skandal wirft auch die Frage auf, wie sicher sind Zertifikatsstellen in den Vereinigten Staaten ?
Inwieweit darf die Behörde X Zugriff auf die Zertifikatsstellen erlangen, oder sogar diese Nutzen ?
Nach neuestem Stand darf die US Regierung durch recht große Befugnise im bezug auf die Terrorbekämrpfung quasi alles von Firmen verlangen wenn diese in den USA ansässig sind (Patriot ACT) Ein BSP dazu: Snwoden nutze LAVABIT als Email Hoster, da die NSA die Verschlüsselung nicht knacken konnte, wurde der Inhaber per Gerichtsbeschluss aufgefordert den Private Key des SSL zertifkats den Behörden zu übergeben. Schlussendlich schloss er den Dienst weil keine Sicherheit mehr gegeben ist. Warum ist es ein Intransparenter SSL Zertifikatsmarkt ein „Major BUG“?
Ist ein Zertifikat dirty kann es eine Zeit dauern, bis es auch wirklich als dieses klassifiziert wird.
Wenn man ein Zertifikat annimmt und es wurde von einer Firma X signiert, muss man einfach dieser Firma vertrauen. Man muss zwar private Daten angeben, jedoch ist dies leicht umgehbar.
Alleine Geheimdienste haben ein sehr üppiges Budget, besitzen Sie vielleicht schon Zertifikatsstellen ?
Zertifikatsstellen in Totalitären Regimen sind generell als unsicher einzustufen. Man kann nie wissen ob diese Zertifikatsstelle schon unterwandert wurden.
Wie wichtig ist der Browser ?
Der Browser spielt mittlerweile eine entscheidende Rolle. Chrome und Firefox überprüfen unabhängig die Zertifikate auf Gültigkeit. Bald werden auch Zertifikat die eine Gültigkeit von mehreren Jahren haben, automatisch nicht mehr akzeptiert.
Kann man ein Zertifikat einfach so kopieren ?
Es kommt wie immer drauf an nach welchem Standart ,das Zertifikat erstellt wurde. Nutzt es den X.509er Standart dann wird
der Public-Key-Algorithmus verwendet. Damit ein dritter eine 1:1 kopier anfertigen kann, muss er in dem Besitzt des Private-Keys gelangen.
Würde Googel der NSA ihren Private-Key überlassen, dann könnte die NSA perfekte 1:1 kopien erzeugen und man würde jegliche SSL verbindung somit ad absurdum führen!
(In diesem Fall sind nur die SSL schlüssel von Googel gemeint)
Welche sinnvollen Erweiterungen gibt es ?
HTTPS-Everywhere: Es fordert den Webserver auf, wenn möglich nur eine Hsts Verbindung aufzubauen. Damit wird die ganze Verbindung von Beginn an, über Https abgehalten.
HSTS erzwingt eine permanete SSL/HTTPS verbindung zwischen Server und Client, somit wird nichts unverschlüsselt übertagen.Ist keine HSTS mögliche weil der Serverbetreiber bei der SSL -Implementierung geschlampt hat, dann zeigt Firefox dies durch ein Schild in der Adressenleiste an.Die information seitens Firefox lautet: "Unsichere inhalten wurden blockiert"
Damit ist gemeint, dass die unverschlüsselten inhalte wärend der SSL verbindung blockiert werden.
Certificate Patrol: Es zeigt einem an, welches Zertifikat gerade verwendet wird.
Hat man einmal ein Zertifikat akzeptiert und eine sicher Verbindung wurde aufgebaut, dann wird diese als sicher betrachtet. Eine Man in the middle Attacke wäre aber mit einem gültigen SSL-Zertifikat durchaus möglich.
Das umrouten auf einen Zweitserver würde man nie im Browser merken.
Hier kommt Certificate Patrol ins Spiel, es warnt ausdrücklich wenn mitten unter einer SSL-Verbindung(postiver Zertifkatsaustausch muss erfolgreich sein) auf einmal ein Zertifikatswechsel stattfindet!
Disconnect: Schadet auch nicht da es recht viele Tracker blockiert (eingebette in der webseite). <u>
Die MIM (Man in the middle Attack) Auf SSL:
Pauschal ist eine MIM nicht auf alle Verbindungen anzuwenden, Sie ist einfach aufwendiger.
Machbar auf jedenfall aber nicht in extrem großen Stil. Die Gefahr, dass User den Zertifikatsschwindel merken ist einfach zu groß.
BSP:
Person X sitzt in einer Hotellounch und surft über das lokale Internet, er nutzt einen aktuellen Browser. Die Überwachungsbehörde Y weiß ,dass er sich mit den Internet verbunden hat und lauscht nun an diesen Knoten mit (MIM). X meldet sich nun per SSH auf sein Emailkonto an.
Y versucht dabei nun ihm ein anderes SSL-Zertifikat unterzuschieben.
(Es kann auch ein Dirty-Proxy mit einem falschem Zertifikat sein)
Zur gleichen Zeit aber könnte dieser Knotenpunkt von sehr vielen anderen Usern benutzt werden. Die Wahrscheinlichkeit ist schon groß ,dass irgendeinem der Zertifikatswechsel auffällt! Somit birgt auch eine MIM Attacke gewisse Risiken mit sich!
Verhalten bei ungeschützten Hotspots:
Auch hier sind MIM Attacken möglich, da nicht jede Webseite eine Https -Verbindnung bereitstellt, oder man von einer fehlerhaften Implementierung ausgehen muss, ist es leider extrem unsicher ungeschützte Hotspots zu nutzen. Der einfachste weg hierbei ist, die Verwendung von VPNs. Auch hier werden Zertifikate zur Authetifizierung genutzt, wenn man hier nicht den Zertifikaten trauen will, bleibt einem nur mehr das Darknet übrig. Die Populärsten sind Freenet und I2P, der bitterste Beigschmack liegt aber in der sehr beschränkten Bandbreite.
QUELLEN:
https://de.wikipedia.org/wiki/Digitales_Zertifikat
Mozilla und Chrome erhöhen Anforderungen an Zertifikate | heise Security
ZDNetGovWeek: Don't tell me you thought we'd be done with NSA stories | ZDNet
Angriff auf BlackBerry-Verschlüsselung - fm4.ORF.at
https://bitcointalk.org/index.php?PHPSESSID=amsdb8d8etjefcnuugrb4isbs0&topic=235642.msg2526528#msg2526528
https://de.wikipedia.org/wiki/Darknet
Wie schon offt erwähnt kann ich nicht alles bis ins letzte Detail erläutern, es gibt alleine über die Implementierung von SSL einen haufen Fachbücher mit sehr vielen Seiten.
Diese News soll nur Infomieren und bei Interesse das Selbststudium dazu anregen!
Sind wo inhaltliche Fehler ? Einfach drauf hinweisen und ich besser diese gerne aus !
***PASSEND ZUM THEMA SICHERHEIT EIN SEHR GUTES EBOOK --> http://media.kuketz.de/blog/publikation/2013/internet-zensur/Internet-Zensur_v1.01.pdf
***
Vor Kurzem habe ich eine News mit dem Thema „Wie sich Geheimdienste selbst Zertifikate ausstellen könnten !“ erstellt. Ein paar Rückmeldungen von Usern habe die News als zu technisch aufwendig abgetan, manche waren auch der Meinung, dass es ausführlicher behandelt werde muss.
Hier die genaue Erklärung der SSL Zertifikate:
Was kann man sich unter einem SSL Zertifikat eigentlich vorstellen ?
Jeder von euch hat sicher einen Ausweis irgendeiner Art, ob das jetzt ein Pass oder der Führerschein bzw Personalausweis ist, ist einmal zweitrangig. Ein SSL Zertifikat ist für die Domain X (aber an diese gebunden) eine Art Ausweis.
Wie auch im realen leben kann nicht jeder Ausweise erstellen, dies dürfen nur zertifizierte Firmen.
Viele Zertifikate bauen auf den X.509 Standard auf, dieser schreibt eine Public-Key-Algorithmus zur Signierung vor.
Nun aber zu dem großen Problem!
Der ganze Zertifikatsmarkt ist komplett intransparent, es gibt auch genug Zertifaktsstellen die in totalitären Regimen wie China, Russland ansässig sind.
Der jetzige NSA-Skandal wirft auch die Frage auf, wie sicher sind Zertifikatsstellen in den Vereinigten Staaten ?
Inwieweit darf die Behörde X Zugriff auf die Zertifikatsstellen erlangen, oder sogar diese Nutzen ?
Nach neuestem Stand darf die US Regierung durch recht große Befugnise im bezug auf die Terrorbekämrpfung quasi alles von Firmen verlangen wenn diese in den USA ansässig sind (Patriot ACT) Ein BSP dazu: Snwoden nutze LAVABIT als Email Hoster, da die NSA die Verschlüsselung nicht knacken konnte, wurde der Inhaber per Gerichtsbeschluss aufgefordert den Private Key des SSL zertifkats den Behörden zu übergeben. Schlussendlich schloss er den Dienst weil keine Sicherheit mehr gegeben ist. Warum ist es ein Intransparenter SSL Zertifikatsmarkt ein „Major BUG“?
Ist ein Zertifikat dirty kann es eine Zeit dauern, bis es auch wirklich als dieses klassifiziert wird.
Wenn man ein Zertifikat annimmt und es wurde von einer Firma X signiert, muss man einfach dieser Firma vertrauen. Man muss zwar private Daten angeben, jedoch ist dies leicht umgehbar.
Alleine Geheimdienste haben ein sehr üppiges Budget, besitzen Sie vielleicht schon Zertifikatsstellen ?
Zertifikatsstellen in Totalitären Regimen sind generell als unsicher einzustufen. Man kann nie wissen ob diese Zertifikatsstelle schon unterwandert wurden.
Wie wichtig ist der Browser ?
Der Browser spielt mittlerweile eine entscheidende Rolle. Chrome und Firefox überprüfen unabhängig die Zertifikate auf Gültigkeit. Bald werden auch Zertifikat die eine Gültigkeit von mehreren Jahren haben, automatisch nicht mehr akzeptiert.
Kann man ein Zertifikat einfach so kopieren ?
Es kommt wie immer drauf an nach welchem Standart ,das Zertifikat erstellt wurde. Nutzt es den X.509er Standart dann wird
der Public-Key-Algorithmus verwendet. Damit ein dritter eine 1:1 kopier anfertigen kann, muss er in dem Besitzt des Private-Keys gelangen.
Würde Googel der NSA ihren Private-Key überlassen, dann könnte die NSA perfekte 1:1 kopien erzeugen und man würde jegliche SSL verbindung somit ad absurdum führen!
(In diesem Fall sind nur die SSL schlüssel von Googel gemeint)
Welche sinnvollen Erweiterungen gibt es ?
HTTPS-Everywhere: Es fordert den Webserver auf, wenn möglich nur eine Hsts Verbindung aufzubauen. Damit wird die ganze Verbindung von Beginn an, über Https abgehalten.
HSTS erzwingt eine permanete SSL/HTTPS verbindung zwischen Server und Client, somit wird nichts unverschlüsselt übertagen.Ist keine HSTS mögliche weil der Serverbetreiber bei der SSL -Implementierung geschlampt hat, dann zeigt Firefox dies durch ein Schild in der Adressenleiste an.Die information seitens Firefox lautet: "Unsichere inhalten wurden blockiert"
Damit ist gemeint, dass die unverschlüsselten inhalte wärend der SSL verbindung blockiert werden.
Certificate Patrol: Es zeigt einem an, welches Zertifikat gerade verwendet wird.
Hat man einmal ein Zertifikat akzeptiert und eine sicher Verbindung wurde aufgebaut, dann wird diese als sicher betrachtet. Eine Man in the middle Attacke wäre aber mit einem gültigen SSL-Zertifikat durchaus möglich.
Das umrouten auf einen Zweitserver würde man nie im Browser merken.
Hier kommt Certificate Patrol ins Spiel, es warnt ausdrücklich wenn mitten unter einer SSL-Verbindung(postiver Zertifkatsaustausch muss erfolgreich sein) auf einmal ein Zertifikatswechsel stattfindet!
Disconnect: Schadet auch nicht da es recht viele Tracker blockiert (eingebette in der webseite). <u>
Die MIM (Man in the middle Attack) Auf SSL:
Pauschal ist eine MIM nicht auf alle Verbindungen anzuwenden, Sie ist einfach aufwendiger.
Machbar auf jedenfall aber nicht in extrem großen Stil. Die Gefahr, dass User den Zertifikatsschwindel merken ist einfach zu groß.
BSP:
Person X sitzt in einer Hotellounch und surft über das lokale Internet, er nutzt einen aktuellen Browser. Die Überwachungsbehörde Y weiß ,dass er sich mit den Internet verbunden hat und lauscht nun an diesen Knoten mit (MIM). X meldet sich nun per SSH auf sein Emailkonto an.
Y versucht dabei nun ihm ein anderes SSL-Zertifikat unterzuschieben.
(Es kann auch ein Dirty-Proxy mit einem falschem Zertifikat sein)
Zur gleichen Zeit aber könnte dieser Knotenpunkt von sehr vielen anderen Usern benutzt werden. Die Wahrscheinlichkeit ist schon groß ,dass irgendeinem der Zertifikatswechsel auffällt! Somit birgt auch eine MIM Attacke gewisse Risiken mit sich!
Verhalten bei ungeschützten Hotspots:
Auch hier sind MIM Attacken möglich, da nicht jede Webseite eine Https -Verbindnung bereitstellt, oder man von einer fehlerhaften Implementierung ausgehen muss, ist es leider extrem unsicher ungeschützte Hotspots zu nutzen. Der einfachste weg hierbei ist, die Verwendung von VPNs. Auch hier werden Zertifikate zur Authetifizierung genutzt, wenn man hier nicht den Zertifikaten trauen will, bleibt einem nur mehr das Darknet übrig. Die Populärsten sind Freenet und I2P, der bitterste Beigschmack liegt aber in der sehr beschränkten Bandbreite.
QUELLEN:
https://de.wikipedia.org/wiki/Digitales_Zertifikat
Mozilla und Chrome erhöhen Anforderungen an Zertifikate | heise Security
ZDNetGovWeek: Don't tell me you thought we'd be done with NSA stories | ZDNet
Angriff auf BlackBerry-Verschlüsselung - fm4.ORF.at
https://bitcointalk.org/index.php?PHPSESSID=amsdb8d8etjefcnuugrb4isbs0&topic=235642.msg2526528#msg2526528
https://de.wikipedia.org/wiki/Darknet
Wie schon offt erwähnt kann ich nicht alles bis ins letzte Detail erläutern, es gibt alleine über die Implementierung von SSL einen haufen Fachbücher mit sehr vielen Seiten.
Diese News soll nur Infomieren und bei Interesse das Selbststudium dazu anregen!
Sind wo inhaltliche Fehler ? Einfach drauf hinweisen und ich besser diese gerne aus !
***PASSEND ZUM THEMA SICHERHEIT EIN SEHR GUTES EBOOK --> http://media.kuketz.de/blog/publikation/2013/internet-zensur/Internet-Zensur_v1.01.pdf
***
Zuletzt bearbeitet:
)
) geh davon aus dass es einfach ein VIREN PARADIES ist. Du kannst auch windows relativ sicher machen. Eine HIPS-Firewall kann nie schaden, aktueller Viernscanner ist pflicht und hirneinschalten was du installierst. Auch wichtig Flash & Java, wenn verwendet aktuell halten. (gilt für alle Systeme)
