Wie sich Geheimdienste selbst Zertifikate ausstellen könnten !

AW: Wie sich Geheimdienste selbst Zertifikate ausstellen könnten !

Hallo razzor1984, ohne Dir zu nahe zu treten zu wollen, sollte man mit News zu Themen wie Internetsicherheit aufpassen.
Das sind Themen, wo sich weltweit ganz Heerscharen von kompetenten Wissenschaftlern mit beschäftigen . Man sollte schon ziemlich genau wissen, wovon man redet. Ohne einige Bücher über kryptographische Verfahren gelesen zu haben, ist dies wohl kaum möglich.
Ich kenne das Thema SSL ganz gut, da ich in diesem Bereich vor Jahren meine Diplomarbeit geschrieben habe.
DH ist, wie schon gesagt, keine ganz neue Erfindung!
Gäbe es eine absolut sichere Form der Verschlüsselung, würde diese auch benutzt werden. Allerdings wird das niemals der Fall sein!

So ein "Nackerbatzl" bin ich auch wiederum nicht. Mir gehts bei dieser News viel mehr darum ,dass sich die User mit dem Thema Sicherheit beschäftigen !
Ein paar User wollten eine genauere Erläuterung, also hab ich es kurz zusammengefasst.
Wenn ich es wirklich genau machen müsset wäre die News keine halbe Seite lang, sondern würde sich über mehrer Kapitel erstrecken. Viele bücher über jegliche Form der Verschlüsselung ,haben nicht umsonst gleich 500 Seiten und mehr;)
Dazu sind ja auch die ganzen Quellen angegeben, auch die Heise Quelle über PFS, die ich allen sehr empfehlen kann.

Die Generelle Problematik bei SSL liegt an den Zertifikaten, auch heute ist man vor einer Man in the Middel attacke nicht gefeit.
Untergräbt die NSA//FBI usw dieses, dann ist auch PFS nutzlos weil die Autentifizierung zwischen Client und Server kompromentiert ist ! Am anderen Ende kann theoretisch ein Nsa Server stehen!
Aber warum ist PFS doch besser als reines SSL mit klassichem Asynchroner Schlüsselaustausch ohne DH?
Hat man einmal den Masterky erlangt, kann man auch im nachhinein die Verbindung zwischen Client und server entschlüsseln.
Hingegen bei PFS muss man eine Man in the Middel attack ausführen, damit man den Schlüsselaustausch kompromentiert.Findet ein Man in the middle attacke nicht statt, dann kann man im nachhinein die Verbindung nicht mehr entschlüsseln (die Schlüssel werden nach der Session gelöscht Client & Server)
Was bringt nun PFS ?
Das Pauschale absaugen der Verbindungsdaten wie es bei Prism usw praktiziert wird, hätte damit keinen Erfolg, die Devise kopieren und später entschlüsseln ist bei DH (mit einer akzeptablen BIT größe >= 2048bit) nicht möglich.

Schlussendlich kann man nur sagen, jede art der Verschlüsselung ist irgendwo angreifbar, nur die Frage ist immer wie leicht ist diese zu umgehen ?
Spielt einmal das Szenario durch wenn nur 20% im Internet durch Verschlüsselung geschüzt wird, jegliche behörden würden in der CRYPTOFLUT untergehen.
Ich bleibe dabei SSL in verbindnung mit DH und einer besseren Zertifikatspolitik ist immer noch besser als ein Webserver der kein SSL und quasi den TEXT PLAIN übermittelt!
Ich hoffe, dass PCGH mit der Zeit geht und sich ein SSL Zertifikat leisten wird !
Grüße Razzor
 
Zuletzt bearbeitet:
Zurück