Verschlüsselung oder SSL

"Zugriffe auf Google Mail nur noch verschlüsselt zuzulassen. Ab der kommenden Woche soll zudem eine verschlüsselte Version der Google-Suche angeboten werden"

... und als Nebeneffekt ist man plötzlich eindeutig identifizierbar. Das bringt die SSL Technik mit sich. Die Verschlüsselung ist eigentlich ein "Abfallprodukt".

... --- ... schrieb:
--------------------------------------------------------------------------------
> ... und als Nebeneffekt ist man plötzlich eindeutig identifizierbar. Das
> bringt die SSL Technik mit sich. Die Verschlüsselung ist eigentlich ein
> "Abfallprodukt".

Kannst Du bitte kurz erklären was du damit meinst?
Wieso sollte man dadurch identifizierbar sein, man verwendet doch kein eigenes persönliches Zertifikat?

Gruß,
Blubsi

Ich glaub hier verwechselt jemand SSL mit VPN.. ;)

@Looling und Blubsi

Die verschlüsselung die Google bei den eMaildiensten voraussetzt basiert auf SSL.
VPN, sofern IPSEC oder OPENVPN gemeint ist hat auch SSL als Basis.

SSL/TLS: http://en.wikipedia.org/wiki/Transport_Layer_Security
VPN: http://en.wikipedia.org/wiki/VPN

Damit SSL aber funktioniert ist in irgendeiner Form ein Zertifikat ( offiziell, inoffiziell, selfsigned) erforderlich.

Und hier entsteht die Identifizierbarkeit. Ein Zertifikat kann nur ausgestellt werden wenn man irgendjemanden "vertraut". Man muß diesem (CA, usw...) seine Identität bekannt geben.

Bei SSL über das WEB (HTTPS, POP3S, SMTP TLS usw...) wird als erste Identität die offizielle IP Adresse verwendet!


So, nun muß man das Ganze mal so betrachten, welche (Finanziellen) Interessen Google eigentlich hat. Google hat sicherlich nichts zu verschenken und ist auch nicht die Caritas.

Verkauft wird alles unter dem Gesichtspunkt der Sicherheit. Tolle Sache.
Tatsächlich aber, rein von der technischen Seite betrachtet, weiß der Google Server wer genau die eMails liest und auch von woher.


Ein bisschen weitergedacht: Was würde wohl passieren, wenn Google die inoffiziellen Zertifikate plötzlich ausschließt und SSL nur mehr akzeptiert wird, wenn ein amtliches Zertifikat installiert sein muss. Die Technik ist ja schon da.

Internet nur via SSL, das wäre auch was. Plötzlich keine Internetkriminalität mehr.

> ... und als Nebeneffekt ist man plötzlich eindeutig identifizierbar. Das
> bringt die SSL Technik mit sich. Die Verschlüsselung ist eigentlich ein
> "Abfallprodukt".

Wer auf eine google Seite geht ist auch heute schon eindeutig identifizierbar (Browser Fingerprint, Cookies,IP Adresse, ganz wesentlich Daten die man freiwillig eingibt...).

Bei Https/SSL wird normalerweise *nur* der Server mittels Zertifikat authentisiert. Client Zertifikate sind sehr selten (hat auch kaum jemand).
Https hilft google also nicht dich besser zu identifizieren. Braucht google aber auch gar nicht weil google das heute schon sehr gut kann.

... --- ... schrieb:

> Internet nur via SSL, das wäre auch was. Plötzlich keine
> Internetkriminalität mehr.

Du verwechselst client- und serverseitige Zertifikate.
Wie immer ist es ratsam, die Seiten auch zu lesen die man verlinkt.

Lies einfach mal die Absätze "Simple TLS handshake" und "Client-authenticated TLS handshake" vielleicht wird dir dann der Unterschied klarer.

... --- ... schrieb:
--------------------------------------------------------------------------------
> @Looling und Blubsi
>
> Die verschlüsselung die Google bei den eMaildiensten voraussetzt basiert
> auf SSL.
> VPN, sofern IPSEC oder OPENVPN gemeint ist hat auch SSL als Basis.
>

meine fresse, soviel halbwissen und dann auch noch schlau tun - aua das tut echt weh

bei nem SSL handshake wird nicht mehr oder weniger informationen preisgegeben als wenn du mittels http eine verbindung aufbaust, IP, browser version, os version je nach browser, und das wars

ssl ist eine session basierte verschlüsselung, keine asymmetrische public key verschlüsselung, da braucht der client kein zertifikat, das gleiche gilt für den server - der server hat in dem fall nur ein zertifikat um sich ausweisen zu können, mit der verschlüsselung hat dass an sich erstmal nix zu tun

@ohjeeeeeeeeeeee

Guter Mann,

Denke mal darüber nach welchem Verfahren der symetrische Schlüssel ausgetauscht wird.

@klugsch

http://publib.boulder.ibm.com/iseries/v5r1/ic2924/index.htm?info/apis/sslhands.htm

Lest mal diese API, dann könnt Ihr g'scheit sein.
:)

So long

... --- ... schrieb:

> Lest mal diese API, dann könnt Ihr g'scheit sein.
> :)

unsigned char* peerCert (output)
The pointer to the certificate received from the peer system. For a client, this is a pointer to the server's certificate. For a server with client authentication enabled, this is a pointer to the client's certificate. For a server without client authentication this pointer value remains unchanged.

int how (input)
The type of SSL handshake to be performed:
0 Perform the handshake as a client.

Bist du jetzt g'scheiter?

... --- ... schrieb:
-----------------------------------------------------------------------------
> Internet nur via SSL, das wäre auch was. Plötzlich keine
> Internetkriminalität mehr.

Äh? Die Leute geben doch auf SSL-verschüsselten Seiten gerne alles preis, denn der Browser sagt ja, das ist sicher und seriös. Phishing und Abofallen sind nichtexistent.

--
Bitte prüfen Sie, ob Sie diesen Beitrag wirklich ausdrucken müssen!

Irgendwie hasts noch nicht überrissen oder?

SSL braucht immer zwei Zertifikate für den Session-Aufbau. Ansonsten wird's nichts. Es ist einerlei woher das ZErtifikat herkommt. Wenn der Client keins hat, wird automatisch eines mit der eigenen IP erzeugt und übermittelt.

Wenn dem nicht so wäre, dann wäre SSL adabsurdum geführt oder?
Oder hast du bei https://xxx.xxx immer ein Zertifikat installieren müssen?

Der Datenaustausch läuft dann symetrisch, da ja die Sicherheit und die IDENTITÄT des gegenüber bekannt ist.

Mir ist schon klar, bei den LPI und MCSE Kursen wird das nicht gelehrt. Für die tägliche Praxis und die Prüfungen ists ja wurscht.

So long.

... --- ... schrieb:
--------------------------------------------------------------------------------
> Irgendwie hasts noch nicht überrissen oder?

> SSL braucht immer zwei Zertifikate für den Session-Aufbau.

You sir, are an idiot!

Kleiner Auszug aus der SSL-Spezifikation (Hervorhebungen von mir):
--
7.6.4 Certificate request

A non-anonymous server can >>optionally<< request a certificate from the client, if appropriate for the selected cipher suite.

...

7.6.6 Client certificate

This is the first message the client can send after receiving a server hello done message. >>This message is only sent if the server requests a certificate.<< If no suitable certificate is available, the client should send a no certificate alert instead.
--

You have been trolled.

Aber es wird ein Fingerprint erzeugt und gespeichert. Vorher warst du als User zumindest hinter der Firewall/dem NAT-Router relativ sicher, aber Fingerprint macht dich weiter identifizierbar (auch wenn nicht mit dem Namen im Klartext). Ändert sich deine IP durch eine Neueinwahl des Routers, der Fingerprint bleibt über den Ip-Wechel hinaus gleich.

Das wird aber auch Zeit, dass die Googlemail-Nutzer endlich über SSL identifiziert werden.
Der Zustand, dass unidentifizierte Personen auf meine E-Mails zugreifen können, muss beendet werden!

... --- ... schrieb:
--------------------------------------------------------------------------------
> Irgendwie hasts noch nicht überrissen oder?

Dass du einen Sprung in der Schüssel hast hat jeder hier überrissen

> SSL braucht immer zwei Zertifikate für den Session-Aufbau.

Schwachsinn!
Was genau verstehst du am Wort "optional" in den Spezifikationen nicht?

> Es ist einerlei woher das ZErtifikat herkommt. Wenn der Client
> keins hat, wird automatisch eines mit der eigenen IP erzeugt und
> übermittelt.

Was du so alles als Zertifikat bezeichnest *lol*

> Wenn dem nicht so wäre, dann wäre SSL adabsurdum geführt oder?

Der Handshake gilt genau für die laufende Session und basiert
auf einem Arsch voll Zusatz-Infromationen warum ja Entropie-Quellen
für Verschlüsselung so wichtig sind

> Oder hast du bei xxx.xxx immer ein Zertifikat installieren müssen?

Nach deiner Logik müstest du einen Serverbetreiber
fragen ob er für jeden Besucher ein Cert installiert
hat

> Der Datenaustausch läuft dann symetrisch, da ja die Sicherheit und die
> IDENTITÄT des gegenüber bekannt ist.

Nur weil du Idiot das Wort Identität im Kontext nicht begreifst
macht dein Paerlapapp nicht mehr Sinn

Als Identität hier gilt "du bist bei einem request der gleiche vogel
der den handshake am beginn der session durchgeführt hat"

Du solltest versuchen die ganzen tollen Links die du so postest auch selbst zu lesen und zu verstehen

So ist das.

jetzt wird man also beleidigend.

Eine typische Reaktion wenn einem die Argumente ausgehen. Dann haut man mal mit dem verbalen Holzhammer drauf.

Ich habe einen konstruktiven Beitrag zum obigen Thema gestartet. Der Sinn war und ist den Horizont zu erweitern und die Blick auf die mittlerweile alltäglichen Dinge aus einem etwas anderen Blickwinkel zu betrachten. Man kann auch sagen - hinter die Kulissen.

Offensichtlich ist es zumindest bei meinen Diskussionsteilnehmern verpönt zu Dogmen erklärte Dinge, wie SSL ist anonym und absolut sicher, anzutasten.

Faktum ist jedoch:
SSL ist eine tolle und sichere Sache, was die Verschlüsselung angeht.
SSL ist jedoch keineswegs ANONYM!

Mir fällt hier ein Satz aus dem Medizinbereich ein:
* Impfen ist absolut sicher und hat keinerlei Nebenwirkungen.

Ich beende hier diesen Thread in der Hoffnung ein paar Lesern das Interesse so geweckt zu haben, das SSL Thema von der kritischen Seite zu betrachten.

Ach ja, noch was zum Nachdenken:
- Bis vor einigen Jahren (NT 4.0 Zeiten) war in Frankreich SSL verboten!
- Bis vor einigen Jahren war in den USA nur SSL mit 40/56 Bit erlaubt.
- Mittlerweile ist SSL 128 in den USA erlaubt.
Wieso wohl ist nun SSL 128 in den USA erlaubt worden. Das Heimatschutzgesetz in den USA enthält die Hinweise darauf!


In diesem Sinne.

So long.

.-.. .. . -... . .-.. . ..- - . --..-- ..- -. -.. -... .-.. .. -.-. -.- - .... .. -. - . .-. -.. . -- .... --- .-. .. --.. --- -. - .-.-.- -.. .. . .-- . .-.. - .... .-. - -. .. -.-. .... - .- -. -.. . .-. .-.. .- -. -.. . ... --. .-. . -. --.. . .- ..- ..-. .-.-.-

... --- ... schrieb:
--------------------------------------------------------------------------------

> Eine typische Reaktion wenn einem die Argumente ausgehen. Dann haut man mal
> mit dem verbalen Holzhammer drauf.

Das ist eher die schiere Verzweiflung ob deiner kompletten Ignoranz den Fakten gegenüber.


> Ich habe einen konstruktiven Beitrag zum obigen Thema gestartet. Der Sinn
> war und ist den Horizont zu erweitern und die Blick auf die mittlerweile
> alltäglichen Dinge aus einem etwas anderen Blickwinkel zu betrachten.

Du solltest definitiv erstmal DEINEN Horizont erweitern, bevor du es von anderen erwartest.

> Man
> kann auch sagen - hinter die Kulissen.

Wohl kaum. Dafür solltest du erstmal wissen was die Regie eigentlich macht und wie so ein Bühnenaufbau funktioniert.

> Offensichtlich ist es zumindest bei meinen Diskussionsteilnehmern verpönt
> zu Dogmen erklärte Dinge, wie SSL ist anonym und absolut sicher,
> anzutasten.

Dann komm doch mal mit FAKTEN warum eine Client der ohne eigenes Zertifikat eine Verbindung zu einem Server aufbaut weniger anonym ist als ein Besucher ohne SSL.

> Faktum ist jedoch:
> SSL ist eine tolle und sichere Sache, was die Verschlüsselung angeht.
> SSL ist jedoch keineswegs ANONYM!

BELEGE Bitte. Deine bisherigen wurden *ALLE* widerlegt.

> Ach ja, noch was zum Nachdenken:
> - Bis vor einigen Jahren (NT 4.0 Zeiten) war in Frankreich SSL verboten!
> - Bis vor einigen Jahren war in den USA nur SSL mit 40/56 Bit erlaubt.
> - Mittlerweile ist SSL 128 in den USA erlaubt.
> Wieso wohl ist nun SSL 128 in den USA erlaubt worden. Das
> Heimatschutzgesetz in den USA enthält die Hinweise darauf!

Das hat damit zu tun, das Verschlüsselung als Waffe Eingestuft wurde und damit an enge Exportbedinungen verknüpft war.
Das hat allerdings nichts mit den Authentifizierungsmechanismen die SSL mittels optionaler Zertifikate erlaubt zu tun.

... --- ... schrieb:
--------------------------------------------------------------------------------

> jetzt wird man also beleidigend.


Wo denn?
Das ist doch in Anbetracht deiner Merkbefreitheit die mehrfach zensierte Fassung

> Eine typische Reaktion wenn einem die Argumente ausgehen. Dann haut man mal
> mit dem verbalen Holzhammer drauf.

Ja alter elche Argumente soll man dir denn noch schreiben
wenn du in jeder deiner Antworten zeigst dass du keine
blassen Schimmer von SSL hast sonst würdest du nicht andauernd
was von Client-Zertifikaten vor dich hinbrummen

> Ich habe einen konstruktiven Beitrag zum obigen Thema gestartet.

Was hast du?
Du hast gefährliches Halbwissen jenseits der Realität in den
Raum gestellt und wenn es nur einen Menschen gibt der den Dreck
den du so von dir gibst jetzt glaubst einen nachhaltigen
Schaden angerichtet

> Der Sinn war und ist den Horizont zu erweitern

Wie willst du denn das bewerkstelligen wenn du selbst völlig
ohne Wissen hier rein trampelst?

> und die Blick auf die mittlerweile
> alltäglichen Dinge aus einem etwas anderen Blickwinkel zu betrachten. Man
> kann auch sagen - hinter die Kulissen.

Man kann auch sagen "Ein dummer stellt Behauptungen in den Raum, spielt
dabei Wissen vor und hofft dass noch dümmere glauben er wäre der Checker"

> Offensichtlich ist es zumindest bei meinen Diskussionsteilnehmern verpönt
> zu Dogmen erklärte Dinge, wie SSL ist anonym und absolut sicher,
> anzutasten.

Das Wort absolut gibt es in der EDV nicht du Hirni!
Aber es ist genauso anonym wie eine Verbindung ohne https
Weil der Clietn verdammt nochmal kein Zertifikat braucht
Und nur weil das nicht in den Spatzenhirn reingehen will
gibt es diese ganze hirnverbrannte Diskussion überhaupt

> Faktum ist jedoch:
> SSL ist eine tolle und sichere Sache, was die Verschlüsselung angeht.
> SSL ist jedoch keineswegs ANONYM!

SSL ist nicht anonym weil es SSL ist
Das hat aber auch kein Mensch behauptet
Du behauptest allerdings es ist weniger anonym als http
Das ist jedoch Schwachsinn weil es ohne Client-Zertifikate
NICHTS mitbringt was dich über die Browser-Session hinaus
erkennbarer werden lässt

> Ich beende hier diesen Thread in der Hoffnung ein paar Lesern das Interesse
> so geweckt zu haben, das SSL Thema von der kritischen Seite zu betrachten.

Bestenfalls hast du irgendwelche DAUs mit Falschinformationen geimpft
Leute wie du sind um einiges schlimmer als solche die keine Ahnung haben
und sich dessen auch bewusst sind!

> Ach ja, noch was zum Nachdenken:
> - Bis vor einigen Jahren (NT 4.0 Zeiten) war in Frankreich SSL verboten!

Ja und weiter?
Was hat das mit fehlender Anonymität mit SSL zu tun?

> - Bis vor einigen Jahren war in den USA nur SSL mit 40/56 Bit erlaubt.

Ja und weiter?
Was hat das mit fehlender Anonymität mit SSL zu tun?

> - Mittlerweile ist SSL 128 in den USA erlaubt.

Ja und weiter?
Was hat das mit fehlender Anonymität mit SSL zu tun?

> Wieso wohl ist nun SSL 128 in den USA erlaubt worden. Das
> Heimatschutzgesetz in den USA enthält die Hinweise darauf!

Ja und weiter?
Was hat das mit fehlender Anonymität mit SSL zu tun?

> In diesem Sinne.
> So long.

Du mich auch

Na wo bleiben denn jetzt deine unwiderlegbaren Argumente oder weinst du schon an Mamas Brust weil dich keiner mag und jeder mitbekommen hat dass du aber auch nicht den Ansatz einer Ahnung wovon du sprichst hast?