1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › CNNIC: Google wirft chinesische…

Das muss schneller gehen

  1. Thema

Neues Thema Ansicht wechseln


  1. Das muss schneller gehen

    Autor: Wimmmmmmmmy 02.04.15 - 14:05

    Falsches Zertifikat und sofort raus mit ihnen. Und nicht erst beim nächsten Update.

    Und nie wieder hineinlassen. Es muss für die Zertifizierungsstellen Existenzbedrohend werden hier Fehler zu machen.

    Und am besten Schützt man sich vor Missbrauch, wenn man das Zertifikat Verschlüsselt per E-Mail nur an die betroffene Domain zustellt und das Passwort zur Entschlüsselung per Brief-Post schickt. Die lassen sich das gut genug bezahlen, also können die auch mal einen Brief opfern.

  2. Re: Das muss schneller gehen

    Autor: hungkubwa 02.04.15 - 14:11

    Besser noch: das System wie es jetzt ist muss weg.
    Diese ganzen Zertifizierungsketten sind absoluter Müll. Verschlüsselung und Authentifizierung sollten komplett getrennt werden.

    Man kann auch sicher verschlüsseln ohne seine Identität von irgend einer zwielichten Stelle bestätigen zu lassen.

  3. Re: Das muss schneller gehen

    Autor: Andre_af 02.04.15 - 14:29

    hungkubwa schrieb:
    --------------------------------------------------------------------------------
    > Besser noch: das System wie es jetzt ist muss weg.
    > Diese ganzen Zertifizierungsketten sind absoluter Müll. Verschlüsselung und
    > Authentifizierung sollten komplett getrennt werden.
    >
    > Man kann auch sicher verschlüsseln ohne seine Identität von irgend einer
    > zwielichten Stelle bestätigen zu lassen.

    Das dürfte schon schwierig werden das zu trennen. Ja, technisch kannst du verschlüsseln und Authentifizieren natürlich trennen. Wenn du aber keine Authentifizierung des gegenübers hast, wie willst du dann verhindern das ein ManInTheMiddle läuft und einfach der Datenstrom zwischen Bankserver und Mittelsmann verschlüsselt wird und anschließend der Mittelsmann das neu verschlüsselt und dir weiterreicht.
    Man wird also schon Vertrauen/Authentifizierung und Verschlüsseln verknüpfen müssen um sicherzustellen das der verschlüsselte Strom auch wirklich von da kommt, wo man glaubt das er herkommt.
    Die Zertifzierungsstellen müssen aber wohl wirklich raus. Das sinnigste was mir im Moment da bisher zu einfällt ist voll durchsignierte DNS-Zonen (DNSSEC also) und das das Zertifikat ab in die DNS Zone.
    Dann brauchen wir keine Zertifizierungsstellen mehr, es ist klar wer berechtigt ist für die Domain ein Zertifikat zu erstellen (nämlich der, der es in den DNS Datensatz klöppeln kann und nicht ne China-Bude die für die deutsche Volksbank-Webseite Zertifikate erstellen kann denen getraut wird) und das ganze sollte mit DNSSEC auch verfälschungssicher sein.



    1 mal bearbeitet, zuletzt am 02.04.15 14:30 durch Andre_af.

  4. Re: Das muss schneller gehen

    Autor: hannob (golem.de) 02.04.15 - 14:36

    hungkubwa schrieb:
    --------------------------------------------------------------------------------
    > Besser noch: das System wie es jetzt ist muss weg.

    Das ist leicht gesagt, aber dann bräuchte man eine (umsetzbare, genauso einfach benutzbare)Alternative. Die fehlt bislang.

    > Diese ganzen Zertifizierungsketten sind absoluter Müll. Verschlüsselung und
    > Authentifizierung sollten komplett getrennt werden.

    Das ist im Prinzip ja der Weg den manche gerade gehen wollen - Stichwort opportunistic encryption. Firefox hat das umgesetzt.

    > Man kann auch sicher verschlüsseln ohne seine Identität von irgend einer
    > zwielichten Stelle bestätigen zu lassen.

    Man kann verschlüsseln ohne die Identität bestätigen zu lassen. Aber das ist natürlich nicht genauso sicher, weil es dann vollständig für Man-in-the-Middle-Angriffe verwundbar ist.

    >Die Zertifzierungsstellen müssen aber wohl wirklich raus. Das sinnigste was mir
    >im Moment da bisher zu einfällt ist voll durchsignierte DNS-Zonen (DNSSEC also)
    >und das das Zertifikat ab in die DNS Zone.

    Ohne jetzt im einzelnen alle Gründe aufzuzählen, die gegen DNSSEC sprechen: Das wird so sicher nicht passieren. Wenn überhaupt wird DNSSEC als zusätzlicher Mechanismus genutzt.

    Meine persönliche Meinung: Ich glaube nicht dass DNSSEC/DANE praktisch umsetzbar ist und wenn dann wird es noch ziemlich lange dauern, weil dafür noch einiges fehlt (die DNSSEC-Verbreitung in Clients ist im Moment praktisch bei Null).

    Ich denke was man tun sollte ist die Verbreitung von HPKP und Certificate Transparency voranzutreiben. Das ist zwar nicht perfekt. Aber das bestehende System *plus* die Sicherheit von HPKP *plus* Certificate Transparency, was dafür sorgt dass solche Vorfälle weniger leicht versteckt werden können würde schon extrem viel sicherer sein als das was wir haben.

  5. Re: Das muss schneller gehen

    Autor: Andre_af 02.04.15 - 14:49

    hannob (golem.de) schrieb:

    >
    > Ohne jetzt im einzelnen alle Gründe aufzuzählen, die gegen DNSSEC sprechen:
    > Das wird so sicher nicht passieren. Wenn überhaupt wird DNSSEC als
    > zusätzlicher Mechanismus genutzt.
    >
    > Meine persönliche Meinung: Ich glaube nicht dass DNSSEC/DANE praktisch
    > umsetzbar ist und wenn dann wird es noch ziemlich lange dauern, weil dafür
    > noch einiges fehlt (die DNSSEC-Verbreitung in Clients ist im Moment
    > praktisch bei Null).
    >
    > Ich denke was man tun sollte ist die Verbreitung von HPKP und Certificate
    > Transparency voranzutreiben. Das ist zwar nicht perfekt. Aber das
    > bestehende System *plus* die Sicherheit von HPKP *plus* Certificate
    > Transparency, was dafür sorgt dass solche Vorfälle weniger leicht versteckt
    > werden können würde schon extrem viel sicherer sein als das was wir haben.

    Da du einen Teil von meinem Beitrag in den des Threaderstellers reingemischt hast, hier mal nur eine Antwort auf meinen Teil ;-) :

    Ja, Key Pinning etc. sind bestimmt erst mal eine Lösung bis was besseres da ist, ist richtig. Ebenso sehe ich das genau so, das DNSSEC jetzt bestimmt noch mangels Verbreitung keine Lösung ist (vielleicht,irgendwann,hoffentlich). Aber wenn wir mal wirklich (annähernd, irgendwann)100% DNSSEC schaffen sollten, dann wäre das zumindest eine Alternative es in die Zone reinzupappen.
    Das, was im Moment am System wirklich stört ist eigentlich der Wust an Zertifizierungsstellen, denen ich erst mal blind traue, weil mir der Browserhersteller die vor die Nase gesetzt hat mit der Installation.Anscheinend sind da hinreichend viele dabei, denen doch nicht so zu trauen ist. Alle raus klicken ist aber auch keine tolle Option, den händisch kann ich auch nicht die ganze Zertifikate, die man mir so am Tag unterjubelt, verifizieren (stell ich mir auch toll vor "Hallo Sparkasse ? Ja, ich hab da diesen Signaturwert von Ihrem Onlinebanking, können Sie mir den mal kurz verifizieren ?" - ich glaube 99% der Bankmitarbeiter wird nicht mal erahnen was ich möchte ;-) )
    HPKP ist im Prinzip natürlich schonmal eine 99% Verbesserung, aber auch hier ja nichts ohne Haken. Die erste Verbindung muss okay gewesen sein um den gepinnten Public Key per HTTP-Header unmanipuliert übertragen zu bekommen. Wie bei Strict-Transport-Security. Geht halt theoretisch auch nur fast immer gut.



    2 mal bearbeitet, zuletzt am 02.04.15 14:51 durch Andre_af.

  6. Re: Das muss schneller gehen

    Autor: quadronom 02.04.15 - 17:31

    DANE anyone?

    %0|%0

  7. Re: Das muss schneller gehen

    Autor: Andre_af 02.04.15 - 18:32

    Darüber sprachen wir ja - DANE funktioniert nur ohne DNSSEC nicht wirklich

  8. Re: Das muss schneller gehen

    Autor: Niantic 03.04.15 - 11:29

    Wimmmmmmmmy schrieb:
    --------------------------------------------------------------------------------
    > Falsches Zertifikat und sofort raus mit ihnen. Und nicht erst beim nächsten
    > Update.
    >
    > Und nie wieder hineinlassen. Es muss für die Zertifizierungsstellen
    > Existenzbedrohend werden hier Fehler zu machen.
    >
    > Und am besten Schützt man sich vor Missbrauch, wenn man das Zertifikat
    > Verschlüsselt per E-Mail nur an die betroffene Domain zustellt und das
    > Passwort zur Entschlüsselung per Brief-Post schickt. Die lassen sich das
    > gut genug bezahlen, also können die auch mal einen Brief opfern.

    Es gibt da sowas das nennt sich csr(certificate signing request). Damit kennt die ca deinen private key nicht sondern signiert nur deinen pubkey. Wozu also der brief?

    Davon ab gibt es gute gruende anonyme seiten zu betreiben und zumindest bei den gutartigen ist verachluesselung ein muss(wikileaks?)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  2. Fresenius Kabi Deutschland GmbH, Oberursel
  3. sepp.med gmbh, Forchheim
  4. awinia gmbh, Freiburg im Breisgau

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. RTX 2080 ROG Strix Gaming Advanced für 699€, RTX 2080 SUPER Dual Evo OC für 739€ und...
  2. 555,55€ (zzgl. Versandkosten)
  3. 399,00€ (Bestpreis! zzgl. Versand)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Neuer Streamingdienst von Disney: Disney+ ist stark bei Filmen und schwach bei Serien
Neuer Streamingdienst von Disney
Disney+ ist stark bei Filmen und schwach bei Serien

Das Hollywoodstudio Disney ist in den Markt für Videostreamingabos eingestiegen. In den USA hat es beim Start von Disney+ technische Probleme gegeben. Mit Blick auf inhaltliche Vielfalt kann der Dienst weder mit Netflix noch mit Amazon Prime Video mithalten.
Von Ingo Pakalski

  1. Videostreaming im Abo Disney+ hat 10 Millionen Abonnenten
  2. Disney+ Disney bringt seinen Streaming-Dienst auf Fire-TV-Geräte
  3. Streaming Disney+ startet am 31. März 2020 in Deutschland

Videospiellokalisierung: Lost in Translation
Videospiellokalisierung
Lost in Translation

Damit Videospiele in möglichst viele Länder verkauft werden können, müssen sie übersetzt beziehungsweise lokalisiert werden. Ein kniffliger Job, denn die Textdatei eines Games hat oft auf den ersten Blick keine logische Struktur - dafür aber Hunderte Seiten.
Von Nadine Emmerich

  1. Spielebranche Entwickler können bis 2023 mit Millionenförderung rechnen
  2. Planet Zoo im Test Tierische Tüftelei
  3. Förderung Spielentwickler sollen 2020 nur einen "Ausgaberest" bekommen

Bosch-Parkplatzsensor im Test: Ein Knöllchen von LoRa
Bosch-Parkplatzsensor im Test
Ein Knöllchen von LoRa

Immer häufiger übernehmen Sensoren die Überwachung von Parkplätzen. Doch wie zuverlässig ist die Technik auf Basis von LoRa inzwischen? Golem.de hat einen Sensor von Bosch getestet und erläutert die Unterschiede zum Parking Pilot von Smart City System.
Ein Test von Friedhelm Greis

  1. Automated Valet Parking Daimler und Bosch dürfen autonom parken
  2. Enhanced Summon Teslas sollen künftig ausparken und vorfahren

  1. Disney+: Disney korrigiert falsches Seitenverhältnis bei den Simpsons
    Disney+
    Disney korrigiert falsches Seitenverhältnis bei den Simpsons

    Abokunden von Disney+ können die ersten 20 Staffeln der Fernsehserie Die Simpsons derzeit nur eingeschränkt schauen. Der Grund: Disney hat das Seitenverhältnis verändert, Bildinformationen gehen verloren. In den nächsten Monaten soll der Fehler korrigiert werden.

  2. Confidential Computing: Vertrauen ist schlecht, Kontrolle besser
    Confidential Computing
    Vertrauen ist schlecht, Kontrolle besser

    Die IT-Welt zieht in die Cloud und damit auf fremde Rechner. Beim Confidential Computing sollen Daten trotzdem während der Nutzung geschützt werden, und zwar durch die Hardware - keine gute Idee!

  3. Elektroauto: Details zum BMW i4 veröffentlicht
    Elektroauto
    Details zum BMW i4 veröffentlicht

    Das Elektroauto BMW i4 ist ein Mittelklassefahrzeug, das eine Reichweite von rund 550 km aufweisen und mit einem Elektromotor mit 530 PS ausgerüstet werden soll. BMW will das Auto ab 2021 anbieten.


  1. 09:22

  2. 09:01

  3. 07:59

  4. 07:45

  5. 07:16

  6. 01:00

  7. 23:59

  8. 20:53