Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › ETLS: ETSI veröffentlicht unsichere…

Implementation?

  1. Thema

Neues Thema Ansicht wechseln


  1. Implementation?

    Autor: AllDayPiano 14.11.18 - 07:44

    Okay, jetzt hat man so eine Verschlüsselung definiert. Die Frage, die sich mir aber stellt: wer soll das jetzt einsetzen? Wenn ein Standard spezifiziert wird, ist man doch immer davon abhängig, dass irgendjemand diesen Standard auch umsetzt. Nur wer soll das sein?

    Gerade im Consumerbereich denke ich nicht, dass sich so ein Standard durchsetzen wird. Dafür sind zu viele bedeutende Unternehmen zu sehr involviert, um sichere Verbindungen herzustellen.

    Ich kann mir daher also durchaus vorstellen, dass einige Nischenapplikationen diesen Standard umsetzen werden, bin aber der Überzeugung, dass diese Nischen auch so eine unsichere Verbindung beinhalten könnten.

    Oder sehe ich das zu blauäugig?

  2. Re: Implementation?

    Autor: marsupilani 14.11.18 - 08:23

    Das Problem wird sein, dass es notwendig wird, eine Methode zu entwickeln, mit der die client Seite eine solche Implementierung erkennen und den user warnen kann. Ansonsten werden wohl viele diese Möglichkeit optional in lLadbalancern oder ähnlichem vorsehen, ohne das groß bekannt zu machen...

  3. Re: Implementation?

    Autor: elgooG 14.11.18 - 11:29

    Soweit ich das verstanden habe, ist diese Variante allerdings inkompatibel zu TLS1.3. Eine Verbindung würde erst gar nicht zustande kommen.

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  4. Re: Implementation?

    Autor: Puschie 14.11.18 - 11:56

    elgooG schrieb:
    --------------------------------------------------------------------------------
    > Soweit ich das verstanden habe, ist diese Variante allerdings inkompatibel
    > zu TLS1.3. Eine Verbindung würde erst gar nicht zustande kommen.


    Es besteht eine 100% Kompatibilität - die Sicherheit ist nur futsch.

  5. Re: Implementation?

    Autor: Kein Kostverächter 14.11.18 - 13:09

    Der Client muss die temporären DH-Keys loggen. Dann kann man prüfen, ob es zu einem Server immer derselbe ist. Wenn ja, ist es ETLS oder (eigentlich dasselbe) eine kaputte TLS -Implementierung. Dafür braucht man aber mehrere Sessions, bei der ersten Session sind ETLS und TLS auf der Client-Seite nicht zu unterscheiden.

    Bis die Tage,

    KK

    ----------------------------------------------------------
    Mach dir deine eigenen Götter, und unterlasse es, dich mit einer schnöden Religion zu beflecken.
    (Epikur, griech. Phil., 341-270 v.Chr.)
    ----------------------------------------------------------
    Gesendet von meinem AppleTree iphone23 mit GoogleByte TalkAlways
    What the FUUK is going on?

  6. Re: Implementation?

    Autor: qupfer 14.11.18 - 14:54

    Kein Kostverächter schrieb:
    --------------------------------------------------------------------------------
    > Der Client muss die temporären DH-Keys loggen. Dann kann man prüfen, ob es
    > zu einem Server immer derselbe ist. Wenn ja, ist es ETLS oder (eigentlich
    > dasselbe) eine kaputte TLS -Implementierung.

    Mh, ich denke ganz korrekt ist das auch nicht.
    So wie ich DH verstanden habe: Man bei DH 4 Werte. Für Server und Client jeweils einen "Privaten" und eine "Öffentlichen".
    Aus den beiden Eigen und dem öffentlichen Wertes der anderen Seite lässt sich dann der Schlüssel ableiten, der identisch mit der Bildung aus den eigenen Öffentlichen und den beiden der anderen Seite ist). Daraus ergibt sich: Beide Seiten haben einen gemeinsamen Schlüssel
    Wenn ich jetzt als client bei jeder Sitzung korrekt neue Parameter sende, habe ich dennoch unterschiedliche Schlüssel.

    Problem ist. Die Middleware kennt beide Werte der einen Seite und benötigt nur noch den öffentlichen Parameter der anderen. Die ja - da öffentlich - unverschlüsselt übertragen wird. Daraus lässt sich der Sitzungsschlüssel ausrechnen.

    Oder man benötigt halt wirklich auf beiden Seiten eTLS, dann ist der Schlüssel wirklich bekannt. Aber dann brauch er auch nicht protokolliert werden um es zu erkennen.

    Oder habe ich noch einen Denkfehler?

  7. Re: Implementation?

    Autor: waldschote 14.11.18 - 15:47

    Die Sicherheit an sich ist nicht futsch. Der reine Transport der Daten ist auch weiterhin gesichert. D.h. ein Außenstehender hat keinen Zugriff auf die Daten. Bzw. muss diese wie sonst auch sich mühsam den Schlüssel erarbeiten bevor er die Pakete entschlüsseln kann.

    Der Unterschied von ETLS und TLS ist nur, das intern die Pakete ohne weiteres entschlüsselt werden können, weil die Admins ihren privaten Schlüssel ja kennen. In sofern kann die Kommunikation Netz Intern ohne Aufwand aufgebrochen und reingeschaut werden.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. ESG Elektroniksystem- und Logistik-GmbH, Fürstenfeldbruck
  2. via experteer GmbH, verschiedene Standorte (Deutschland, Ungarn, Slowakei)
  3. Bosch Gruppe, Stuttgart
  4. ETAS, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. (u. a. Logan, John Wick, Alien Covenant, Planet der Affen Survival)
  2. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Resident Evil 2 angespielt: Neuer Horror mit altbekannten Helden
Resident Evil 2 angespielt
Neuer Horror mit altbekannten Helden

Eigentlich ein Remake - tatsächlich aber fühlt sich Resident Evil 2 an wie ein neues Spiel: Golem.de hat mit Leon und Claire gegen Zombies und andere Schrecken von Raccoon City gekämpft.
Von Peter Steinlechner

  1. Resident Evil Monster und Mafia werden neu aufgelegt

Drahtlos-Headsets im Test: Ohne Kabel spielt sich's angenehmer
Drahtlos-Headsets im Test
Ohne Kabel spielt sich's angenehmer

Sie nerven und verdrehen sich in den Rollen unseres Stuhls: Kabel sind gerade bei Headsets eine Plage. Doch gibt es so viele Produkte, die darauf verzichten können. Wir testen das Alienware AW988, das Audeze Mobius, das Hyperx Cloud Flight und das Razer Nari Ultimate - und haben einen Favoriten.
Ein Test von Oliver Nickel

  1. Sieben Bluetooth-Ohrstöpsel im Test Jabra zeigt Apple, was den Airpods fehlt
  2. Ticpods Free Airpods-Konkurrenten mit Touchbedienung kosten 80 Euro
  3. Bluetooth-Ohrstöpsel im Vergleichstest Apples Airpods lassen hören und staunen

Sony-Kopfhörer WH-1000XM3 im Test: Eine Oase der Stille oder des puren Musikgenusses
Sony-Kopfhörer WH-1000XM3 im Test
Eine Oase der Stille oder des puren Musikgenusses

Wir haben die dritte Generation von Sonys Top-ANC-Kopfhörer getestet - vor allem bei der Geräuschreduktion hat sich einiges getan. Wer in lautem Getümmel seine Ruhe haben will, greift zum WH-1000XM3. Alle Nachteile der Vorgängermodelle hat Sony aber nicht behoben.
Ein Test von Ingo Pakalski


    1. Lift Aircraft: Mit Hexa können auch Fluglaien abheben
      Lift Aircraft
      Mit Hexa können auch Fluglaien abheben

      Hexa ist ein Fluggerät, das ähnlich wie der Volocopter, von 18 Rotoren angetrieben wird. Gesteuert wird das Fluggerät per Joystick - von einem Piloten, der dafür keine Ausbildung oder Lizenz benötigt.

    2. Asus: Nach CEO-Abgang wird Asus' Smartphonesparte umstrukturiert
      Asus
      Nach CEO-Abgang wird Asus' Smartphonesparte umstrukturiert

      Der Asus-CEO Jerry Shen verlässt nach 25 Jahren das Unternehmen. Gleichzeitig wird der Konzern viel Geld in seine Smartphone-Sparte stecken und diese umstrukturieren. Das werde erst einmal negative Zahlen zur Folge haben, soll sich aber letztlich lohnen.

    3. US-Kampagne: Vodafone sieht keine Sicherheitsprobleme mit Huawei
      US-Kampagne
      Vodafone sieht keine Sicherheitsprobleme mit Huawei

      Vodafone unterzieht seine Netzwerkausrüstung mit Sicherheitstests. Doch Technik von Huawei wird nicht im Kernnetzwerk eingesetzt.


    1. 15:04

    2. 14:35

    3. 14:23

    4. 13:34

    5. 13:30

    6. 12:00

    7. 11:55

    8. 11:40