Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › ETLS: ETSI veröffentlicht unsichere…

Implementation?

  1. Thema

Neues Thema Ansicht wechseln


  1. Implementation?

    Autor: AllDayPiano 14.11.18 - 07:44

    Okay, jetzt hat man so eine Verschlüsselung definiert. Die Frage, die sich mir aber stellt: wer soll das jetzt einsetzen? Wenn ein Standard spezifiziert wird, ist man doch immer davon abhängig, dass irgendjemand diesen Standard auch umsetzt. Nur wer soll das sein?

    Gerade im Consumerbereich denke ich nicht, dass sich so ein Standard durchsetzen wird. Dafür sind zu viele bedeutende Unternehmen zu sehr involviert, um sichere Verbindungen herzustellen.

    Ich kann mir daher also durchaus vorstellen, dass einige Nischenapplikationen diesen Standard umsetzen werden, bin aber der Überzeugung, dass diese Nischen auch so eine unsichere Verbindung beinhalten könnten.

    Oder sehe ich das zu blauäugig?

  2. Re: Implementation?

    Autor: marsupilani 14.11.18 - 08:23

    Das Problem wird sein, dass es notwendig wird, eine Methode zu entwickeln, mit der die client Seite eine solche Implementierung erkennen und den user warnen kann. Ansonsten werden wohl viele diese Möglichkeit optional in lLadbalancern oder ähnlichem vorsehen, ohne das groß bekannt zu machen...

  3. Re: Implementation?

    Autor: elgooG 14.11.18 - 11:29

    Soweit ich das verstanden habe, ist diese Variante allerdings inkompatibel zu TLS1.3. Eine Verbindung würde erst gar nicht zustande kommen.

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  4. Re: Implementation?

    Autor: Puschie 14.11.18 - 11:56

    elgooG schrieb:
    --------------------------------------------------------------------------------
    > Soweit ich das verstanden habe, ist diese Variante allerdings inkompatibel
    > zu TLS1.3. Eine Verbindung würde erst gar nicht zustande kommen.


    Es besteht eine 100% Kompatibilität - die Sicherheit ist nur futsch.

  5. Re: Implementation?

    Autor: Kein Kostverächter 14.11.18 - 13:09

    Der Client muss die temporären DH-Keys loggen. Dann kann man prüfen, ob es zu einem Server immer derselbe ist. Wenn ja, ist es ETLS oder (eigentlich dasselbe) eine kaputte TLS -Implementierung. Dafür braucht man aber mehrere Sessions, bei der ersten Session sind ETLS und TLS auf der Client-Seite nicht zu unterscheiden.

    Bis die Tage,

    KK

    ----------------------------------------------------------
    Mach dir deine eigenen Götter, und unterlasse es, dich mit einer schnöden Religion zu beflecken.
    (Epikur, griech. Phil., 341-270 v.Chr.)
    ----------------------------------------------------------
    We provide AI Blockchain Cloud (ABC) enabled applications bringing Enterprise level synergies to vertically integrated business processes.

  6. Re: Implementation?

    Autor: qupfer 14.11.18 - 14:54

    Kein Kostverächter schrieb:
    --------------------------------------------------------------------------------
    > Der Client muss die temporären DH-Keys loggen. Dann kann man prüfen, ob es
    > zu einem Server immer derselbe ist. Wenn ja, ist es ETLS oder (eigentlich
    > dasselbe) eine kaputte TLS -Implementierung.

    Mh, ich denke ganz korrekt ist das auch nicht.
    So wie ich DH verstanden habe: Man bei DH 4 Werte. Für Server und Client jeweils einen "Privaten" und eine "Öffentlichen".
    Aus den beiden Eigen und dem öffentlichen Wertes der anderen Seite lässt sich dann der Schlüssel ableiten, der identisch mit der Bildung aus den eigenen Öffentlichen und den beiden der anderen Seite ist). Daraus ergibt sich: Beide Seiten haben einen gemeinsamen Schlüssel
    Wenn ich jetzt als client bei jeder Sitzung korrekt neue Parameter sende, habe ich dennoch unterschiedliche Schlüssel.

    Problem ist. Die Middleware kennt beide Werte der einen Seite und benötigt nur noch den öffentlichen Parameter der anderen. Die ja - da öffentlich - unverschlüsselt übertragen wird. Daraus lässt sich der Sitzungsschlüssel ausrechnen.

    Oder man benötigt halt wirklich auf beiden Seiten eTLS, dann ist der Schlüssel wirklich bekannt. Aber dann brauch er auch nicht protokolliert werden um es zu erkennen.

    Oder habe ich noch einen Denkfehler?

  7. Re: Implementation?

    Autor: waldschote 14.11.18 - 15:47

    Die Sicherheit an sich ist nicht futsch. Der reine Transport der Daten ist auch weiterhin gesichert. D.h. ein Außenstehender hat keinen Zugriff auf die Daten. Bzw. muss diese wie sonst auch sich mühsam den Schlüssel erarbeiten bevor er die Pakete entschlüsseln kann.

    Der Unterschied von ETLS und TLS ist nur, das intern die Pakete ohne weiteres entschlüsselt werden können, weil die Admins ihren privaten Schlüssel ja kennen. In sofern kann die Kommunikation Netz Intern ohne Aufwand aufgebrochen und reingeschaut werden.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. igefa IT-Service GmbH & Co. KG, Ahrensfelde bei Berlin, Dresden
  2. Landkreis Hameln-Pyrmont, Hameln-Pyrmont
  3. Bietigheimer Mediengesellschaft mbH, Bietigheim-Bissingen
  4. BSI Systeme GmbH, Mönchengladbach

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Hunt Showdown für 29,99€, Forza Motorsport 7 für 28,49€ und Hitman 2 für 14,49€)
  2. (heute u. a. Xbox One Bundles mit FIFA 20)
  3. 179€ (Bestpreis!)
  4. (z. B. Core i5 9600K + Gigabyte Z390 Aorus Master für 468,00€, Core i7 900K + MSI MPG Z390...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ryzen 7 3800X im Test: Der schluckt zu viel
Ryzen 7 3800X im Test
"Der schluckt zu viel"

Minimal mehr Takt, vor allem aber ein höheres Power-Budget für gestiegene Frequenzen unter Last: Das war unsere Vorstellung vor dem Test des Ryzen 7 3800X. Doch die Achtkern-CPU überrascht negativ, weil AMD es beim günstigeren 3700X bereits ziemlich gut meinte.
Ein Test von Marc Sauter

  1. Agesa 1003abba Microcode-Update taktet Ryzen 3000 um 50 MHz höher
  2. Agesa 1003abb Viele ältere Platinen erhalten aktuelles UEFI für Ryzen 3000
  3. Ryzen 5 3400G und Ryzen 3 3200G im Test Picasso passt

Programmiersprache: Java 13 bringt mehrzeilige Strings mit Textblöcken
Programmiersprache
Java 13 bringt mehrzeilige Strings mit Textblöcken

Die Sprache Java steht im Ruf, eher umständlich zu sein. Die Entwickler versuchen aber, viel daran zu ändern. Mit der nun verfügbaren Version Java 13 gibt es etwa Textblöcke, mit denen sich endlich angenehm und ohne unnötige Umstände mehrzeilige Strings definieren lassen.
Von Nicolai Parlog

  1. Java Offenes Enterprise-Java Jakarta EE 8 erschienen
  2. Microsoft SQL-Server 2019 bringt kostenlosen Java-Support
  3. Paketmanagement Java-Dependencies über unsichere HTTP-Downloads

Umwelt: Grüne Energie aus der Toilette
Umwelt
Grüne Energie aus der Toilette

In Hamburg wird in bislang nicht gekanntem Maßstab getestet, wie gut sich aus Toilettenabwasser Strom und Wärme erzeugen lassen. Außerdem sollen aus dem Abwasser Pflanzennährstoffe für die Landwirtschaft gewonnen werden. Dafür müssen aber erst einmal die Schadstoffe aus den Gärresten gefiltert werden.
Von Monika Rößiger

  1. Fridays for Future Klimastreiks online und offline

  1. Open Source: NPM-Chef geht schon nach wenigen Monaten wieder
    Open Source
    NPM-Chef geht schon nach wenigen Monaten wieder

    Nach nicht einmal einem Jahr Dienstzeit ist der Chef von NPM zurückgetreten. Das Unternehmen mit dem gleichnamigen Javascript-Paketmanager hat in diesem Jahr einige Mitarbeiter verloren, Arbeitnehmerklagen verhandeln müssen und eine aussichtsreiche Konkurrenz bekommen.

  2. Google: Chrome soll bessere Tab-Verwaltung bekommen
    Google
    Chrome soll bessere Tab-Verwaltung bekommen

    Der Chrome-Browser von Google soll künftig noch einfacher nutzbar sein. Die Entwickler setzen dafür Verbesserungen an der Tab-Verwaltung um. Links sollen sich einfach vom Smartphone auf den Rechner übertragen lassen und der Browser soll individueller werden.

  3. Samsung: Galaxy Fold bleibt extrem empfindlich
    Samsung
    Galaxy Fold bleibt extrem empfindlich

    Die versprochenen Überarbeitungen von Samsung an dem Falt-Smartphone Galaxy Fold, scheinen nach dem missglückten Marktstart doch nicht weitreichend genug zu sein. Eine offizielle Pflegeanleitung zeigt, wie empfindlich das Gerät weiterhin ist.


  1. 12:30

  2. 11:51

  3. 11:21

  4. 10:51

  5. 09:57

  6. 19:00

  7. 18:30

  8. 17:55