Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › ETLS: ETSI veröffentlicht unsichere…

Implementation?

  1. Thema

Neues Thema Ansicht wechseln


  1. Implementation?

    Autor: AllDayPiano 14.11.18 - 07:44

    Okay, jetzt hat man so eine Verschlüsselung definiert. Die Frage, die sich mir aber stellt: wer soll das jetzt einsetzen? Wenn ein Standard spezifiziert wird, ist man doch immer davon abhängig, dass irgendjemand diesen Standard auch umsetzt. Nur wer soll das sein?

    Gerade im Consumerbereich denke ich nicht, dass sich so ein Standard durchsetzen wird. Dafür sind zu viele bedeutende Unternehmen zu sehr involviert, um sichere Verbindungen herzustellen.

    Ich kann mir daher also durchaus vorstellen, dass einige Nischenapplikationen diesen Standard umsetzen werden, bin aber der Überzeugung, dass diese Nischen auch so eine unsichere Verbindung beinhalten könnten.

    Oder sehe ich das zu blauäugig?

  2. Re: Implementation?

    Autor: marsupilani 14.11.18 - 08:23

    Das Problem wird sein, dass es notwendig wird, eine Methode zu entwickeln, mit der die client Seite eine solche Implementierung erkennen und den user warnen kann. Ansonsten werden wohl viele diese Möglichkeit optional in lLadbalancern oder ähnlichem vorsehen, ohne das groß bekannt zu machen...

  3. Re: Implementation?

    Autor: elgooG 14.11.18 - 11:29

    Soweit ich das verstanden habe, ist diese Variante allerdings inkompatibel zu TLS1.3. Eine Verbindung würde erst gar nicht zustande kommen.

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  4. Re: Implementation?

    Autor: Puschie 14.11.18 - 11:56

    elgooG schrieb:
    --------------------------------------------------------------------------------
    > Soweit ich das verstanden habe, ist diese Variante allerdings inkompatibel
    > zu TLS1.3. Eine Verbindung würde erst gar nicht zustande kommen.


    Es besteht eine 100% Kompatibilität - die Sicherheit ist nur futsch.

  5. Re: Implementation?

    Autor: Kein Kostverächter 14.11.18 - 13:09

    Der Client muss die temporären DH-Keys loggen. Dann kann man prüfen, ob es zu einem Server immer derselbe ist. Wenn ja, ist es ETLS oder (eigentlich dasselbe) eine kaputte TLS -Implementierung. Dafür braucht man aber mehrere Sessions, bei der ersten Session sind ETLS und TLS auf der Client-Seite nicht zu unterscheiden.

    Bis die Tage,

    KK

    ----------------------------------------------------------
    Mach dir deine eigenen Götter, und unterlasse es, dich mit einer schnöden Religion zu beflecken.
    (Epikur, griech. Phil., 341-270 v.Chr.)
    ----------------------------------------------------------
    We provide AI Blockchain Cloud (ABC) enabled applications bringing Enterprise level synergies to vertically integrated business processes.

  6. Re: Implementation?

    Autor: qupfer 14.11.18 - 14:54

    Kein Kostverächter schrieb:
    --------------------------------------------------------------------------------
    > Der Client muss die temporären DH-Keys loggen. Dann kann man prüfen, ob es
    > zu einem Server immer derselbe ist. Wenn ja, ist es ETLS oder (eigentlich
    > dasselbe) eine kaputte TLS -Implementierung.

    Mh, ich denke ganz korrekt ist das auch nicht.
    So wie ich DH verstanden habe: Man bei DH 4 Werte. Für Server und Client jeweils einen "Privaten" und eine "Öffentlichen".
    Aus den beiden Eigen und dem öffentlichen Wertes der anderen Seite lässt sich dann der Schlüssel ableiten, der identisch mit der Bildung aus den eigenen Öffentlichen und den beiden der anderen Seite ist). Daraus ergibt sich: Beide Seiten haben einen gemeinsamen Schlüssel
    Wenn ich jetzt als client bei jeder Sitzung korrekt neue Parameter sende, habe ich dennoch unterschiedliche Schlüssel.

    Problem ist. Die Middleware kennt beide Werte der einen Seite und benötigt nur noch den öffentlichen Parameter der anderen. Die ja - da öffentlich - unverschlüsselt übertragen wird. Daraus lässt sich der Sitzungsschlüssel ausrechnen.

    Oder man benötigt halt wirklich auf beiden Seiten eTLS, dann ist der Schlüssel wirklich bekannt. Aber dann brauch er auch nicht protokolliert werden um es zu erkennen.

    Oder habe ich noch einen Denkfehler?

  7. Re: Implementation?

    Autor: waldschote 14.11.18 - 15:47

    Die Sicherheit an sich ist nicht futsch. Der reine Transport der Daten ist auch weiterhin gesichert. D.h. ein Außenstehender hat keinen Zugriff auf die Daten. Bzw. muss diese wie sonst auch sich mühsam den Schlüssel erarbeiten bevor er die Pakete entschlüsseln kann.

    Der Unterschied von ETLS und TLS ist nur, das intern die Pakete ohne weiteres entschlüsselt werden können, weil die Admins ihren privaten Schlüssel ja kennen. In sofern kann die Kommunikation Netz Intern ohne Aufwand aufgebrochen und reingeschaut werden.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. JENOPTIK AG, Jena
  2. Schöck Bauteile GmbH, Baden-Baden
  3. Netze BW GmbH, Stuttgart
  4. CodeCamp:N GmbH, Nürnberg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 83,90€
  2. 334,00€
  3. 469,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Motorola One Vision im Hands on: Smartphone mit 48-Megapixel-Kamera für 300 Euro
Motorola One Vision im Hands on
Smartphone mit 48-Megapixel-Kamera für 300 Euro

Motorola bringt ein weiteres Android-One-Smartphone auf den Markt. Die Neuvorstellung verwendet viel Samsung-Technik und hat ein sehr schmales Display. Die technischen Daten sind für diese Preisklasse vielversprechend.
Ein Hands on von Ingo Pakalski

  1. Moto G7 Power Lenovos neues Motorola-Smartphone hat einen großen Akku
  2. Smartphones Lenovo leakt neue Moto-G7-Serie

Bundestagsanhörung: Beim NetzDG drohen erste Bußgelder
Bundestagsanhörung
Beim NetzDG drohen erste Bußgelder

Aufgrund des Netzwerkdurchsetzungsgesetzes laufen mittlerweile über 70 Verfahren gegen Betreiber sozialer Netzwerke. Das erklärte der zuständige Behördenchef bei einer Anhörung im Bundestag. Die Regeln gegen Hass und Hetze auf Facebook & Co. entzweien nach wie vor die Expertenwelt.
Ein Bericht von Justus Staufburg

  1. NetzDG Grüne halten Löschberichte für "trügerisch unspektakulär"
  2. NetzDG Justizministerium sieht Gesetz gegen Hass im Netz als Erfolg
  3. Virtuelles Hausrecht Facebook muss beim Löschen Meinungsfreiheit beachten

Zulassung autonomer Autos: Der Mensch fährt besser als gedacht
Zulassung autonomer Autos
Der Mensch fährt besser als gedacht

Mehrere Jahre haben Wissenschaftler und Autokonzerne an Testverfahren für einen Autobahnpiloten geforscht. Die Ergebnisse sprechen für den umfangreichen Einsatz von Simulation. Und gegen den schnellen Einsatz der Technik.
Von Friedhelm Greis

  1. Autonomes Fahren US-Post testet Überlandfahrten ohne Fahrer
  2. Mercedes-Sicherheitsstudie Wenn das Warndreieck autonom aus dem Auto fährt
  3. Einride T-Pod Autonomer Lkw fährt in Schweden Waren aus

  1. Asus Zenbook Pro Duo: Die obere Hälfte der Tastatur ist ein zweiter Bildschirm
    Asus Zenbook Pro Duo
    Die obere Hälfte der Tastatur ist ein zweiter Bildschirm

    Computex 2019 Ein Bildschirm im Touchpad scheint Asus zu klein zu sein: Das Zenbook Pro Duo hat ein integriertes zweites Display, das die obere Hälfte der Tastatur einnimmt. Er soll direkt als zweite Anzeige oder als Erweiterung des Hauptdisplays genutzt werden. Dafür muss die Tastatur nach links rücken.

  2. Personalmangel: Digitalisierung der Verwaltung schreitet nur langsam voran
    Personalmangel
    Digitalisierung der Verwaltung schreitet nur langsam voran

    Von 40 neuen Stellen im Innenministerium, die bei der Digitalisierung von Verwaltungsdienstleistungen helfen sollen, ist erst eine besetzt: Experten halten das Ziel, ab 2022 digitale Verwaltungsdienste anbieten zu können, entsprechend für gefährdet.

  3. Asus Zenscreen Touch: Zweiter Bildschirm für Notebook und Smartphone zum Mitnehmen
    Asus Zenscreen Touch
    Zweiter Bildschirm für Notebook und Smartphone zum Mitnehmen

    Computex 2019 Asus wird 30 Jahre alt und zeigt auf einer Pressekonferenz den Zenscreen Touch. Das ist ein tragbarer zweiter Bildschirm, an den per USB Typ-C ein Smartphone oder ein Notebook angeschlossen werden kann. Ein integrierter Akku soll deren Energiereserven schonen.


  1. 15:58

  2. 15:36

  3. 14:45

  4. 14:30

  5. 14:15

  6. 14:00

  7. 13:45

  8. 13:30