Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › IETF: Wie TLS abgehört werden könnte

Wieso können sie das nicht machen, ohne den Standard zu beeinflussen?

  1. Thema

Neues Thema Ansicht wechseln


  1. Wieso können sie das nicht machen, ohne den Standard zu beeinflussen?

    Autor: __destruct() 21.07.17 - 00:08

    Der Schlüssel wird doch jedes mal vom Server gewählt, nicht von anderen. Dann schreiben die ihre Software eben so, dass er jedes mal den gleichen Schlüssel wählt. Wo ist das Problem?

  2. Re: Wieso können sie das nicht machen, ohne den Standard zu beeinflussen?

    Autor: wiesi200 21.07.17 - 07:14

    Der Schlüssel wird von der SSL Library generiert. Die Diskutieren wie die Librarys funktionieren soll. Und wenn man definiert das der Schlüssel immer gleich bleibt dann hast du eine Potentielle Sicherheitslücke in der Software. So einfach ist das.

  3. Re: Wieso können sie das nicht machen, ohne den Standard zu beeinflussen?

    Autor: __destruct() 21.07.17 - 10:36

    Die diskutieren doch über den Standard, nicht über die Implementierung, oder?

  4. Re: Wieso können sie das nicht machen, ohne den Standard zu beeinflussen?

    Autor: Anonymer Nutzer 21.07.17 - 17:52

    offensichtlich nicht. es wird wohl tatsächlich darüber diskutiert, ob man tls 1.3 richtig oder falsch implementieren soll. komische situation. die sache mit rsa ist allerdings tatsächlich eine frage des protokolls. was google und co in ihren rechnenzentren machen, muss uns sowieso egal sein.

  5. Re: Wieso können sie das nicht machen, ohne den Standard zu beeinflussen?

    Autor: __destruct() 21.07.17 - 23:51

    Nein, es geht um den Standard, nicht um die Implementierung. Die IETF macht Standards. TLS 1.3 ist noch nicht standardisiert und das ist der aktuelle working Draft: https://tools.ietf.org/html/draft-ietf-tls-tls13-21 Er ist vom 3. Juli, also noch keine 3 Wochen alt. Es wird aktuell diskutiert, wie (aufbauend auf den working Draft) der Standard aussehen soll.

  6. Re: Wieso können sie das nicht machen, ohne den Standard zu beeinflussen?

    Autor: Anonymer Nutzer 22.07.17 - 09:36

    ob ich immer die gleichen dh-parameter verwende oder zufällige, bleibt aber schon der implementierung überlassen.

  7. Re: Wieso können sie das nicht machen, ohne den Standard zu beeinflussen?

    Autor: Nocta 22.07.17 - 11:02

    Nein, immer die gleichen DH Parameter zu verwenden widerspricht dem Standard. Es könnte als Implementierungsfehler gewertet werden, aber sicher nicht als Spielraum um die Spezifikation zu erfüllen.

    Hindern kann dich letztlich keiner daran, sofern die Gegenseite das nicht explizit überprüft. Es ist in der Hinsicht konform zum Standard, dass es nicht zum Abbruch des Protokolls führen wird, aber nicht in der hinsicht, dass es wie vom Standard gefordert umgesetzt ist.

  8. Re: Wieso können sie das nicht machen, ohne den Standard zu beeinflussen?

    Autor: Anonymer Nutzer 22.07.17 - 12:22

    naja, tut es das? ich seh den standard erfüllt, sobald zwei unterschiedliche implementierungen miteinander erfolgreich kommunizieren können. alles anderes kann maximal eine empfehlung in zusammenhang des standards sein, aber mehr nicht. und ich glaub, dass die ietf darüber gar nicht diskutieren sollte. im standard steht, es wird aus sicherheitsgründen empfohlen, pro session neue parameter zu generieren. wenn cisco und co das ignorieren sollen, sollen sie. prüfen wird man es wohl eher schwer können, außer man baut standardmäßig als client mehrer verbindungen auf und schaut, ob die parameter gleich sind. anhand einer einzelnen verbindung ist das nicht zu erkennen, was wiederum ein indiz dafür ist, dass sowas eben nur eine empfehlung in zusammenhang mit dem standard sein sollte. deshalb finde ich die diskussion sinnlos.

  9. Re: Wieso können sie das nicht machen, ohne den Standard zu beeinflussen?

    Autor: Nocta 22.07.17 - 16:49

    Vermutlich hast du Recht und vielleicht steht sogar sowas wie "SHOULD" dabei, dass neue Keys erstellt werden *sollten* und nicht *müssen*.

    Ich denke, die Diskussion führt uns nicht weiter, man müsste da wirklich konkret den Standard lesen und die Argumente haben vielleicht auch mehr Facetten, als im Artikel dargestellt.

    > ich seh den standard erfüllt, sobald zwei unterschiedliche implementierungen miteinander erfolgreich kommunizieren können.

    Das will ich allerdings nicht so stehenlassen. Es gibt oft Implementierungen, bei denen andere Implementierungen Workarounds finden müssen, damit alles kompatibel ist. Oder wo nur bestimmte Szenarien wirklich funktionieren. Nicht speziell auf TLS bezogen, aber da gibt es auch einige nicht-standardkonforme Implementierungen, bei denen man aber trotzdem erfolgreiche Kommunikationen mit anderen Implementierungen erreichen kann. Das kann sogar so weit gehen, dass in einer Aktualisierung des Standards berücksichtigt werden muss, dass es nicht-standardkonforme Clients gibt und dass sie nicht richtig auf die Änderung reagieren würden, man daher Workarounds finden muss. Daher reicht eine erfolgreiche Kommunikation nicht wirklich aus, wenn es nur durch Workarounds oder nur mit Einschränkungen geht. Auch kann man den Sinn eines Standards Ad Absurdum führen, ohne die Kommunikation zweier Teilnehmer zu beeinträchtigen. Aber das wird jetzt ganz stark OT :)



    2 mal bearbeitet, zuletzt am 22.07.17 16:52 durch Nocta.

  10. Re: Wieso können sie das nicht machen, ohne den Standard zu beeinflussen?

    Autor: __destruct() 22.07.17 - 16:55

    "ich seh den standard erfüllt, sobald zwei unterschiedliche implementierungen miteinander erfolgreich kommunizieren können." Ist wohl wirklich etwas weit gefasst. Ich sehe einen Standard als erfüllt an, sofern die Implementierung mit allen Implementierungen des Standards in allen Situationen kommunizieren kann. Und das scheint hier gegeben zu sein.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. SEW-EURODRIVE GmbH & Co KG, Bruchsal
  2. IBC SOLAR AG, Bad Staffelstein
  3. EUROGATE GmbH & Co. KGaA, KG, Hamburg, Bremerhaven
  4. Dataport, verschiedene Standorte

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 239,00€
  2. 259€ + Versand oder kostenlose Marktabholung
  3. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


5G-Report: Nicht jedes Land braucht zur Frequenzvergabe Auktionen
5G-Report
Nicht jedes Land braucht zur Frequenzvergabe Auktionen

Die umstrittene Versteigerung von 5G-Frequenzen durch die Bundesnetzagentur ist zu Ende. Die Debatte darüber, wie Funkspektrum verteilt werden soll, geht weiter. Wir haben uns die Praxis in anderen Ländern angeschaut.
Ein Bericht von Stefan Krempl

  1. AT&T Testnutzer in 5G-Netzwerk misst 1,7 GBit/s
  2. Netzausbau Städtebund-Chef will 5G-Antennen auf Kindergärten
  3. SK Telecom Deutsche Telekom will selbst 5G-Ausrüstung entwickeln

Ocean Discovery X Prize: Autonome Fraunhofer-Roboter erforschen die Tiefsee
Ocean Discovery X Prize
Autonome Fraunhofer-Roboter erforschen die Tiefsee

Öffentliche Vergaberichtlinien und agile Arbeitsweise: Die Teilnahme am Ocean Discovery X Prize war nicht einfach für die Forscher des Fraunhofer Instituts IOSB. Deren autonome Tauchroboter zur Tiefseekartierung schafften es unter die besten fünf weltweit.
Ein Bericht von Werner Pluta

  1. JAB Code Bunter Barcode gegen Fälschungen

Projektmanagement: An der falschen Stelle automatisiert
Projektmanagement
An der falschen Stelle automatisiert

Kommunikationstools und künstliche Intelligenz sollen dabei helfen, dass IT-Projekte besser und schneller fertig werden. Demnächst sollen sie sogar Posten wie den des Projektmanagers überflüssig machen. Doch das wird voraussichtlich nicht passieren.
Ein Erfahrungsbericht von Marvin Engel


    1. Funklöcher: Telekom weist Vorwürfe zu schlechtem Antennenstandort zurück
      Funklöcher
      Telekom weist Vorwürfe zu schlechtem Antennenstandort zurück

      Nach den Vorwürfen eines Ortsteilbürgermeisters bei der Standortauswahl in einem Ort in Thüringen sieht sich die Telekom missverstanden. Auch sei die Ausleuchtung beider Ortsteile mit einer Antenne nicht möglich, sagt ein Sprecher.

    2. Bethesda: Wolfenstein Youngblood erscheint mit Nazis und Hakenkreuzen
      Bethesda
      Wolfenstein Youngblood erscheint mit Nazis und Hakenkreuzen

      Kein anonymes Regime, sondern Nazis und keine erfundenen Symbole, sondern Hakenkreuze: Wolfenstein Youngblood und das VR-Actionspiel Cyberpilot erscheinen auch in Deutschland in einer ungeschnittenen Version.

    3. Roli Lumi: Mit LED-Keyboard und Guitar-Hero-Klon musizieren lernen
      Roli Lumi
      Mit LED-Keyboard und Guitar-Hero-Klon musizieren lernen

      Roli will Anfängern den Einstieg in das Musikmachen erleichtern und finanziert deshalb auf Kickstarter das Roli-Lumi-Keyboard mit passender App. Nutzer lernen damit, Lieder zu spielen, indem das Keyboard die richtigen Tasten aufleuchten lässt. Es lassen sich zwei Keyboards zu einem größeren zusammenstecken.


    1. 18:13

    2. 17:54

    3. 17:39

    4. 17:10

    5. 16:45

    6. 16:31

    7. 15:40

    8. 15:27