1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Internet im Flugzeug: Gogo benutzt…

Also ist SSL unsicher

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Also ist SSL unsicher

    Autor: LinuxNerd 06.01.15 - 17:25

    Denn das was irgend so ein kack provider kann das können NSA und co bestimmt. U.a gibts ja auch Virenscanner die damit werben SSL Verbindungen durchleuchten zu können. Von daher ist davon auszugehen das SSL im Arsch ist, da müsste schon ein neues Protokoll her das sicherer ist.

    ..........................................................................
    Anonyme zensurfreie Internet Nutzung:
    https://www.torproject.org
    https://tails.boum.org/index.de.html

  2. Re: Also ist SSL unsicher

    Autor: raphaelo00 06.01.15 - 17:34

    War es schon immer. Das Aushandeln der Schlüssel ist von vornherein nicht vor Manipulation gefeit gewesen.

  3. Re: Also ist SSL unsicher

    Autor: WilliTheSmith 06.01.15 - 18:04

    Ein Man-in-the-Middle-Angriff war schon immer möglich. Das Problem ist dabei nur, das man i.d.R. kein signiertes Zertifikat für die Website besitzt. Vor solchen Zertifikaten warnen Browser und jeder Mensch, der halbwegs bei Verstand ist, sollte den Browser nicht dazu überreden, die verschlüsselte Verbindung dennoch aufzubauen. Erst recht nicht, wenn die Gegenseite eine große Firma wie Google ist, denn hier sollte klar sein, das da was im Busch steckt, wenn das Zertifikat ungültig ist.

  4. Re: Also ist SSL unsicher

    Autor: waswiewo 06.01.15 - 18:10

    Wie kommst du zu dem Schluss? Denn das Gegenteil ist der Fall. Ohne SSL würde die Manipulation gar nicht auffallen, erst durch SSL warnt jeder einigermaßen aktuelle Browser vor dem aufrufen der manipulierten Seite.

  5. Re: Also ist SSL unsicher

    Autor: WilliTheSmith 06.01.15 - 18:21

    Das musst du mir erklären. Soweit ich weiß, ist das Aushandeln von Schlüsseln bei Verwendung vom Diffie-Hellman-Schlüsselaustausch (z.B. ECDHE) sehr sicher, da ein Angreifer den symmetrischen Schlüssel aufgrund der DH-Problems nicht berechnen kann.

    Nur wenn man auf Diffie-Hellman verzichtet und z.B. nur RSA zum aushandeln der Schlüssel benutzt kann es Probleme geben, wenn irgendwann man der Private Schlüssel geleakt wird. Ab dann sind nämlich alle aufgezeichneten Verbindungen, die kein DH verwendet haben, entschlüsselbar.

    Ich bin kein Sicherheitsprofi, daher alle angaben ohne Gewähr. Bei Fehler berichtigt mich bitte. :)

  6. Re: Also ist SSL unsicher

    Autor: smirg0l 06.01.15 - 18:40

    WilliTheSmith schrieb:
    --------------------------------------------------------------------------------
    > Das musst du mir erklären. Soweit ich weiß, ist das Aushandeln von
    > Schlüsseln bei Verwendung vom Diffie-Hellman-Schlüsselaustausch (z.B.
    > ECDHE) sehr sicher, da ein Angreifer den symmetrischen Schlüssel aufgrund
    > der DH-Problems nicht berechnen kann.
    >
    > Nur wenn man auf Diffie-Hellman verzichtet und z.B. nur RSA zum aushandeln
    > der Schlüssel benutzt kann es Probleme geben, wenn irgendwann man der
    > Private Schlüssel geleakt wird. Ab dann sind nämlich alle aufgezeichneten
    > Verbindungen, die kein DH verwendet haben, entschlüsselbar.
    >
    > Ich bin kein Sicherheitsprofi, daher alle angaben ohne Gewähr. Bei Fehler
    > berichtigt mich bitte. :)

    Bringt aber nichts, wenn technisch nicht versierte einfach jedes Zertifikat blind abnicken. Ich glaube, darum geht es.

  7. Re: Also ist SSL unsicher

    Autor: cryptoman 06.01.15 - 18:42

    ECDHE ist aber nicht unbedingt zu 100% sicher.
    Wird der von der NSA unterwanderte "Zufalls"-Zahlengenerator Dual_EC_DRBG
    verwendet, war's das mit der Sicherheit.

    https://de.wikipedia.org/wiki/Dual_EC_DRBG

    Der Anwender kann leider nicht kontrollieren, welcher Zufallszahlengenerator zum Einsatz kam.

  8. Re: Also ist SSL unsicher

    Autor: WilliTheSmith 06.01.15 - 18:52

    Ich glaube das ist ein Mythos unter den technisch versierten Nutzern. Ich bekomme immer wieder Anrufe von besorgten Familienmitglidern/Freunden/Bekannten die eine Website mit Fehlerhaften Zertifikat aufgerufen haben. I.d.R. schließen sie sofort den Browser und Fragen mich, ob sie jetzt einen Virus haben.

    Aber meine Erfahrung ist natürlich nicht repräsentativ. ;)

  9. Re: Also ist SSL unsicher

    Autor: Wallbreaker 06.01.15 - 19:06

    Ich sags mal so, wer direkt in solch einer Art reagiert, der hat an Computersystemen nichts verloren. Da fehlt es schon an Grundwissen, was mehr als nur Pflicht sein muss heutzutage.

  10. Re: Also ist SSL unsicher

    Autor: Korschan 06.01.15 - 20:26

    Bei uns kommen auch immer wieder Meldungen rein von "unsicheren Website" ohne gültigem Zertifikat. Vorallem die weiblichen Anrufer sind dann ganz ängstlich und denken sie hätten den Firmen PC geschrottet ^^

  11. Re: Also ist SSL unsicher

    Autor: pythoneer 06.01.15 - 21:20

    LinuxNerd schrieb:
    --------------------------------------------------------------------------------
    > Denn das was irgend so ein kack provider kann das können NSA und co
    > bestimmt. U.a gibts ja auch Virenscanner die damit werben SSL Verbindungen
    > durchleuchten zu können. Von daher ist davon auszugehen das SSL im Arsch
    > ist, da müsste schon ein neues Protokoll her das sicherer ist.

    Ja du hast zu 100% recht. SSL ist im Arsch, sehr sogar – darum sollte man es auch nicht mehr verwenden. Das von dir angesprochene Nachfolgeprotokoll heißt übrigens TLS.

  12. Re: Also ist SSL unsicher

    Autor: M. 06.01.15 - 22:09

    Nein, Dual_EC_DRBG ist kein Problem weil den aktuelle TLS-Libs aus gutem Grund gar nicht erst eingebaut oder wieder rausgeschmissen haben.

    Das Problem ist, DHE und auch ECDHE schützt nur gegen Abhören, aber nicht gegen Manipulationen (Man-in-the-Middle-Attacken).
    Folgendes Beispiel: Alice möchte mit Bob sicher kommunizieren. Also handeln sie einen Schlüssel per ECDHA aus.
    Eve, die die Verbindung abhört, kann den Session-Key nicht berechnen und damit keine Daten mitlesen.
    Mallory hingegen kann die Pakete von Alice und Bob verändern. Er gibt sich nun gegenüber Alice als Bob aus, und gegenüber Bob als Alice (das kann er, weil er die Paketinhalte ändern kann). Mit beiden spielt er nun das ECDHE durch und erhält dann zwei Session-Keys, einen für die Verbindung mit Alice, einen für die Verbindung mit Bob. Daten zwischen den beiden Verbindungen leitet er weiter. Er hat damit den verschlüsselten Kanal aufgebrochen, Alice und Bob merken davon aber nichts.

    Um das zu verhindern kennt SSL (oder eben richtiger: TLS) Zertifikate. Damit bestätigt eine 'vertrauenswürdige' Zertifizierungsstelle, dass ein bestimmtes Schlüsselpaar wirklich Alice oder Bob gehört. Mit diesem Schlüsselpaar signieren sie beim ECDHE ihre Nachrichten. Damit kann sich Mallory auch dann nicht als Alice oder Bob ausgeben, wenn er die Datenpakete unterwegs manipulieren kann.

    There's no sense crying over every mistake,
    you just keep on trying 'till you run out of cake.

  13. Re: Also ist SSL unsicher

    Autor: Lala Satalin Deviluke 06.01.15 - 22:22

    Alles ist unsicher. Bloß nichts mehr verwenden!
    UND ALLES ist krebserregend! Sogar du bist für dich krebserregend!

    Grüße vom Planeten Deviluke!

  14. Re: Also ist SSL unsicher

    Autor: Anonymer Nutzer 06.01.15 - 22:28

    LinuxNerd schrieb:
    --------------------------------------------------------------------------------
    > Denn das was irgend so ein kack provider kann das können NSA und co


    Was hier immer wieder vergessen wird: Die Sicherheit hängt von der Vertrauenswürdigkeit des Zertifikats ab. Behörden wie die NSA dürften keine Probleme damit haben, einen CA davon zu "überzeugen", ihnen ein "gefälschtes" Zertifikat für eine Seite/Dienst auszustellen. Damit können sie die entsprechenden SSL Verbindung(en) abhören und der Browser zeigt noch brav in grün "sichere Verbindung" an

  15. Re: Also ist SSL unsicher

    Autor: Thorium 06.01.15 - 23:05

    RichardEb schrieb:
    --------------------------------------------------------------------------------
    > LinuxNerd schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Denn das was irgend so ein kack provider kann das können NSA und co
    >
    > Was hier immer wieder vergessen wird: Die Sicherheit hängt von der
    > Vertrauenswürdigkeit des Zertifikats ab. Behörden wie die NSA dürften keine
    > Probleme damit haben, einen CA davon zu "überzeugen", ihnen ein
    > "gefälschtes" Zertifikat für eine Seite/Dienst auszustellen. Damit können
    > sie die entsprechenden SSL Verbindung(en) abhören und der Browser zeigt
    > noch brav in grün "sichere Verbindung" an


    Ist aber ein heikles Spiel. Wenn sowas auffällt, hat die CA ein ganz großes Problem. Abstreiten kann sie es auch nicht, wenn jemand die Daten zum gefakten Zertifikat speichert.
    Wenn die NSA das nur selten für einzelne Ziele macht, kann das gutgehen. Breite Überwachung ist damit nicht zu machen.
    Da wäre es für die NSA vermutlich geschickter über einen Google-Mitarbeiter deren Zertifikate zu kopieren. Aber auch dann sollten die das nicht zu oft einsetzen, wenn sie entdeckt werden, kann das sehr viel Aufmerksamkeit auf sich ziehen.

  16. Re: Also ist SSL unsicher

    Autor: Anonymer Nutzer 06.01.15 - 23:09

    Thorium schrieb:
    --------------------------------------------------------------------------------
    > RichardEb schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > LinuxNerd schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Denn das was irgend so ein kack provider kann das können NSA und co
    > >
    > >
    > > Was hier immer wieder vergessen wird: Die Sicherheit hängt von der
    > > Vertrauenswürdigkeit des Zertifikats ab. Behörden wie die NSA dürften
    > keine
    > > Probleme damit haben, einen CA davon zu "überzeugen", ihnen ein
    > > "gefälschtes" Zertifikat für eine Seite/Dienst auszustellen. Damit
    > können
    > > sie die entsprechenden SSL Verbindung(en) abhören und der Browser zeigt
    > > noch brav in grün "sichere Verbindung" an
    >
    > Ist aber ein heikles Spiel. Wenn sowas auffällt, hat die CA ein ganz großes
    US Unternehmen können zu sowas schneller gezwungen werden als Sie gucken können. Und zu Stillschweigen werden sie gleich mit verdonnert.

  17. Re: Also ist SSL unsicher

    Autor: Thorium 06.01.15 - 23:17

    RichardEb schrieb:
    --------------------------------------------------------------------------------
    > Thorium schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > RichardEb schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > LinuxNerd schrieb:
    > > >
    > >
    > ---------------------------------------------------------------------------
    >
    > >
    > > > -----
    > > > > Denn das was irgend so ein kack provider kann das können NSA und co
    > > >
    > > >
    > > > Was hier immer wieder vergessen wird: Die Sicherheit hängt von der
    > > > Vertrauenswürdigkeit des Zertifikats ab. Behörden wie die NSA dürften
    > > keine
    > > > Probleme damit haben, einen CA davon zu "überzeugen", ihnen ein
    > > > "gefälschtes" Zertifikat für eine Seite/Dienst auszustellen. Damit
    > > können
    > > > sie die entsprechenden SSL Verbindung(en) abhören und der Browser
    > zeigt
    > > > noch brav in grün "sichere Verbindung" an
    > >
    > >
    > > Ist aber ein heikles Spiel. Wenn sowas auffällt, hat die CA ein ganz
    > großes
    > US Unternehmen können zu sowas schneller gezwungen werden als Sie gucken
    > können. Und zu Stillschweigen werden sie gleich mit verdonnert.

    Das Opfer kann es aber bemerken und auch beweisen, dass das Zertifikat gefälscht ist. Und dann ist die CA ziemlich verbrannt.
    Ich sehe es so: Wenn die NSA solche Verfahren einsetzt um 1000 Leute zu überwachen, dann kann sie Glück haben, nie erwischt zu werden (dann aber keine IT-Profis abhören). Wenn die NSA damit 1 Mrd Menschen komplett abhören will, wird sowas ganz schnell aufallen.

  18. Re: Also ist SSL unsicher

    Autor: luzipha 07.01.15 - 00:31

    Thorium schrieb:
    --------------------------------------------------------------------------------
    > ... wenn sie entdeckt werden, kann das sehr viel Aufmerksamkeit auf
    > sich ziehen.

    Du meinst mehr Aufmerksamkeit als zur Zeit? Sieh es ein, wir sind soweit, dass wir uns ohnehin alles gefallen lassen und nur noch ein wenig schmollen. Wirklich sauer ist doch nichtmal mehr jemand, wenn raus kommt, dass unsere Palamente systematisch abgehört wurde. Ja nichtmal die Tatsache, dass es seit Monaten bekannte und dennoch ungepatchte Sicherheitslücken in Betriebssystemen gibt regt die tumbe Masse ernsthaft auf.
    Es könnte sich morgen ein Sprecher der NSA vor eine Kamera stellen und der Welt live gestehen seit Jahrzehnten (Wirtschafts-)Spionage unter "Freunden" zu betreiben und damit auch nicht aufhören zu wollen und die Mehrheit würde mit den Schultern zucken und umschalten. "Nä, nicht schon wieder so viele Fakten die keiner mehr hören will!" würde es durch die Masse raunen.

    Noch vor wenigen Jahren wäre man für solche Äußerungen in die Geschlossene gekommen, paranoider Spinner hätten sie einen genannt. Heute wird man dafür nur noch als Spinner bezeichnet.

  19. Kollegen oder Kunden? Wer ruft da an?

    Autor: Yes!Yes!Yes! 07.01.15 - 07:27

    Kollegen? Was suchen die auf irgendwelchen dubiosen Websites?
    Kunden? Wieso habt ihr kein Zertifikat einer anerkannten Zertifizierungsstelle?

  20. "UND ALLES ist krebserregend! Sogar du bist für dich krebserregend!"

    Autor: Yes!Yes!Yes! 07.01.15 - 07:29

    Leicht überdramatisiert, aber nicht ganz falsch.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. STRABAG BRVZ GMBH & CO.KG, Stuttgart, Köln
  2. Bayerisches Landesamt für Gesundheit und Lebensmittelsicherheit, Erlangen, München, Oberschleißheim
  3. QEST Quantenelektronische Systeme GmbH, Holzgerlingen
  4. Bundeskriminalamt, Wiesbaden, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 629€ (Vergleichspreis: 721€)
  2. (aktuell u. a. Das neue Fire HD 8 Kids Edition-Tablet für 92,58€, Hoseili Bluetooth-In-Ear für...
  3. 27,43€


Haben wir etwas übersehen?

E-Mail an news@golem.de


UX-Designer: Computer sind soziale Akteure
UX-Designer
"Computer sind soziale Akteure"

User Experience Designer schaffen positive Erlebnisse, wenn Nutzer IT-Produkte verwenden. Der Job erfordert Liebe zum Detail und den Blick fürs große Ganze.
Ein Porträt von Louisa Schmidt

  1. Coronapandemie Viele IT-Freelancer erwarten schlechtere Auftragslage
  2. IT-Fachkräftemangel Es müssen nicht immer Informatiker sein
  3. Jobporträt IT-Produktmanager Der Alleversteher

Norbert Röttgen: Kandidat für CDU-Vorsitz streut alternative Fakten zu 5G
Norbert Röttgen
Kandidat für CDU-Vorsitz streut alternative Fakten zu 5G

In der explosiven Situation zwischen den USA und China zündelt Norbert Röttgen, CDU-Politiker mit Aspirationen auf den Parteivorsitz und die Kanzlerschaft, mit unrichtigen Aussagen zu 5G und Huawei.
Eine Analyse von Achim Sawall

  1. Handelskrieg Australiens Regierung greift Huawei wegen Rechenzentrum an
  2. 5G Verbot von Huawei in Deutschland praktisch ausgeschlossen
  3. Smartphone Huawei gehen die SoCs aus

8Sense im Test: Vibration am Kragen gegen Schmerzen im Rücken
8Sense im Test
Vibration am Kragen gegen Schmerzen im Rücken

Das Startup 8Sense will mit einem Ansteckclip einer Bürokrankheit entgegenwirken: Rückenschmerzen. Das funktioniert - aber nicht immer.
Ein Test von Oliver Nickel

  1. Rufus Cuff Handgelenk-Smartphone soll doch noch erscheinen
  2. Fitnesstracker im Test Aldi sportlich abgeschlagen hinter Honor und Mi Band 4