1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › IT-Sicherheit: Windows 10 kann WLAN…

beschönigender Artikel: die Verschlüsselung ist komplett nutzlos

  1. Thema

Neues Thema Ansicht wechseln


  1. beschönigender Artikel: die Verschlüsselung ist komplett nutzlos

    Autor: Katsuragi 09.07.15 - 10:53

    Ein Wenig schade (und sehr irreführend) finde ich die Formulierung im Artikel, dass der Verschlüsselung Microsofts vertraut werden müsse.
    Diese Verschlüsselung ist nämlich komplett irrelevant. Da WLAN-PSKs im Klartext vorliegen müssen _muss_ jeder Client das Ganze entschlüsseln können, es muss also eine umkehrbare Verschlüsselung mit vorhandenem Key auf jedem Endgerät verwendet werden. D.h. im Ergebnis sind die WLAN-Zugangsdaten auf den Endgeräten völlig unabhängig vom eingesetzten Verfahren nur "verschleiert" und können mit entsprechenden Werkzeugen (auch automatisiert) ausgelesen werden.

    Es steht also zu erwarten, dass Trojaner in Zukunft auch massenweise Zugangsdaten zu WLANs abgreifen werden. Und der Betreiber kann nicht viel dagegen tun. Mal ehrlich: wer wird schon "optout" an seine SSID anhängen...?

    Das wird lustig mit der deutschen Störerhaftung. In dem Zusammenhang auch natürlich das "Feature" Zugangsbedingungen automatisch zu akzeptieren. Ist das dann noch rechtswirksam? Natürlich nicht; vor allem auch nicht für den Betreiber des WLANs.

  2. Re: beschönigender Artikel: die Verschlüsselung ist komplett nutzlos

    Autor: zu Gast 09.07.15 - 12:33

    Katsuragi schrieb:
    --------------------------------------------------------------------------------
    > Ein Wenig schade (und sehr irreführend) finde ich die Formulierung im
    > Artikel, dass der Verschlüsselung Microsofts vertraut werden müsse.
    > Diese Verschlüsselung ist nämlich komplett irrelevant. Da WLAN-PSKs im
    > Klartext vorliegen müssen _muss_ jeder Client das Ganze entschlüsseln
    > können, es muss also eine umkehrbare Verschlüsselung mit vorhandenem Key
    > auf jedem Endgerät verwendet werden.

    Die Daten werden über einen verschlüsselten Kanal auf den Server hinterlegt und dort verschlüsselt. Der Client muss auch nichts entschlüsseln, da die Daten über einen verschlüsselten Kanal dem Gerät übertragen werden.
    Die Daten liegen quasi nur auf dem Server in verschlüsselter Form vor.

    >Es steht also zu erwarten, dass Trojaner in Zukunft auch massenweise Zugangsdaten >zu WLANs abgreifen werden.
    Wie eh und je

  3. Re: beschönigender Artikel: die Verschlüsselung ist komplett nutzlos

    Autor: Katsuragi 09.07.15 - 13:04

    zu Gast schrieb:
    --------------------------------------------------------------------------------
    > Die Daten werden über einen verschlüsselten Kanal auf den Server hinterlegt
    > und dort verschlüsselt.
    > Der Client muss auch nichts entschlüsseln, da die
    > Daten über einen verschlüsselten Kanal dem Gerät übertragen werden.
    > Die Daten liegen quasi nur auf dem Server in verschlüsselter Form vor.

    Sorry, aber da ist, milde gesagt, Skepsis angebracht.
    Ein PSK muss auf dem WLAN-Client unverschlüsselt vorliegen, sonst kann der sich damit nicht dem WLAN AP gegenüber authentifizieren. Dazwischen kann man so viele Verkomplizierungen setzen wie man will, aber am Ende braucht man den PSK, und der muss daher spätestens auf dem Client entschlüsselt werden. Selbst wenn man das vor dem Endnutzer verbirgt, so bleibt der PSK damit auslesbar.

    Theoretisch machbar wäre es natürlich den Key-Austausch über einen Microsoft-Server zu machen, also praktisch den Authentifikations-Teil des WLAN-Clients zu Microsoft zu verlegen. Aber wie soll das gehen, denn zum Zeitpunkt der Authentifikation hat der Client ja noch gar keine Internet-Verbindung?

    > >Es steht also zu erwarten, dass Trojaner in Zukunft auch massenweise
    > Zugangsdaten >zu WLANs abgreifen werden.
    > Wie eh und je

    Wird aber durch die praktisch unkontrollierte Verbreitung in diesem Fall noch gefährlicher.

  4. Re: beschönigender Artikel: die Verschlüsselung ist komplett nutzlos

    Autor: zu Gast 09.07.15 - 13:38

    Du hast es offenbar noch nicht so ganz verstanden.

    Gibt jemand ein Wlan frei, so werden die erforderlichen Daten auf den Server von Microsoft übertragen (sofern sie nicht ohnehin im Rahmen der Einstellungssicherung vor liegen) . Dort liegen sie in verschlüsselter Form vor. Von dort, werden diese Daten im Rahmen der Windows10-Syncronisation an die berechtigten Clienten ausgeliefert.

    Löscht derjenige die Freigabe wieder, werden mit der nächsten Synchronisation diese Daten vom anderen Client wieder gelöscht.

    Ja, solange der Client die Daten nicht hat, kann er sich auch nicht verbinden. Das bedeutet, das die Freigabe früher erfolgen muss oder kurzweilig anderweitig ein Zugang erforderlich ist.

    Im Artikel heißt es ja auch ausdrücklich:
    "Bis das Kennwort verteilt wird, kann es laut Microsoft ein paar Tage dauern, vermutlich bis genügend Zeit für eine Synchronisierung der Daten war."

    > Ein PSK muss auf dem WLAN-Client unverschlüsselt vorliegen, sonst kann der
    > sich damit nicht dem WLAN AP gegenüber authentifizieren.
    Die Daten sind bereits jetzt auf dem Client verschlüsselt. Zumindest so, das man sie nicht einfach lesen kann.



    2 mal bearbeitet, zuletzt am 09.07.15 13:51 durch zu Gast.

  5. Re: beschönigender Artikel: die Verschlüsselung ist komplett nutzlos

    Autor: Katsuragi 10.07.15 - 10:47

    zu Gast schrieb:
    --------------------------------------------------------------------------------
    > Du hast es offenbar noch nicht so ganz verstanden.

    Ich denke ich habe das sehr gut verstanden, zumindest anhand der unvollständigen bisher verfügbaren Informationen.

    > Gibt jemand ein Wlan frei, so werden die erforderlichen Daten auf den
    > Server von Microsoft übertragen (sofern sie nicht ohnehin im Rahmen der
    > Einstellungssicherung vor liegen) . Dort liegen sie in verschlüsselter Form
    > vor. Von dort, werden diese Daten im Rahmen der Windows10-Syncronisation an
    > die berechtigten Clienten ausgeliefert.

    Nichts anderes habe ich gesagt. Die "verschlüsselte Form" auf dem Microsoft-Server ist allerdings schon hier nur Placebo, da sie umkehrbar sein muss. Theoretisch denkbar wäre eine asymmetrische Verschlüsselung mit einem separaten Key für jeden der Kontakte, aber bis zum Beweis dieses recht aufwändigen Verfahrens gehe ich davon aus, dass es sich Microsoft einfacher gemacht hat.

    Wichtig ist allerdings, dass die Zugangsdaten nicht vom _Betreiber_ des WLANs hochgeladen werden, sondern potentiell von _jedem_ Nutzer, der den PSK hat.
    Übrigens inklusive Positionsdaten des WLAN AP.

    > Löscht derjenige die Freigabe wieder, werden mit der nächsten
    > Synchronisation diese Daten vom anderen Client wieder gelöscht.

    In der Tat. Aber wie oft wird so eine Freigabe wohl geändert, wenn sie auf der Kontaktlisten in Skype basiert...? Vor allem weil man wohl nicht fein selektieren kann. Es geht nur die ganze Kontaktliste oder niemand.

    > Ja, solange der Client die Daten nicht hat, kann er sich auch nicht
    > verbinden. Das bedeutet, das die Freigabe früher erfolgen muss oder
    > kurzweilig anderweitig ein Zugang erforderlich ist.

    Ja. Damit das praktikabel ist werden diese Daten aber mit anzunehmender Sicherheit schon vorher (nämlich bei Freigabe) zu Microsoft hochgeladen und dann an die Clients verteilt, und zwar inklusive der Positionsdaten. Denn das ganze Verfahren wäre sinnlos, wenn man vor Verbindung mit einem (noch) unbekannten WLAN erst eine andere Internetverbindung bräuchte, über die man Microsoft dann fragt, ob das WLAN bekannt ist und von einem Kontakt freigegeben wurde.

    > Im Artikel heißt es ja auch ausdrücklich:
    > "Bis das Kennwort verteilt wird, kann es laut Microsoft ein paar Tage
    > dauern, vermutlich bis genügend Zeit für eine Synchronisierung der Daten
    > war."

    ^^ das spricht für meine Interpretation des Verfahrens. Wenn die Abfrage der Zugangsdaten live wäre, dann bräuchte man keine mehrtägige Verzögerung für den Sync (was sowieso nicht gerade für Microsofts Sync-Methode spricht, aber das steht auf einem anderen Blatt).

    > Die Daten sind bereits jetzt auf dem Client verschlüsselt. Zumindest so,
    > das man sie nicht einfach lesen kann.

    Ich wiederhole: der Key zum Entschlüsseln dieser Daten muss auf dem Client vorliegen und kann ausgelesen werden. Dürfte dann ähnlich gehen wie z.B. bei den Seriennummern von Microsoft-Produkten, die in der Registry verschleiert werden. Ein Schutz ist das nicht, da es wahrscheinlich schon jetzt Software gibt, die das Auslesen automatisiert. Wie immer in solchen Fällen wird sich das Verfahren in kürzester Zeit herumsprechen.

    Was bleibt ist, dass ein auf einem Windows-Gerät gespeicherter PSK (auch bei Nutzern, nicht nur beim Besitzer eines AP!) sich blitzschnell ziemlich unkontrolliert in der Weltgeschichte verbreiten wird (u.a. Skype Kontaktliste!). Das Ganze wird dann auch noch garniert mit der Geolocation des APs. "Vorsicht" werden dabei wohl nur die wenigsten Benutzer walten lassen.

    Das wird Wardriving komplett überflüssig machen. In wenigen Wochen wird es Bibliotheken mit Millionen von ausgespähten WLAN-Zugangsdaten im Netz geben.

    Andererseits kann das natürlich auch praktisch sein: ein besseres öffentliches Hotspot-Netz kann man sich wohl kaum wünschen...

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Hays AG, Brandenburg
  2. KION Group AG, Frankfurt am Main
  3. Eurowings Aviation GmbH, Köln
  4. über Hays AG, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (aktuell u. a. MSI Optik MAG271CP Gaming-Monitor für 279,00€, Corsair Gaming Void Pro 7.1...
  2. (u. a. Crucial Ballistix Sport LT 16 GB DDR4-3200 für 62,39€ statt 76,98€ im Vergleich...
  3. 3€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Huawei-Gründer Ren Zhengfei: Der Milliardär, der im Regen auf ein Taxi wartet
Huawei-Gründer Ren Zhengfei
Der Milliardär, der im Regen auf ein Taxi wartet

Huawei steht derzeit im Zentrum des Medieninteresses - und so wird auch mehr über den Gründer und Chef Ren Zhengfei bekannt, der sich bisher so gut wie möglich aus der Öffentlichkeit ferngehalten hatte.
Ein Porträt von Achim Sawall

  1. US-Handelsboykott Ausnahmeregelung für Geschäfte mit Huawei erneut verlängert
  2. "Eindeutiger Beweis" US-Regierung holt ihre "Smoking Gun" gegen Huawei heraus
  3. 5G Unionsfraktion lehnt Verbot von Huawei einstimmig ab

Threadripper 3990X im Test: AMDs 64-kerniger Hammer
Threadripper 3990X im Test
AMDs 64-kerniger Hammer

Für 4.000 Euro ist der Ryzen Threadripper 3990X ein Spezialwerkzeug: Die 64-kernige CPU eignet sich exzellent für Rendering oder Video-Encoding, zumindest bei genügend RAM - wir benötigten teils 128 GByte.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ryzen Mobile 4000 (Renoir) Lasst die Ära der schrottigen AMD-Notebooks enden!
  2. HEDT-Prozessor 64-kerniger Threadripper schlägt 20.000-Dollar-Xeons
  3. Ryzen Mobile 4000 AMDs Renoir hat acht 7-nm-Kerne für Ultrabooks

Pathfinder 2 angespielt: Abenteuer als wohlwollender Engel oder rasender Dämon
Pathfinder 2 angespielt
Abenteuer als wohlwollender Engel oder rasender Dämon

Das erste Pathfinder war mehr als ein Achtungserfolg. Mit dem Nachfolger möchte das Entwicklerstudio Owlcat Games nun richtig durchstarten. Golem.de konnte eine frühe Version des Rollenspiels bereits ausprobieren.
Von Peter Steinlechner

  1. 30 Jahre Champions of Krynn Rückkehr ins Reich der Drachen und Drakonier
  2. Dungeons & Dragons Dark Alliance schickt Dunkelelf Drizzt nach Icewind Dale

  1. CPU-Befehlssatz: Open Power zeigt erstmals geplante Open-Source-Lizenz
    CPU-Befehlssatz
    Open Power zeigt erstmals geplante Open-Source-Lizenz

    Die Open Power Foundation hat den finalen Entwurf für die neue offene Lizenz der Power-ISA veröffentlicht. Damit sollen Unternehmen eigene Power-CPUs erstellen können.

  2. WhatsOnFlix: Smartphone-App für bessere Verwaltung der Netflix-Inhalte
    WhatsOnFlix
    Smartphone-App für bessere Verwaltung der Netflix-Inhalte

    Bei einem Netflix-Abo kommen ständig neue Inhalte dazu, dafür verschwinden andere. Netflix informiert Abonnenten darüber nur unzureichend. Hier soll die App WhatsOnFlix aushelfen, die außerdem eine Suche nach Inhalten mit etlichen Filtermöglichkeiten bietet.

  3. In eigener Sache: Die offiziellen Golem-PCs sind da
    In eigener Sache
    Die offiziellen Golem-PCs sind da

    Leise, schnell, aufrüstbar: Golem.de bietet erstmals eigene PCs für Kreative und Spieler an. Alle Systeme werden von der Redaktion konfiguriert und getestet, der Bau und Vertrieb erfolgen über den Partner Alternate.


  1. 10:19

  2. 09:20

  3. 09:01

  4. 08:27

  5. 08:00

  6. 07:44

  7. 07:13

  8. 11:37