1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Lucky Thirteen…

@golem: Spezifikation versus Implementierung??

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. @golem: Spezifikation versus Implementierung??

    Autor: Tuxianer 05.02.13 - 02:34

    > warnen vor einer Schwachstelle, die die Sicherheit im Web gefährde: Sie stecke in der Spezifikation
    Angenommen, das stimmt: Das Problem steckt also in der Spezifikation.

    > Die Forscher konnten das Problem bei OpenSSL und GnuTLS bestätigen, [...]
    Wenn das Problem in einer fehlerhaften Spezifikation fußt, dann muss es ALLE Implementierungen betreffen, die die fehlerhafte Spezifikation korrekt umsetzen.

    > AlFardan und Paterson haben zudem die Quelltexte von NSS, PolarSSL, yaSSL,
    > BouncyCastle und OpenJDK analysiert und kommen zu dem Schluss, dass praktisch
    > alle verwundbar seien.
    Siehe oben: Spezifikation --> es sind alle Implementierungen betroffen. Und OpenJDK... hat mit der fehlerhaft spezifiztierten Verschlüsselung was genau zu tun, abgesehen davon, dass man die fehlerhaft spezifizerte Chiffrierung auch in Java nutzen kann? Das gilt dann nämlich auch für alle Skriptsprachen für Server.

    > Die Forscher haben mit den Entwicklern mehrere TLS- und DTLS-Implementierungen erarbeitet
    Wenn es ein Spezifikationsproblem ist, bringt eine Neu-Implementierung nichts. Die Spezifikation muss korrigiert werden.

    > [...] muss der gleiche Text mehrfach an der gleichen Position im Klartext gesendet werden.
    Das ist wohl in 99 Prozent der mit einem dieser Verfahren verschlüsselten Internet-Seiten der Fall, weil gewisse Dinge wie z. B. der Titelbereich der Elektronik-Banking-Seiten oder des Shop-Systems über Momante hinweg sehr stabil bleiben. Auch die Position der Eingabefelder für Nutzername oder Kundennummer und Passwort sind normalerweise fest. Daher müssten die Antworten doch auch immer an derselben Stelle stehen, oder?

    > [...] wobei der Angreifer sich im gleichen LAN befinden muss wie sein Opfer.
    Warum? Wenn die Spezifikation der Verschlüsselung fehlerhaft ist, dann ist es doch vollkommen irrelevant, ob der Abhör-Willige die Nachbar-IP benutzt oder am anderen Ende der Welt hockt; solange es ihm gelingt, den Datenstrom mitzuhören, weil er z. B. einen Troyaner auf dem Rechner seines Opfers hängen hat, der nur ganz diskret die Netzwerk-Daten doppelt sendet bzw. eingehende spielgelt und sonst ganz leise ist, dann hat der Abhör-Willige doch alles, was er braucht.


    Grundsätzlich: Wenn sich ein chiffrierter Datenstrom wegen eines Spezifikationsfehlers dechiffrieren lässt, dann sieht das eher nach verstecktem Scheunentor aus, sprich: nach Absicht, quasi nach dem rekonstruiergaren Generalschlüssel. Was nicht überrascht, ist, dass keine staatliche Stelle meckert; die brauchen wohl ihre Vorratsdatenspeicherdechiffrierungsmöglichkeit...

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Administrator (m/w/d) mit Schwerpunkt VMware
    Bayerische Versorgungskammer, München (Home-Office möglich)
  2. Informatiker/IT-Fachkraft (w/m/d)
    Niederrheinische Industrie- und Handelskammer Duisburg-Wesel-Kleve zu Duisburg, Duisburg
  3. Network / Security Engineer (m/w/d)
    HCD Consulting GmbH, München
  4. IT-Systemadministrator (m/w/d) Projekte
    Bayerischer Jugendring, München

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. ab 69,99€ (Release: 09.11.22)
  2. (u. a. Cadet Edition für 8,99€ statt 39€, Together for Victory für 6,99€ statt 14,99€)
  3. 49,99€ (inkl. Bonusmission "Die vierzig Räuber")
  4. ab 34,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Star-Wars-Fandom: Die neue Wertschätzung und die alte Toxizität
Star-Wars-Fandom
Die neue Wertschätzung und die alte Toxizität

Über den toxischen Zustand des Star-Wars-Fandoms wird viel geschrieben, doch wie hat es angefangen? Ende des letzten Jahrtausends und unter medialer Beteiligung.
Von Peter Osteried

  1. James Earl Jones Darth Vader gibt seine Stimme an ukrainisches Unternehmen ab
  2. Andor Folge 1 bis 3 rezensiert Ein bisschen Blade Runner in Star Wars
  3. Macht und Marvel Disney will Spiele mit Star Wars und Superhelden zeigen

Cloud-Services to go: Was können Azure, AWS & Co?
Cloud-Services to go
Was können Azure, AWS & Co?

"There is no cloud, it's just someone else's computer" - ein Satz, oft zu lesen und nicht so falsch - aber warum sollten wir überhaupt Software oder Daten auf einem anderen Computer speichern?
Eine Analyse von Rene Koch

  1. Hyperscaler Die Hyperskalierung der Angst vor den eigenen Schwächen
  2. Microsoft Neues Lizenzmodell schließt Google und AWS weiter aus
  3. Cloud Einmal Einsparen, bitte?

Return to Monkey Island angespielt: Schön, mal wieder hier zu sein
Return to Monkey Island angespielt
Schön, mal wieder hier zu sein

Guybrush Threepwood ist zurück - und mit ihm sein Erfinder Ron Gilbert. Aber ist das neue Monkey Island auch so gut wie seine Vorgänger?
Eine Rezension von Daniel Ziegener

  1. Boox Mira im Test Ein Display wie aus Papier