1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Street View: Google belauschte offene…

Verschlüsselung oder SSL

  1. Thema

Neues Thema Ansicht wechseln


  1. Verschlüsselung oder SSL

    Autor: ... --- ... 15.05.10 - 08:37

    "Zugriffe auf Google Mail nur noch verschlüsselt zuzulassen. Ab der kommenden Woche soll zudem eine verschlüsselte Version der Google-Suche angeboten werden"

    ... und als Nebeneffekt ist man plötzlich eindeutig identifizierbar. Das bringt die SSL Technik mit sich. Die Verschlüsselung ist eigentlich ein "Abfallprodukt".

  2. Re: Verschlüsselung oder SSL

    Autor: Blubsi 15.05.10 - 09:10

    ... --- ... schrieb:
    --------------------------------------------------------------------------------
    > ... und als Nebeneffekt ist man plötzlich eindeutig identifizierbar. Das
    > bringt die SSL Technik mit sich. Die Verschlüsselung ist eigentlich ein
    > "Abfallprodukt".

    Kannst Du bitte kurz erklären was du damit meinst?
    Wieso sollte man dadurch identifizierbar sein, man verwendet doch kein eigenes persönliches Zertifikat?

    Gruß,
    Blubsi

  3. Re: Verschlüsselung oder SSL

    Autor: Loolig 15.05.10 - 09:28

    Ich glaub hier verwechselt jemand SSL mit VPN.. ;)

  4. Re: Verschlüsselung oder SSL

    Autor: ... --- ... 15.05.10 - 10:35

    @Looling und Blubsi

    Die verschlüsselung die Google bei den eMaildiensten voraussetzt basiert auf SSL.
    VPN, sofern IPSEC oder OPENVPN gemeint ist hat auch SSL als Basis.

    SSL/TLS: http://en.wikipedia.org/wiki/Transport_Layer_Security
    VPN: http://en.wikipedia.org/wiki/VPN

    Damit SSL aber funktioniert ist in irgendeiner Form ein Zertifikat ( offiziell, inoffiziell, selfsigned) erforderlich.

    Und hier entsteht die Identifizierbarkeit. Ein Zertifikat kann nur ausgestellt werden wenn man irgendjemanden "vertraut". Man muß diesem (CA, usw...) seine Identität bekannt geben.

    Bei SSL über das WEB (HTTPS, POP3S, SMTP TLS usw...) wird als erste Identität die offizielle IP Adresse verwendet!


    So, nun muß man das Ganze mal so betrachten, welche (Finanziellen) Interessen Google eigentlich hat. Google hat sicherlich nichts zu verschenken und ist auch nicht die Caritas.

    Verkauft wird alles unter dem Gesichtspunkt der Sicherheit. Tolle Sache.
    Tatsächlich aber, rein von der technischen Seite betrachtet, weiß der Google Server wer genau die eMails liest und auch von woher.


    Ein bisschen weitergedacht: Was würde wohl passieren, wenn Google die inoffiziellen Zertifikate plötzlich ausschließt und SSL nur mehr akzeptiert wird, wenn ein amtliches Zertifikat installiert sein muss. Die Technik ist ja schon da.

    Internet nur via SSL, das wäre auch was. Plötzlich keine Internetkriminalität mehr.

  5. Re: Verschlüsselung oder SSL

    Autor: Stilgar 15.05.10 - 10:56

    > ... und als Nebeneffekt ist man plötzlich eindeutig identifizierbar. Das
    > bringt die SSL Technik mit sich. Die Verschlüsselung ist eigentlich ein
    > "Abfallprodukt".

    Wer auf eine google Seite geht ist auch heute schon eindeutig identifizierbar (Browser Fingerprint, Cookies,IP Adresse, ganz wesentlich Daten die man freiwillig eingibt...).

    Bei Https/SSL wird normalerweise *nur* der Server mittels Zertifikat authentisiert. Client Zertifikate sind sehr selten (hat auch kaum jemand).
    Https hilft google also nicht dich besser zu identifizieren. Braucht google aber auch gar nicht weil google das heute schon sehr gut kann.

  6. Re: Verschlüsselung oder SSL

    Autor: klugsch... 15.05.10 - 11:48

    ... --- ... schrieb:

    > Internet nur via SSL, das wäre auch was. Plötzlich keine
    > Internetkriminalität mehr.

    Du verwechselst client- und serverseitige Zertifikate.
    Wie immer ist es ratsam, die Seiten auch zu lesen die man verlinkt.

    Lies einfach mal die Absätze "Simple TLS handshake" und "Client-authenticated TLS handshake" vielleicht wird dir dann der Unterschied klarer.

  7. Re: Verschlüsselung oder SSL

    Autor: ohjeeeeeeeeeeee 15.05.10 - 12:10

    ... --- ... schrieb:
    --------------------------------------------------------------------------------
    > @Looling und Blubsi
    >
    > Die verschlüsselung die Google bei den eMaildiensten voraussetzt basiert
    > auf SSL.
    > VPN, sofern IPSEC oder OPENVPN gemeint ist hat auch SSL als Basis.
    >

    meine fresse, soviel halbwissen und dann auch noch schlau tun - aua das tut echt weh

    bei nem SSL handshake wird nicht mehr oder weniger informationen preisgegeben als wenn du mittels http eine verbindung aufbaust, IP, browser version, os version je nach browser, und das wars

    ssl ist eine session basierte verschlüsselung, keine asymmetrische public key verschlüsselung, da braucht der client kein zertifikat, das gleiche gilt für den server - der server hat in dem fall nur ein zertifikat um sich ausweisen zu können, mit der verschlüsselung hat dass an sich erstmal nix zu tun

  8. Re: Verschlüsselung oder SSL

    Autor: ... --- ... 15.05.10 - 12:19

    @ohjeeeeeeeeeeee

    Guter Mann,

    Denke mal darüber nach welchem Verfahren der symetrische Schlüssel ausgetauscht wird.

    @klugsch

    http://publib.boulder.ibm.com/iseries/v5r1/ic2924/index.htm?info/apis/sslhands.htm

    Lest mal diese API, dann könnt Ihr g'scheit sein.
    :)

    So long

  9. Re: Verschlüsselung oder SSL

    Autor: klugsch... 15.05.10 - 12:24

    ... --- ... schrieb:

    > Lest mal diese API, dann könnt Ihr g'scheit sein.
    > :)

    unsigned char* peerCert (output)
    The pointer to the certificate received from the peer system. For a client, this is a pointer to the server's certificate. For a server with client authentication enabled, this is a pointer to the client's certificate. For a server without client authentication this pointer value remains unchanged.

    int how (input)
    The type of SSL handshake to be performed:
    0 Perform the handshake as a client.

    Bist du jetzt g'scheiter?

  10. Re: Verschlüsselung oder SSL

    Autor: Martin F. 15.05.10 - 12:25

    ... --- ... schrieb:
    -----------------------------------------------------------------------------
    > Internet nur via SSL, das wäre auch was. Plötzlich keine
    > Internetkriminalität mehr.

    Äh? Die Leute geben doch auf SSL-verschüsselten Seiten gerne alles preis, denn der Browser sagt ja, das ist sicher und seriös. Phishing und Abofallen sind nichtexistent.

    --
    Bitte prüfen Sie, ob Sie diesen Beitrag wirklich ausdrucken müssen!

  11. Re: Verschlüsselung oder SSL

    Autor: ... --- ... 15.05.10 - 12:48

    Irgendwie hasts noch nicht überrissen oder?

    SSL braucht immer zwei Zertifikate für den Session-Aufbau. Ansonsten wird's nichts. Es ist einerlei woher das ZErtifikat herkommt. Wenn der Client keins hat, wird automatisch eines mit der eigenen IP erzeugt und übermittelt.

    Wenn dem nicht so wäre, dann wäre SSL adabsurdum geführt oder?
    Oder hast du bei https://xxx.xxx immer ein Zertifikat installieren müssen?

    Der Datenaustausch läuft dann symetrisch, da ja die Sicherheit und die IDENTITÄT des gegenüber bekannt ist.

    Mir ist schon klar, bei den LPI und MCSE Kursen wird das nicht gelehrt. Für die tägliche Praxis und die Prüfungen ists ja wurscht.

    So long.

  12. Re: Verschlüsselung oder SSL

    Autor: SSL Handshake 15.05.10 - 13:41

    ... --- ... schrieb:
    --------------------------------------------------------------------------------
    > Irgendwie hasts noch nicht überrissen oder?

    > SSL braucht immer zwei Zertifikate für den Session-Aufbau.

    You sir, are an idiot!

    Kleiner Auszug aus der SSL-Spezifikation (Hervorhebungen von mir):
    --
    7.6.4 Certificate request

    A non-anonymous server can >>optionally<< request a certificate from the client, if appropriate for the selected cipher suite.

    ...

    7.6.6 Client certificate

    This is the first message the client can send after receiving a server hello done message. >>This message is only sent if the server requests a certificate.<< If no suitable certificate is available, the client should send a no certificate alert instead.
    --

  13. Re: Verschlüsselung oder SSL

    Autor: YHBT 15.05.10 - 14:51

    You have been trolled.

  14. Re: Verschlüsselung oder SSL

    Autor: Pukys 15.05.10 - 15:14

    Aber es wird ein Fingerprint erzeugt und gespeichert. Vorher warst du als User zumindest hinter der Firewall/dem NAT-Router relativ sicher, aber Fingerprint macht dich weiter identifizierbar (auch wenn nicht mit dem Namen im Klartext). Ändert sich deine IP durch eine Neueinwahl des Routers, der Fingerprint bleibt über den Ip-Wechel hinaus gleich.

  15. Re: Verschlüsselung oder SSL

    Autor: Himbeertroll 15.05.10 - 16:56

    Das wird aber auch Zeit, dass die Googlemail-Nutzer endlich über SSL identifiziert werden.
    Der Zustand, dass unidentifizierte Personen auf meine E-Mails zugreifen können, muss beendet werden!

  16. Aha

    Autor: Verwirrt 15.05.10 - 22:54

    ... --- ... schrieb:
    --------------------------------------------------------------------------------
    > Irgendwie hasts noch nicht überrissen oder?

    Dass du einen Sprung in der Schüssel hast hat jeder hier überrissen

    > SSL braucht immer zwei Zertifikate für den Session-Aufbau.

    Schwachsinn!
    Was genau verstehst du am Wort "optional" in den Spezifikationen nicht?

    > Es ist einerlei woher das ZErtifikat herkommt. Wenn der Client
    > keins hat, wird automatisch eines mit der eigenen IP erzeugt und
    > übermittelt.

    Was du so alles als Zertifikat bezeichnest *lol*

    > Wenn dem nicht so wäre, dann wäre SSL adabsurdum geführt oder?

    Der Handshake gilt genau für die laufende Session und basiert
    auf einem Arsch voll Zusatz-Infromationen warum ja Entropie-Quellen
    für Verschlüsselung so wichtig sind

    > Oder hast du bei xxx.xxx immer ein Zertifikat installieren müssen?

    Nach deiner Logik müstest du einen Serverbetreiber
    fragen ob er für jeden Besucher ein Cert installiert
    hat

    > Der Datenaustausch läuft dann symetrisch, da ja die Sicherheit und die
    > IDENTITÄT des gegenüber bekannt ist.

    Nur weil du Idiot das Wort Identität im Kontext nicht begreifst
    macht dein Paerlapapp nicht mehr Sinn

    Als Identität hier gilt "du bist bei einem request der gleiche vogel
    der den handshake am beginn der session durchgeführt hat"

    Du solltest versuchen die ganzen tollen Links die du so postest auch selbst zu lesen und zu verstehen

  17. Re: Aha

    Autor: ... --- ... 16.05.10 - 10:35

    So ist das.

    jetzt wird man also beleidigend.

    Eine typische Reaktion wenn einem die Argumente ausgehen. Dann haut man mal mit dem verbalen Holzhammer drauf.

    Ich habe einen konstruktiven Beitrag zum obigen Thema gestartet. Der Sinn war und ist den Horizont zu erweitern und die Blick auf die mittlerweile alltäglichen Dinge aus einem etwas anderen Blickwinkel zu betrachten. Man kann auch sagen - hinter die Kulissen.

    Offensichtlich ist es zumindest bei meinen Diskussionsteilnehmern verpönt zu Dogmen erklärte Dinge, wie SSL ist anonym und absolut sicher, anzutasten.

    Faktum ist jedoch:
    SSL ist eine tolle und sichere Sache, was die Verschlüsselung angeht.
    SSL ist jedoch keineswegs ANONYM!

    Mir fällt hier ein Satz aus dem Medizinbereich ein:
    * Impfen ist absolut sicher und hat keinerlei Nebenwirkungen.

    Ich beende hier diesen Thread in der Hoffnung ein paar Lesern das Interesse so geweckt zu haben, das SSL Thema von der kritischen Seite zu betrachten.

    Ach ja, noch was zum Nachdenken:
    - Bis vor einigen Jahren (NT 4.0 Zeiten) war in Frankreich SSL verboten!
    - Bis vor einigen Jahren war in den USA nur SSL mit 40/56 Bit erlaubt.
    - Mittlerweile ist SSL 128 in den USA erlaubt.
    Wieso wohl ist nun SSL 128 in den USA erlaubt worden. Das Heimatschutzgesetz in den USA enthält die Hinweise darauf!


    In diesem Sinne.

    So long.

    .-.. .. . -... . .-.. . ..- - . --..-- ..- -. -.. -... .-.. .. -.-. -.- - .... .. -. - . .-. -.. . -- .... --- .-. .. --.. --- -. - .-.-.- -.. .. . .-- . .-.. - .... .-. - -. .. -.-. .... - .- -. -.. . .-. .-.. .- -. -.. . ... --. .-. . -. --.. . .- ..- ..-. .-.-.-

  18. Re: Aha

    Autor: klugsch... 16.05.10 - 12:49

    ... --- ... schrieb:
    --------------------------------------------------------------------------------

    > Eine typische Reaktion wenn einem die Argumente ausgehen. Dann haut man mal
    > mit dem verbalen Holzhammer drauf.

    Das ist eher die schiere Verzweiflung ob deiner kompletten Ignoranz den Fakten gegenüber.


    > Ich habe einen konstruktiven Beitrag zum obigen Thema gestartet. Der Sinn
    > war und ist den Horizont zu erweitern und die Blick auf die mittlerweile
    > alltäglichen Dinge aus einem etwas anderen Blickwinkel zu betrachten.

    Du solltest definitiv erstmal DEINEN Horizont erweitern, bevor du es von anderen erwartest.

    > Man
    > kann auch sagen - hinter die Kulissen.

    Wohl kaum. Dafür solltest du erstmal wissen was die Regie eigentlich macht und wie so ein Bühnenaufbau funktioniert.

    > Offensichtlich ist es zumindest bei meinen Diskussionsteilnehmern verpönt
    > zu Dogmen erklärte Dinge, wie SSL ist anonym und absolut sicher,
    > anzutasten.

    Dann komm doch mal mit FAKTEN warum eine Client der ohne eigenes Zertifikat eine Verbindung zu einem Server aufbaut weniger anonym ist als ein Besucher ohne SSL.

    > Faktum ist jedoch:
    > SSL ist eine tolle und sichere Sache, was die Verschlüsselung angeht.
    > SSL ist jedoch keineswegs ANONYM!

    BELEGE Bitte. Deine bisherigen wurden *ALLE* widerlegt.

    > Ach ja, noch was zum Nachdenken:
    > - Bis vor einigen Jahren (NT 4.0 Zeiten) war in Frankreich SSL verboten!
    > - Bis vor einigen Jahren war in den USA nur SSL mit 40/56 Bit erlaubt.
    > - Mittlerweile ist SSL 128 in den USA erlaubt.
    > Wieso wohl ist nun SSL 128 in den USA erlaubt worden. Das
    > Heimatschutzgesetz in den USA enthält die Hinweise darauf!

    Das hat damit zu tun, das Verschlüsselung als Waffe Eingestuft wurde und damit an enge Exportbedinungen verknüpft war.
    Das hat allerdings nichts mit den Authentifizierungsmechanismen die SSL mittels optionaler Zertifikate erlaubt zu tun.

  19. Re: Aha

    Autor: Verwirrt 16.05.10 - 13:11

    ... --- ... schrieb:
    --------------------------------------------------------------------------------

    > jetzt wird man also beleidigend.


    Wo denn?
    Das ist doch in Anbetracht deiner Merkbefreitheit die mehrfach zensierte Fassung

    > Eine typische Reaktion wenn einem die Argumente ausgehen. Dann haut man mal
    > mit dem verbalen Holzhammer drauf.

    Ja alter elche Argumente soll man dir denn noch schreiben
    wenn du in jeder deiner Antworten zeigst dass du keine
    blassen Schimmer von SSL hast sonst würdest du nicht andauernd
    was von Client-Zertifikaten vor dich hinbrummen

    > Ich habe einen konstruktiven Beitrag zum obigen Thema gestartet.

    Was hast du?
    Du hast gefährliches Halbwissen jenseits der Realität in den
    Raum gestellt und wenn es nur einen Menschen gibt der den Dreck
    den du so von dir gibst jetzt glaubst einen nachhaltigen
    Schaden angerichtet

    > Der Sinn war und ist den Horizont zu erweitern

    Wie willst du denn das bewerkstelligen wenn du selbst völlig
    ohne Wissen hier rein trampelst?

    > und die Blick auf die mittlerweile
    > alltäglichen Dinge aus einem etwas anderen Blickwinkel zu betrachten. Man
    > kann auch sagen - hinter die Kulissen.

    Man kann auch sagen "Ein dummer stellt Behauptungen in den Raum, spielt
    dabei Wissen vor und hofft dass noch dümmere glauben er wäre der Checker"

    > Offensichtlich ist es zumindest bei meinen Diskussionsteilnehmern verpönt
    > zu Dogmen erklärte Dinge, wie SSL ist anonym und absolut sicher,
    > anzutasten.

    Das Wort absolut gibt es in der EDV nicht du Hirni!
    Aber es ist genauso anonym wie eine Verbindung ohne https
    Weil der Clietn verdammt nochmal kein Zertifikat braucht
    Und nur weil das nicht in den Spatzenhirn reingehen will
    gibt es diese ganze hirnverbrannte Diskussion überhaupt

    > Faktum ist jedoch:
    > SSL ist eine tolle und sichere Sache, was die Verschlüsselung angeht.
    > SSL ist jedoch keineswegs ANONYM!

    SSL ist nicht anonym weil es SSL ist
    Das hat aber auch kein Mensch behauptet
    Du behauptest allerdings es ist weniger anonym als http
    Das ist jedoch Schwachsinn weil es ohne Client-Zertifikate
    NICHTS mitbringt was dich über die Browser-Session hinaus
    erkennbarer werden lässt

    > Ich beende hier diesen Thread in der Hoffnung ein paar Lesern das Interesse
    > so geweckt zu haben, das SSL Thema von der kritischen Seite zu betrachten.

    Bestenfalls hast du irgendwelche DAUs mit Falschinformationen geimpft
    Leute wie du sind um einiges schlimmer als solche die keine Ahnung haben
    und sich dessen auch bewusst sind!

    > Ach ja, noch was zum Nachdenken:
    > - Bis vor einigen Jahren (NT 4.0 Zeiten) war in Frankreich SSL verboten!

    Ja und weiter?
    Was hat das mit fehlender Anonymität mit SSL zu tun?

    > - Bis vor einigen Jahren war in den USA nur SSL mit 40/56 Bit erlaubt.

    Ja und weiter?
    Was hat das mit fehlender Anonymität mit SSL zu tun?

    > - Mittlerweile ist SSL 128 in den USA erlaubt.

    Ja und weiter?
    Was hat das mit fehlender Anonymität mit SSL zu tun?

    > Wieso wohl ist nun SSL 128 in den USA erlaubt worden. Das
    > Heimatschutzgesetz in den USA enthält die Hinweise darauf!

    Ja und weiter?
    Was hat das mit fehlender Anonymität mit SSL zu tun?

    > In diesem Sinne.
    > So long.

    Du mich auch

  20. Re: Aha

    Autor: Verwirrt 17.05.10 - 12:42

    Na wo bleiben denn jetzt deine unwiderlegbaren Argumente oder weinst du schon an Mamas Brust weil dich keiner mag und jeder mitbekommen hat dass du aber auch nicht den Ansatz einer Ahnung wovon du sprichst hast?

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Loy & Hutz Solutions GmbH, Freiburg im Breisgau
  2. Software AG, Darmstadt, Saarbrücken
  3. NEW Niederrhein Energie und Wasser GmbH, Erkelenz
  4. ServiceOcean SalesDE GmbH, Köln

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. (u. a. Ryzen 5 5600X für 359€, Ryzen 7 5800X für 489€)


Haben wir etwas übersehen?

E-Mail an news@golem.de