Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Trustico/Digicert: Chaos um 23.000…

CAs...

  1. Thema

Neues Thema Ansicht wechseln


  1. CAs...

    Autor: slacki 01.03.18 - 13:19

    Ich habe selbst in einer CA gearbeitet (die noch existiert). Mehrere Jahre. Da wurden ebenfalls qualifizierte Zertifikate + private Key auf einer USB Platte gespeichert. Nichts Neues... leider. Man darf einfach nur einen CSR hinschicken, sonst nichts. Alles andere ist auto-compromised.

  2. Re: CAs...

    Autor: MadC 01.03.18 - 14:05

    slacki schrieb:
    --------------------------------------------------------------------------------
    > Ich habe selbst in einer CA gearbeitet (die noch existiert). Mehrere Jahre.
    > Da wurden ebenfalls qualifizierte Zertifikate + private Key auf einer USB
    > Platte gespeichert. Nichts Neues... leider. Man darf einfach nur einen CSR
    > hinschicken, sonst nichts. Alles andere ist auto-compromised.
    Wenn das so an den Kunden kommuniziert wird, ist das meiner Meinung nach okay. Da muss man als Kunde halt der CA vertrauen, was man bei vielen Geschäftsbeziehungen ja sowieso muss.
    Wer das nicht mit sich vereinbaren kann, muss Schlüssel und CSR halt selbst erstellen.

    Eigentlich sehe ich die Meldung eher positiv, da Trustico kompromittierte Zertifikate zurück ziehen möchte, es fehlt allerdings die Information wie die Zertifikate kompromittiert worden sind. Die Schlüssel als Beweis der Kompromittierung sind zweckmäßig, spätestens mit der Weitergabe der Schlüssel (an Digicert) ist das Zertifikat in den Augen der Endkunden ja kompromittiert.

    Weiss jemand warum Digicert sich so kleinlich aufführt? Selbst wenn das Zertifikat nicht kompromittiert ist, ist das Zurückziehen doch die sicherste Vorgehensweise, mir würde da schon ein Verdacht ausreichen.



    1 mal bearbeitet, zuletzt am 01.03.18 14:06 durch MadC.

  3. Re: CAs...

    Autor: slacki 01.03.18 - 14:17

    Nein, sowas wird nicht kommuniziert. Wenn du wissen willst wieso: weil es absolut verboten ist (siehe 1). Eine qualifizierte Signatur ist gleichgestellt mit einer rechtsgültigen Unterschrift.

    Warum sich eine CA querstellt wenn sowas passiert: Imageverlust. Den sitzt man lieber aus/verkauft das Unternehmen/benennt sich um etc.
    Mit Sicherheit haben die wenigsten Unternehmen zu tun, denen geht es um das wirtschaftliche, also um unsere $ :)

    1) https://de.wikipedia.org/wiki/Qualifizierte_elektronische_Signatur

    edit: hier direkt zur qual. sig.:
    https://de.wikipedia.org/wiki/Elektronische_Signatur#Anforderungen_an_qualifizierte_elektronische_Signaturen



    1 mal bearbeitet, zuletzt am 01.03.18 14:20 durch slacki.

  4. Re: CAs...

    Autor: chefin 01.03.18 - 15:52

    Und nun hast du den Unterschied zwischen Theorie und Praxis kennengelernt.

    Abus hat übrigens einen Schlüssel zu meiner Schliessanlage mit Berechtigungskarte. Sogar zu Banktresoren hat sie den Schlüssel, bzw die genaue Beschreibung. Also traut sogar die Bank ihr Geld Abus an....quasi

    Zwischen dem theoretischen Anspruch den man gerne hätte und der praktischen Umsetzung klaffen eben Welten. Lerne damit zu leben, das wird dir immer wieder passieren. So wie es zb von einem Schlosstyp(form des Schlüsselrohlings) nur ca 500-1000 Kombinationen gibt aber mehrere Millionen verkauft werden. Bedeutet das Tausende von Menschen absolut gleiche Schlüssel haben für ihre Wohnungstüre. Security by obscurity und die Einbrecher gehen durchs Fenster oder bohren die Schlösser raus. Scheinbar funktioniert es also.

    Schon komisch oder?

  5. Re: CAs...

    Autor: slacki 01.03.18 - 18:16

    Naja, der Unterschied ist aber dass sich digitale Prozesse automatisieren lassen. Wenn man an einer Haustür innerhalb von 1 Sekunde 10.000 Schlüssel ausprobieren könnte, würde das auch wieder anders aussehen.

    > Sogar zu Banktresoren hat sie den Schlüssel, bzw die genaue Beschreibung. Also traut sogar die Bank ihr Geld Abus an....quasi
    Ja... schön und gut. Solange bis der Schlüssel abhanden kommt. Ich frage mich wer dann haftet. Ich kenne mich im Bankensektor aber nicht aus, geschweige mit Tresoren. Allerdings werden hier gerade Äpfel mit Birnen verglichen.

    Eine qualifizierte Signatur darf nur und ausschliesslich auf speziellen Geräten erstellt werden (der private Key darf das Gerät nicht verlassen). Das ist gesetzlich so vorgeschrieben - alles andere ist eine Straftat.
    Wenn eine Person stirbt, und jemand anderes hat das Zertifikat inkl. private Key, kann die Person einfach z.B. das Testament ändern. Das wäre ein rechtsgültiges Dokument. Ein Beispiel von vielen...

    Bei einem Diebstahl einer Bank würde vermutlich die Bank/Versicherung oder der Staat den Schaden tragen. Bei einer gefälschten Unterschrift (weil der private Key irgendwo rumfliegt) sieht das anders aus, denn da "verschwindet" nichts.

  6. Re: CAs...

    Autor: MadC 01.03.18 - 18:19

    slacki schrieb:
    --------------------------------------------------------------------------------
    > Nein, sowas wird nicht kommuniziert. Wenn du wissen willst wieso: weil es
    > absolut verboten ist (siehe 1). Eine qualifizierte Signatur ist
    > gleichgestellt mit einer rechtsgültigen Unterschrift.
    >
    > Warum sich eine CA querstellt wenn sowas passiert: Imageverlust. Den sitzt
    > man lieber aus/verkauft das Unternehmen/benennt sich um etc.
    > Mit Sicherheit haben die wenigsten Unternehmen zu tun, denen geht es um das
    > wirtschaftliche, also um unsere $ :)
    >
    > 1) de.wikipedia.org
    >
    > edit: hier direkt zur qual. sig.:
    > de.wikipedia.org#Anforderungen_an_qualifizierte_elektronische_Signaturen

    Ich glaube kaum, dass Trustico den Kunden zugesichert hat, dass die Zertifikate nach SigG und BGB gültig sind oder von der Bundesnetzagentur akkreditiert wurde, wenn sie laut Vertragsbedingungen die privaten Schlüssel und den CSR für den Kunden erzeugen.

  7. Re: CAs...

    Autor: slacki 01.03.18 - 18:59

    > ...dass die Zertifikate nach SigG und BGB gültig sind...
    Ja da hast du Recht. Wollte einfach nur darauf hinweisen, dass es wohl recht übliche Praxis einiger CAs ist, den private key zu bunkern, weswegen man aufpassen muss das man maximal den CSR hinschickt. Auch wenn es keine private keys zu qualifizierten Zertifikaten sind, wäre das sehr unschön wenn eine USB Platte mit 5000 SSL keys "abhanden" kommt.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Die Haftpflichtkasse VVaG, Roßdorf
  2. Marienhaus Dienstleistungen GmbH, Neustadt an der Weinstraße
  3. Weleda AG, Schwäbisch Gmünd
  4. eXXcellent solutions GmbH, Ulm, München, Stuttgart, Darmstadt, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 344,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Hyundai Kona Elektro: Der Ausdauerläufer
Hyundai Kona Elektro
Der Ausdauerläufer

Der Hyundai Kona Elektro begeistert mit Energieeffizienz, Genauigkeit bei der Reichweitenberechnung und umfangreicher technischer Ausstattung. Nur in Sachen Emotionalität und Temperament könnte er etwas nachlegen.
Ein Praxistest von Dirk Kunde

  1. ACM City Miniauto soll als Kleintransporter und Mietwagen Furore machen
  2. Startup Rivian plant elektrochromes Glasdach für seine Elektro-SUVs
  3. Elektroautos Mehr als 7.000 neue Ladepunkte in einem Jahr

WEG-Gesetz: Bundesländer preschen bei Anspruch auf Ladestellen vor
WEG-Gesetz
Bundesländer preschen bei Anspruch auf Ladestellen vor

Können Elektroauto-Besitzer demnächst den Einbau einer Ladestelle in Tiefgaragen verlangen? Zwei Bundesländer haben entsprechende Ergebnisse einer Arbeitsgruppe schon in einem eigenen Gesetzentwurf aufgegriffen.
Eine Analyse von Friedhelm Greis

  1. Elektroautos GM und Volkswagen verabschieden sich vom klassischen Hybrid
  2. Elektroauto BMW meldet Zehntausende E-Mini-Interessenten
  3. Deutschland Elektroauto-Kauf wird von Mehrheit abgelehnt

Schienenverkehr: Die Bahn hat wieder eine Vision
Schienenverkehr
Die Bahn hat wieder eine Vision

Alle halbe Stunde von einer Stadt in die andere, keine langen Umsteigezeiten zur Regionalbahn mehr: Das verspricht der Deutschlandtakt der Deutschen Bahn. Zu schön, um wahr zu werden?
Eine Analyse von Caspar Schwietering

  1. DB Navigator Deutsche Bahn lädt iOS-Nutzer in Betaphase ein
  2. One Fiber EWE will Bahn mit bundesweitem Glasfasernetz ausstatten
  3. VVS S-Bahn-Netz der Region Stuttgart bietet vollständig WLAN

  1. LoL: Was ein E-Sport-Trainer können muss
    LoL
    Was ein E-Sport-Trainer können muss

    Danusch Fischer und sein Team trennen teils Hunderte Kilometer. Aus dem Homeoffice in Berlin-Wedding trainiert der 23 Jahre alte League-of-Legends-Coach des Clans BIG seine fünf Spieler aus Deutschland, Finnland, Griechenland und Tschechien - nachmittags nach Schulschluss.

  2. Onlinehändler Otto: "Wir vernichten kaum Retouren"
    Onlinehändler Otto
    "Wir vernichten kaum Retouren"

    Otto vernichtet nur Dinge, die wirklich unbrauchbar sind. "Das sind ein paar Tausend Stück im Jahr", erklärte der Otto-Chef.

  3. Geoengineering: Tauchschiffe sollen künstliche Eisberge erzeugen
    Geoengineering
    Tauchschiffe sollen künstliche Eisberge erzeugen

    Schluss mit defensiven Maßnahmen gegen den Anstieg des Meeresspiegels, fordern drei Designer aus Indonesien. Sie haben ein Konzept entwickelt, um dem Abschmelzen der Arktis entgegen zu wirken. Ob das realistisch ist, sei dahingestellt.


  1. 12:02

  2. 11:55

  3. 11:45

  4. 11:33

  5. 11:21

  6. 11:09

  7. 10:35

  8. 09:18