1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Trustico/Digicert: Chaos um 23.000…

CAs...

Expertentalk zu DDR5-Arbeitsspeicher am 7.7.2020 Am 7. Juli 2020 von 15:30 bis 17:00 Uhr wird Hardware-Redakteur Marc Sauter eure Fragen zu DDR5 beantworten.
  1. Thema

Neues Thema Ansicht wechseln


  1. CAs...

    Autor: slacki 01.03.18 - 13:19

    Ich habe selbst in einer CA gearbeitet (die noch existiert). Mehrere Jahre. Da wurden ebenfalls qualifizierte Zertifikate + private Key auf einer USB Platte gespeichert. Nichts Neues... leider. Man darf einfach nur einen CSR hinschicken, sonst nichts. Alles andere ist auto-compromised.

  2. Re: CAs...

    Autor: MadC 01.03.18 - 14:05

    slacki schrieb:
    --------------------------------------------------------------------------------
    > Ich habe selbst in einer CA gearbeitet (die noch existiert). Mehrere Jahre.
    > Da wurden ebenfalls qualifizierte Zertifikate + private Key auf einer USB
    > Platte gespeichert. Nichts Neues... leider. Man darf einfach nur einen CSR
    > hinschicken, sonst nichts. Alles andere ist auto-compromised.
    Wenn das so an den Kunden kommuniziert wird, ist das meiner Meinung nach okay. Da muss man als Kunde halt der CA vertrauen, was man bei vielen Geschäftsbeziehungen ja sowieso muss.
    Wer das nicht mit sich vereinbaren kann, muss Schlüssel und CSR halt selbst erstellen.

    Eigentlich sehe ich die Meldung eher positiv, da Trustico kompromittierte Zertifikate zurück ziehen möchte, es fehlt allerdings die Information wie die Zertifikate kompromittiert worden sind. Die Schlüssel als Beweis der Kompromittierung sind zweckmäßig, spätestens mit der Weitergabe der Schlüssel (an Digicert) ist das Zertifikat in den Augen der Endkunden ja kompromittiert.

    Weiss jemand warum Digicert sich so kleinlich aufführt? Selbst wenn das Zertifikat nicht kompromittiert ist, ist das Zurückziehen doch die sicherste Vorgehensweise, mir würde da schon ein Verdacht ausreichen.



    1 mal bearbeitet, zuletzt am 01.03.18 14:06 durch MadC.

  3. Re: CAs...

    Autor: slacki 01.03.18 - 14:17

    Nein, sowas wird nicht kommuniziert. Wenn du wissen willst wieso: weil es absolut verboten ist (siehe 1). Eine qualifizierte Signatur ist gleichgestellt mit einer rechtsgültigen Unterschrift.

    Warum sich eine CA querstellt wenn sowas passiert: Imageverlust. Den sitzt man lieber aus/verkauft das Unternehmen/benennt sich um etc.
    Mit Sicherheit haben die wenigsten Unternehmen zu tun, denen geht es um das wirtschaftliche, also um unsere $ :)

    1) https://de.wikipedia.org/wiki/Qualifizierte_elektronische_Signatur

    edit: hier direkt zur qual. sig.:
    https://de.wikipedia.org/wiki/Elektronische_Signatur#Anforderungen_an_qualifizierte_elektronische_Signaturen



    1 mal bearbeitet, zuletzt am 01.03.18 14:20 durch slacki.

  4. Re: CAs...

    Autor: chefin 01.03.18 - 15:52

    Und nun hast du den Unterschied zwischen Theorie und Praxis kennengelernt.

    Abus hat übrigens einen Schlüssel zu meiner Schliessanlage mit Berechtigungskarte. Sogar zu Banktresoren hat sie den Schlüssel, bzw die genaue Beschreibung. Also traut sogar die Bank ihr Geld Abus an....quasi

    Zwischen dem theoretischen Anspruch den man gerne hätte und der praktischen Umsetzung klaffen eben Welten. Lerne damit zu leben, das wird dir immer wieder passieren. So wie es zb von einem Schlosstyp(form des Schlüsselrohlings) nur ca 500-1000 Kombinationen gibt aber mehrere Millionen verkauft werden. Bedeutet das Tausende von Menschen absolut gleiche Schlüssel haben für ihre Wohnungstüre. Security by obscurity und die Einbrecher gehen durchs Fenster oder bohren die Schlösser raus. Scheinbar funktioniert es also.

    Schon komisch oder?

  5. Re: CAs...

    Autor: slacki 01.03.18 - 18:16

    Naja, der Unterschied ist aber dass sich digitale Prozesse automatisieren lassen. Wenn man an einer Haustür innerhalb von 1 Sekunde 10.000 Schlüssel ausprobieren könnte, würde das auch wieder anders aussehen.

    > Sogar zu Banktresoren hat sie den Schlüssel, bzw die genaue Beschreibung. Also traut sogar die Bank ihr Geld Abus an....quasi
    Ja... schön und gut. Solange bis der Schlüssel abhanden kommt. Ich frage mich wer dann haftet. Ich kenne mich im Bankensektor aber nicht aus, geschweige mit Tresoren. Allerdings werden hier gerade Äpfel mit Birnen verglichen.

    Eine qualifizierte Signatur darf nur und ausschliesslich auf speziellen Geräten erstellt werden (der private Key darf das Gerät nicht verlassen). Das ist gesetzlich so vorgeschrieben - alles andere ist eine Straftat.
    Wenn eine Person stirbt, und jemand anderes hat das Zertifikat inkl. private Key, kann die Person einfach z.B. das Testament ändern. Das wäre ein rechtsgültiges Dokument. Ein Beispiel von vielen...

    Bei einem Diebstahl einer Bank würde vermutlich die Bank/Versicherung oder der Staat den Schaden tragen. Bei einer gefälschten Unterschrift (weil der private Key irgendwo rumfliegt) sieht das anders aus, denn da "verschwindet" nichts.

  6. Re: CAs...

    Autor: MadC 01.03.18 - 18:19

    slacki schrieb:
    --------------------------------------------------------------------------------
    > Nein, sowas wird nicht kommuniziert. Wenn du wissen willst wieso: weil es
    > absolut verboten ist (siehe 1). Eine qualifizierte Signatur ist
    > gleichgestellt mit einer rechtsgültigen Unterschrift.
    >
    > Warum sich eine CA querstellt wenn sowas passiert: Imageverlust. Den sitzt
    > man lieber aus/verkauft das Unternehmen/benennt sich um etc.
    > Mit Sicherheit haben die wenigsten Unternehmen zu tun, denen geht es um das
    > wirtschaftliche, also um unsere $ :)
    >
    > 1) de.wikipedia.org
    >
    > edit: hier direkt zur qual. sig.:
    > de.wikipedia.org#Anforderungen_an_qualifizierte_elektronische_Signaturen

    Ich glaube kaum, dass Trustico den Kunden zugesichert hat, dass die Zertifikate nach SigG und BGB gültig sind oder von der Bundesnetzagentur akkreditiert wurde, wenn sie laut Vertragsbedingungen die privaten Schlüssel und den CSR für den Kunden erzeugen.

  7. Re: CAs...

    Autor: slacki 01.03.18 - 18:59

    > ...dass die Zertifikate nach SigG und BGB gültig sind...
    Ja da hast du Recht. Wollte einfach nur darauf hinweisen, dass es wohl recht übliche Praxis einiger CAs ist, den private key zu bunkern, weswegen man aufpassen muss das man maximal den CSR hinschickt. Auch wenn es keine private keys zu qualifizierten Zertifikaten sind, wäre das sehr unschön wenn eine USB Platte mit 5000 SSL keys "abhanden" kommt.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. SCHOTT AG, Mainz
  2. AKKA, München
  3. bol Behörden Online Systemhaus GmbH, Unterschleißheim bei München
  4. Diehl Metering GmbH, Ansbach/Nürnberg, Bazanowice (Polen)

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


  1. Zukunft in Serien: Realistischer, als uns lieb sein kann
    Zukunft in Serien
    Realistischer, als uns lieb sein kann

    Ältere Science-Fiction-Produktionen haben oft eher unrealistische Szenarien entworfen. Die guten neueren, wie Black Mirror, Years and Years und Upload nehmen hingegen Technik aus dem Jetzt und denken sie weiter.

  2. Jens Spahn: Bislang 300 Infektionsmeldungen über Corona-Warn-App
    Jens Spahn
    Bislang 300 Infektionsmeldungen über Corona-Warn-App

    Die Corona-Warn-App ist bislang über 14 Millionen Mal heruntergeladen worden, ungefähr 300 Warnmeldungen über mögliche Infektionen wurden ausgegeben.

  3. Bafin: Stärkung der Finanzaufsicht nach Wirecard-Skandal geplant
    Bafin
    Stärkung der Finanzaufsicht nach Wirecard-Skandal geplant

    Der Skandal um fehlende Milliarden beim Finanzdienstleister Wirecard bringt die Finanzaufsicht in Erklärungsnot - und damit auch die Bundesregierung.


  1. 08:01

  2. 14:17

  3. 13:59

  4. 13:20

  5. 12:43

  6. 11:50

  7. 14:26

  8. 13:56