Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Verschlüsselung: Niemand hat die…

genau lesen bitte....

  1. Thema

Neues Thema Ansicht wechseln


  1. genau lesen bitte....

    Autor: Anonymer Nutzer 13.10.17 - 15:07

    anscheinend wird das thema nicht richtig gelesen oder verstanden. es geht rein darum, dass eine organisation _innerhalb_ ihres netzwerkes tls verbindung von einem client zu einem ihrer systemen auch mit einem anderen system entschlüsseln kann, das nicht teil der eigentlich kommunikation ist. es geht hier nicht darum, tls in irgendeiner art zu schwächen, sondern eine standardisierte methode dafür zu definieren. es geht hier auch keineswegs darum, tls verbindungen von gänzlich unbeteiligten zu überwachen.

    die aufregung ist also vollkommen überzogen. vor allem auch wenn man bedenkt, wie fragil tls allgemein ist, wie sehr man sich gegen dnssec als zusätzlichen schutz wehrt, wieviele cloudflare als men in the middle verwenden. tls wird nach wie vor vielfach komplett falsch eingesetzt, das thema des artikels aber ist definitiv _kein_ sicherheitsproblem.

  2. Re: genau lesen bitte....

    Autor: zilti 13.10.17 - 16:04

    Jaja genau. Und Ulbricht hat gesagt, es gäbe keine Mauer, und Obama hat gesagt, es fände keine flächendeckende NSA-Überwachung statt.

  3. Re: genau lesen bitte....

    Autor: Anonymer Nutzer 13.10.17 - 16:33

    hmpf... du hast es auch nicht gelesen.

    es geht darum, einer der beiden seiten einer tls verbindung die technische möglichkeit zu geben, die tls verbindung auf einem dritten system, das ebenso unter der kontrolle dieser seite ist, zu öffnen.

    noch mal: es geht hier _NICHT_ um die öffnung von tls verbindungen durch unbeteiligte dritte. bitte genau alles lesen.

  4. Re: genau lesen bitte....

    Autor: bombinho 13.10.17 - 21:10

    Ich fuerchte, genau das ist aber das Problem. Ob nun durch Dritte oder Zweite, die Oeffnung ist das Problem. Wenn ich es nicht vom Dritten kriege, dann hole ich es mir beim Zweiten.

  5. Re: genau lesen bitte....

    Autor: crypt0 13.10.17 - 22:07

    Naja IMO gibt es schon Grund zur Aufregung:
    Mal ganz von vorne:
    1. TLS 1.3 wurde mit dem Gedanken designed, dass MitM ein reines Angriffsszenario ist und kein Feature. Kurz vor dem finalen darft (IIRC 19) melden sich die Banken beschweren sich dass TLS 1.3 so für sie nicht funktioniert und schlagen einen work-a-round vor um MitM doch noch möglich zu machen. Die Antwort der IETF TLS Arbeitsgruppe als TL;DR: "Leute ihr seid viel zu spät und außerdem wollen wir die Sicherheit verbessern(!)..."

    Dazu eine kurze Zwischenfrage: Ich arbeite nicht in der IT einer Bank, aber das zeugt entweder von inkompetenz / mangelndem Interesse oder von Absicht. Wer bitte wartet bis zum letzten draft um dann gravierende Änderungen zu verlangen wenn das offensichtlich ein so großer Problem darstellt?!

    2. Matthew Green macht den Banken einen Vorschlag wie sie das ganz mit ECDH doch umgesetzt bekommen OHNE die TLS spec anzufassen...

    3. Jetzt wollen "alle" diesen Vorschlag doch noch in den RFC mit aufnehmen. Das Problem: Statische ECDH parameter machen die PFS Eigenschaft kaputt...
    Grund: Wenn ich als Server-betreiber (freiwillig) meinen statischen DH private part einer dritten Partei aushändige kann diese ALLE damit erzeugten TLS master secrets erzeugen und alle TLS sessions entschlüsseln.

    IMO ist das fast schon ein Wink mit dem Zaunpfahl seitens diverse Geheimdienste. PFS ist für die äußerst nervig.
    Das Argument: "Wir müssen den TLS traffic analysieren können" ist für mich vorgeschoben. Das geht nämlich trotz TLS 1.3 - Reverse-proxy vor die clients - done. Ja das ist aufwendig und kann/wird kosten verursachen aber ich sehe nicht warum die IETF eine solche Krücke in den RFC aufnehmen sollte...

  6. Re: genau lesen bitte....

    Autor: Anonymer Nutzer 13.10.17 - 22:59

    noch mal... leider scheint das nicht zu klappen: ihr versteht das problem und die lösung nicht. es geht hier nicht darum, dass dritte irgendwas tun oder können. es geht nur um dritte systeme, die aber dem zweiten gehören.

  7. Re: genau lesen bitte....

    Autor: crypt0 13.10.17 - 23:20

    Schon verstanden, nur ermöglicht das eben AUCH(!) dritten (externen), die in Besitz dieses statischen ECDH keys kommen (sei's per bsp. NSL oder durch einen "hack") den gesamten (aufgezeichneten) TLS traffic zu entschlüsseln. Das sollte TLS 1.3 von Anfang an verhindern...
    Die vorgeschlagene "Lösung" würde das genannte "Problem" beheben - aber eben auch ein anderes / "neues" schaffen...



    1 mal bearbeitet, zuletzt am 13.10.17 23:22 durch crypt0.

  8. Re: genau lesen bitte....

    Autor: bombinho 14.10.17 - 00:04

    bjs schrieb:
    --------------------------------------------------------------------------------
    > es geht hier nicht darum, dass dritte irgendwas tun
    > oder können. es geht nur um dritte systeme, die aber dem zweiten gehören.

    Inwiefern koennen diese Systeme unterscheiden, ob sie Zweiten oder Dritten gehoeren?

  9. Re: genau lesen bitte....

    Autor: Anonymer Nutzer 14.10.17 - 00:12

    weil sie den statischen dh key haben.

  10. Re: genau lesen bitte....

    Autor: Anonymer Nutzer 14.10.17 - 00:13

    wer in besitz des statischen dh keys kommt, kommt auch genauso leicht in besitz der schon entschlüsselten daten.

  11. Re: genau lesen bitte....

    Autor: bombinho 14.10.17 - 00:28

    Die Systeme von Zweiten oder die von Dritten oder Alle?

  12. Re: genau lesen bitte....

    Autor: bombinho 14.10.17 - 00:29

    Ah, verstehe, weil Du weisst, wie man in den Besitz eines Apfels kommst, kann man dir auch gleich alle Aepfel frei Haus liefern, dann macht das durchaus Sinn ;)

  13. Re: genau lesen bitte....

    Autor: me2 15.10.17 - 00:16

    Dann les doch auch mal genau:

    > Immerhin wird damit sowohl die Idee der Ende-zu-Ende-Verschlüsselung als auch die von PFS ad absurdum geführt.

    PFS ist eine wichtige Sache. Das einfach aufzugeben, bedeutet den ganzen Entwurf zu schwächen!

    PS: Letztlich spielt es überhaupt keine Rolle worum es den Unternehmen geht, und das Argument, dass das nur in ihrer eigenen Infrastruktur tun zu wollen ist genauso uninteressant. Es ist einzig und allein von Interesse in welcher Art und Weise die Kommunikation dadurch angreifbar wird, und das wird sie nun mal.



    1 mal bearbeitet, zuletzt am 15.10.17 00:19 durch me2.

  14. Re: genau lesen bitte....

    Autor: crypt0 15.10.17 - 22:23

    bjs schrieb:
    --------------------------------------------------------------------------------
    > wer in besitz des statischen dh keys kommt, kommt auch genauso leicht in
    > besitz der schon entschlüsselten daten.

    Klar, wer Zugriff auf den Server hat... ...hat Zugriff auf den Server. Aber (solange der Server nicht mitloggt was ich mache - z.B. welche Golem-Artikel ich in welcher Reihenfolge gelesen habe) hilft das nichts.
    Das ist genau der Zweck von PFS. Es geht (oft) nicht darum die Daten auf dem Server geheim zu halten sondern die Interaktion der Nutzer mit dem Server.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Erwin Hymer Group SE, Bad Waldsee
  2. Impactory GmbH, Darmstadt (Home-Office)
  3. MAINGAU Energie GmbH, Obertshausen
  4. SEG Automotive Germany GmbH, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (Samsung 970 EVO PLus 1 TB für 204,90€ oder Samsung 860 EVO 1 TB für 135,90€)
  2. mit Gutschein: NBBX570
  3. (u. a. beide Spiele zu Ryzen 9 3000 oder 7 3800X Series, eines davon zu Ryzen 7 3700X/5 3600X/7...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Change-Management: Die Zeiten, sie, äh, ändern sich
Change-Management
Die Zeiten, sie, äh, ändern sich

Einen Change zu wollen, gehört heute zum guten Ton in der Unternehmensführung. Doch ein erzwungener Wandel in der Firmenkultur löst oft keine Probleme und schafft sogar neue.
Ein Erfahrungsbericht von Marvin Engel

  1. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  2. MINT Werden Frauen überfördert?
  3. Recruiting Wenn das eigene Wachstum zur Herausforderung wird

Elektromobilität: Warum der Ladestrom so teuer geworden ist
Elektromobilität
Warum der Ladestrom so teuer geworden ist

Das Aufladen von Elektroautos an einer öffentlichen Ladesäule kann bisweilen teuer sein. Golem.de hat mit dem Ladenetzbetreiber Allego über die Tücken bei der Ladeinfrastruktur und den schwierigen Kunden We Share gesprochen.
Ein Bericht von Friedhelm Greis

  1. Elektromobilität Hamburg lädt am besten, München besser als Berlin
  2. Volta Charging Werbung soll kostenloses Elektroauto-Laden ermöglichen
  3. Elektromobilität Allego stellt 350-kW-Lader in Hamburg auf

Gemini Man: Überflüssiges Klonexperiment
Gemini Man
Überflüssiges Klonexperiment

Am 3. Oktober kommt mit Gemini Man ein ambitioniertes Projekt in die deutschen Kinos: Mit HFR-Projektion in 60 Bildern pro Sekunde und Will Smith, der gegen sein digital verjüngtes Ebenbild kämpft, betreibt der Actionfilm technisch viel Aufwand. Das Seherlebnis ist jedoch bestenfalls komisch.
Von Daniel Pook

  1. Filmkritik Apollo 11 Echte Mondlandung als packende Kinozeitreise

  1. Proteste in Hongkong: Hochrangige US-Politiker schreiben an Activision und Apple
    Proteste in Hongkong
    Hochrangige US-Politiker schreiben an Activision und Apple

    Alexandria Ocasio-Cortez, Marco Rubio und weitere Politiker der großen US-Parteien haben offene Briefe an die Chefs von Activision Blizzard und Apple geschrieben. Sie fordern darin, dass die Firmen nicht mehr die chinesische Regierung in deren Kampf gegen die Proteste in Hongkong unterstützen.

  2. Wing Aviation: Kommerzielle Warenlieferung per Drohne in USA gestartet
    Wing Aviation
    Kommerzielle Warenlieferung per Drohne in USA gestartet

    In den USA hat das zu Alphabet gehörende Unternehmen Wing Aviation die ersten Bestellungen per Drohne an Kunden ausgeliefert - unter anderem Schnupfenmittelchen.

  3. Office und Windows: Microsoft klagt gegen Software-Billiganbieter Lizengo
    Office und Windows
    Microsoft klagt gegen Software-Billiganbieter Lizengo

    Auffallend günstige Keys für Office 365 und Windows 10 bei Anbietern wie Edeka sind möglicherweise nicht legal. Nun geht Microsoft gegen Lizengo vor, einen der größten Anbieter solcher Software.


  1. 14:43

  2. 13:45

  3. 12:49

  4. 11:35

  5. 18:18

  6. 18:00

  7. 17:26

  8. 17:07