Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Verschlüsselung: PEP will…

Warum ist pep-project.org nicht per HTTPs erreichbar?

  1. Thema

Neues Thema Ansicht wechseln


  1. Warum ist pep-project.org nicht per HTTPs erreichbar?

    Autor: fdik 16.09.14 - 14:00

    Der Grund ist, dass HTTPS in der Praxis so gut wie wirkungslos ist. Nicht nur sind die gängigen Implementierungen wie OpenSSL eine mittlere Katastrophe, sondern das Konzept der CAs ist gescheitert. Gehört den Überwachern auch nur eine CA, der vertraut wird, so ist das ganze Konzept wirkungslos.

    Aufgrund dieser Tatsache haben wir uns bei p≡p entschieden, “gewöhnliches” HTTPS nicht mehr zu unterstützen, um keine Sicherheit vorzugaukeln, wo keine ist.

    Es wird aber demnächst ein CAcert-Zertifikat für https://cacert.pep-project.org geben. Wir warten gerade noch darauf, dass es zur Verfügung steht. Wer mehr über CAcert erfahren möchte, hier ist die CAcert Homepage: http://cacert.org

    Um den Unterschied deutlich zu machen, verwenden wir einen anderen Hostname, eben cacert.pep-project.org. Wer das nutzen möchte, dem sei dringend angeraten, mindestens Certificate Pinning einzusetzen besser gleich allen kommerziellen Root-Zertifikaten das Vertrauen zu entziehen und stattdessen das von CAcert zu laden. Der Aufwand jedoch rentiert sich – wie oben angedeutet – jedoch nur dann, wenn man eine TLS-Implementierung einsetzt, der man noch vertrauen kann.


    Anmerkung an die golem.de Redaktion: mit Firefox kann ich diesen Text nicht posten. Er wird abgelehnt mit “Possible hack attempt detected. The posted form data was rejected.” Mit Safari dagegen geht's.

  2. Re: Warum ist pep-project.org nicht per HTTPs erreichbar?

    Autor: hannob (golem.de) 16.09.14 - 17:25

    Danke für den Kommentar, allerdings überzeugt er mich nicht. Und ich bin überrascht, eine solch rigorose Position von jemandem zu hören, der gerade versucht, Outlook Verschlüsselung beizubringen.

    Die Probleme von HTTPS sind mir alle bekannt und sie sind auch nicht wegzudiskutieren, ich habe selbst dazu einen ausführlichen Vortrag auf der Easterhegg gehalten [1]. Aber zu behaupten dass HTTPS "so gut wie wirkungslos ist" halte ich für eine geradezu abstruse Übertreibung.

    Ja, das CA-System ist äußerst problematisch und ja, wenn eine CA kompromittiert ist wird dadurch ein Man-in-the-Middle-Angriff möglich. Aber: Ein solcher Angriff ist nur für relativ mächtige Angreifer durchführbar. HTTPS schützt immer noch in sehr vielen Fällen, beispielsweise hilft es gegen alle rein passiven Lauscher.

    Wie realistisch ist es eine CA zu kompromittieren? Es ist sicher für manche Geheimdienste und eventuell für manch andere Angreifer möglich, aber es ist sehr aufwändig und es kann auffallen. Für dauerhafte Massenüberwachung ist es nicht realistisch, auf kompromittierte CAs zu setzen, denn auch wenn CAs mit ziemlich viel durchkommen: Eine CA, von der permanent gefälschte Zertifikate auftauchen käme damit auch nicht durch.

    Was OpenSSL und andere mangelhafte Implementierungen angeht: Ja, ist auch ein Problem, allerdings tut sich da einiges. Ich würde bspw. persönlich OpenSSL seit Heartbleed eher mehr trauen - weil ich weiß, dass jetzt einige Leute einen genaueren Blick drauf werfen. Hat ja auch schon dazu geführt, dass weitere Probleme (ccsinjection und andere) gefunden wurden.

    Und was man nicht außer acht lassen sollte: Es sind gerade einige Technologien in Vorbereitung, die viele momentan bestehende Probleme von TLS/HTTPS angehen. Für die gesamte CA-Problematik setze ich etwa große Hoffnungen auf Certificate Transparency und HTTP Key Pinning - dadurch könnten die allermeisten Angriffe auf die CA-Infrastruktur verhindert werden. (und ja, zu den beiden Sachen wird es demnächst mal einen ausführlichen Hintergrundartikel hier geben)

    HTTPS/TLS ist alles andere als perfekt. Eine trotzige "HTTPS ist eh doof"-Haltung finde ich aber nicht hilfreich.

    [1] https://www.youtube.com/watch?v=M18MEWdbMlw

  3. Re: Warum ist pep-project.org nicht per HTTPs erreichbar?

    Autor: fdik 18.09.14 - 16:46

    Hallo,

    da gehen unsere Ansichten wohl völlig auseinander. Ich halte das kommerzielle CA-Konzept für schlichtweg bankrott. Damit bin ich im Club übrigens alles andere als alleine.

    Die Bewertung ist entsprechend auch nicht “trotzig” – sondern im Gegenteil, mit CAcert gibt es ja eine Alternative, und die wird von pEp auch unterstützt:

    https://cacert.pep-project.org

    Viele Grüsse,
    VB.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Universitätsklinikum Münster, Münster
  2. transmed Transport GmbH, Regensburg
  3. Turck Vilant Systems GmbH, Mülheim an der Ruhr
  4. Universität Passau, Passau

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


IMHO: Porsche prescht beim Preis übers Ziel hinaus
IMHO
Porsche prescht beim Preis übers Ziel hinaus

Die technischen Werte der beiden elektrischen Porsche Taycan-Versionen sind beeindruckend. Viele werden sie als "Tesla-Killer" bezeichnen. Doch preislich peilt Porsche damit eine extrem kleine Zielgruppe an: Ein gut ausgestatteter Turbo S kostet 214.000 Euro.
Ein IMHO von Dirk Kunde

  1. Gaming Konsolenkrieg statt Spielestreaming
  2. IMHO Valve, so geht es nicht weiter!
  3. Onlinehandel Tesla schlägt Kaufinteressenten die Ladentür vor der Nase zu

MX Series im Hands on: Logitechs edle Eingabegeräte
MX Series im Hands on
Logitechs edle Eingabegeräte

Beleuchtet, tolles Tippgefühl und kabellos, dazu eine Maus mit magnetischem Schweizer Präzisionsrad: Logitech hat neue Eingabegeräte für seine Premium-Reihe veröffentlicht - beide unterstützen USB Typ C. Golem.de konnte MX Keys und MX Master 3 unter Windows und MacOS bereits ausprobieren.
Ein Hands on von Peter Steinlechner

  1. Unifying Sicherheitsupdate für Logitech-Tastaturen umgangen
  2. Gaming Logitech bringt mechanische Tastaturen mit flachen Schaltern
  3. Logitacker Kabellose Logitech-Tastaturen leicht zu hacken

IT-Studium: Kein Abitur? Kein Problem!
IT-Studium
Kein Abitur? Kein Problem!

Martin Fricke studiert Informatik, obwohl er kein Abitur hat. Das darf er, weil Universitäten Berufserfahrung für die Zulassung anerkennen. Davon profitieren Menschen wie Unternehmen gleichermaßen.
Von Tarek Barkouni

  1. IT Welches Informatikstudium passt zu mir?
  2. Bitkom Nur jeder siebte Bewerber für IT-Jobs ist weiblich

  1. Lufttaxi: Volocopter hebt in Stuttgart ab
    Lufttaxi
    Volocopter hebt in Stuttgart ab

    In Stuttgart ist der Volocopter erstmals in einer europäischen Innenstadt abgehoben. Rund vier Minuten befand sich das Flugtaxi in der Luft. Für kommerzielle Flüge fehlt jedoch noch die Genehmigung.

  2. Pixel: Googles neue Kamera-App vom Pixel 4 geleakt
    Pixel
    Googles neue Kamera-App vom Pixel 4 geleakt

    Programmierer haben sich die geleakte neue Version von Googles Kamera-App genauer angeschaut und einige Verbesserungen in der Benutzerführung entdeckt. Zudem sollen Nutzer die automatischen Hinweise während der Aufnahme abschalten können.

  3. Wikileaks: Assange kommt nicht frei
    Wikileaks
    Assange kommt nicht frei

    Eigentlich endet Julian Assanges Freiheitsstrafe am 22. September. Eine Richterin entschied jedoch, dass er auch nach dem Verbüßen seiner Haftstrafe im Gefängnis bleiben muss.


  1. 15:47

  2. 15:11

  3. 14:49

  4. 13:52

  5. 13:25

  6. 12:52

  7. 08:30

  8. 18:01