Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Verschlüsselung: Niemand hat die…

genau lesen bitte....

  1. Thema

Neues Thema Ansicht wechseln


  1. genau lesen bitte....

    Autor: Anonymer Nutzer 13.10.17 - 15:07

    anscheinend wird das thema nicht richtig gelesen oder verstanden. es geht rein darum, dass eine organisation _innerhalb_ ihres netzwerkes tls verbindung von einem client zu einem ihrer systemen auch mit einem anderen system entschlüsseln kann, das nicht teil der eigentlich kommunikation ist. es geht hier nicht darum, tls in irgendeiner art zu schwächen, sondern eine standardisierte methode dafür zu definieren. es geht hier auch keineswegs darum, tls verbindungen von gänzlich unbeteiligten zu überwachen.

    die aufregung ist also vollkommen überzogen. vor allem auch wenn man bedenkt, wie fragil tls allgemein ist, wie sehr man sich gegen dnssec als zusätzlichen schutz wehrt, wieviele cloudflare als men in the middle verwenden. tls wird nach wie vor vielfach komplett falsch eingesetzt, das thema des artikels aber ist definitiv _kein_ sicherheitsproblem.

  2. Re: genau lesen bitte....

    Autor: zilti 13.10.17 - 16:04

    Jaja genau. Und Ulbricht hat gesagt, es gäbe keine Mauer, und Obama hat gesagt, es fände keine flächendeckende NSA-Überwachung statt.

  3. Re: genau lesen bitte....

    Autor: Anonymer Nutzer 13.10.17 - 16:33

    hmpf... du hast es auch nicht gelesen.

    es geht darum, einer der beiden seiten einer tls verbindung die technische möglichkeit zu geben, die tls verbindung auf einem dritten system, das ebenso unter der kontrolle dieser seite ist, zu öffnen.

    noch mal: es geht hier _NICHT_ um die öffnung von tls verbindungen durch unbeteiligte dritte. bitte genau alles lesen.

  4. Re: genau lesen bitte....

    Autor: bombinho 13.10.17 - 21:10

    Ich fuerchte, genau das ist aber das Problem. Ob nun durch Dritte oder Zweite, die Oeffnung ist das Problem. Wenn ich es nicht vom Dritten kriege, dann hole ich es mir beim Zweiten.

  5. Re: genau lesen bitte....

    Autor: crypt0 13.10.17 - 22:07

    Naja IMO gibt es schon Grund zur Aufregung:
    Mal ganz von vorne:
    1. TLS 1.3 wurde mit dem Gedanken designed, dass MitM ein reines Angriffsszenario ist und kein Feature. Kurz vor dem finalen darft (IIRC 19) melden sich die Banken beschweren sich dass TLS 1.3 so für sie nicht funktioniert und schlagen einen work-a-round vor um MitM doch noch möglich zu machen. Die Antwort der IETF TLS Arbeitsgruppe als TL;DR: "Leute ihr seid viel zu spät und außerdem wollen wir die Sicherheit verbessern(!)..."

    Dazu eine kurze Zwischenfrage: Ich arbeite nicht in der IT einer Bank, aber das zeugt entweder von inkompetenz / mangelndem Interesse oder von Absicht. Wer bitte wartet bis zum letzten draft um dann gravierende Änderungen zu verlangen wenn das offensichtlich ein so großer Problem darstellt?!

    2. Matthew Green macht den Banken einen Vorschlag wie sie das ganz mit ECDH doch umgesetzt bekommen OHNE die TLS spec anzufassen...

    3. Jetzt wollen "alle" diesen Vorschlag doch noch in den RFC mit aufnehmen. Das Problem: Statische ECDH parameter machen die PFS Eigenschaft kaputt...
    Grund: Wenn ich als Server-betreiber (freiwillig) meinen statischen DH private part einer dritten Partei aushändige kann diese ALLE damit erzeugten TLS master secrets erzeugen und alle TLS sessions entschlüsseln.

    IMO ist das fast schon ein Wink mit dem Zaunpfahl seitens diverse Geheimdienste. PFS ist für die äußerst nervig.
    Das Argument: "Wir müssen den TLS traffic analysieren können" ist für mich vorgeschoben. Das geht nämlich trotz TLS 1.3 - Reverse-proxy vor die clients - done. Ja das ist aufwendig und kann/wird kosten verursachen aber ich sehe nicht warum die IETF eine solche Krücke in den RFC aufnehmen sollte...

  6. Re: genau lesen bitte....

    Autor: Anonymer Nutzer 13.10.17 - 22:59

    noch mal... leider scheint das nicht zu klappen: ihr versteht das problem und die lösung nicht. es geht hier nicht darum, dass dritte irgendwas tun oder können. es geht nur um dritte systeme, die aber dem zweiten gehören.

  7. Re: genau lesen bitte....

    Autor: crypt0 13.10.17 - 23:20

    Schon verstanden, nur ermöglicht das eben AUCH(!) dritten (externen), die in Besitz dieses statischen ECDH keys kommen (sei's per bsp. NSL oder durch einen "hack") den gesamten (aufgezeichneten) TLS traffic zu entschlüsseln. Das sollte TLS 1.3 von Anfang an verhindern...
    Die vorgeschlagene "Lösung" würde das genannte "Problem" beheben - aber eben auch ein anderes / "neues" schaffen...



    1 mal bearbeitet, zuletzt am 13.10.17 23:22 durch crypt0.

  8. Re: genau lesen bitte....

    Autor: bombinho 14.10.17 - 00:04

    bjs schrieb:
    --------------------------------------------------------------------------------
    > es geht hier nicht darum, dass dritte irgendwas tun
    > oder können. es geht nur um dritte systeme, die aber dem zweiten gehören.

    Inwiefern koennen diese Systeme unterscheiden, ob sie Zweiten oder Dritten gehoeren?

  9. Re: genau lesen bitte....

    Autor: Anonymer Nutzer 14.10.17 - 00:12

    weil sie den statischen dh key haben.

  10. Re: genau lesen bitte....

    Autor: Anonymer Nutzer 14.10.17 - 00:13

    wer in besitz des statischen dh keys kommt, kommt auch genauso leicht in besitz der schon entschlüsselten daten.

  11. Re: genau lesen bitte....

    Autor: bombinho 14.10.17 - 00:28

    Die Systeme von Zweiten oder die von Dritten oder Alle?

  12. Re: genau lesen bitte....

    Autor: bombinho 14.10.17 - 00:29

    Ah, verstehe, weil Du weisst, wie man in den Besitz eines Apfels kommst, kann man dir auch gleich alle Aepfel frei Haus liefern, dann macht das durchaus Sinn ;)

  13. Re: genau lesen bitte....

    Autor: me2 15.10.17 - 00:16

    Dann les doch auch mal genau:

    > Immerhin wird damit sowohl die Idee der Ende-zu-Ende-Verschlüsselung als auch die von PFS ad absurdum geführt.

    PFS ist eine wichtige Sache. Das einfach aufzugeben, bedeutet den ganzen Entwurf zu schwächen!

    PS: Letztlich spielt es überhaupt keine Rolle worum es den Unternehmen geht, und das Argument, dass das nur in ihrer eigenen Infrastruktur tun zu wollen ist genauso uninteressant. Es ist einzig und allein von Interesse in welcher Art und Weise die Kommunikation dadurch angreifbar wird, und das wird sie nun mal.



    1 mal bearbeitet, zuletzt am 15.10.17 00:19 durch me2.

  14. Re: genau lesen bitte....

    Autor: crypt0 15.10.17 - 22:23

    bjs schrieb:
    --------------------------------------------------------------------------------
    > wer in besitz des statischen dh keys kommt, kommt auch genauso leicht in
    > besitz der schon entschlüsselten daten.

    Klar, wer Zugriff auf den Server hat... ...hat Zugriff auf den Server. Aber (solange der Server nicht mitloggt was ich mache - z.B. welche Golem-Artikel ich in welcher Reihenfolge gelesen habe) hilft das nichts.
    Das ist genau der Zweck von PFS. Es geht (oft) nicht darum die Daten auf dem Server geheim zu halten sondern die Interaktion der Nutzer mit dem Server.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. VIVAVIS GmbH, Ettlingen, Koblenz
  2. Senat der Freien und Hansestadt Hamburg - Senatskanzlei, Hamburg
  3. Spark Radiance GmbH, Inning am Ammersee
  4. Bundesinstitut für Risikobewertung, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 22,99€
  2. 69,99€ (Release am 21. Februar 2020, mit Vorbesteller-Preisgarantie)
  3. (-75%) 9,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


iPhone 11 im Test: Zwei Kameras beim iPhone reichen
iPhone 11 im Test
Zwei Kameras beim iPhone reichen

Das iPhone Xr war der heimliche Verkaufsschlager der letzten iPhone-Generation, mit dem iPhone 11 bekommt das Gerät nun einen Nachfolger. Im Test zeigt sich, dass Käufer auf die Kamerafunktionen der Pro-Modelle nicht verzichten müssen, uns stört auch das fehlende dritte Objektiv nicht - im Gegensatz zum Display.
Ein Test von Tobias Költzsch

  1. Tim Cook Apple-CEO verteidigt die Sperrung der Hongkong-Protestapp
  2. China Apple entfernt Hongkonger Protest-App aus App Store
  3. Smartphone Apple bietet kostenlose Reparatur für iPhone 6S an

Banken: Die Finanzbranche braucht eine neue Strategie für ihre IT
Banken
Die Finanzbranche braucht eine neue Strategie für ihre IT

Ob Deutsche Bank, Commerzbank oder DKB: Immer wieder wackeln Server und Anwendungen bei großen Finanzinstituten. Viele Kernbanksysteme sind zu alt für aktuelle Anforderungen. Die Branche sucht nach Auswegen.
Eine Analyse von Manuel Heckel

  1. Bafin Kunden beklagen mehr Störungen beim Online-Banking
  2. PSD2 Giropay soll bald nahezu allen Kunden zur Verfügung stehen
  3. Klarna Der Schrecken der traditionellen Banken

WLAN-Kameras ausgeknipst: Wer hat die Winkekatze geklaut?
WLAN-Kameras ausgeknipst
Wer hat die Winkekatze geklaut?

Weg ist die Winkekatze - und keine unserer vier Überwachungskameras hat den Dieb gesehen. Denn WLAN-Cams von Abus, Nest, Yi Technology und Arlo lassen sich ganz einfach ausschalten.
Von Moritz Tremmel

  1. Wi-Fi 6 Router und Clients für den neuen WLAN-Standard
  2. Wi-Fi 6 und 802.11ax Was bringt der neue WLAN-Standard?
  3. Brandenburg Vodafone errichtet 1.200 kostenlose WLAN-Hotspots

  1. Quellcode: Datenschützer stellt Bedingungen für 5G-Netze von Huawei
    Quellcode
    Datenschützer stellt Bedingungen für 5G-Netze von Huawei

    Der Datenschützer Johannes Caspar will den 5G-Quellcode von Huawei einsehen lassen, was der Ausrüster bereits zugesichert hat. Europäische Lösungen seien kaum vorhanden. Und US-Lösungen von Cisco könnten auch "Bedenken auslösen".

  2. Raumfahrt: US-Raumfahrtunternehmen Stratolaunch hat neuen Eigentümer
    Raumfahrt
    US-Raumfahrtunternehmen Stratolaunch hat neuen Eigentümer

    Das Riesenflugzeug Stratolaunch Carrier wechselt den Besitzer: Ein bisher unbekannter Käufer hat das von Paul Allen gegründete US-Raumfahrtunternehmen Stratolaunch übernommen. Der möchte offensichtlich die Geschäfte weiterführen.

  3. Blade 15 Advanced: Razer baut optomechanische Switches in Gaming-Notebook
    Blade 15 Advanced
    Razer baut optomechanische Switches in Gaming-Notebook

    Als einer der wenigen Hersteller verwendet Razer eine Tastatur mit optomechanischen Switches in einem Notebook: Das Blade 15 Advanced wird optional damit ausgeliefert, wobei die Tasten - typisch für ein Gaming-Modell - schon nach 1 mm auslösen. Vorteil der Switches könnte ihre Haltbarkeit sein.


  1. 15:45

  2. 15:35

  3. 15:00

  4. 14:13

  5. 13:57

  6. 12:27

  7. 12:00

  8. 11:57