Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Verschlüsselung: Niemand hat die…

genau lesen bitte....

  1. Thema

Neues Thema Ansicht wechseln


  1. genau lesen bitte....

    Autor: Anonymer Nutzer 13.10.17 - 15:07

    anscheinend wird das thema nicht richtig gelesen oder verstanden. es geht rein darum, dass eine organisation _innerhalb_ ihres netzwerkes tls verbindung von einem client zu einem ihrer systemen auch mit einem anderen system entschlüsseln kann, das nicht teil der eigentlich kommunikation ist. es geht hier nicht darum, tls in irgendeiner art zu schwächen, sondern eine standardisierte methode dafür zu definieren. es geht hier auch keineswegs darum, tls verbindungen von gänzlich unbeteiligten zu überwachen.

    die aufregung ist also vollkommen überzogen. vor allem auch wenn man bedenkt, wie fragil tls allgemein ist, wie sehr man sich gegen dnssec als zusätzlichen schutz wehrt, wieviele cloudflare als men in the middle verwenden. tls wird nach wie vor vielfach komplett falsch eingesetzt, das thema des artikels aber ist definitiv _kein_ sicherheitsproblem.

  2. Re: genau lesen bitte....

    Autor: zilti 13.10.17 - 16:04

    Jaja genau. Und Ulbricht hat gesagt, es gäbe keine Mauer, und Obama hat gesagt, es fände keine flächendeckende NSA-Überwachung statt.

  3. Re: genau lesen bitte....

    Autor: Anonymer Nutzer 13.10.17 - 16:33

    hmpf... du hast es auch nicht gelesen.

    es geht darum, einer der beiden seiten einer tls verbindung die technische möglichkeit zu geben, die tls verbindung auf einem dritten system, das ebenso unter der kontrolle dieser seite ist, zu öffnen.

    noch mal: es geht hier _NICHT_ um die öffnung von tls verbindungen durch unbeteiligte dritte. bitte genau alles lesen.

  4. Re: genau lesen bitte....

    Autor: bombinho 13.10.17 - 21:10

    Ich fuerchte, genau das ist aber das Problem. Ob nun durch Dritte oder Zweite, die Oeffnung ist das Problem. Wenn ich es nicht vom Dritten kriege, dann hole ich es mir beim Zweiten.

  5. Re: genau lesen bitte....

    Autor: crypt0 13.10.17 - 22:07

    Naja IMO gibt es schon Grund zur Aufregung:
    Mal ganz von vorne:
    1. TLS 1.3 wurde mit dem Gedanken designed, dass MitM ein reines Angriffsszenario ist und kein Feature. Kurz vor dem finalen darft (IIRC 19) melden sich die Banken beschweren sich dass TLS 1.3 so für sie nicht funktioniert und schlagen einen work-a-round vor um MitM doch noch möglich zu machen. Die Antwort der IETF TLS Arbeitsgruppe als TL;DR: "Leute ihr seid viel zu spät und außerdem wollen wir die Sicherheit verbessern(!)..."

    Dazu eine kurze Zwischenfrage: Ich arbeite nicht in der IT einer Bank, aber das zeugt entweder von inkompetenz / mangelndem Interesse oder von Absicht. Wer bitte wartet bis zum letzten draft um dann gravierende Änderungen zu verlangen wenn das offensichtlich ein so großer Problem darstellt?!

    2. Matthew Green macht den Banken einen Vorschlag wie sie das ganz mit ECDH doch umgesetzt bekommen OHNE die TLS spec anzufassen...

    3. Jetzt wollen "alle" diesen Vorschlag doch noch in den RFC mit aufnehmen. Das Problem: Statische ECDH parameter machen die PFS Eigenschaft kaputt...
    Grund: Wenn ich als Server-betreiber (freiwillig) meinen statischen DH private part einer dritten Partei aushändige kann diese ALLE damit erzeugten TLS master secrets erzeugen und alle TLS sessions entschlüsseln.

    IMO ist das fast schon ein Wink mit dem Zaunpfahl seitens diverse Geheimdienste. PFS ist für die äußerst nervig.
    Das Argument: "Wir müssen den TLS traffic analysieren können" ist für mich vorgeschoben. Das geht nämlich trotz TLS 1.3 - Reverse-proxy vor die clients - done. Ja das ist aufwendig und kann/wird kosten verursachen aber ich sehe nicht warum die IETF eine solche Krücke in den RFC aufnehmen sollte...

  6. Re: genau lesen bitte....

    Autor: Anonymer Nutzer 13.10.17 - 22:59

    noch mal... leider scheint das nicht zu klappen: ihr versteht das problem und die lösung nicht. es geht hier nicht darum, dass dritte irgendwas tun oder können. es geht nur um dritte systeme, die aber dem zweiten gehören.

  7. Re: genau lesen bitte....

    Autor: crypt0 13.10.17 - 23:20

    Schon verstanden, nur ermöglicht das eben AUCH(!) dritten (externen), die in Besitz dieses statischen ECDH keys kommen (sei's per bsp. NSL oder durch einen "hack") den gesamten (aufgezeichneten) TLS traffic zu entschlüsseln. Das sollte TLS 1.3 von Anfang an verhindern...
    Die vorgeschlagene "Lösung" würde das genannte "Problem" beheben - aber eben auch ein anderes / "neues" schaffen...



    1 mal bearbeitet, zuletzt am 13.10.17 23:22 durch crypt0.

  8. Re: genau lesen bitte....

    Autor: bombinho 14.10.17 - 00:04

    bjs schrieb:
    --------------------------------------------------------------------------------
    > es geht hier nicht darum, dass dritte irgendwas tun
    > oder können. es geht nur um dritte systeme, die aber dem zweiten gehören.

    Inwiefern koennen diese Systeme unterscheiden, ob sie Zweiten oder Dritten gehoeren?

  9. Re: genau lesen bitte....

    Autor: Anonymer Nutzer 14.10.17 - 00:12

    weil sie den statischen dh key haben.

  10. Re: genau lesen bitte....

    Autor: Anonymer Nutzer 14.10.17 - 00:13

    wer in besitz des statischen dh keys kommt, kommt auch genauso leicht in besitz der schon entschlüsselten daten.

  11. Re: genau lesen bitte....

    Autor: bombinho 14.10.17 - 00:28

    Die Systeme von Zweiten oder die von Dritten oder Alle?

  12. Re: genau lesen bitte....

    Autor: bombinho 14.10.17 - 00:29

    Ah, verstehe, weil Du weisst, wie man in den Besitz eines Apfels kommst, kann man dir auch gleich alle Aepfel frei Haus liefern, dann macht das durchaus Sinn ;)

  13. Re: genau lesen bitte....

    Autor: me2 15.10.17 - 00:16

    Dann les doch auch mal genau:

    > Immerhin wird damit sowohl die Idee der Ende-zu-Ende-Verschlüsselung als auch die von PFS ad absurdum geführt.

    PFS ist eine wichtige Sache. Das einfach aufzugeben, bedeutet den ganzen Entwurf zu schwächen!

    PS: Letztlich spielt es überhaupt keine Rolle worum es den Unternehmen geht, und das Argument, dass das nur in ihrer eigenen Infrastruktur tun zu wollen ist genauso uninteressant. Es ist einzig und allein von Interesse in welcher Art und Weise die Kommunikation dadurch angreifbar wird, und das wird sie nun mal.



    1 mal bearbeitet, zuletzt am 15.10.17 00:19 durch me2.

  14. Re: genau lesen bitte....

    Autor: crypt0 15.10.17 - 22:23

    bjs schrieb:
    --------------------------------------------------------------------------------
    > wer in besitz des statischen dh keys kommt, kommt auch genauso leicht in
    > besitz der schon entschlüsselten daten.

    Klar, wer Zugriff auf den Server hat... ...hat Zugriff auf den Server. Aber (solange der Server nicht mitloggt was ich mache - z.B. welche Golem-Artikel ich in welcher Reihenfolge gelesen habe) hilft das nichts.
    Das ist genau der Zweck von PFS. Es geht (oft) nicht darum die Daten auf dem Server geheim zu halten sondern die Interaktion der Nutzer mit dem Server.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. m.a.x. Informationstechnologie AG, München
  2. Vodafone GmbH, Eschborn
  3. EnBW Energie Baden-Württemberg AG Holding, Karlsruhe
  4. über Hays AG, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 399,00€ (Bestpreis!)
  2. bis zu 11 PC-Spiele für 11,65€
  3. 499,00€ (zzgl. 8,99€ Versand)
  4. GRATIS


Haben wir etwas übersehen?

E-Mail an news@golem.de


LTE-V2X vs. WLAN 802.11p: Wer hat Recht im Streit ums Auto-WLAN?
LTE-V2X vs. WLAN 802.11p
Wer hat Recht im Streit ums Auto-WLAN?

Trotz langjähriger Verhandlungen haben die EU-Mitgliedstaaten die Pläne für ein vernetztes Fahren auf EU-Ebene vorläufig gestoppt. Golem.de hat nachgefragt, ob LTE-V2X bei direkter Kommunikation wirklich besser und billiger als WLAN sei.
Eine Analyse von Friedhelm Greis

  1. Vernetztes Fahren Lobbyschlacht um WLAN und 5G in Europa
  2. Gefahrenwarnungen EU setzt bei vernetztem Fahren weiter auf WLAN

Homeoffice: Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
Homeoffice
Wenn der Arbeitsplatz so anonym ist wie das Internet selbst

Homeoffice verspricht Freiheit und Flexibilität für die Mitarbeiter und Effizienzsteigerung fürs Unternehmen - und die IT-Branche ist dafür bestens geeignet. Doch der reine Online-Kontakt bringt auch Probleme mit sich.
Ein Erfahrungsbericht von Marvin Engel

  1. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
  2. IT-Berufe Bin ich Freiberufler oder Gewerbetreibender?
  3. Milla Bund sagt Pläne für KI-gesteuerte Weiterbildungsplattform ab

Motorola One Vision im Hands on: Smartphone mit 48-Megapixel-Kamera für 300 Euro
Motorola One Vision im Hands on
Smartphone mit 48-Megapixel-Kamera für 300 Euro

Motorola bringt ein weiteres Android-One-Smartphone auf den Markt. Die Neuvorstellung verwendet viel Samsung-Technik und hat ein sehr schmales Display. Die technischen Daten sind für diese Preisklasse vielversprechend.
Ein Hands on von Ingo Pakalski

  1. Moto G7 Power Lenovos neues Motorola-Smartphone hat einen großen Akku
  2. Smartphones Lenovo leakt neue Moto-G7-Serie

  1. Suunto 5: Sportuhr mit schlauem Akku vorgestellt
    Suunto 5
    Sportuhr mit schlauem Akku vorgestellt

    Es gibt neue Konkurrenz für die Sportuhren von Garmin und Polar: Nun stattet auch Suunto sein neues Mittelklassemodell mit einem GPS-Chip von Sony aus, der besonders wenig Energie benötigt. Für immer ausreichende Akkuleistung hat sich der Hersteller einen weiteren Kniff überlegt.

  2. Ceconomy: Media Markt/Saturn will Amazon-Preise unterbieten
    Ceconomy
    Media Markt/Saturn will Amazon-Preise unterbieten

    Media Markt/Saturn erhält ein neues zentrales Preissystem. Durch Analyse der Konkurrenz und KI will die Handelskette den Wettbewerbern stets einen Schritt voraus sein.

  3. Computergeschichte: Unix hinter dem Eisernen Vorhang
    Computergeschichte
    Unix hinter dem Eisernen Vorhang

    Während sich Unix in den 1970er Jahren an westlichen Universitäten verbreitete, war die DDR durch Embargos von der Entwicklung abgeschnitten - offiziell zumindest. Als es das Betriebssystem hinter den Eisernen Vorhang schaffte, traf es schnell auf Begeisterte.


  1. 12:30

  2. 12:07

  3. 12:03

  4. 11:49

  5. 11:27

  6. 11:16

  7. 11:00

  8. 10:40