Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › ETLS: ETSI veröffentlicht unsichere…

Implementation?

  1. Thema

Neues Thema Ansicht wechseln


  1. Implementation?

    Autor: AllDayPiano 14.11.18 - 07:44

    Okay, jetzt hat man so eine Verschlüsselung definiert. Die Frage, die sich mir aber stellt: wer soll das jetzt einsetzen? Wenn ein Standard spezifiziert wird, ist man doch immer davon abhängig, dass irgendjemand diesen Standard auch umsetzt. Nur wer soll das sein?

    Gerade im Consumerbereich denke ich nicht, dass sich so ein Standard durchsetzen wird. Dafür sind zu viele bedeutende Unternehmen zu sehr involviert, um sichere Verbindungen herzustellen.

    Ich kann mir daher also durchaus vorstellen, dass einige Nischenapplikationen diesen Standard umsetzen werden, bin aber der Überzeugung, dass diese Nischen auch so eine unsichere Verbindung beinhalten könnten.

    Oder sehe ich das zu blauäugig?

  2. Re: Implementation?

    Autor: marsupilani 14.11.18 - 08:23

    Das Problem wird sein, dass es notwendig wird, eine Methode zu entwickeln, mit der die client Seite eine solche Implementierung erkennen und den user warnen kann. Ansonsten werden wohl viele diese Möglichkeit optional in lLadbalancern oder ähnlichem vorsehen, ohne das groß bekannt zu machen...

  3. Re: Implementation?

    Autor: elgooG 14.11.18 - 11:29

    Soweit ich das verstanden habe, ist diese Variante allerdings inkompatibel zu TLS1.3. Eine Verbindung würde erst gar nicht zustande kommen.

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  4. Re: Implementation?

    Autor: Puschie 14.11.18 - 11:56

    elgooG schrieb:
    --------------------------------------------------------------------------------
    > Soweit ich das verstanden habe, ist diese Variante allerdings inkompatibel
    > zu TLS1.3. Eine Verbindung würde erst gar nicht zustande kommen.


    Es besteht eine 100% Kompatibilität - die Sicherheit ist nur futsch.

  5. Re: Implementation?

    Autor: Kein Kostverächter 14.11.18 - 13:09

    Der Client muss die temporären DH-Keys loggen. Dann kann man prüfen, ob es zu einem Server immer derselbe ist. Wenn ja, ist es ETLS oder (eigentlich dasselbe) eine kaputte TLS -Implementierung. Dafür braucht man aber mehrere Sessions, bei der ersten Session sind ETLS und TLS auf der Client-Seite nicht zu unterscheiden.

    Bis die Tage,

    KK

    ----------------------------------------------------------
    Mach dir deine eigenen Götter, und unterlasse es, dich mit einer schnöden Religion zu beflecken.
    (Epikur, griech. Phil., 341-270 v.Chr.)
    ----------------------------------------------------------
    We provide AI Blockchain Cloud (ABC) enabled applications bringing Enterprise level synergies to vertically integrated business processes.

  6. Re: Implementation?

    Autor: qupfer 14.11.18 - 14:54

    Kein Kostverächter schrieb:
    --------------------------------------------------------------------------------
    > Der Client muss die temporären DH-Keys loggen. Dann kann man prüfen, ob es
    > zu einem Server immer derselbe ist. Wenn ja, ist es ETLS oder (eigentlich
    > dasselbe) eine kaputte TLS -Implementierung.

    Mh, ich denke ganz korrekt ist das auch nicht.
    So wie ich DH verstanden habe: Man bei DH 4 Werte. Für Server und Client jeweils einen "Privaten" und eine "Öffentlichen".
    Aus den beiden Eigen und dem öffentlichen Wertes der anderen Seite lässt sich dann der Schlüssel ableiten, der identisch mit der Bildung aus den eigenen Öffentlichen und den beiden der anderen Seite ist). Daraus ergibt sich: Beide Seiten haben einen gemeinsamen Schlüssel
    Wenn ich jetzt als client bei jeder Sitzung korrekt neue Parameter sende, habe ich dennoch unterschiedliche Schlüssel.

    Problem ist. Die Middleware kennt beide Werte der einen Seite und benötigt nur noch den öffentlichen Parameter der anderen. Die ja - da öffentlich - unverschlüsselt übertragen wird. Daraus lässt sich der Sitzungsschlüssel ausrechnen.

    Oder man benötigt halt wirklich auf beiden Seiten eTLS, dann ist der Schlüssel wirklich bekannt. Aber dann brauch er auch nicht protokolliert werden um es zu erkennen.

    Oder habe ich noch einen Denkfehler?

  7. Re: Implementation?

    Autor: waldschote 14.11.18 - 15:47

    Die Sicherheit an sich ist nicht futsch. Der reine Transport der Daten ist auch weiterhin gesichert. D.h. ein Außenstehender hat keinen Zugriff auf die Daten. Bzw. muss diese wie sonst auch sich mühsam den Schlüssel erarbeiten bevor er die Pakete entschlüsseln kann.

    Der Unterschied von ETLS und TLS ist nur, das intern die Pakete ohne weiteres entschlüsselt werden können, weil die Admins ihren privaten Schlüssel ja kennen. In sofern kann die Kommunikation Netz Intern ohne Aufwand aufgebrochen und reingeschaut werden.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. über Kienbaum Consultants International GmbH, Stuttgart
  2. SCHILLER Medizintechnik GmbH, Feldkirchen
  3. Technische Universität Darmstadt, Darmstadt
  4. Franz Binder GmbH + Co. Elektrische Bauelemente KG, Neckarsulm

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 35€ (Bestpreis!)
  2. 199€ + Versand
  3. 56€ (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

Alexa: Das allgegenwärtige Ohr Amazons
Alexa
Das allgegenwärtige Ohr Amazons

Die kürzlich angekündigten Echo-Produkte bringen Amazons Sprachassistentin Alexa auf die Straße und damit Datenschutzprobleme in die U-Bahn oder in bisher Alexa-freie Wohnzimmer. Mehrere Landesdatenschutzbeauftragte haben Golem.de erklärt, ob und wie die Geräte eingesetzt werden dürfen.
Von Moritz Tremmel

  1. Digitaler Assistent Amazon bringt neue Funktionen für Alexa
  2. Echo Frames und Echo Loop Amazon zeigt eine Brille und einen Ring mit Alexa
  3. Alexa Answers Nutzer smarter Lautsprecher sollen Alexa Wissen beibringen

IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

  1. Proteste in Hongkong: Hochrangige US-Politiker schreiben an Activision und Apple
    Proteste in Hongkong
    Hochrangige US-Politiker schreiben an Activision und Apple

    Alexandria Ocasio-Cortez, Marco Rubio und weitere Politiker der großen US-Parteien haben offene Briefe an die Chefs von Activision Blizzard und Apple geschrieben. Sie fordern darin, dass die Firmen nicht mehr die chinesische Regierung in deren Kampf gegen die Proteste in Hongkong unterstützen.

  2. Wing Aviation: Kommerzielle Warenlieferung per Drohne in USA gestartet
    Wing Aviation
    Kommerzielle Warenlieferung per Drohne in USA gestartet

    In den USA hat das zu Alphabet gehörende Unternehmen Wing Aviation die ersten Bestellungen per Drohne an Kunden ausgeliefert - unter anderem Schnupfenmittelchen.

  3. Office und Windows: Microsoft klagt gegen Software-Billiganbieter Lizengo
    Office und Windows
    Microsoft klagt gegen Software-Billiganbieter Lizengo

    Auffallend günstige Keys für Office 365 und Windows 10 bei Anbietern wie Edeka sind möglicherweise nicht legal. Nun geht Microsoft gegen Lizengo vor, einen der größten Anbieter solcher Software.


  1. 14:43

  2. 13:45

  3. 12:49

  4. 11:35

  5. 18:18

  6. 18:00

  7. 17:26

  8. 17:07