GPN17:Vertrauen ist gut, Kontrolle ist besser.: Unterschied zwischen den Versionen

aus dem Wiki des Entropia e.V., CCC Karlsruhe
Visuell
K (Fahrplanbot tut Dinge)
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:


Ein Vortrag von Andreas Sperber auf der [[GPN17]].
Ein Vortrag von Andreas Sperber auf der [[GPN17]].
Jeder kennt in seinem Browser das Schloss links oben neben der URL: ist es grün, ist die Verbindung verschlüsselt und niemand kann die Kommunikation zwischen Browser und Server abhören, oder?
Unsere Browser stellen das grüne Schloss dar, wenn sie für die aufgerufene URL ein gültiges Zertifikat erhalten. Diese Zertifikate werden von Zertifizierungsstellen ausgestellt, und unsere Browser vertrauen diesen Stellen.
Was passiert aber, wenn ein Zertifikat für jemanden ausgestellt wird, der es gar nicht bekommen dürfte? Ist dies bereits passiert?
Der Vortrag geht auf diese Fragestellungen ein und diskutiert, was getan werden kann, um solche Situationen zu verhindern.


Im August 2011 berich­tet ein irani­scher In­ternetnutzer von ei­ner Brow­ser-War­nung, wenn er sich zu sei­nem Gmail-Konto einloggen will. Der Nutzer des Chro­me-Browsers wendet sich damit in ei­nem Forum direkt an Goog­le und fragt, ob es sich um ei­nen Man-in-the-Middle-Angriff auf die Verschlüsselung handeln könnte. Goog­le un­tersucht dar­aufhin die Si­tuati­on und bestätigt sei­ne Vermu­tung: es gab Angriffe auf die Verschlüsselung der Kommunikati­on, wovon primär In­ternetnutzer im Iran betroffen wa­ren. Die Zertifizierungs­stel­le DigiNo­tar habe un­ter an­de­rem für goog­le.com nicht autorisier­te Zertifikate aus­ge­stellt, die von Browsern an­stands­los akzep­tiert wur­den. Allein der kurz vor dem Vorfall veröff­entlich­ten Si­cherheits­funkti­on des Chro­me-Browsers sei es zu ver­danken, dass das missbräuch­lich verwende­te Zertifikat bemerkt wurde. Die neue Si­cherheits­funkti­on prüfe für den Goog­le E-Mail-Dienst Gmail nicht nur, ob das Zertifikat gültig ist, sondern auch ob es von ei­ner autorisier­ten Zertifizierungs­stel­le aus­ge­stellt wurde.
Im August 2011 berich­tet ein irani­scher In­ternetnutzer von ei­ner Brow­ser-War­nung, wenn er sich zu sei­nem Gmail-Konto einloggen will. Der Nutzer des Chro­me-Browsers wendet sich damit in ei­nem Forum direkt an Goog­le und fragt, ob es sich um ei­nen Man-in-the-Middle-Angriff auf die Verschlüsselung handeln könnte. Goog­le un­tersucht dar­aufhin die Si­tuati­on und bestätigt sei­ne Vermu­tung: es gab Angriffe auf die Verschlüsselung der Kommunikati­on, wovon primär In­ternetnutzer im Iran betroffen wa­ren. Die Zertifizierungs­stel­le DigiNo­tar habe un­ter an­de­rem für goog­le.com nicht autorisier­te Zertifikate aus­ge­stellt, die von Browsern an­stands­los akzep­tiert wur­den. Allein der kurz vor dem Vorfall veröff­entlich­ten Si­cherheits­funkti­on des Chro­me-Browsers sei es zu ver­danken, dass das missbräuch­lich verwende­te Zertifikat bemerkt wurde. Die neue Si­cherheits­funkti­on prüfe für den Goog­le E-Mail-Dienst Gmail nicht nur, ob das Zertifikat gültig ist, sondern auch ob es von ei­ner autorisier­ten Zertifizierungs­stel­le aus­ge­stellt wurde.

Version vom 15. Mai 2017, 22:57 Uhr

Ein Vortrag von Andreas Sperber auf der GPN17.

Im August 2011 berich­tet ein irani­scher In­ternetnutzer von ei­ner Brow­ser-War­nung, wenn er sich zu sei­nem Gmail-Konto einloggen will. Der Nutzer des Chro­me-Browsers wendet sich damit in ei­nem Forum direkt an Goog­le und fragt, ob es sich um ei­nen Man-in-the-Middle-Angriff auf die Verschlüsselung handeln könnte. Goog­le un­tersucht dar­aufhin die Si­tuati­on und bestätigt sei­ne Vermu­tung: es gab Angriffe auf die Verschlüsselung der Kommunikati­on, wovon primär In­ternetnutzer im Iran betroffen wa­ren. Die Zertifizierungs­stel­le DigiNo­tar habe un­ter an­de­rem für goog­le.com nicht autorisier­te Zertifikate aus­ge­stellt, die von Browsern an­stands­los akzep­tiert wur­den. Allein der kurz vor dem Vorfall veröff­entlich­ten Si­cherheits­funkti­on des Chro­me-Browsers sei es zu ver­danken, dass das missbräuch­lich verwende­te Zertifikat bemerkt wurde. Die neue Si­cherheits­funkti­on prüfe für den Goog­le E-Mail-Dienst Gmail nicht nur, ob das Zertifikat gültig ist, sondern auch ob es von ei­ner autorisier­ten Zertifizierungs­stel­le aus­ge­stellt wurde. In Chro­me und an­de­ren Browsern wur­den sofort alle Zertifikate ge­sperrt, die von DigiNo­tar aus­ge­stellt wur­den. Die Zertifizierungs­stel­le, die seit Juli 2011 von den nicht autorisier­ten Zertifika­ten für Domains von Goog­le, dem CIA, dem Mossad, dem MI6 und an­de­ren wusste, wurde unter die Aufsicht nieder­ländi­scher Behörden gestellt und es wurde ein Ermittlungs­verfah­ren ein­ge­leitet.

Kommt ein Angreifer in den Besitz ei­nes nicht autorisier­ten aber gültigen Zertifikats, sind verschlüsselte Ver­bindun­gen nicht mehr si­cher. Der Angreifer würde sich mit ei­nem Man-in-the-Middle-Angriff zwi­schen zwei Kommunikati­ons­partner set­zen und das gültige Zertifikat präsentie­ren. Dieses wird akzep­tiert, da der Client Zertifika­ten der nicht mehr vertrau­enswürdigen Zertifizierungs­stel­le vertraut. Die Kommunikati­on wird abgehört.

Das Pro­blem mit Zertifika­ten ist nicht neu. Aus diesem Grund wur­den in der Vergan­genheit meh­re­re Möglichkei­ten zur Ab­si­cherung gegen fal­sche Zertifikate vor­ge­schla­gen. Beispiele sind Certificate Transparency, DNS-based Authentication of Named Entities oder auch HTTP Public Key Pinning. Certificate Transparency ist zudem topaktuell, da der Internetgigant Google dieses Verfahren für https-Verbindungen in seinem Chrome Browser im Oktober 2017 verpflichtend einführen wird.

Der Vortrag gibt einen kurzen Überblick über Public Key Infrastrukturen und Zertifikate und stellt Lösungsansätze für das beschriebene Vertrauensproblem vor.

Links




GPN17
 Fahrplan |

Aufzeichnungen

Hauptseite | Feedback | FAQ

2³² Stars In The Sky Abschlussrunde mit Vorstellung FreifunkBW::Camp Alice explodiert! Begrüßung und Einleitung Bondage-Workshop BorgBackup Treffen Build yourself a SNMP replacement Building a Photobooth Closing und Review Combining the Intertubes using Multipath TCP Critical Mass CyberMorning Show Cybern Demoshow Die manpages.debian.org-Modernisierung Digitalisierte Stromnetze und Smart Meter in Deutschland Einführung Infotresen Einführung in Onshape Einführung in die Chaosvermittlung Electronic GeekBag Esoterische Programmiersprachen FreeBSD: The Power to Serve a Community Freifunk Interconnectivity Freifunk-Admin-Talkrunde From Mirai to Apple Guerilla Stricken Gulasch Karaoke Gulaschausgabe HTTP Security Header Hack the Badge - Preisverleihung Hackertours Haecksenfryhstyck How to fly to the Moon How we bodged the Badge Improving the Web of Trust with GNOME Keysign Introduction to Automated Binary Analysis Jonglier-Workshop Lightning Talks Lossless Data Compression Mammut statt Vogel Mate Making DIY McFly McFly Menstruation Matters Mitgliederverwaltung für Erfas My Little Pony - Videoanalyse ist Magie Network Flow Analysis using Netflow protocols and tflow2 Neues ECAD-Programm horizon OWASP TOP 10 OWASP Top 10 Privacy Risks Project PGP Keysigning Panik überall Pixel-Art Workshop Playing Studio Sets Live with Ableton Podcasten QR-Codes SHA2017 Orga Meet @ GPN17 Salt-Orchestrated Software Defined Freifunk Backbone im Hochstift Smarthome mit ioBroker Sysadmin Nightmares The Elektr0nic Window Towards a more secure operating system without sacrificing usability Virtual Reality mit Freier Software WCW 2017 Livestream Webserversecurity 101 Werwölfe von Düsterwald What to hack Wie kommt eigentlich das Internet von Hamburg nach Stuttgart? ZFS replication with zrepl ffbw.de Workshop git-dit gokrazy: ein Go userland für Raspberry Pi 3 appliances hacking galaxy S8 iris recognition small modifications and embodied connectivity the dark side of the wifi Æ-DIR Installation Workshop

Abgerufen von „https://entropia.de/index.php?title=GPN17:Vertrauen_ist_gut,_Kontrolle_ist_besser.&oldid=43839