Ein Vortrag von Andreas Sperber auf der GPN17.
Im August 2011 berichtet ein iranischer Internetnutzer von einer Browser-Warnung, wenn er sich zu seinem Gmail-Konto einloggen will. Der Nutzer des Chrome-Browsers wendet sich damit in einem Forum direkt an Google und fragt, ob es sich um einen Man-in-the-Middle-Angriff auf die Verschlüsselung handeln könnte. Google untersucht daraufhin die Situation und bestätigt seine Vermutung: es gab Angriffe auf die Verschlüsselung der Kommunikation, wovon primär Internetnutzer im Iran betroffen waren. Die Zertifizierungsstelle DigiNotar habe unter anderem für google.com nicht autorisierte Zertifikate ausgestellt, die von Browsern anstandslos akzeptiert wurden. Allein der kurz vor dem Vorfall veröffentlichten Sicherheitsfunktion des Chrome-Browsers sei es zu verdanken, dass das missbräuchlich verwendete Zertifikat bemerkt wurde. Die neue Sicherheitsfunktion prüfe für den Google E-Mail-Dienst Gmail nicht nur, ob das Zertifikat gültig ist, sondern auch ob es von einer autorisierten Zertifizierungsstelle ausgestellt wurde. In Chrome und anderen Browsern wurden sofort alle Zertifikate gesperrt, die von DigiNotar ausgestellt wurden. Die Zertifizierungsstelle, die seit Juli 2011 von den nicht autorisierten Zertifikaten für Domains von Google, dem CIA, dem Mossad, dem MI6 und anderen wusste, wurde unter die Aufsicht niederländischer Behörden gestellt und es wurde ein Ermittlungsverfahren eingeleitet.
Kommt ein Angreifer in den Besitz eines nicht autorisierten aber gültigen Zertifikats, sind verschlüsselte Verbindungen nicht mehr sicher. Der Angreifer würde sich mit einem Man-in-the-Middle-Angriff zwischen zwei Kommunikationspartner setzen und das gültige Zertifikat präsentieren. Dieses wird akzeptiert, da der Client Zertifikaten der nicht mehr vertrauenswürdigen Zertifizierungsstelle vertraut. Die Kommunikation wird abgehört.
Das Problem mit Zertifikaten ist nicht neu. Aus diesem Grund wurden in der Vergangenheit mehrere Möglichkeiten zur Absicherung gegen falsche Zertifikate vorgeschlagen. Beispiele sind Certificate Transparency, DNS-based Authentication of Named Entities oder auch HTTP Public Key Pinning. Certificate Transparency ist zudem topaktuell, da der Internetgigant Google dieses Verfahren für https-Verbindungen in seinem Chrome Browser im Oktober 2017 verpflichtend einführen wird.
Der Vortrag gibt einen kurzen Überblick über Public Key Infrastrukturen und Zertifikate und stellt Lösungsansätze für das beschriebene Vertrauensproblem vor.
Links
Fahrplan |
Hauptseite | Feedback | FAQ
2³² Stars In The Sky Abschlussrunde mit Vorstellung FreifunkBW::Camp Alice explodiert! Begrüßung und Einleitung Bondage-Workshop BorgBackup Treffen Build yourself a SNMP replacement Building a Photobooth Closing und Review Combining the Intertubes using Multipath TCP Critical Mass CyberMorning Show Cybern Demoshow Die manpages.debian.org-Modernisierung Digitalisierte Stromnetze und Smart Meter in Deutschland Einführung Infotresen Einführung in Onshape Einführung in die Chaosvermittlung Electronic GeekBag Esoterische Programmiersprachen FreeBSD: The Power to Serve a Community Freifunk Interconnectivity Freifunk-Admin-Talkrunde From Mirai to Apple Guerilla Stricken Gulasch Karaoke Gulaschausgabe HTTP Security Header Hack the Badge - Preisverleihung Hackertours Haecksenfryhstyck How to fly to the Moon How we bodged the Badge Improving the Web of Trust with GNOME Keysign Introduction to Automated Binary Analysis Jonglier-Workshop Lightning Talks Lossless Data Compression Mammut statt Vogel Mate Making DIY McFly McFly Menstruation Matters Mitgliederverwaltung für Erfas My Little Pony - Videoanalyse ist Magie Network Flow Analysis using Netflow protocols and tflow2 Neues ECAD-Programm horizon OWASP TOP 10 OWASP Top 10 Privacy Risks Project PGP Keysigning Panik überall Pixel-Art Workshop Playing Studio Sets Live with Ableton Podcasten QR-Codes SHA2017 Orga Meet @ GPN17 Salt-Orchestrated Software Defined Freifunk Backbone im Hochstift Smarthome mit ioBroker Sysadmin Nightmares The Elektr0nic Window Towards a more secure operating system without sacrificing usability Vertrauen ist gut, Kontrolle ist besser. Virtual Reality mit Freier Software WCW 2017 Livestream Webserversecurity 101 Werwölfe von Düsterwald What to hack Wie kommt eigentlich das Internet von Hamburg nach Stuttgart? ZFS replication with zrepl ffbw.de Workshop git-dit gokrazy: ein Go userland für Raspberry Pi 3 appliances hacking galaxy S8 iris recognition small modifications and embodied connectivity the dark side of the wifi Æ-DIR Installation Workshop