CR172 SSL. Oder: Einmal aufmachen bitte.

Warum die Verschlüsselung nicht (mehr) funktioniert.

Alle braven Nutzer bekommen seit Ewigkeiten beigebracht: Wenn wir sicher surfen wollen, müsst ihr ein httpS vor die Webadresse eurer Onlinebank schreiben. Nur dann ist die Kommunikation wirklich, ehrlich und total sicher. Und das gilt auch für alle anderen Seiten, bei denen irgendwelchen Informationen übertragen werden.

Oder halt eben nicht. Spätestens seit den Skandalen um Zertifikatsherausgeber wie Diginotar (Infos), dem Abhören von GMail-Traffic durch den Iran und der weitreichenden BEAST-Attacke ist klar: SSL und TLS sind kaputt. So kaputt, dass sich die Frage stellt, ob es ein Fehler im System oder eine behebbare Sicherheitslücke ist.

Eine Problem um das es im Chaosradio gehen soll. Stephan “tomate” Urbachfukami und Matthias “wetterfrosch” Mehldau werden monoxyd und euch die Funktionsweise, Fallstricke und fundamentalen Fehler bei verschlüsselter Datenübertragung im Netz erklären, beleuchten und diskutieren.

This entry was posted in Chaosradio. Bookmark the permalink.

27 Responses to CR172 SSL. Oder: Einmal aufmachen bitte.

  1. Pingback: chaosradio 172 | Die Hörsuppe

  2. Heinz says:

    Ich habe ein wenig Feedback für euch:
    könntet ihr bitte
    1. die Podcasts bitte direkt nach der Sendung auf der Chaosradio-Seite einstellen und nicht erst (teilweise) Tage später.
    2. Die Ankündigung für die nächste Sendung aktuell halten und den Eintrag zur Sendung dort vor und nicht nach der Sendung machen? – Danke

  3. Pingback: CR 172 SSL. Oder: Einmal aufmachen bitte. » Von markus » netzpolitik.org

  4. mcnesium says:

    hmm, ich fänd ja sone kleine schriftliche zusammenfassung der sendung nicht schlecht, da ich jetzt grad nicht zwei stunden nachhören kann um mir ein urteil über die situation bilden zu können.

  5. bene says:

    Ist nicht euer Ernst, dass ihr für wiki.chaosradio.ccc.de ein abgelaufenes SSL Zertifikat verwendet?

  6. paddy says:

    Es handelt sich sogar um ein ganz besonders gefährliches snakeoil Zertifikat, ich würde das wiki nicht besuchen!

    • bzuer says:

      Was soll denn ein “snakeoil Zertifikat” sein, und warum soll es gefährlich sein? Dass es abgelaufen und selbstausgestellt ist, wird ja in der Sendung erwähnt. Die Leute mögen zwar genügend Ahnung haben, um SSL und sein Ökosystem als unzulänglich zu kritisieren, eigene Alternativen hat man aber leider auch nicht. Vorschläge aus irgendwelchen Papers, die es sicher zahlreich gibt, sauber und nutzbar zu implementieren und in eine verbreitete Software zu integrieren, statt nur auf die Existenz des einen oder anderen Papers hinzuweisen, ist ja offenbar zu mühsam, was ja angesichts der eigenen Schwächen irgendwelcher alternativer Modelle irgendwo auch verständlich sein mag. Doch mehr als Zustände feststellen, kann man so halt nicht. Wer es also bisher noch nicht wusste, hat nun von den Mängeln im SSL- und Zertifizierungssystem gehört. Erfreulich wäre jedoch, wenn sich Leute mal hinsetzten und eine brauchbare Alternative entwürfen und ordentlich implementierten (nicht: hackten). Schlecht dokumentierte und dahingehackte Open-Source-Software gibt es schon genug, was Hochwertiges wäre mal schön. Und in C oder C++ sollte man damit besser gar nicht erst anfangen.

  7. Nick says:

    Oliver hat recht. Hm, was ist da los mit dem Zertifikat?

    Und ich stimme den anderen Kommentatoren zu: Chaosradio.de aktuell zu halten wäre schon was ganz ganz feines. Das muss doch machbar sein.

  8. Danke fürs MP3!
    Ich habe mich gerade gestern in meinem Blog auch ausführlich zu dem Thema ausgelassen:
    http://techblog.frankherberg.de/2011/sicherheit/diginotar-ca-ssl-https-convergence/
    Moxie Marlinspikes ‘Convergence’ finde ich momentan eine sehr spannende Alternative, mal sehen wie sich das entwickelt.
    Viele Grüsse Frank

  9. Christian Berger says:

    Mal vielleicht eine blöde Frage, aber habt ihr schon mal überlegt das Verarbeiten der MP3-Datei zu automatisieren?
    So in der Art, ein VDR nimmt das auf, kodiert das in eine kleine Datei, und schickt den Link in eine (interne) Mailingliste. So bald jemand mit der Schnittliste antwortet nimmt er diese, schneidet die Sendung danach, kodiert das in MP3 und macht Torrent und Webseite.

  10. Saila says:

    Wenn ich Eure Sendung hören will Erscheint in meinem “PeerBlock” “Technischer Überwachungs-Verein Südwest e.V”, was hat das zu bedeuten? Wird natürlich geblockt! Ist das Euer Verein ?

  11. Frank says:

    Wann gibt es denn die mp3 in iTunes, die ist ja schon ein paar Tage alt!

  12. GVG says:

    Ich würde mich zur Winterzeit über mehr Folgen freuen.

  13. Saila says:

    ..beantwortet Ihr grundsätzlich keine Fragen ?

  14. merch says:

    Ich hab eine ganz simple Frage: Ich möchte den aktuellen fingerprint von meiner Bank auf einem “Nebenkanal” erfahren. Wie stelle ich sicher, dass der Typ am Telefon (oder der Brief) nicht einfach schnell in den Browser schaut und den Fingerprint vom Zertifikat abliest, so wie ich das selbst mache. Also kein Nebenkanal.
    Was gibts für Vorschläge, wie ich die Bank möglichst zwinge, das originale unterschriebene Zertifikat (“offline”) zu überprüfen?

  15. lion says:

    es gab jetzt öfter den Punkt, dass bestimmte Dinge dem NormalUser nicht zu vermitteln sind. Wie wäre es denn, diese Dinge in die Schulen zu Bringen, dort bereits ein entsprechendes Bewustsein für IT-Sicherheit zu schaffen.

  16. Christian says:

    @merch
    —Ich möchte den aktuellen fingerprint von meiner Bank auf einem “Nebenkanal” erfahren. Wie stelle ich sicher, dass der Typ am Telefon (oder der Brief) nicht einfach schnell in den Browser schaut und den Fingerprint vom Zertifikat abliest, so wie ich das selbst mache. Also kein Nebenkanal.—-

    Mach doch folgendes. Schreibe die Fingersprints des Zertifikates deiner Bank ab, oder kopiere von mir aus auch das ganze Zertifikat.

    Anschließend setzt du ein Schreiben auf, mit der bitte um Überprüfung und gibst dies bei deiner Bank ab. Gegenbefalls mit einem beiliegenden Rückporto-Umschlag.

  17. Christian says:

    @merch
    –oweit ists mir klar. trotzdem bin ich drauf angewiesen, dass der oder die Bankmitarbeiterin dann wirklich das originale Zertifikat vergleicht und mir nicht einfach so sagt, dass es ok ist, obwohl er sich nicht auskennt. –

    Hier gehe ich eben davon aus das entweder der Mitarbeiter der Bank das einfach ein die IT-Abteilung weiterleitet weil er bestimmt nicht so viel Ahnung hat das er wüßte wo er dieses Zertifikat finden soll. Daher ach das kopieren.

    Oder wenn er das weiß das er dieses Zertifikat auf der Arbeit (in der Bank) überprüft. Und hier (hoffe) ich einfach das die Bank nicht über einen “normalen Telekom DSL-Anschluss” online geht. Und die (oder alle!) Computer bei der Bank vom IT-Unternehmen entsprechen abgesichter sind. Somit sollte bei Ihnen auch die Original Zertifikate hinterlegt sein und eben nicht ihre (HAUSEIGENEN) SSL-Zertifikate von einer “Dubiosen” Zertifikat-Stelle.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>