Blah-Archiv » DigiNotar http://localhost/blah-dev Kurz und knapp und blah... Thu, 01 Aug 2013 18:58:27 +0000 de-DE hourly 1 http://wordpress.org/?v=3.6 Aber wir sind doch eine CA. Wir sind doch die Si … http://localhost/blah-dev/2011/09/07/aber-wir-sind-doch-eine-ca-wir-sind-doch-die-si/ http://localhost/blah-dev/2011/09/07/aber-wir-sind-doch-eine-ca-wir-sind-doch-die-si/#comments Tue, 06 Sep 2011 22:44:44 +0000 Nachtwächter http://localhost/blah-dev/2011/09/07/aber-wir-sind-doch-eine-ca-wir-sind-doch-die-si/ Aber wir sind doch eine CA. Wir sind doch die Sicherheit. Da brauchen wir doch keine besondere Sicherheit für unsere Systeme. m(

]]>
http://localhost/blah-dev/2011/09/07/aber-wir-sind-doch-eine-ca-wir-sind-doch-die-si/feed/ 0
Oops! »eine Liste mit 531 Zertifikaten ausgehä … http://localhost/blah-dev/2011/09/05/oops-eine-liste-mit-531-zertifikaten-ausgehae/ http://localhost/blah-dev/2011/09/05/oops-eine-liste-mit-531-zertifikaten-ausgehae/#comments Mon, 05 Sep 2011 16:41:04 +0000 Nachtwächter http://localhost/blah-dev/2011/09/05/oops-eine-liste-mit-531-zertifikaten-ausgehae/ Oops! »[…] eine Liste mit 531 Zertifikaten ausgehändigt, in der sich auch die Domains zahlreicher Geheimdienste wiederfinden: Die Angreifer konnten jeweils mehrere Zertifikate für www.sis.gov.uk (MI6), www.cia.gov und www.mossad.gov.il ausstellen. Auch für diverse Microsoft-Domains wurden missbräuchlich Zertifikate ausgestellt, darunter microsoft.com, windowsupdate.com, login.live.com und skype.com. Weitere Prominente Opfer sind facebook.com, twitter.com, aol.com, android.com und secure.logmein.com« – schon bemerkenswert, dieser Crack bei DigiNotar. Vor allem ists bemerkenswert, wie so nach und nach die Informationen über den wirklichen Umfang rausgetröpfelt werden und hoffentlich für ein allgemeines Misstrauen sorgen. Sonst fängt noch jemand an, zu glauben, dass mit TLS verschlüsselte Internetverbindungen sicher, authentifiziert und unbelauschbar sind. (Sind sie nicht und sind sie nie gewesen, wer es nicht glaubt, schaue bitte mal in seinen Browsereinstellungen, welchen Zertifizierungsstellen ab Werk vorbehaltlos vertraut wird.) Zertifikate sind über dieses besondere Vertrauen gegenüber Regierungsstellungen hinaus vollkommen wertlos, was sich daran zeigt, dass das Gesamtsystem kompromittiert werden kann, wenn es gelingt, in eine einzige Klitsche einzudringen und sich nach Herzenslust welche auszustellen.

Nachtrag: Aufgrund des Vertrauensverlusts gegenüber DigiNotar und und um einen weiteren Missbrauch zu verhindern, habe die niederländische Regierung die Kontrolle über DigiNotar übernommen… aber glaube mal keiner, dass die niederländische Regierung kompromittierte Infrastrukturen abschaltet, indem sie die Zertifikate zurückzieht! Das würde ja zu Ausfällen führen, huch wie schrecklich. Wenn ich DigiNotar gehäckselt hätte, dann würde ich mir jetzt die Hände reiben und mich sehr darüber freuen, dass die von mir kompromittierten Systeme jetzt mit der scheinbaren Autorität eines staatlich kontrollierten Ladens laufen. Was für ein Fail!

]]>
http://localhost/blah-dev/2011/09/05/oops-eine-liste-mit-531-zertifikaten-ausgehae/feed/ 0
Ach übrigens: Die Verschlüsselung bei DE-Mail … http://localhost/blah-dev/2011/08/30/ach-uebrigens-die-verschluesselung-bei-de-mail/ http://localhost/blah-dev/2011/08/30/ach-uebrigens-die-verschluesselung-bei-de-mail/#comments Tue, 30 Aug 2011 13:21:56 +0000 Nachtwächter http://localhost/blah-dev/2011/08/30/ach-uebrigens-die-verschluesselung-bei-de-mail/ Ach übrigens: Die Verschlüsselung bei DE-Mail (also die Übertragung einer Klartext-Mail über HTTPS zu einem Server, der die Klartext-Mail lesen kann) ist genau so sicher gegen das Mitlesen oder gegen Manipulationen wie Google Mail über HTTPS – also gar nicht, wenn signierte Zertifikate auf irgend einem Weg in der Hand eines Abhörers auf der Leitung geraten sind.

Nachtrag: NEIN, Heise, das war kein GAU. Es war kein »Unfall« oder gar höhere Gewalt. Es war gezielte, von Menschen durchgeführte Manipulation, aufgetreten in einer Stelle, der nahezu sämtliche Browser im Internet vertraut haben. Eine mutmaßlich aus niederen Motiven durchgeführte Manipulation, vielleicht aber auch aus religiösem Fanatismus – warten wirs ab, wie es duftet, wenn man im Schlamm stochert. Dass dabei die private Kommunikation von Menschen einem autoritären und bis zum Justizmord gewaltbereiten Staat ausgehändigt wird, hat die Menschen, die gezielte Manipulationen vorgenommen haben, nicht weiter gestört… was immer auch ihre Motive waren. Heise, so etwas als »Unfall« zu bezeichnen, ist schon ein bisschen zynisch.

Nachtrag Zwei: Das Zertifikat ist übrigens angeblich als Folge eines Hacks nach draußen gelangt. Und dieser Laden DigiNotar, der es offensichtlich durch Einsparung des Gehaltes eines Menschen, der sich mit IT-Sicherheit auch auskennt, ermöglicht hat, dass mit einen Angriff auf einen ständig mit dem Internet verbundenen »Opferrechner« Zertifikate generiert werden konnten, hat jedes Vertrauen verspielt. Ziemlich endgültig. Wie das wohl bei den anderen, in jedem Browser ab Haus als »vertrauenswürdig« vorgegebenen Zertifikatsausstellern aussieht?

Nachtrag Drei: Bitte diese aktuellen Screenshots betrachten und darüber nachdenken, was das für Leute sind, denen das gesamte Internet vertrauen soll. m(

]]>
http://localhost/blah-dev/2011/08/30/ach-uebrigens-die-verschluesselung-bei-de-mail/feed/ 1