Gudrun's Weblog
Donnerstag, 3. Juli 2008
Unsichere Zertifikate – Wem kann man noch vertrauen?
Schwache Kryptografie
„Alle zwischen September 2006 und Mai 2008 mit der Debian Version von OpenSSL erzeugten Schüssel sind mit minimalem Aufwand zu knacken“ (Springer 2008, S. 51). Dies fand vor kurzem Luciano Bello, ein Mitarbeiter von Debian „eher zufällig“ heraus. Was für Auswirkung dies für den Internetnutzer mit sich bringt, wie Zertifizierungsstellen dies kommentieren und was man selbst dagegen tun kann möchte ich im Folgenden nun erläutern (vgl. Springer 2008, S. 51).

Wer ist betroffen?
Jeder Internet Nutzer ist vom Schlüssel-Skandal betroffen, denn dieses Problem betrifft neben VPNs und SSH-Shells, auch eine Unmenge an SSL verschlüsselte http-Server, die unter anderem beim Online-Banking oder Online Shopping Integrität und Vertraulichkeit der sensiblen Daten gewährleisten sollten (vgl. Springer 2008, S. 51).

Auswirkungen
Kaum zu glauben, aber der passenden privaten Schlüssel zum öffentlichen Schlüssel kann schon in wenigen Minuten durch einfaches Probieren ermittelt werden. Den Angreifern stehen nun viele Wege offen, wie zum Beispiel die folgenden: Angreifer können eine täuschend echte Kopie einer Shopping-Seite erstellen und aufgrund des erschwungen Zertifikats diese als gültig auszeichnen. Nichts ahnende Internetuser werden ihre Kreditkartennummer in das nun verschlüsselte Eingabeformular eingeben. Eine weitere Möglichkeit stellt sich für den Angreifer dar, indem er als „Man in the Middel“ fungiert und dadurch unbemerkt den Datenverkehr einer Seite mitprotokolliert (vgl. Springer 2008, S. 51).

Verbreitung
Die C’t Redaktion führte einen Test durch um zu ermitteln wie verbreitet dieses Problem ist, also wie viele https von der unsicheren Verschlüsselung betroffen sind. Eine Untersuchung von 4381 Zertifikaten ergab das 3% diese Schwachstellen aufweisen und somit als höchst unsicher gelten. Erschreckend dabei ist das sich unter den 3% Server von Online-Händler und Payment-Provider (diese wickeln Zahlungsvorgänge für Onlineshops ab) befinden (vgl. Springer 2008, S. 51).

Der Selbst-Check
„Das Schloss signalisiert: alles in Ordnung. Erst ein Check des Zertifikats zeigt, dass die Kreditkartennummer trotzdem beim Falschen landen könnte“ (Springer 2008, S. 51). Heise, das Online-Portal zum C’t Magazin, bieten einen SSL-Check unter folgen Link an: www.heise.de/netze/tools.shtml) (vgl. Springer 2008, S. 51).

Lösungen von Zertifizierungsstellen
Die Trustcenter-Giganten wie Comodo und Versign räumen den Eigentümer von schwachen Zertifikaten das Recht ein kostenlos zu widerrufen und ein neues Zertifikat wird ihnen ausgestellt. Aufmerksam machen sie jedoch den Eigentümer auf den Indentitätsdiebstahl nicht, im Gegensatz zu deutschen Zertifizierungsstellen, welche ihre Kunden umgehend über ihr mangelhaftes Zertifikat aufklären. Dies klingt doch alles schön und gut, aber eine Lösung des Problems ist es bei weitem nicht, denn das Widerrufen von schwachen Zertifikaten funktioniert in der Praxis nicht. Grund dafür ist, dass Browser längst zurückgezogene Zertifikate als gültig akzeptieren. Browser verfügen nämlich häufig über keine Echtzeitüberprüfung oder aktuelle Certificate Revocation List (bzw. laden diese nicht automatisch nach). Abhilfe schafft ein neues Online Certificate Status Protocol (OCSP), welches die Kontrolle einzelner Zertifikate erlaubt. Leider unterstützen es nur der Internet Explorer 7 unter Vista sowie Firefox Version 3 (vgl. Springer 2008, S. 51). “In vielen älteren Zertifikaten ist zudem noch keine OCSP-URI eingetragen und längst nicht alle CAs unterstützen OCSP“ (Springer 2008, S. 51).

Fazit
Im Großen und Ganzen ist es demnach kaum möglich wirklich SICHERE Transaktionen durchzuführen. Um die Sicherheitsstufe von SSL-Verbindungen wieder zu erhöhen ist die Mithilfe der Browser Hersteller unumgänglich. „Wenn sie Browser mit Listen der schwachen Schlüssel ausstatten, könnten sie vor unsicheren Https-Verbindungen warnen" (Springer 2008, S. 51).

Quelle:
Springer, T. (2008). Zertifizierte Unsicherheit. In: C't Magazin für Computertechnik.

... link (2 comments)   ... comment


Online for 6133 days
Last update: 2009.02.03, 18:37
status
You're not logged in ... login
menu
... home
... topics
... galleries

... ::collabor:: home
search
 
calendar
Juli 2008
Mo
Di
Mi
Do
Fr
Sa
So
 
 1 
 2 
 4 
 5 
 6 
 7 
 8 
 9 
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
 
 
 
 
recent updates
Online-Zahlung mittels...
Hallo, ich habe mich in meinem Blog auch mit einer...
by Friedrich.Robeischl.Uni-Linz (2009.02.03, 18:37)
ELBA-payment mittels...
Die Zahlungslösung für E- und M-Commerce...
by Gudrun.Brunhofer.Uni-Linz (2009.02.03, 11:50)
Preisbildungsprozess...
Hallo Gudrun, ich habe deinen Weblog verlinkt, da...
by Astrid.Haider.Uni-Linz (2008.11.28, 11:01)
Ebay
Hallo Gudrun! Ich habe im Rahmen unserer ersten HÜ...
by Barbara.Sigl.Uni-Linz (2008.11.17, 23:42)
Der Preisbildungsprozess...
Bei Ebay handelt es sich um einen elektronischen, Marktplatz...
by Gudrun.Brunhofer.Uni-Linz (2008.11.14, 11:13)

xml version of this page

made with antville