Schwache Kryptografie
„Alle zwischen September 2006 und Mai 2008 mit der Debian Version von OpenSSL erzeugten Schüssel sind mit minimalem Aufwand zu knacken“ (Springer 2008, S. 51). Dies fand vor kurzem Luciano Bello, ein Mitarbeiter von Debian „eher zufällig“ heraus. Was für Auswirkung dies für den Internetnutzer mit sich bringt, wie Zertifizierungsstellen dies kommentieren und was man selbst dagegen tun kann möchte ich im Folgenden nun erläutern (vgl. Springer 2008, S. 51).

Wer ist betroffen?
Jeder Internet Nutzer ist vom Schlüssel-Skandal betroffen, denn dieses Problem betrifft neben VPNs und SSH-Shells, auch eine Unmenge an SSL verschlüsselte http-Server, die unter anderem beim Online-Banking oder Online Shopping Integrität und Vertraulichkeit der sensiblen Daten gewährleisten sollten (vgl. Springer 2008, S. 51).

Auswirkungen
Kaum zu glauben, aber der passenden privaten Schlüssel zum öffentlichen Schlüssel kann schon in wenigen Minuten durch einfaches Probieren ermittelt werden. Den Angreifern stehen nun viele Wege offen, wie zum Beispiel die folgenden: Angreifer können eine täuschend echte Kopie einer Shopping-Seite erstellen und aufgrund des erschwungen Zertifikats diese als gültig auszeichnen. Nichts ahnende Internetuser werden ihre Kreditkartennummer in das nun verschlüsselte Eingabeformular eingeben. Eine weitere Möglichkeit stellt sich für den Angreifer dar, indem er als „Man in the Middel“ fungiert und dadurch unbemerkt den Datenverkehr einer Seite mitprotokolliert (vgl. Springer 2008, S. 51).

Verbreitung
Die C’t Redaktion führte einen Test durch um zu ermitteln wie verbreitet dieses Problem ist, also wie viele https von der unsicheren Verschlüsselung betroffen sind. Eine Untersuchung von 4381 Zertifikaten ergab das 3% diese Schwachstellen aufweisen und somit als höchst unsicher gelten. Erschreckend dabei ist das sich unter den 3% Server von Online-Händler und Payment-Provider (diese wickeln Zahlungsvorgänge für Onlineshops ab) befinden (vgl. Springer 2008, S. 51).

Der Selbst-Check
„Das Schloss signalisiert: alles in Ordnung. Erst ein Check des Zertifikats zeigt, dass die Kreditkartennummer trotzdem beim Falschen landen könnte“ (Springer 2008, S. 51). Heise, das Online-Portal zum C’t Magazin, bieten einen SSL-Check unter folgen Link an: www.heise.de/netze/tools.shtml) (vgl. Springer 2008, S. 51).

Lösungen von Zertifizierungsstellen
Die Trustcenter-Giganten wie Comodo und Versign räumen den Eigentümer von schwachen Zertifikaten das Recht ein kostenlos zu widerrufen und ein neues Zertifikat wird ihnen ausgestellt. Aufmerksam machen sie jedoch den Eigentümer auf den Indentitätsdiebstahl nicht, im Gegensatz zu deutschen Zertifizierungsstellen, welche ihre Kunden umgehend über ihr mangelhaftes Zertifikat aufklären. Dies klingt doch alles schön und gut, aber eine Lösung des Problems ist es bei weitem nicht, denn das Widerrufen von schwachen Zertifikaten funktioniert in der Praxis nicht. Grund dafür ist, dass Browser längst zurückgezogene Zertifikate als gültig akzeptieren. Browser verfügen nämlich häufig über keine Echtzeitüberprüfung oder aktuelle Certificate Revocation List (bzw. laden diese nicht automatisch nach). Abhilfe schafft ein neues Online Certificate Status Protocol (OCSP), welches die Kontrolle einzelner Zertifikate erlaubt. Leider unterstützen es nur der Internet Explorer 7 unter Vista sowie Firefox Version 3 (vgl. Springer 2008, S. 51). “In vielen älteren Zertifikaten ist zudem noch keine OCSP-URI eingetragen und längst nicht alle CAs unterstützen OCSP“ (Springer 2008, S. 51).

Fazit
Im Großen und Ganzen ist es demnach kaum möglich wirklich SICHERE Transaktionen durchzuführen. Um die Sicherheitsstufe von SSL-Verbindungen wieder zu erhöhen ist die Mithilfe der Browser Hersteller unumgänglich. „Wenn sie Browser mit Listen der schwachen Schlüssel ausstatten, könnten sie vor unsicheren Https-Verbindungen warnen" (Springer 2008, S. 51).

Quelle:
Springer, T. (2008). Zertifizierte Unsicherheit. In: C't Magazin für Computertechnik.

Hallo!
Auch ich habe von diesem "Missgeschick" der unsicheren openssl Pakete gelesen. Und finde es ziemlich schrecklich, dass nicht jeder Admin sofort seine Software updatet.

Auch ich denke, dass es sehr unsicher ist nur auf einen Zertifizierungsstelle zu setzen, was ist wenn diese auf andere Weise gehacked wird. Wie geht man dann mit den vielen ausgestellent Zertifikaten um. Wie erklärt man dies den Kunden.

Es ist nicht nur unsicher sondern erzeugt auch einen riesigen Vertrauensverlust.

Auffallend ist wirklich die tolle neue Funktion von den neuen Browsern auf offensichtlich unsicher Zertifikate deutlich hinzuweisen. Es kann zwar Missbrauch nicht verhindern, doch zum Teil einschränken.

Mfg
Christian

Also ich muss ehrlich sagen, dass ich nach dem Lesen deines Beitrags sehr geschockt bin. Ich dachte immer, wenn ich das Schloss sehe, dann ist alles in bester Ordnung und mir kann nichts mehr passieren. Aber scheinbar ist dem doch nicht so.

Wieso wird auf dieses Problem in den Medien nicht viel mehr hingewiesen und warum wird dagegen nichts bzw. so wenig unternommen?

Vielleicht bietet eine online banking Transaktion mittels der digitalen Signatur / Bürgerkarte (siehe auch mein Beitrag) auch bei diesem Problem Abhilfe?