Lufthansa entdeckt E-Mail für ihre Mitarbeiter - zunächst für die Passage-Mitarbeiter

[janfliegt]

ANZEIGE

Wie kommst Du auf die Idee das SSL entschlüsselt werden kann?
snort ist ein IDS ( Intrusion Detection System – Wikipedia ) und kann im besten Fall feststellen das es sich um SSL verschlüsseltem Traffic handelt.
Ich traue SSL in so fern nicht, das man nicht weiss welche Backdoors dort eingebaut sind. In den OSS Umsetzungen ist das Dank Quellcode transparent, bringt Dich aber nicht weiter wenn die CA Cert (da wo alle SSL Certs den Master Key herbekommen) unsicher ist.

DSL Traffic an sich, egal ob Web, VPN oder Mail (pop3, imaps, smtps) ist sicher solange die CA Certs sicher sind.
90% davon sind in den USA. Schlussfolgerungen überlasse ich jedem Einzelnen. Trotzdem ist der Code verfügbar (zumindestens bei OSS) und damit prüfbar.

Was Skype angeht:
Security through obscurity – Wikipedia
Dazu Schutz der eigenen Codecs (und da ist Skype sehr gut - meint: effiziente Kodierung Voice & Video).
Das Skype Schnittstellen für Regierungen bereit stellt (Zwecks mitlesen der Nachrichten) ist seit ein paar Jahren nichts Neues, hat aber nichts mit der Unsicherheit des eingesetzten Transport Layers zu tun.

Aber darum geht es hier auch nicht ...
Ich bleibe bei der Aussage: Ein VPN auf SSL Basis ist ohne DPI nicht zu erkennen, damit klappt es auch

CA Certs? Sind das die, die Kennedy abgemurkst haben?

 

[peter42]

Eben und genau, die CA-Zertifikate sind nicht mehr sicher! Beweis erbracht.

Danke Jan, dass Du sein altes Post rausgekramt hast.


@ Erkennen, hatte ich ja auch schon was geschrieben.

Trotzdem ging es primär um https-Traffic und da ist klar, dass wenn der User nicht die normalen CA-Zertifikate gelöscht hat, mit Trustwave verkaufte Man-in-the-Middle-Zertifikat | heise Security das Mitlesen möglich ist.

 

[anwe]

Du meinst Du hast alle Root-CAs aus Deinem Browser rausgeschmissen?

Wie gehst Du dann ohne Warnung z.B. auf die LH-Buchungsseite?

Es ging darum, dass der Zugriff auf https-Seiten durch solche Aktionen mitlesbar wird!

Himmel auch ....

1. Wenn ich eine CA erstelle "lhitistganztoll", damit 1-2mio Certs erzeuge "client0..1" bis "client2...0" diese dem Client (völlig egal ob Brower, vpn, application) mitgebe (sprich hart codiere bzw. den keystore absicher) kann auch mit einer gehackten oder redefreudigen CA niemand das aushebeln.
Der Grund ist sehr einfach: Die eigen erstellte CA gibt es offiziell nicht. Was meinst Du wie schnell eine offizielle CA auffliegt wenn sie plötzlich den master für "lhitistganztoll" spielen will. Selbst wenn sie das will kann sie das nicht, da _meine_ CA bei den Clients installiert ist. Und der public Key der CA nicht mit dem der "bösen CA" übereinstimmt. Game over.

2. Wenn ich sicher gehen will: Ja, dann gibt es einen eigenen Browser, so wie AOL das Äonen gemacht. Der ist nur für Unternehmenszugriffe und hat nur meine CA, kann keine anderen Seiten aufrufen. Beeinträchtigt den User also nicht und ist (abgesehen von Keyloggern, Trojanern etc) sicher.

Es ging in der Diskussion darum ob SSL vom System her unsicher ist oder nicht. Ob man SSL per DPI oder was immer zu entschlüsseln ist.
Meine Grundaussage war: Nein, nur die Umsetzung per offizieller CA ist unsicher.
Nichts von dem was in den letzten Monaten passiert ist spricht dagegen.

Ein SSL Zertifikat ist sicher solange man der CA vertrauen kann (was bei fast allen offiziellen, wie die letzten Monate gezeigt haben, nicht der Fall ist, was wiederum meine Einstellung bestätigt).
Einer CA vertraue ich nur wenn ich sie selber pflege - bevorzugt auf einem Rechner ohne Internetzugang, USB Anschlüssen oder sonstigen externen Verbindungen. CA erstellen, Certs erstellen, public Key und Certs kopieren und gut.

Unter den Vorraussetzungen kann niemand den Traffic entschlüsseln, von solchen http://eprint.iacr.org/2012/064.pdf Fehlern mal abgesehen.

 

[peter42]

ANZEIGE

Himmel auch ....

1. Wenn ich eine CA erstelle "lhitistganztoll", damit 1-2mio Certs erzeuge "client0..1" bis "client2...0" diese dem Client (völlig egal ob Brower, vpn, application) mitgebe (sprich hart codiere bzw. den keystore absicher) kann auch mit einer gehackten oder redefreudigen CA niemand das aushebeln.
Der Grund ist sehr einfach: Die eigen erstellte CA gibt es offiziell nicht. Was meinst Du wie schnell eine offizielle CA auffliegt wenn sie plötzlich den master für "lhitistganztoll" spielen will. Selbst wenn sie das will kann sie das nicht, da _meine_ CA bei den Clients installiert ist. Und der public Key der CA nicht mit dem der "bösen CA" übereinstimmt. Game over.

2. Wenn ich sicher gehen will: Ja, dann gibt es einen eigenen Browser, so wie AOL das Äonen gemacht. Der ist nur für Unternehmenszugriffe und hat nur meine CA, kann keine anderen Seiten aufrufen. Beeinträchtigt den User also nicht und ist (abgesehen von Keyloggern, Trojanern etc) sicher.

Es ging in der Diskussion darum ob SSL vom System her unsicher ist oder nicht. Ob man SSL per DPI oder was immer zu entschlüsseln ist.
Meine Grundaussage war: Nein, nur die Umsetzung per offizieller CA ist unsicher.
Nichts von dem was in den letzten Monaten passiert ist spricht dagegen.

Ein SSL Zertifikat ist sicher solange man der CA vertrauen kann (was bei fast allen offiziellen, wie die letzten Monate gezeigt haben, nicht der Fall ist, was wiederum meine Einstellung bestätigt).
Einer CA vertraue ich nur wenn ich sie selber pflege - bevorzugt auf einem Rechner ohne Internetzugang, USB Anschlüssen oder sonstigen externen Verbindungen. CA erstellen, Certs erstellen, public Key und Certs kopieren und gut.

Unter den Vorraussetzungen kann niemand den Traffic entschlüsseln, von solchen http://eprint.iacr.org/2012/064.pdf Fehlern mal abgesehen.

Das erschlägt den VPN und Intra- und Extranetfall, aber eben nicht den Webfall von dem Du ja auch im vom Jan zitierten Text sprichst.

Die gleichen Moduli sind auch nett.