NSA-Programme wie Upstream hören den Internetverkehr ab, manches davon ist aber verschlüsselt.
NSA-Programme wie Upstream hören den Internetverkehr ab, manches davon ist aber verschlüsselt. (Bild: Washington Post)

SSL Wie sich Geheimdienste selbst Zertifikate ausstellen

Ein Experte von Kaspersky Lab erzählt im Gespräch mit Golem.de, welche Möglichkeiten Geheimdienste haben, um SSL anzugreifen.

Anzeige

Laut einem Medienbericht setzen Behörden in den USA vor allem kleinere Unternehmen unter Druck, damit diese Generalschlüssel für SSL-Verschlüsselung herausgeben. Wir haben darüber mit Christian Funk, Senior Virus Analyst bei Kaspersky Lab, gesprochen.

Funk: "Rein technisch gesehen gibt es zwei Stellen, an welchen die Private Keys zur Kompromittierung für SSL-Verbindung abgegriffen werden können. Zum einen ist dies bei den Zertifizierungsstellen (Certificate Authorities) möglich, welche die digitalen Zertifikate ausstellt. Sollte eine solche Institution kollaborieren oder kompromittiert werden, wie etwa im Fall von Diginotar im Jahr 2011, könnten durch diese technisch legitime Zertifikate ausgestellt werden, welche für Man-In-The-Middle-Angriffe eingesetzt werden können."

Bereits die erfolgreichen Angriffe auf die verhältnismäßig kleine Certificate Authority Diginotar in den Niederlanden verursachten Ausfälle im Internet. Die Niederlande mussten ihre E-Government-Dienste teils abschalten und Diginotar ging schließlich pleite.

Zum anderen können die Private Keys der anzugreifenden Unternehmen - ebenfalls via Einbruch oder Zusammenarbeit - direkt von den Geheimdiensten übernommen werden, sagte Funk.

Laut einem Bericht soll das System SSL durch seine langlebigen Master-Keys angreifbar sein: Diese Keys, die wie ein Generalschlüssel eines Anbieters arbeiten, sollen nämlich von US-Behörden bei den Providern eingefordert werden. Ein Mitarbeiter eines Onlineunternehmes, der entsprechende Anfragen beantworten musste, sagte Cnet: "Die Regierung verlangt definitiv SSL-Keys von Providern." Mit einem Master-Key kann dann die gesamte SSL-Kommunikation, die über die Server eines Anbieters läuft, entschlüsselt werden.

Die Onlineunternehmen setzen zunehmend nicht mehr nur auf SSL allein, sondern auch auf das nicht mit Generalschlüsseln arbeitende Verfahren PFS. "PFS hat hier systembedingt starke Vorteile. Da die Passphrase zur Verschlüsselung nie übertragen wird. Zudem wird ein neuer Schlüssel für jede Session generiert, so dass im Fall der Fälle nur eine Sitzung entschlüsselt werden kann, nicht aber alle vergangenen oder zukünftigen Datenpakete", erklärte Funk.

Es wird unter anderem von Google bei manchen Diensten eingesetzt, aber auch nicht bei allen, weil sowohl Browser als auch Server es vollständig unterstützen müssen.


sockets12 19. Aug 2013

müssten die Roots "T-TeleSec GlobalRoot Class 3" und "Deutsche Telekom Root CA 2" sein...

nick331 18. Aug 2013

OpenSSL reicht. Damit kannst du ein Root-Zertifikat erzeugen und damit Keypaare...

vol1 17. Aug 2013

...erstellen sich Seiten, die eher auf der anti-NSA Seite sind, auch ihre Zertifikate...

CiC 16. Aug 2013

Die Ciphersuite bestimmt (unter anderem) den Schlüsselaustauschalgorithmus. Eine suite...

CybroX 16. Aug 2013

Und der wird dann in den PC gesteckt, gescannt und als 3D Modell an Google übertragen um...

Kommentieren



Anzeige

  1. System Engineer Second Level Support (m/w)
    SHD System-Haus-Dresden GmbH, Dresden
  2. IT-Projektleiter / Systemanalytiker (m/w)
    Libri GmbH, Hamburg
  3. Senior Application Engineer (m/w)
    IPS-Intelligent Process Solutions GmbH, Pullach im Isartal
  4. IT-Project Manager - Industrie 4.0 (m/w)
    Bosch Software Innovations GmbH, Berlin

Detailsuche


Hardware-Angebote
  1. NEU VORGESTELLT: GeForce GTX 950 ab 169,90 € bei Caseking gelistet
  2. GTX-950-TIPP: 10 € Casbhack auf EVGA GeForce GTX 950 SC+ & GTX 950 FTW
  3. ARLT-Sale
    (Restposten, Rücksendungen und Gebrauchtware)

Weitere Angebote


Folgen Sie uns
       


  1. Präsentation

    Apples iPhone-Event findet am 9. September 2015 statt

  2. Vectoring

    Landkreise wollen Glasfaser statt Dobrindts Breitband

  3. Swisscom

    Mobilfunkbetreiber startet Wifi-Calling in Gebäuden

  4. Honor 7 im Hands on

    Neues Honor-Smartphone kommt für 350 Euro nach Deutschland

  5. Radeon R9 Nano

    AMDs winzige Grafikkarte läuft theoretisch mit 1 GHz

  6. LG Rolly Keyboard

    Bluetooth-Tastatur lässt sich zu einem Stab falten

  7. Breitbandausbau

    Bitkom sieht 50 MBit/s nur als Zwischenschritt

  8. Datenschutz

    Verfassungsschutz darf Xkeyscore gegen Datentausch nutzen

  9. Computerhersteller

    Gründer bietet Acer zum Verkauf an

  10. CD Projekt Red

    73 Millionen Euro Entwicklungskosten für The Witcher 3



Haben wir etwas übersehen?

E-Mail an news@golem.de



Autonomes Fahren: Auf dem Highway ist das Lenkrad los
Autonomes Fahren
Auf dem Highway ist das Lenkrad los
  1. Autonome Autos Daimler würde mit Google oder Apple kooperieren
  2. Testbetrieb Öffentliche Straßen für autonom fahrende Lkw freigegeben
  3. Ford Autonomes Auto mit Couch patentiert

Until Dawn im Test: Ich weiß, was du diesen Sommer spielen solltest
Until Dawn im Test
Ich weiß, was du diesen Sommer spielen solltest
  1. Everybody's Gone to the Rapture im Test Spaziergang am Rande der Apokalypse
  2. Submerged im Test Einschläferndes Abenteuer
  3. Tembo the Badass Elephant im Test Elefant im Elite-Einsatz

Helium-3: Kommt der Energieträger der Zukunft vom Mond?
Helium-3
Kommt der Energieträger der Zukunft vom Mond?
  1. Stratolaunch Carrier Größtes Flugzeug der Welt soll 2016 erstmals starten
  2. Escape Dynamics Mikrowellen sollen Raumgleiter von der Erde aus antreiben
  3. Raumfahrt Transformer sollen den Mond beleuchten

  1. Re: Stimmt nicht ganz!

    Gol D. Ace | 03:38

  2. Re: EMP

    dsick | 02:59

  3. Re: kleineres iPhone ?

    Tzven | 02:04

  4. Re: Input war die Ausrede für Mir

    Seitan-Sushi-Fan | 01:53

  5. Re: So gesehen fördert das FTTB...

    KMat | 01:51


  1. 21:06

  2. 20:53

  3. 20:16

  4. 20:00

  5. 19:52

  6. 17:53

  7. 17:40

  8. 17:35


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel