SSL Wie sich Geheimdienste selbst Zertifikate ausstellen

Ein Experte von Kaspersky Lab erzählt im Gespräch mit Golem.de, welche Möglichkeiten Geheimdienste haben, um SSL anzugreifen.

Anzeige

Laut einem Medienbericht setzen Behörden in den USA vor allem kleinere Unternehmen unter Druck, damit diese Generalschlüssel für SSL-Verschlüsselung herausgeben. Wir haben darüber mit Christian Funk, Senior Virus Analyst bei Kaspersky Lab, gesprochen.

Funk: "Rein technisch gesehen gibt es zwei Stellen, an welchen die Private Keys zur Kompromittierung für SSL-Verbindung abgegriffen werden können. Zum einen ist dies bei den Zertifizierungsstellen (Certificate Authorities) möglich, welche die digitalen Zertifikate ausstellt. Sollte eine solche Institution kollaborieren oder kompromittiert werden, wie etwa im Fall von Diginotar im Jahr 2011, könnten durch diese technisch legitime Zertifikate ausgestellt werden, welche für Man-In-The-Middle-Angriffe eingesetzt werden können."

Bereits die erfolgreichen Angriffe auf die verhältnismäßig kleine Certificate Authority Diginotar in den Niederlanden verursachten Ausfälle im Internet. Die Niederlande mussten ihre E-Government-Dienste teils abschalten und Diginotar ging schließlich pleite.

Zum anderen können die Private Keys der anzugreifenden Unternehmen - ebenfalls via Einbruch oder Zusammenarbeit - direkt von den Geheimdiensten übernommen werden, sagte Funk.

Laut einem Bericht soll das System SSL durch seine langlebigen Master-Keys angreifbar sein: Diese Keys, die wie ein Generalschlüssel eines Anbieters arbeiten, sollen nämlich von US-Behörden bei den Providern eingefordert werden. Ein Mitarbeiter eines Onlineunternehmes, der entsprechende Anfragen beantworten musste, sagte Cnet: "Die Regierung verlangt definitiv SSL-Keys von Providern." Mit einem Master-Key kann dann die gesamte SSL-Kommunikation, die über die Server eines Anbieters läuft, entschlüsselt werden.

Die Onlineunternehmen setzen zunehmend nicht mehr nur auf SSL allein, sondern auch auf das nicht mit Generalschlüsseln arbeitende Verfahren PFS. "PFS hat hier systembedingt starke Vorteile. Da die Passphrase zur Verschlüsselung nie übertragen wird. Zudem wird ein neuer Schlüssel für jede Session generiert, so dass im Fall der Fälle nur eine Sitzung entschlüsselt werden kann, nicht aber alle vergangenen oder zukünftigen Datenpakete", erklärte Funk.

Es wird unter anderem von Google bei manchen Diensten eingesetzt, aber auch nicht bei allen, weil sowohl Browser als auch Server es vollständig unterstützen müssen.


sockets12 19. Aug 2013

müssten die Roots "T-TeleSec GlobalRoot Class 3" und "Deutsche Telekom Root CA 2" sein...

nick331 18. Aug 2013

OpenSSL reicht. Damit kannst du ein Root-Zertifikat erzeugen und damit Keypaare...

vol1 17. Aug 2013

...erstellen sich Seiten, die eher auf der anti-NSA Seite sind, auch ihre Zertifikate...

CiC 16. Aug 2013

Die Ciphersuite bestimmt (unter anderem) den Schlüsselaustauschalgorithmus. Eine suite...

CybroX 16. Aug 2013

Und der wird dann in den PC gesteckt, gescannt und als 3D Modell an Google übertragen um...

Kommentieren



Anzeige

  1. Quality Assurance Engineer / Rollout and System Integration (m/w)
    PAYBACK GmbH, München
  2. BW/BI Anwendungsbetreuer (m/w)
    Universitätsklinikum Würzburg, Würzburg
  3. Junior Fleet IT Systems Manager (m/w)
    TUI Cruises GmbH, Hamburg
  4. Referent (m/w) Lernmanagementsysteme mit Schwerpunkt IT-Fachkonzeption
    Gothaer Finanzholding AG, Köln

 

Detailsuche


Folgen Sie uns
       


  1. Marketplace

    Amazon-Händler verklagt Kunden wegen negativer Bewertung

  2. Elektromobilitätsgesetz

    Parken Elektro- und Hybridautos bald kostenlos?

  3. FlashQ

    Entfesselt blitzen mit Crowd-Unterstützung

  4. Vic Gundotra

    Chef von Google Plus verlässt das Unternehmen

  5. Quartalsbericht

    Amazon weiter mit hohem Umsatz und etwas Gewinn

  6. Quartalsbericht

    Microsofts Gewinn und Umsatz fallen

  7. Element

    Schenkers Windows-Tablet ab 350 Euro - aber ohne Tastatur

  8. Epic Games

    Unreal Engine 4.1 mit Zugriff auf Konsolen-Quellcode

  9. Heartbleed-Bug

    Techfirmen zahlen Millionen für Open-Source-Sicherheit

  10. Sofortlieferung

    Base liefert Smartphone noch am gleichen Tag



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Owncloud: Dropbox-Alternative fürs Heimnetzwerk
Owncloud
Dropbox-Alternative fürs Heimnetzwerk

Kaputte Zertifikate durch Heartbleed und der NSA-Skandal: Es gibt genügend Gründe, seinen eigenen Cloud-Speicher einzurichten. Wir erklären mit Owncloud auf einem Raspberry Pi, wie das funktioniert.


First-Person-Walker: Wie viel Gameplay braucht ein Spiel?
First-Person-Walker
Wie viel Gameplay braucht ein Spiel?

Walking-Simulator-Spiele nennen sie die einen, experimentelle Spiele die anderen. Rainer Sigl hat einen neuen Begriff für das junge Genre der atmosphärisch dichten Indie-Games erfunden: First-Person-Walker - Spiele aus der Ich-Perspektive mit wenig Gameplay.

  1. Flappy 48 Zahlen statt Vögel
  2. Deadcore Indiegames-Turmbesteigung für PC, Mac und Linux
  3. A Maze 2014 Tanzen mit der Perfect Woman

LG LED Bulb ausprobiert: LED-Leuchtmittel als Ersatz für 100- und 150-Watt-Glühlampen
LG LED Bulb ausprobiert
LED-Leuchtmittel als Ersatz für 100- und 150-Watt-Glühlampen

Light + Building Zur vergangenen Lichtmesse in Frankfurt hat LG zwei LED-Lampen angekündigt, die vor allem Philips Konkurrenz machen werden. Mit 20 und 33 Watt zieht LG mit Philips gleich beziehungsweise überholt die Niederländer sogar. Wir konnten uns das 20-Watt-Exemplar bereits anschauen.

  1. Rückruf durch ESTI Schweizer Starkstrominspektorat warnt vor Billig-LED-Lampen
  2. Power over Ethernet Philips will Lichtsysteme mit Netzwerkkabeln versorgen
  3. Intelligentes Licht von Osram Lightify als Hue-Konkurrent

    •  / 
    Zum Artikel