NSA-Programme wie Upstream hören den Internetverkehr ab, manches davon ist aber verschlüsselt.
NSA-Programme wie Upstream hören den Internetverkehr ab, manches davon ist aber verschlüsselt. (Bild: Washington Post)

SSL Wie sich Geheimdienste selbst Zertifikate ausstellen

Ein Experte von Kaspersky Lab erzählt im Gespräch mit Golem.de, welche Möglichkeiten Geheimdienste haben, um SSL anzugreifen.

Anzeige

Laut einem Medienbericht setzen Behörden in den USA vor allem kleinere Unternehmen unter Druck, damit diese Generalschlüssel für SSL-Verschlüsselung herausgeben. Wir haben darüber mit Christian Funk, Senior Virus Analyst bei Kaspersky Lab, gesprochen.

Funk: "Rein technisch gesehen gibt es zwei Stellen, an welchen die Private Keys zur Kompromittierung für SSL-Verbindung abgegriffen werden können. Zum einen ist dies bei den Zertifizierungsstellen (Certificate Authorities) möglich, welche die digitalen Zertifikate ausstellt. Sollte eine solche Institution kollaborieren oder kompromittiert werden, wie etwa im Fall von Diginotar im Jahr 2011, könnten durch diese technisch legitime Zertifikate ausgestellt werden, welche für Man-In-The-Middle-Angriffe eingesetzt werden können."

Bereits die erfolgreichen Angriffe auf die verhältnismäßig kleine Certificate Authority Diginotar in den Niederlanden verursachten Ausfälle im Internet. Die Niederlande mussten ihre E-Government-Dienste teils abschalten und Diginotar ging schließlich pleite.

Zum anderen können die Private Keys der anzugreifenden Unternehmen - ebenfalls via Einbruch oder Zusammenarbeit - direkt von den Geheimdiensten übernommen werden, sagte Funk.

Laut einem Bericht soll das System SSL durch seine langlebigen Master-Keys angreifbar sein: Diese Keys, die wie ein Generalschlüssel eines Anbieters arbeiten, sollen nämlich von US-Behörden bei den Providern eingefordert werden. Ein Mitarbeiter eines Onlineunternehmes, der entsprechende Anfragen beantworten musste, sagte Cnet: "Die Regierung verlangt definitiv SSL-Keys von Providern." Mit einem Master-Key kann dann die gesamte SSL-Kommunikation, die über die Server eines Anbieters läuft, entschlüsselt werden.

Die Onlineunternehmen setzen zunehmend nicht mehr nur auf SSL allein, sondern auch auf das nicht mit Generalschlüsseln arbeitende Verfahren PFS. "PFS hat hier systembedingt starke Vorteile. Da die Passphrase zur Verschlüsselung nie übertragen wird. Zudem wird ein neuer Schlüssel für jede Session generiert, so dass im Fall der Fälle nur eine Sitzung entschlüsselt werden kann, nicht aber alle vergangenen oder zukünftigen Datenpakete", erklärte Funk.

Es wird unter anderem von Google bei manchen Diensten eingesetzt, aber auch nicht bei allen, weil sowohl Browser als auch Server es vollständig unterstützen müssen.


sockets12 19. Aug 2013

müssten die Roots "T-TeleSec GlobalRoot Class 3" und "Deutsche Telekom Root CA 2" sein...

nick331 18. Aug 2013

OpenSSL reicht. Damit kannst du ein Root-Zertifikat erzeugen und damit Keypaare...

vol1 17. Aug 2013

...erstellen sich Seiten, die eher auf der anti-NSA Seite sind, auch ihre Zertifikate...

CiC 16. Aug 2013

Die Ciphersuite bestimmt (unter anderem) den Schlüsselaustauschalgorithmus. Eine suite...

CybroX 16. Aug 2013

Und der wird dann in den PC gesteckt, gescannt und als 3D Modell an Google übertragen um...

Kommentieren



Anzeige

  1. (Senior) Inhouse Consultant for Project Management Solutions (m/w)
    Bombardier Transportation, Berlin
  2. Projektkoordinator (m/w) Einkaufsprozesse und -systeme
    MAHLE Behr GmbH & Co. KG, Stuttgart
  3. Manager Procurement Processes & Systems (m/w)
    Fresenius Medical Care Deutschland GmbH, Bad Homburg
  4. Anwendungs- und Softwareberater/in webbasierte Applikationen
    Robert Bosch GmbH, Stuttgart-Feuerbach

 

Detailsuche


Blu-ray-Angebote
  1. Game of Thrones - Staffel 4 (Digipack + Bonusdisc) (exkl. bei Amazon.de) [Blu-ray] [Limited Edition]
    44,99€ - Release 26.03.
  2. 2001: Odyssee im Weltraum (Steelbook) (exklusiv bei Amazon.de) [Blu-ray] [Limited Edition]
    14,99€
  3. NEU: Winters Tale [Blu-ray]
    8,97€

 

Weitere Angebote


Folgen Sie uns
       


  1. Zend

    Experimentelle JIT-Engine für PHP veröffentlicht

  2. Jolla Tablet im Hands on

    Sailfish OS funktioniert auch auf dem Tablet

  3. Imagination Technologies

    Winzige Wearable-GPU und H.265-Einheiten für Smartphones

  4. Biometrie

    Fujitsu zeigt Iris-Scanner mit NIR-Licht für Smartphones

  5. Industrie 4.0

    Brüssel, höre die digitalen Signale!

  6. Gamedesign

    Fiese Typen in Spielen

  7. Mozilla

    Firefox OS will auch in Industriestaaten auf den Billigmarkt

  8. Sony Xperia Z4 Tablet im Hands on

    Gespenstisch leicht

  9. 14-nm-Fertigung

    Qualcomms Snapdragon 820 nutzt die neue Kryo-Architektur

  10. MIPS Creator CI20 angetestet

    Die Platine zum Pausemachen



Haben wir etwas übersehen?

E-Mail an news@golem.de



Spieldesign: Spiele sollen sich nicht wie Filme anfühlen
Spieldesign
Spiele sollen sich nicht wie Filme anfühlen
  1. Steam Valve kündigt neues VR-Headset an
  2. Microsoft Xbox One wird wohl ab Sommer zum Dev Kit
  3. Games PS4 und Xbox One bei Spielentwicklern beliebter

Die Woche im Video: Abenteurer, Adware und ein fixer Anschluss
Die Woche im Video
Abenteurer, Adware und ein fixer Anschluss
  1. Die Woche im Video Ein Spionagering, Marskandidaten und Linux für den Desktop
  2. Die Woche im Video New 3DS, Stromzähler und der schnellste Smartphone-Chip
  3. Die Woche im Video Raspberry Pi 2, die Telekom am DE-CIX und Alienware Alpha

IMHO: Automotive ist das neue Internet of Things
IMHO
Automotive ist das neue Internet of Things
  1. Uber-Konkurrent Kommt bald das Google-Taxi ohne Fahrer?
  2. Bundesverkehrsminister Autonome Autos sollen in zehn Jahren normal sein
  3. Autobahn Ruhrgebiet soll Testgebiet für autonomes Fahren werden

  1. Immer das gleiche Problem

    DLichti | 16:01

  2. Re: Ja, so hat sich Daimler das gedacht

    plutoniumsulfat | 16:00

  3. Re: Kleine Library-Umfrage :)

    BananenGurgler | 16:00

  4. Re: ich Frage mich wie die das vermarkten wollen...

    The-Master | 16:00

  5. Re: Ganz toll

    __destruct() | 16:00


  1. 15:58

  2. 15:57

  3. 15:42

  4. 15:21

  5. 14:55

  6. 14:21

  7. 13:35

  8. 12:47


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel