SSL: Wie sich Geheimdienste selbst Zertifikate ausstellen

Ein Experte von Kaspersky Lab erzählt im Gespräch mit Golem.de, welche Möglichkeiten Geheimdienste haben, um SSL anzugreifen.

Artikel veröffentlicht am ,
NSA-Programme wie Upstream hören den Internetverkehr ab, manches davon ist aber verschlüsselt.
NSA-Programme wie Upstream hören den Internetverkehr ab, manches davon ist aber verschlüsselt. (Bild: Washington Post)

Laut einem Medienbericht setzen Behörden in den USA vor allem kleinere Unternehmen unter Druck, damit diese Generalschlüssel für SSL-Verschlüsselung herausgeben. Wir haben darüber mit Christian Funk, Senior Virus Analyst bei Kaspersky Lab, gesprochen.

Stellenmarkt
  1. Inhouse SAP CX Consultant (m/w/d)
    Rodenstock GmbH, München, Regen
  2. Senior Software Engineer Global Client-Server Licensing Infrastructure (m/f/d)
    Advantest Europe GmbH, Böblingen
Detailsuche

Funk: "Rein technisch gesehen gibt es zwei Stellen, an welchen die Private Keys zur Kompromittierung für SSL-Verbindung abgegriffen werden können. Zum einen ist dies bei den Zertifizierungsstellen (Certificate Authorities) möglich, welche die digitalen Zertifikate ausstellt. Sollte eine solche Institution kollaborieren oder kompromittiert werden, wie etwa im Fall von Diginotar im Jahr 2011, könnten durch diese technisch legitime Zertifikate ausgestellt werden, welche für Man-In-The-Middle-Angriffe eingesetzt werden können."

Bereits die erfolgreichen Angriffe auf die verhältnismäßig kleine Certificate Authority Diginotar in den Niederlanden verursachten Ausfälle im Internet. Die Niederlande mussten ihre E-Government-Dienste teils abschalten und Diginotar ging schließlich pleite.

Zum anderen können die Private Keys der anzugreifenden Unternehmen - ebenfalls via Einbruch oder Zusammenarbeit - direkt von den Geheimdiensten übernommen werden, sagte Funk.

Golem Karrierewelt
  1. Automatisierung (RPA) mit Python: virtueller Zwei-Tage-Workshop
    03./04.11.2022, Virtuell
  2. Data Engineering mit Python und Spark: virtueller Zwei-Tage-Workshop
    19./20.10.2022, Virtuell
Weitere IT-Trainings

Laut einem Bericht soll das System SSL durch seine langlebigen Master-Keys angreifbar sein: Diese Keys, die wie ein Generalschlüssel eines Anbieters arbeiten, sollen nämlich von US-Behörden bei den Providern eingefordert werden. Ein Mitarbeiter eines Onlineunternehmes, der entsprechende Anfragen beantworten musste, sagte Cnet: "Die Regierung verlangt definitiv SSL-Keys von Providern." Mit einem Master-Key kann dann die gesamte SSL-Kommunikation, die über die Server eines Anbieters läuft, entschlüsselt werden.

Die Onlineunternehmen setzen zunehmend nicht mehr nur auf SSL allein, sondern auch auf das nicht mit Generalschlüsseln arbeitende Verfahren PFS. "PFS hat hier systembedingt starke Vorteile. Da die Passphrase zur Verschlüsselung nie übertragen wird. Zudem wird ein neuer Schlüssel für jede Session generiert, so dass im Fall der Fälle nur eine Sitzung entschlüsselt werden kann, nicht aber alle vergangenen oder zukünftigen Datenpakete", erklärte Funk.

Es wird unter anderem von Google bei manchen Diensten eingesetzt, aber auch nicht bei allen, weil sowohl Browser als auch Server es vollständig unterstützen müssen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


sockets12 19. Aug 2013

müssten die Roots "T-TeleSec GlobalRoot Class 3" und "Deutsche Telekom Root CA 2" sein...

nick331 18. Aug 2013

OpenSSL reicht. Damit kannst du ein Root-Zertifikat erzeugen und damit Keypaare...

vol1 17. Aug 2013

...erstellen sich Seiten, die eher auf der anti-NSA Seite sind, auch ihre Zertifikate...

CiC 16. Aug 2013

Die Ciphersuite bestimmt (unter anderem) den Schlüsselaustauschalgorithmus. Eine suite...



Aktuell auf der Startseite von Golem.de
Ryzen 7950X/7700X im Test
Brachialer Beginn einer neuen AMD-Ära

Nie waren die Ryzen-CPUs besser: extrem schnell, DDR5-Speicher, PCIe Gen5, integrierte Grafik. Der (thermische) Preis dafür ist jedoch hoch.
Ein Test von Marc Sauter und Martin Böckmann

Ryzen 7950X/7700X im Test: Brachialer Beginn einer neuen AMD-Ära
Artikel
  1. US-Whistleblower: Putin verleiht Snowden die russische Staatsbürgerschaft
    US-Whistleblower
    Putin verleiht Snowden die russische Staatsbürgerschaft

    US-Whistleblower Edward Snowden ist nun auch russischer Staatsbürger. Für den Krieg gegen die Ukraine kann er aber vorerst nicht eingezogen werden.

  2. Rechenzentren: IT des Bundes ignoriert eigene umweltpolitische Vorgaben
    Rechenzentren
    IT des Bundes ignoriert eigene umweltpolitische Vorgaben

    Bei 184 Rechenzentren und einem hohen Einkaufsvolumen für Technik hat die Bundes-IT eine große Bedeutung. Doch die Abwärme und erneuerbare Energien werden viel zu wenig genutzt.

  3. Revision CFI 1202A: Die neue PS5 hat einen 6-nm-Chip
    Revision CFI 1202A
    Die neue PS5 hat einen 6-nm-Chip

    Sony hat damit begonnen, eine neue Revision der PS5 auszuliefern. Sowohl für Kunden als auch für den Hersteller bietet das Modell Vorteile.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Verkauf bei MMS • CyberWeek: PC-Zubehör, Werkzeug & Co. • Günstig wie nie: Gigabyte RX 6900 XT 864,15€, MSI RTX 3090 1.159€, Fractal Design RGB Tower 129,90€ • MindStar (Palit RTX 3070 549€) • Thrustmaster T300 RS GT 299,99€ • Alternate (iPad Air (2022) 256GB 949,90€) [Werbung]
    •  /