Sunday, June 26. 2005
CAcert - Sicherheit muss nicht teuer sein
Auf dem Linuxtag hatte ich Zeit mich ausgiebig mit CAcert zu beschäftigen. Diese freie Alternative zu Verisign, Thawte etc. stellt Zertifikate aus. Nicht nur SSL-Serverzertifikate sondern auch Clientzertifikate und PGP-Signaturen werden von CAcert erstellt. Das ganze läuft automatisch über einen Account auf der CAcert Webseite.
Um sich jedoch ein Zertifikat ausstellen zu können muss man erst einmal Punkte sammeln. Punkte bekommt man, indem man sich von sogenannten Assurern identifizieren lässt und zwar immer über 2 Ausweisdokumente, z.B. Führerschein und Personalausweis. Hat man genug Punkte zusammen kann man für sich selbst Zertifikate erstellen und ab 100 Punkten ist man selbst Assurer und kann andere User identifizieren.
Ich selbst bin CAcert Assurer (der Einzige für den Raum Regensburg momentan) und kann die maximale Punktzahl (35) vergeben. Man braucht mindestens 3 Assurer um 100 Punkte zu erlangen und selbst zum Assurer zu werden.
Genauere Details zu den ganzen Verfahren (in englisch) findet man im CAcert Wiki. Auch die verschiedenen Punktestufen findet man dort.Momentan ist das Root-Zertifikat von CAcert noch nicht in vielen Browsern installiert, allerdings wird daran gearbeitet. Als Primärziel soll es jetzt erst einmal in den Mozilla-Browsern installiert werden. Man kann das Root-Zertifikat allerdings auch einfach über diese Seite in seinen Browser integrieren. Für Firefox würde man z.B. das Zertifikat im PEM-Format wählen.
CAcert ist eine gute Alternative, denn momentan wird der Handel mit SSL-Zertifikaten von Firmen beherrscht die pro Zertifikat 200 bis 400 EUR oder mehr verlangen. Vom Standpunkt der Verschlüsselung sind diese Zertifikate allerdings nicht besser oder sicherer als die Zertifikate von CAcert.
Trackbacks
Trackback specific URI for this entry
No Trackbacks
Comments
Display comments as
(Linear | Threaded)
Hmm, wie werden falsche Zertifikate verhindert? Ich brauche dazu doch nur eine Gruppe von 2-5 Freunden, die CACert-Assurer werden (was mir im Wesentlichen nach einer Fleißarbeit aussieht), und schon können sie mir falsche Zertifikate ausstellen?
#1
on
2005-06-27 00:08
Domains und Mailadressen müssen erst durch Mailbestätigung aktiviert werden bevor dafür Zertifikate ausgestellt werden können.
Theoretisch kann man natürlich das Web-of-Trust an sich unterwandern, allerdings bei Abuse kann man das dann auch sehr schnell zurückverfolgen, denn irgendwo muss der "Abuser 0" ja mit seinem Namen identifiziert worden sein bevor er sein Netzwerk aufbauen kann. Die entsprechenden Leute werden dann halt gelöscht.
Theoretisch kann man natürlich das Web-of-Trust an sich unterwandern, allerdings bei Abuse kann man das dann auch sehr schnell zurückverfolgen, denn irgendwo muss der "Abuser 0" ja mit seinem Namen identifiziert worden sein bevor er sein Netzwerk aufbauen kann. Die entsprechenden Leute werden dann halt gelöscht.
Ja, aber der Angriff, für den ich gefälschte Serverzertifikate brauche, ist ja der Man-in-the-Middle-Attack, und wen ich den implementieren kann, dann ist auch die Mailbestätigung für mich kein Problem. Daß man später den ersten Schwindler herausfinden kann, hilft allenfalls dann für Schadensersatzklagen (sofern man denjenigen zu fassen bekommt). Man sollte sich halt bewußt sein, daß die Sicherheit mit diesen Zertifikaten schwächer ist, da sie solche Angriffe nicht von vornherein ausschließt, sondern nur im Nachhinein die Zertifikatsausstellung zurückverfolgen kann. (Wobei das sicherlich interessant werden kann, wenn das dann über diverse Inseln geht...)
#1.1.1
on
2005-06-27 00:55
Nun wenn du bereits zum Zeitpunkt ein MitM-Problem mit deiner Domain hast wenn du(oder jemand anderes) das Zertifikat beantragst ist das ein Problem, aber dann is das Zertifikat wohl das geringste. Sobald die Domain einmal in deinem Account ist, ist die Sache ja geregelt. Weil wenn du in deinem Account deine Domain registriert hast, kann kein anderer sich die Domain zuordnen. Du kannst extra einen Abuse- oder Dispute-Eintrag auf der Webseite aufmachen, dann wird das nachverfolgt. Und da der Verursacher ja irgendwo letztendlich identifiziert sein muss (oder seine Assurer oder die davor..) kann man das auch irgendwie nachverfolgen.
Jedenfalls letztendlich hat es auch Verisign geschafft, einem Dritten ein Zertifikat für Microsoft auszustellen, ich traue denen jedenfalls auch nicht so viel mehr.
Jedenfalls letztendlich hat es auch Verisign geschafft, einem Dritten ein Zertifikat für Microsoft auszustellen, ich traue denen jedenfalls auch nicht so viel mehr.
Mein Szenario ist folgendes: Eine fremde Domain hat ein Zertifikat von einer anderen Authorität (Verisign, Thawte oder wer auch immer). Ich hab (durch ein Wunder) auf einmal die Fähigkeit, ein MitM-Angriff auf diese Domain zu starten, d.h. ich kapere die Domain. Jetzt hole ich mir für diese Domain ein Zertifikat von CACert (ich hab Freunde, die dort Assurer sind). CACert sendet zur Domain eine Mail, die ich aufgrund meines Angriffes in die Hände bekomme, und bestätigen kann, womit ich dann ein echtes Zertifikat für meine gekaperte Domain erhalte. Von nun an fallen auch alle meine Besucher darauf hinein und es kann ans Geld verdienen gehen.
Der Zeitpunkt der Beantragung des Zertifikats ist also von mir (dem Angreifer) gewählt. Und das Zertifikat wird seiner Aufgabe, nämlich einen ansonsten erfolgreichen MitM-Angriff zu verhindern, nicht gerecht. Oder was hab ich bei der Prozedur von CACert übersehen? (Ja, die Panne bei Verisign ist ein ernsthafter Sicherheitsbruch, aber keine Erlaubnis für die Authoritäten schlampiger zu arbeiten.)
Der Zeitpunkt der Beantragung des Zertifikats ist also von mir (dem Angreifer) gewählt. Und das Zertifikat wird seiner Aufgabe, nämlich einen ansonsten erfolgreichen MitM-Angriff zu verhindern, nicht gerecht. Oder was hab ich bei der Prozedur von CACert übersehen? (Ja, die Panne bei Verisign ist ein ernsthafter Sicherheitsbruch, aber keine Erlaubnis für die Authoritäten schlampiger zu arbeiten.)
#1.1.1.1.1
on
2005-06-27 01:34
CAcert garantiert nur, dass die Domain über den Mail-Link authentifiziert ist, das ist richtig, das wird aber auch so kommuniziert. Im Zertifikat ist auch nur der CN enthalten und kein User / keine Organisation. Das ist das einzige Prinzip das automatisiert möglich ist. Für Privatpersonen oder kleine Firmen ist CAcert auf jeden Fall eine Alternative, dort ist die Gefahr auch nicht so hoch das jemand versucht das Zertifikat zu fälschen als z.B. bei amazon oder ähnliches. Im Zweifelsfall muss man das ganze dann rechtlich klären.
Hmm, ich glaube, Du hast mein Szenario falsch verstanden. Ich als Angreifer bediene mich dem Vertrauen der Nutzer (Besucher der Seiten) in CACert-Zertifikate. Welche Autorität die von mir gekaperte Domain zertifiziert hat, ist mir egal. Wenn die Besucher den CACert-Zertifikaten vertrauen, kann ich mit obigem Szenario auch amazon.de, die ja aktuell von RSA Data Security zertifiziert werden, angreifen. Die Schlußfolgerung daraus ist, daß man solchen Zertifikaten nicht trauen darf, was sie im Endeffekt (dann auch für Privatpersonen und kleinere Firmen) wertlos macht.
#1.1.1.1.1.1.1
on
2005-06-27 14:20
Nein ich versteh das schon, und das Szenario ist so auch richtig, allerdings ist es praktisch doch relativ schwer durchführbar. Du müsstest den MX-Eintrag für die entsprechende Domain umstellen ohne das es jemand merkt (was schwierig ist, denn wenn auf einmal keine Mails mehr bei der Firma/der Person ankommen wird man normalerweise schon aufmerksam), du müsstest die Mail abfangen und danach die Domain auf deinen Server umleiten ohne das es jemand merkt. Vorher musst du auch noch das CAcert Web-of-Trust infiltrieren was einigermaßen schwierig ist, da du zumindest am ersten Punkt wo du ansetzt echte Personendaten hinterlegen musst. CAcert hinterlegt auch absichtlich keinen Firmen/Personennamen sondern schreibt nur den Domainnamen ins Zertifikat, genau deshalb weil sie das nicht prüfen können.
Rechtlich darfst du natürlich keine Domain anmelden für die du nicht verantwortlich bist, das hat dann im Betrugsfall Konsequenzen.
Ob du trotzdem dem CAcert Zertifikat vertraust oder nicht ist natürlich deine Sache, ich tus jedenfalls.
Rechtlich darfst du natürlich keine Domain anmelden für die du nicht verantwortlich bist, das hat dann im Betrugsfall Konsequenzen.
Ob du trotzdem dem CAcert Zertifikat vertraust oder nicht ist natürlich deine Sache, ich tus jedenfalls.
Quicksearch
Getaggte Artikel
aktion arbeit blog bundestrojaner comics datenschutz essen fun fussball g8 games gesetze gesundheit handy hardware internet kino kurioses Linux linuxtag mail messe musical musik netzwerk onlinedurchsuchung podcasting politik polizei recht reise schäuble sicherheit software stasi 2.0 terror urlaub video vorratsdatenspeicherung werbung windows wm2006 zensur überwachung
Amazon
Aktuelle Einträge
- Es druckt nicht!
- Wednesday, July 1 2009
- Internetzensur - Was hier falsch läuft
- Wednesday, March 25 2009
- Nürnberg und Twitter
- Thursday, February 12 2009
- Spruch des Tages
- Wednesday, February 4 2009
- Wasserbombe in Hannover?
- Monday, January 26 2009
- So finster die Nacht - Let the right one in
- Wednesday, December 24 2008
- Multiple Kill Vehicle
- Thursday, December 18 2008
- Krnk
- Wednesday, December 17 2008
- Kein Video mit Ubuntu Intrepid Ibex (8.10)
- Monday, December 15 2008
- CD von Rocco Granata gesucht
- Wednesday, December 10 2008
Kategorien
Blog abonnieren
Archives
Links
Creative Commons
Powered by
