GPN

Vertrauen ist gut, Kontrolle ist besser.

Warum vertrauen wir eigentlich Zertifizierungsstellen?
Medientheater
Andreas Sperber
Jeder kennt in seinem Browser das Schloss links oben neben der URL: ist es grün, ist die Verbindung verschlüsselt und niemand kann die Kommunikation zwischen Browser und Server abhören, oder? Unsere Browser stellen das grüne Schloss dar, wenn sie für die aufgerufene URL ein gültiges Zertifikat erhalten. Diese Zertifikate werden von Zertifizierungsstellen ausgestellt, und unsere Browser vertrauen diesen Stellen. Was passiert aber, wenn ein Zertifikat für jemanden ausgestellt wird, der es gar nicht bekommen dürfte? Ist dies bereits passiert? Der Vortrag geht auf diese Fragestellungen ein und diskutiert, was getan werden kann, um solche Situationen zu verhindern.
Im August 2011 berich­tet ein irani­scher In­ternetnutzer von ei­ner Brow­ser-War­nung, wenn er sich zu sei­nem Gmail-Konto einloggen will. Der Nutzer des Chro­me-Browsers wendet sich damit in ei­nem Forum direkt an Goog­le und fragt, ob es sich um ei­nen Man-in-the-Middle-Angriff auf die Verschlüsselung handeln könnte. Goog­le un­tersucht dar­aufhin die Si­tuati­on und bestätigt sei­ne Vermu­tung: es gab Angriffe auf die Verschlüsselung der Kommunikati­on, wovon primär In­ternetnutzer im Iran betroffen wa­ren. Die Zertifizierungs­stel­le DigiNo­tar habe un­ter an­de­rem für goog­le.com nicht autorisier­te Zertifikate aus­ge­stellt, die von Browsern an­stands­los akzep­tiert wur­den. Allein der kurz vor dem Vorfall veröff­entlich­ten Si­cherheits­funkti­on des Chro­me-Browsers sei es zu ver­danken, dass das missbräuch­lich verwende­te Zertifikat bemerkt wurde. Die neue Si­cherheits­funkti­on prüfe für den Goog­le E-Mail-Dienst Gmail nicht nur, ob das Zertifikat gültig ist, sondern auch ob es von ei­ner autorisier­ten Zertifizierungs­stel­le aus­ge­stellt wurde. In Chro­me und an­de­ren Browsern wur­den sofort alle Zertifikate ge­sperrt, die von DigiNo­tar aus­ge­stellt wur­den. Die Zertifizierungs­stel­le, die seit Juli 2011 von den nicht autorisier­ten Zertifika­ten für Domains von Goog­le, dem CIA, dem Mossad, dem MI6 und an­de­ren wusste, wurde unter die Aufsicht nieder­ländi­scher Behörden gestellt und es wurde ein Ermittlungs­verfah­ren ein­ge­leitet. Kommt ein Angreifer in den Besitz ei­nes nicht autorisier­ten aber gültigen Zertifikats, sind verschlüsselte Ver­bindun­gen nicht mehr si­cher. Der Angreifer würde sich mit ei­nem Man-in-the-Middle-Angriff zwi­schen zwei Kommunikati­ons­partner set­zen und das gültige Zertifikat präsentie­ren. Dieses wird akzep­tiert, da der Client Zertifika­ten der nicht mehr vertrau­enswürdigen Zertifizierungs­stel­le vertraut. Die Kommunikati­on wird abgehört. Das Pro­blem mit Zertifika­ten ist nicht neu. Aus diesem Grund wur­den in der Vergan­genheit meh­re­re Möglichkei­ten zur Ab­si­cherung gegen fal­sche Zertifikate vor­ge­schla­gen. Beispiele sind Certificate Transparency, DNS-based Authentication of Named Entities oder auch HTTP Public Key Pinning. Certificate Transparency ist zudem topaktuell, da der Internetgigant Google dieses Verfahren für https-Verbindungen in seinem Chrome Browser im Oktober 2017 verpflichtend einführen wird. Der Vortrag gibt einen kurzen Überblick über Public Key Infrastrukturen und Zertifikate und stellt Lösungsansätze für das beschriebene Vertrauensproblem vor.

Additional information

Type lecture
Language German

More sessions

5/25/17
GPN
obelix
Medientheater
Was auf der GPN17 passieren wird und was ihr wissen müsst.
5/25/17
GPN
Medientheater
TechTalk über die Entwicklung des GulaschPushNotifier.
5/25/17
GPN
Muelli
Studio
GNOME is a desktop that cares about its users and their freedom. To be free also includes to have the freedom to use your computer without having to fear of getting compromised or anyone listening to your communication. GNOME takes tries hard to put the user back into the control seat regarding security and privacy. We will see two examples of how GNOME gives you back that control. The first is a classic: The problem of signing OpenPGP keys. The second is the protection against malicious USB ...
5/25/17
GPN
Lounge
@faheus
5/25/17
GPN
xin
Workshopraum
What can we learn from small modifications and everyday resourcefulness around us? What parallels could we draw between hacking in the digital and physical spaces? How could the makeshift creations from others be inspiring for our own lives?
5/25/17
GPN
starbug
Medientheater
Die Iriserkennung verdraengt den Fingerabdruck bei mobilen Endgeraeten. Sicherer ist diese aber auch nicht. Dieser Vortrag zeigt, wie man die Iriserkennung des neuen Samsung Galaxy S8 ueberwinden kann.
5/25/17
GPN
HfG
Blauer Salon
In this animated lecture performance, two derailed scholars engage in a desperate attempt to salvage the Internet: one claims interfaces such as Facebook are actually gamified hyper meta-fictions, programmed to enslave users by creating an illusion that they are living purposeful ‘cyberdramas’. The other will demonstrate how to break this immersive control system by literally time traveling inside the interface and changing its history, thereby unleashing an unexpected radical butterfly ...