Auch Online-Banking - NSA liest verschlüsselte SSL-Verbindungen mit

wie wäre es, weltweit von jeder Email der NSA eine Kopie schicken?

 

Ich erwarte von meinen alimentierten Politikdienstleistern, dass der Verantwortliche für diese maffiösen Machenschaften, also der USA-Präsident - für dieses Vorgehen vor den Europäischen Gerichtshof zitiert wird.

Machen wir es wie er - beim nächsten Überflug über Deutschland wird er zur Landung gezwungen und als Spion verhaftet, damit Recht und Ordnung wiederhergestellt werden kann.

 

die Machenschaften der Geheimdienste sind doch schon lange Zeit bekannt . Ich hatte schon vor einigen Jahren Leute darüber informiert, dass ihr OS mit Backdoor für Schnüffeleien ausgestattet ist. Mir wurde allerdings nicht geglaubt.

 

tja, dann hätte man ja auch tätig werden müssen - etwas, womit sich unsere mit Nebentätigkeiten zeitlich hoch belasteten Politikangestellten naturgemäß schwer tun.

 

dafür ist er gar nicht zuständig.

 

Wenn das so weiter geht, kann man demnächst seine Daten über Chinesische Server laufen lassen und ist dann sicherer.

 

> über Chinesische Server
unsere Daten laufen aber zunächst über den Drosselkom-Backbone, KDG-Bb usw. incl. SAT-Com. Insofern ist überhaupt keine Sicherheit gewährleistet, denn Big Brother, sprich NSA & Co., schnüffelt überall.

 

Dumm, weil überflüssig. Nicht die NSA ist das Problem.

 

Das Problem sind die Unternehmen, die sich von ihnen zur Mitarbeit überreden lassen oder gar mit vorauseilendem Gehorsam agieren. Man kann die Leute auch verstehen, wenn sie auf dem amerikanischen Markt Geschäfte machen wollen, müssen sie nach deren Pfeife tanzen. Außerdem will man ja auch seine körperliche Unversehrtheit bewahren.

 

Also hier muss was grundlegend klar gestellt werden...

Das ist so natürlich absoluter Blödsinn. Ein Trust Center macht nichts anderes, als einem Dritten zu betätigen, dass der öffentliche SSL-Schlüssel eines Servers (mal vereinfacht) gültig ist. Dazu schickt der Serverbetreiber seine Authentifizieungsunterlagen (d.h. er muss durch irgend welche Unterlagen seine Identität nachweisen) und den auf seinem Server generierten öffentlichen SSL-Schlüssel an das Trust Center. Dieses erstellt daraus mit seinem privaten Schlüssel ein Zertifikat. Beim Verbindungsaufbau schickt nun der Server das Zertifikat an den Client. Dieser prüft mit Hilfe seiner eigenen Liste an öffentlichen Schlüsseln der Trust Center, ob das Zertifikat gültig ist. Jetzt erstellt der Client einen Verbindungsschlüssel, welchen er mit den öffentlichen Schlüssel aus dem Zertifikat unterschreibt und an den Server schickt. Nun kommen wir zum Knackpunkt: dieser Verbindungsschlüssel kann nur mit dem privaten Schlüssel des Servers gelesen werden - d.h. nur durch diesen Schlüssel kommt die SSL-Verbindung am Ende auch zu stande. Dieser private Schlüssel hat nie den eigentlichen Server verlassen - d.h. weder das Trust Center noch jemand anders kennt ihn.

Moral von der Geschichte: will man eine SSL-Verbindung belauschen, braucht man den privaten Schlüssel des Servers. Den bekommt man nur, wenn man in den Server einbricht und ihn klaut oder der Serverbeteiber mit dem "Dieb" gemeinsame Sache macht. Also: Die SSL-Technik ist nach wie vor sicher. Ein Problem entsteht nur da, wo der Serverbetreiber selbst den Sicherheitsmechanismus aushebelt - d.h. das Vertrauen seiner Nutzer zu deren Schaden missbraucht.

 

das würde ich so nicht unbedingt stehen lassen...

ssl ist weit mehr als nur die verschlüsselung und der schlüsseltausch. das ist nur das letzte - technisch gelöste - glied der "vertrauenskette" auf der ssl beruht. vor allem steckt eine große portion glaube und hoffnung in die systeme der zertifizierungsstellen und die geheimhaltung der privaten schlüssel darin.

sobald ein server (z.b. eine geschobene seite in einem offenen wlan) ein passendes, gültiges zertifikat vorweisen kann ist für die standard ssl implementierung die welt vollkommen in ordnung.
ob dieses zertifikat vom legitimen server geklaut, per gesetz vom betreiber (der das praktischerweise nicht mal sagen darf!) eingefordert oder von einer zertifizierungsstelle unrechtmäßig herausgegeben wurde (oder am besten gleich on the fly erzeugt und mit verisigns stammzertifikat unterschrieben - wenn schon denn schon ) ist erstmal unerheblich.

 

Nö. Die Verbindung kommt nur mit dem zum Zertifikat passenden privaten Schlüssel des Server zu stande. Sonst könnte man ja einfach ein Serverzertifikat (was ja bei jedem Handshake an den Client gesendet wird) kopieren und sich als selbiger ausgeben. Es ist von mindestens zwei Seiten (Trust Center und Seitenbetreiber) kriminelle Energie erforderlich, um SSL auszuhebeln. Das genau das passiert ist/passiert möchte ich gar nicht in Abrede stellen. Mir geht es um die pauschalisierte Aussage, dass die SSL-Technik an sich unsicher sei. Man kann ja SSL auch komplett unabhängig von irgend welchen Trust Centern nutzen und seine Zertifikate selbst unterschreiben. Nachteil ist natürlich, dass "unbekannte" Clients "mich" als berechtigten Unterzeichner erst manuell anerkennen müssten.

 

die haben ich (gedanklich) zu einem "ding" zusammengezogen. mir ist klar, dass das zertifikat alleine für sich nicht reicht.


aber wie schon geschrieben: ssl lebt nicht nur vom der technischen umsetzung der verschlüsselung, seinen schlüsseln und den zertifikaten alleine.
die betreiber, zertifizierungsstellen und das rechtliche umfeld sind mit im boot
und genau da siehts nicht so rosig aus...

 

Ja, warum sollte es im Internet auch anders sein, als im richtigen Leben? Wenn du einem Bankangestellten eine Überweisung gibst, vertraust du letztlich auch darauf, dass er die Kontonummer vom Schein abtippt und nicht seine eigene angibt.

 

Hast du dir mal angeguckt, wie die Gesetze da zustande kommen?

 

Die Geheimhaltung durch und durch, ist dazu in der Lage, einen totalitären Staat zu errichten, der nur noch aus Bespitzelung, Willkür und Angst besteht.
Dieses System braucht ständig Anschläge, um sich selbst zu bestätigen. Bei uns wird die Sauerlandgruppe ständig herausgekramt, um die Überwachung zu rechtfertigen. Irgendwann geht das auch nicht mehr. Dann wird sicher ein neuer Anschlag aufgedeckt, um weitere Maßnahmen durchzusetzen. Irgendwann kommen auch wieder die Beamten in den Ledermäntel, die morgens um 6 Uhr Leute aus ihren Wohngen abholen. Den Rest kennt man ja.
Solange man nicht selbst betroffen ist, kann man ja weg schauen.

 

Was mich viel mehr nachdenklich macht ist, dass die kalten Krieger von einst mit ihrer Politik Recht gehabt haben könnten...