Ist das so mit HTTPS wirklich eine gute Lösung?



Ähnliche Dokumente
Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk

Freie Zertifikate für Schulen und Hochschulen

Sich einen eigenen Blog anzulegen, ist gar nicht so schwer. Es gibt verschiedene Anbieter. ist einer davon.

BAYERISCHES STAATSMINISTERIUM DES INNERN

Leichte-Sprache-Bilder

Benutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.

Informatik für Ökonomen II HS 09

Ein Hinweis vorab: Mailkonfiguration am Beispiel von Thunderbird

Bedienungsanleitung: Onlineverifizierung von qualifiziert signierten PDF-Dateien

Erste Vorlesung Kryptographie

Das Leitbild vom Verein WIR

Schritt-für-Schritt-Anleitung So verschlüsseln Sie Ihr -Konto in der Software 6.0

Die Invaliden-Versicherung ändert sich

COMPUTER MULTIMEDIA SERVICE

-Verschlüsselung mit S/MIME

Guide DynDNS und Portforwarding

Digital signierte Rechnungen mit ProSaldo.net

Antrag für ein Schlichtungs-Verfahren

Programmiertechnik II

Nicht über uns ohne uns

Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von s Teil D5:

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

Installationsanleitung SSL Zertifikat

Öffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:

Backup der Progress Datenbank

Herzlich willkommen zum Kurs "MS Outlook Verschlüsseln und digitales Signieren von Nachrichten

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Sie finden im Folgenden drei Anleitungen, wie Sie sich mit dem Server der Schule verbinden können:

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

Import von allgemeinen Zertifikaten

Kurzanleitung SEPPmail

Multiplayer Anweisungen

A-CERT CERTIFICATION SERVICE 1

Verschlüsselte s: Wie sicher ist sicher?

Was meinen die Leute eigentlich mit: Grexit?

Algorithmische Kryptographie

FTP-Leitfaden RZ. Benutzerleitfaden

TeamSpeak3 Einrichten

Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von s Teil D2:

Eva Douma: Die Vorteile und Nachteile der Ökonomisierung in der Sozialen Arbeit

Allgemeine Erläuterungen zu

Catherina Lange, Heimbeiräte und Werkstatträte-Tagung, November

Protect 7 Anti-Malware Service. Dokumentation

Die Bundes-Zentrale für politische Bildung stellt sich vor

Überprüfung der digital signierten E-Rechnung

Installationsanleitung für die h_da Zertifikate

Widerrufsbelehrung der Free-Linked GmbH. Stand: Juni 2014

Sicherheit im E-Business

Arbeit zur Lebens-Geschichte mit Menschen mit Behinderung Ein Papier des Bundesverbands evangelische Behindertenhilfe e.v.

Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von s Teil D7:

So richten Sie Ihr Postfach im Mail-Programm Apple Mail ein:

Outlook 2013 Ablauf des Einrichtens in Outlook, um s zu signieren und/ oder verschlüsseln zu können

Step by Step Webserver unter Windows Server von Christian Bartl

Regeln für das Qualitäts-Siegel

Installation Benutzerzertifikat

Kundeninformationen zur Sicheren

Stammtisch Zertifikate

icloud nicht neu, aber doch irgendwie anders

Erfahrungen mit Hartz IV- Empfängern

Was ich als Bürgermeister für Lübbecke tun möchte

PayPal API Zugang aktivieren und nutzen Version / Datum V 1.5 / a) Aktivierung auf der PayPal Internetseite. 1 von 7

Das Persönliche Budget in verständlicher Sprache

Geld Verdienen im Internet leicht gemacht

Aktivieren des Anti-SPAM Filters

Für die Einrichtung mit jedem beliebigen Client gelten grundsätzlich folgende Daten:

ModeView Bedienungsanleitung

Community Zertifizierungsstelle. Digitale Identität & Privatsphäre. SSL / S/MIME Zertifikate

Sichere mit OpenPGP und S/MIME

Anleitung über den Umgang mit Schildern

Handreichung für Lehrer

Deutsches Rotes Kreuz. Kopfschmerztagebuch von:

Import des persönlichen Zertifikats in Outlook 2003

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Hilfe-Blatt: Ausgabenkontrolle

SSL/TLS-VERBINDUNGEN ZU MOODLE

Hier finden Sie häufig gestellte Fragen und die Antworten darauf.

Teil 1: IT- und Medientechnik

Secure Mail der Sparkasse Holstein - Kundenleitfaden -

5. Testen ob TLS 1.0 auf Ihrem System im Internet-Explorer fehlerfrei funktioniert

Ideen für die Zukunft haben.

ARBEITNEHMERÜBERLASSUNG. Zeitarbeit? Leiharbeit?

Die neue Aufgabe von der Monitoring-Stelle. Das ist die Monitoring-Stelle:

SharePoint Demonstration

Informationen zum Ambulant Betreuten Wohnen in leichter Sprache

Monatstreff für Menschen ab 50 Temporäre Dateien / Browserverlauf löschen / Cookies

S Sparkasse Hohenlohekreis. Leitfaden zu Secure

NTR-Support Die neue Fernwartung

Verwendung des IDS Backup Systems unter Windows 2000

PC-Umzug: So ziehen Sie Ihre Daten von Windows XP nach Windows 8 um

Was ist Sozial-Raum-Orientierung?

BMW ConnectedDrive. connecteddrive. Freude am Fahren BMW CONNECTED DRIVE. NEUERUNGEN FÜR PERSONALISIERTE BMW CONNECTED DRIVE DIENSTE.

Teilnahme-Vertrag. Der Teilnahme-Vertrag gilt zwischen. dem Berufs-Bildungs-Werk. und Ihnen. Ihr Geburtsdatum: Ihre Telefon-Nummer:

Gesetz für die Gleichstellung von Menschen mit Behinderungen. Erklärt in leichter Sprache

Die Post hat eine Umfrage gemacht

Lassen Sie sich dieses sensationelle Projekt Schritt für Schritt erklären:

40-Tage-Wunder- Kurs. Umarme, was Du nicht ändern kannst.

Clientkonfiguration für Hosted Exchange 2010

Über den Link erreichen Sie unsere Einstiegsseite:

Transkript:

SSL/TLS und PKI im Internet Erik Tews erik@datenzone.de Ist das so mit HTTPS wirklich eine gute Lösung? 21.05.2012 Erik Tews 1

Was ist PKI Asymmetrische Kryptographie ist echt praktisch Schlüssel bestehen aus einem privaten und einem öffentlichen Teil Die öffentlichen Schlüssel können beliebig weiter gegeben werden Um sinvoll arbeiten zu können, müssen öffentliche Schlüssel Personen und Organisationen zugeordnet werden Funktioniert diese Zuordnung nicht, funktioniert auch Kryptographie nicht Diese Zuordnung ist Aufgabe einer PKI 21.05.2012 Erik Tews 2

Vertrauensmodelle Oft werden hirachische Vertrauensmodelle verwendet: Jeder Webbrowser vertraut einer Liste von Certification Authorities (CAs) Jede dieser CAs kann: Die Zuordnung zwischen einem Schlüssel und einer Idendität mit einem Zertifikat bestätigen. Zum Beispiel: Zu Domain-Namen (www.ebay.com, www.seceng.informatik.tu-darmstadt.de) Zu Email-Adressen (erik@datenzone.de) Zu Firmen (PayPal Pte Ltd - Singapore) Oder diese Tätigkeit an weitere CAs (Sub-CAs) delegieren Werden Sub-CAs eingesetzt, spricht man von einer Vertrauenskette. 21.05.2012 Erik Tews 3

Zertifikate und X.509 Ein Zertifikat ist eine digital signierte Datenstruktur, die im wesentlichen Aussagt: Schlüssel A Gehört zu B Und wird digital von einer CA unterschrieben. Oft werden noch weitere Zusatzinformationen eingebettet wie: Zeitpunkt der Überprüfung Gültigkeitsdauer der Überprüfung Details der Prüfprozeduren ggf. Hinweise auf weitere Informationsquellen im Internet für Widerrufe Und meist werden solche Zertifikate nach X.509 kodiert. 21.05.2012 Erik Tews 4

Browser Jeder moderne Internetbrowser hat eine Liste von CAs (und deren öffentliche Schlüssel) denen er vertraut Wenn ein Benutzer eine Seite mit https ansurft passiert folgendes: Das Zertifikat der Webseite (und ggf. weitere Zertifikate) werden zum Browser übertragen Der Browser bilded damit eine Kette bis zu einer CA, der er vertraut Der Browser prüft alle Zertifikate in dieser Kette, ob ihre Unterschriften echt sind Und weitere Informationen aus dieser Kette werden ausgewertet und geprüft (Gültigkeitszeitraum...) Ist alles korrekt, kann der Browser aus dem Zertifikat der Webseite den Schlüssel extrahieren, und ihn für eine sichere Verbindung verwenden 21.05.2012 Erik Tews 5

Probleme? 21.05.2012 Erik Tews 6

Lösungen!!!! 21.05.2012 Erik Tews 7

Public Key Pinning Problem: Jede CA darf für jede Domain Zertifikate ausstellen Zum Beispiel von eine CA aus China für die Seite des Pentagons Lösung: Der Browser führt für viele wichtige Webseiten jeweils eine eigene Whitelist von CAs Nur CAs von dieser Liste dürfen für die Seite ein Zertifikat ausstellen Zertifikate anderer CAs werden zurückgewiesen 21.05.2012 Erik Tews 8

Certificate Transparency Problem: CAs können gehackt werden, Angreifer kommt so möglicherweise in Besitz für Zertifikate von anderen Domains oder mehr Wenn er die Zertifikate nur für wenige Angriffe einsetzt, werden sie nicht öffentlich bekannt Lösung: Der Browser überträgt jedes Zertifikat, das er sieht, zu einer zentralen Meldestelle Jedes Zertifikat wird dort gespeichert Angriffe werden so öffentlich Merkwürdige Konstellationen wie 2 verschiedene Zertifikate im Einsatz können erkannt werden 21.05.2012 Erik Tews 9

MECAI - Mutually Endorsing CA Infrastructure Problem: CAs arbeiten vergleichsweise mächtig und isoliert Lösung: Präsentiert ein Webserver ein Zertifikat unterschrieben von A, dann müssen weitere CAs B, C, D dafür bürgen Client fragt B, C, D an, ob sie ebenfalls das Zertifikat auf dem Webserver sehen CAs bestätigen das mit einer digital signierten Bürgschaft 21.05.2012 Erik Tews 10

Decentralized SSL Observatory Problem: Werden Zertifikate von einem Angreifer beim Client ausgetauscht, bemerkt es der Client nicht Auch über andere Probleme des Servers wird der Client nicht informiert Lösung: Eine Instanz sammelt automatisch Zertifikate im Internet Zertifikate und Webserver werden auf bekannte Schwachstellen untersucht Ein Client fragt bei einer Verbindung zum Webserver diesen Beobachtungsposten an, welches Zertifikat im Einsatz sein sollte, und ob es Probleme gibt 21.05.2012 Erik Tews 11

Perspective Problem: Sammelt eine zentrale Stelle Informationen über Zertifikate, ist das ein neuer Angriffspunkt Lösung: Verteile dieses Sammeln auf mehre Server und Parteien Die einzelnen Betreiber können sich dann zu Gruppen zusammen schließen 21.05.2012 Erik Tews 12

DANE Problem: DNS wird teilweise schon kryptographisch gesichert Diese Sicherung wird bei HTTPS nicht weiter verwendet Lösung: Verwende DNS, um dort öffentliche Schlüssel des Servers abzulegen Wenn DNS-Einträge signiert sind, kann sie ein Angreifer nur schwer ändern 21.05.2012 Erik Tews 13

Sovereign Keys Problem: Jede CA kann für meine Webseite Zertifikate ausstellen, auch ohne meine Mitwirkung Lösung: Generiere einen Langzeitschlüssel für alle Zertifikate Signiere jedes deiner Zertifikate damit Hinterlege den Langzeitschlüssel in einer Append-Only-Datenbank 21.05.2012 Erik Tews 14

Bewertung Welcher Ansatz ist der Beste? Welcher ist am sichersten Schützt er gegen alle Arten von Angriffen Muss der Webseitenbetreiber etwas ändern Müssen die CAs etwas an ihren Geschäftsprozessen ändern Müssen die Benutzer selber etwas machen Müssen die Browserhersteller etwas ändern Gibt es andere Anforderungen an DNS? Was schafft neue Machtzentren? 21.05.2012 Erik Tews 15

Referenzen https://tools.ietf.org/html/draft-ietf-websec-key-pinning-01 http://www.certificate-transparency.org/ https://kuix.de/mecai/ https://www.eff.org/deeplinks/2012/02/ https-everywhere-decentralized-ssl-observatory http://perspectives-project.org/ https://tools.ietf.org/html/draft-ietf-dane-protocol-21 https://www.eff.org/sovereign-keys Vielen Dank an Peter Eckersly für die tollen Ideen: http://media.ccc.de/ browse/congress/2011/28c3-4798-en-sovereign_keys.html 21.05.2012 Erik Tews 16

Ende Was würdet IHR tun? 21.05.2012 Erik Tews 17

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback