Liest die US-Regierung SSL-Verbindungen mit?

**Annika_Kremer** · 25. 03. 2010, 02:24

Eine neue wissenschaftliche Arbeit kommt zu dem Schluss, dass die US-Regierung mit vielen SSL-Zertifizierungsstellen kooperiert, um das Mitlesen verschlüsselter Verbindungen zu ermöglichen.

zur News

**Outbreaker1** · 25. 03. 2010, 02:39

Naja wunder mich nicht sowieso traue ich keinen der sachen hinter verschlossenen türen macht.

**Crass Spektakel** · 25. 03. 2010, 02:54

Das Problem miot zentralen Lösungen: Haste die Zentrale, haste die Kontrolle.

Ein Web-of-Trust wie bei PGP oder SSH wäre allemal sicherer. Wobei es immer darauf ankommt wofür man SSL verwendet:

Um sicherzustellen daß die Gegenstelle "echt" ist - daran ändert der Lauschangriff der Behörden nichts.

Um sicherzustellen daß die Verbindung nicht abhörbar ist - naja, so richtig hat wohl niemand jemals einer zentralen Lösung getraut.

Warum gibts eigentlich keinen Standard für dezentrale Web-Verschlüsselung? Also nicht "Autentifizierung".

**Exterminans** · 25. 03. 2010, 12:43

Hm, bidirektionale Verschlüsselung... Wäre prinzipiell ja möglich, beide Seiten haben je einen eigenen Publik und Privatekey und tauschen beide den Public Key aus. Man in the middle-Attacken würden dadurch unmöglich solange nicht beide private Keys kompromitiert sind, zudem ergeben sich daraus zusätzliche Möglichkeiten wie Login per sicherer Chalengeauth auf Basis der Keys.

Kleinadlerauge · 25. 03. 2010, 21:51

WARUM wundert mich das nicht? Warum nur??

**ddl33cher** · 25. 05. 2010, 17:34

ich persönlich gehe immer davon aus, sobald ich mich im internet bewege, das irgendwer mit liest oder mich ausspioniert. wenn dem nicht so ist, dann ist es gut und wenn doch wusste ich es wenigstens vorher

**Toady** · 25. 05. 2010, 22:02

Zitat von Crass Spektakel

Das Problem miot zentralen Lösungen: Haste die Zentrale, haste die Kontrolle.

Nein - die Verschlüsselung ansich ist ja OK - das Problem ist, dass sich die NSA Zertifikate besorgen kann (oder gar selbst ausstellen kann?).

Nutze sowas hier:
https://addons.mozilla.org/de/firefox/addon/6415/
dann solltest du das mitbekommen (mMn sollte das per default in jedem Browser drinne sein).

Da CertificatePatrol dir auch das letzte Zertifikat zum Vergleich vorlegt solltest du zumindest dann stutzig werden, wenn das "alte" noch länger wie 12 Wochen gültig ist.

Aber klar - deterministisch ist das nicht, besonders wenn du vorher noch nie auf der Seite warst (und ich halte zumindest die NSA nicht für so deppert, dass sie wildcard-Zertifikate nutzen würde - dem BKA hingegen traue ich das durchaus zu

- das fatale daran, dass selbst das gefühlte 99,9% der Nutzer nicht merken würden).

Ganz paranoide können sich das Zertifikat ja vorab über sowas wie PGP verschlüsselt zuschicken lassen (wir haben mal was ähnliches für x509-certs, die ab und an über unsichere Leitungen geholt werden müssen, bevor sie eine ipsec-connection aufbauen können, gemacht; ist verhältnismässig trivial, und vor Ort braucht man nur den entsprechenden SecKey).