[linux-l] CAcert - alternativen?

[Steffen Dettmer]

* Sven Guckes wrote on Sat, Aug 19, 2006 at 01:38 +0200:
> * Steffen Dettmer <steffen at dett.de> [2006-08-17 23:08]:
> > cacert.org? Wenn die in Browser kommen, bitte unbedingt
> > Bescheid sagen und Deinstallationsanleitung schreiben! ...
> >
> > Ich finde, man sollte nicht auch noch für sowas werben,
> > sondern lieber aufklären. Es bringt keine Sicherheit,
> > ganz im Gegenteil, es könnten Leute darauf hineinfallen,
> > weil sie /glauben/, es brächte Sicherheit.
> 
> und welcher CA traust *du*?  keiner?

Na gut, wenn Du so fragst, ich würde keiner gern mein Leben anvertrauen,
aber für Online-Banking schon. Verisign (mit Tathwe oder wie die
hiessen) z.B.

> welchen zertifikaten kann man denn nun trauen?

Es geht doch nicht nur darum, dem Zertifikat zu trauen. Ein Angriff
findet nicht unbedingt über den schwierigsten Weg (1024 Bit RSA
Schlüssel angreifen oder in den Sicherheitsraum einbrechen oder sowas)
statt, sondern auch gern über Tricks.

Jedenfalls stellt für mich das Zertifikat im Prinzip eine glaubwürdige
Verbindung eines Maschinenlesbaren/prüfbaren "etwas" (wie: Hostname, IP
Adresse, RSA Keys) mit etwas menschenverständlichem her. Biespielsweise
könnte ein Zertifikat von www.guckes.net zertifizieren, dass von Sven
Guckes, <Postanschrift> zugesichert wird, eine (bestimmte und bekannte)
Policy zu erfüllen. In dieser steht üblicherweise, dass Du den RSA Key
niemandem gibts etc pp. Unterm Strich weiss ich dann, dass
https://www.guckes.net/ Inhalte von Dir kommen, und nicht von einer
Angelica Guckes oder wem auch immer.

Wenn aber ein Zertifikat nur sagt, der RSA Key da gehört wirklich zu
dieser und jener IP (oder Hostnamen) und am Ende vielleicht noch nicht
mal mit einer Policy (Vertrag, was auch immer), dann kann man dem
Zertifikat an sich trauen, aber es hilft gar nichts. Vielleicht hat
Angelica Guckes ja das Zertifikat für www.guckes.net geholt. Und in
diesem Fall auch Zugriff auf root at www.guckes.net (und was auch immer
cacert.org "prüft"). Dann kann sie ihre Artikel mit Sven unterschreiben,
und das Zertifikat ist technisch immernoch korrekt - es hilft einem nur
nix, weil es ja nichtmal behauptet, zu Sven zu gehören, es verrät ja gar
nicht, wer nun dahinter stecken soll. Es zertifiziert halt einfach nix.
Es ist einfach nur bekloppt. Daher erwarte ich von Leuten, die ein
Verständnis für Sicherheit haben, sowas eben nicht zu zertifizieren.

> nur jenen, die bereits in den browsern drin sind?
> oder nur von firmen, die sicherheit verkaufen?

Nicht nur, nein. Wenn ich jemandem zutraue, die Technik zu verstehen und
so weiter (ist natürlich wichtig) plus vertraglich (oder wie diese
Dinger juristisch korrekt heissen, wenn der zweite Vertragspartner noch
nicht feststeht) zusichert, das auch immer so und richtig zu machen,
kann man ihm trauen. Falls er Mist macht, kann man ihn vor Gericht
ziehen und Schadensersatz verlangen, was ihn wiederum dazu anspornen
sollte, seine Arbeit vernünftig zu machen. Dazu braucht er sicherlich ne
gute Versicherung, die im Falle eines Falles zahlt (ich traue z.B.
keinem Privaten zu, mal 50.000 EUR oder so zu bezahlen, es sei denn, es
gibt entsprechende Versicherungen). Was wiederum dazu führt, dass es
wohl dann doch ein Verkauf von Sicherheit wird, weil die Versicherungen
etc. wollen ja auch bezahlt werden.

Fall Du jetzt argumentierst, man könnte ja die Haftung ausschliessen
(was cacert vielleicht sogar macht), kommt man sofort zur Frage, was
bitte hat man denn dann überhaupt noch, eine Sicherheit, die genau gar
nichts wert ist, super. Dann braucht man aber überhaupt kein Zertifikat.

> ich weiss zwar nicht ob CAcert zum erfolg wird.

Ich hoffe jedenfalls, dass sich nicht zuviele einlullen lassen; das
führt dann nachher noch dazu, dass jemand denkt, es wäre irgendwas
sicherer, weil da so ein Snakeoil drauf ist - dass ist dann schlimmer,
als ohne Sicherheit, weil das Misstrauen dann gemindert ist.

> aber ich kenne vielleicht keine interessanten alternativen.

Gar kein Zertifikat, dafür eine Telefonnummer aus dem Telefonbuch oder
eine Postanschrift. Je nach dem, was man eigentlich will. Sonst noch:
ebay, amazon, ...

> welche weiteren CAs gibt es, denen du trauen wuerdest?  und warum?

Absolut: kenne keine, und traue auch der Technik selbst eh nicht

Relativ: ja, hängt davon ab! 

Für Online-Banking möchte ich eine grosse CA, die keine Klagen haben
möchte und sich daher wenigstens ein bisschen Mühe gibt. Für eine
Verabredung in einem Kaffee in Berlin reicht mir vielleicht der Fakt,
dass Du seit langem auf die BeLUG-Liste postet (und damit vermutlich
wirklich der Echte bist). 

Vielleicht kann man auch cacert.org trauen, solange die Schlüssel sicher
sind, kann niemand anders "nichts" mit deren Signatur
"nicht-zertifizieren". Bringt genausoviel, wie ihr nicht zu trauen.

Obwohl, wenn jemand cacert.org anstatt einer sinnvollen CA gewählt hat,
muss einen das schon mal misstrauisch machen - warum nimmt er kein
sinnvolles Zertifikat? Hat er vielleicht keinen Namen oder will ihn
nicht angeben?

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.