[linux-l] CAcert - alternativen?

Steffen Dettmer steffen at dett.de
Di Aug 22 09:44:42 CEST 2006 

* Andre Grueneberg wrote on Sun, Aug 20, 2006 at 22:30 +0200:
> Ja und? Die Sicherheit hast du doch heute schon nicht mehr. Den gleichen
> Sicherheits-Standard wie CACert bietet z.B. auch 
> http://www.positivessl.com/ -- nur eben gegen Geld. Die Mechanismen der
> Prüfung der Zertifikat-Inhaber sind genauso lax, dafür ist das
> Root-Zertifikat sogar noch in den Browsern drin.

Es ging mir überhaupt noch nicht mal um laxe Prüfungen, sondern darum,
dass ein Zertifikat zertifiziert, dass ein Hostname existiert.

> Was ist dann an CACert so schlecht? "Nix Knete, nix gut" oder wie?

Hab ich doch geschrieben:

* Steffen Dettmer wrote on Tue, Aug 15, 2006 at 22:15 +0200:
> Meine Gründe dafür, das cacert.org und Vertrauen diskunkte Mengen sind:
> - Es gibt mindestens ein Zertifikat, das überhaupt keine Identität
>   beweist, weil es im Subject/Issued-To einfach mal gar nix
>   menschenverständliches oder prüfbares enthält
> - Anfragen werden nach Monaten unbefriedigend beantwortet.

> > > ich weiss zwar nicht ob CAcert zum erfolg wird.
> > Ich hoffe jedenfalls, dass sich nicht zuviele einlullen lassen; das
> > führt dann nachher noch dazu, dass jemand denkt, es wäre irgendwas
> > sicherer, weil da so ein Snakeoil drauf ist - dass ist dann schlimmer,
> > als ohne Sicherheit, weil das Misstrauen dann gemindert ist.
> 
> CACert ändert NICHTS...ich vertraue einem solchen Community-Produkt
> sogar mehr, als einige kommerziellen Angeboten.

Ja, und wenn es 2048 anstatt 1024 Bit sind, sogar mehr, schon klar. 1024
Bit könnte die NSA ja angreifen. Um Deine Liebesbriefe zu lesen, genau.
Es geht ja nur um RSA Bits, richtig? Dass es u.U. Monate dauert, bis man
eine Antwort bekommt, und vermutlich Jahre, bis mal ein Zertifikat
revoked werden kann, macht ja nichts, weil die NSA ja nur
brute-force-Angriffe macht und die ja drei Jahre dauern.

(Ich fürchte, genau dieses fehlende Bewusstsein und von
Technologie/Marketing verblendet sein ist das Problem, was durch Sachen
wie cacert.org, WebOfTrust und sowas erzeugt wird).

Für mich ist das alles unerheblich. Die Sicherheit auf diesem Niveau ist
kryptographisch höher und schwieriger angreifbar, als über
SocialEngineering oder Prozessangriffe.

Aber cacert.org /behauptet/ ja anscheinend noch nichtmal, irgendwas zu
beachten, jedenfalls fand ich auf http://www.cacert.org/ zwar eine
"privacy policy", aber konnte mich nicht informieren, wie eigentlich
zertifiziert wird.

Als ich dann über "Vertrauenspunkte" und "CAcert Web of Trust"
gestolpert bin, hab ich das Browserfenstern ganz schnell geschlossen. Es
gibt Grenzen dafür, was ein Mensch ertragen kann. Und dass eine CA an
das WebOfTrust glaubt... ohh-ohh... Es ist /noch/ schlimmer, als ich
dachte.

Aber 2048 Bit sind bestimmt möglich!

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.

Mehr Informationen über die Mailingliste linux-l