[linux-l] CAcert - alternativen?

Volker Grabsch vog at notjusthosting.com
Do Aug 24 20:57:40 CEST 2006 

On Wed, Aug 23, 2006 at 11:58:38PM +0200, Steffen Dettmer wrote:
> Also, die klassischen X509 SSL Zertifikate schützen vor MITM-Angriffen.
> Sie schützen (ohne zusätzliche manuelle Prüfung) nicht vor phisching
> (weil der ja problemlos ein SSL Zertifikat haben kann, ist dann ein
> authentischer Angriff, später mehr). MITM-Angriffe brauchen
> DNS-spoofing, damit der Browser www.ziel.de vom Angreifer und nicht von
> Ziel lädt.

An der Stelle ist deine Argumentation schlampig, obwohl es Steffen
Schulz eigentlich schon sehr gut erklärt hat:

> > Okay, wenn er auch gegenueber cacert das spoofing hinbekommt.

DNS-Spoofing ist nichts "globales". Die Frage ist, *wem gegenüber*
du Spoofing betreiben willst. Die CAcert einen falschen Domain-Namen
unterzuschieben ist eine sehr viel größere Herausforderung als das
Spoofing innerhalb des lokalen Firmen-Netzes. Diesen "feinen"
Unterschied hast du bisher konsequent ignoriert.

> Wenn man aber ziel.de "umbiegen" kann, weil man z.B. das DNS
> manipuliert hat, kann man auch root at ziel.de "umbiegen", weil Mail ja
> über DNS MX Records verteilt wird.

Das stimmt. Man muss zwar nun auch gegenüber dem Mail-Server von
CAcert Spoofing betreiben, aber dieser Mehraufwand ist gering
verglichen damit, überhaupt die CAcert-Server täuschen zu können.

> Ergo nützt so ein Zertifikat sowieso schon mal nichts.

Diese Folgerung ist falsch, da sie auf o.g. falsche Annahmen beruht.

> Gegen den - evtl. nicht mal deutschen - Admin von ziel.de kann man evtl
> aber gar nichts machen, weil man nichtmal weiss, wer es ist. Ob nu mit
> oder ohne Zertifikat, weil genau das ja auch nicht im Zertifikat drin
> steht.

In diesem Punkt stimme ich zu. Aber ich behaupte, dieses Problem gibt
es auch bei "richtigen" Zertifikaten. Wurde allen ernstes schonmal
ein Phisher dadurch erwischt, dass er im Zertifikat der gefaketen Seite
mit Namen und Adresse auftauchte?

Es gibt doch 'zig Wege, das zu umgehen ... der Betreiber des Webservers
der Fake-Seite könnte z.B. behaupten, einen Einbruch (von einem "Hacker"
*lol*) gehabt zu haben. Das gibt dann eine Anzeige nach "unbekannt".

Das nächste Problem ist, dass das Zertifikat aus dem Ausland kommen
kann, wo man in vielen Ländern selbst bei Kenntnis von Namen und
Adresse nicht viel gegen die Person unternehmen kann.

Von daher würde ich eher den anderen (sog. "richtigen") Zertifizierern
unterstellen, eine falsche Sicherheit vorzugaukeln.

> > Mit cacert kannst du immernoch URLs unterschieben. Aber die anderen
> > beiden musst du nicht nur im LAN koennen, sondern auch gegenueber
> > cacert.org hinbekommen. Das ist in der Praxis schon komplizierter. 
> 
> Wieso, wenn ich einen DNS Server hacke, der die domain hostet, kann ich
> schön zentral die IP ändern und gut ist.

Na, das ist ja schon eine ziemlich heftige Attacke. Unter DNS-Spoofing
verstehe ich eigentlich subtilere Dinge, die tiefe Kenntnis der
Netzwerk-Protokolle (UDP/IP) voraussetzen.

Das klingt für mich so, als ob du jedem Angreifer pauschal zutraust,
ein paar Kilo Sprengstoff mit sich herum zu tragen. Daraus schließt
du dann, dass ein Panzerschrank genauso unsicher wie ein Küchenschrank
ist, da beide mit Sprengstoff gleichermaßen gut zu knacken sind.


Viele Grüße,

    Volker

-- 
Volker Grabsch
---<<(())>>---
Administrator
NotJustHosting GbR

Mehr Informationen über die Mailingliste linux-l