[linux-l] CAcert - alternativen?

Steffen Dettmer steffen at dett.de
Do Aug 24 22:20:31 CEST 2006


* Volker Grabsch wrote on Thu, Aug 24, 2006 at 20:57 +0200:
> > Gegen den - evtl. nicht mal deutschen - Admin von ziel.de kann man
> > evtl aber gar nichts machen, weil man nichtmal weiss, wer es ist. Ob
> > nu mit oder ohne Zertifikat, weil genau das ja auch nicht im
> > Zertifikat drin steht.
> 
> In diesem Punkt stimme ich zu. Aber ich behaupte, dieses Problem gibt
> es auch bei "richtigen" Zertifikaten. 

Wikipedia definiert Zertifikat so:

> > Zertifikate bestätigen die Zugehörigkeit eines kryptografischen
> > Schlüssels zu:
> > 
> >     * einer Person/Firma/Institution (z. B. bei der
> >       PGP-Verschlüsselung von Dateien oder E-Mails),
> > 
> >     * einer Maschine (z. B. bei der SSL-Verschlüsselung von
> >       Website-Traffic).

Wobei letzeres nicht heisst "zu einem alias der momentan möglicherweise
von einer unbekannten Maschine benutzt wird wie zum Beispiel ein DNS
Eintrag" ;)

Ergo macht cacert.org überhaupt keine Zertifikate.

> Wurde allen ernstes schonmal ein Phisher dadurch erwischt, dass er im
> Zertifikat der gefaketen Seite mit Namen und Adresse auftauchte?

Ja, bei ebay-confirm.com oder sowas gabs Zertifikate. Waren dann aber
wohl nicht greifbar :)

> Es gibt doch 'zig Wege, das zu umgehen ... der Betreiber des
> Webservers der Fake-Seite könnte z.B. behaupten, einen Einbruch (von
> einem "Hacker" *lol*) gehabt zu haben. Das gibt dann eine Anzeige nach
> "unbekannt".

Wenn er nicht fahrlässig war, sicherlich. In der Praxis würde es trozdem
schnell teuer.

> Das nächste Problem ist, dass das Zertifikat aus dem Ausland kommen
> kann, wo man in vielen Ländern selbst bei Kenntnis von Namen und
> Adresse nicht viel gegen die Person unternehmen kann.

Ja, aber ich kann ja nur .DE Zertifikaten trauen, wenn mir das zu
riskant ist (wenn's drin steht).

> Das klingt für mich so, als ob du jedem Angreifer pauschal zutraust,
> ein paar Kilo Sprengstoff mit sich herum zu tragen. 

Klar, die anderen kriegen auch kein TCP gehijackt.

> Daraus schließt du dann, dass ein Panzerschrank genauso unsicher wie
> ein Küchenschrank ist, da beide mit Sprengstoff gleichermaßen gut zu
> knacken sind.

:-) nett.

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.




Mehr Informationen über die Mailingliste linux-l