[linux-l] tor sicherheitsfrage

Andreas Hessen ahlinux at t0i.de
Do Jan 11 19:59:16 CET 2007 

Hallo!

On 11.01.2007 14:09 ,  Ivan F. Villanueva B. wrote:

> ich habe eine Sicherheitsfrage. Angenommen, jemand betreibt einen
> Torserver, der der Ausgangspunkt von einer Verbindung zu einem
> Onlinebanking-Überweisung ist. Ist es nicht möglich, dass der Server
> einen Man-In-The-Middle-Angriff macht, so dass nach eine Überweisung
> die Bank gar keine Überweisung macht, aber der Serverbetreiber alle
> Daten bekommt, die man braucht, um eine Überweisung mit diesem Konto
> zu erledigen?

Was soll beim Weg über ein TOR anders sein als beim Routing über andere
Server und Proxyserver?

> Um das zu vermeiden, es bleibt nur übrig, die Zertifikate der Bank zu
>  überprüfen. Oder? Wie macht man es? Oder macht es Firefox schon
> automatisch?

Firefox wird das Zertifikat von Deiner Bank daraufhin beurteilen, ob es
von einer vertrauenswürdigen Stelle ausgestellt bzw. unterschrieben
wurde. Welche Stelle als vertrauenswürdig eingestuft wird, hängt von Dir
ab. Du kannst sie selbst als vertrauenswürdig in Deinen
Zertifikatespeicher (liegt nicht pro Browser sondern systemweit - bei
Ubuntu als pem-Dateien vor) einstufen.

Wenn Du das nicht machst, prüft Firefox, ob das Zertifikat der Bank von
einer vertrauenswürdigen Stelle unterschrieben wurde. Unter Umständen
ist Deinem System diese Stelle ebenfalls nicht bekannt. Dann kommt es
darauf an, ob diese Stelle (und deren Zertifikat) wiederum von einer
anderen Stelle als authentisch bestätigt wird. Normalerweise lässt sich
ein Pfad von Zertifikateunterzeichnern/-ausstellern bis zu einem, ich
nenne es mal "root-Trust", verfolgen. Diese "root-Trusts" (z.B.
VeriSign) sind allen aktuellen Betriebssystemen bekannt und werden als
"vertrauenswürdig" akzeptiert.

Wenn Du Dein Betriebssystem jahrelang nicht aktualisierst, wird auch der
Zertifikatespeicher nicht aktualisiert mit der Folge, dass der Browser
zu den ihm gezeigten Zertifikate (Serverpässe) keine Entsprechung mehr
in seinem Zertifikatespeicher findet, da die Zertifikate ein Ablaufdatum
haben. Bei Ubuntu ist es das Paket ca-certificates , mit dem die
akzeptierten "root-Trusts" installiert bzw. aktualisiert werden.

Gruß

Andreas



-- 
Freiheit Freude Lust Genuss
gibt's im Forum Libertus
http://www.forum-libertus.de

Mehr Informationen über die Mailingliste linux-l