[linux-l] tor sicherheitsfrage

Steffen Schulz pepe_ml at gmx.net
Fr Jan 12 13:04:16 CET 2007 

On 070112 at 12:40, Benjamin Schieder wrote:
> On 12.01.2007 11:58:36, Steffen Schulz wrote:
> > Schwachstellen des Angriffs? Es interessieren Massnahmen gegen den
> > Angriff. Ich habe bei 2 von 3 Punkten angemerkt, warum Massnahmen in
> > der Richtung IMO keinen Mehrwert bringen.
> 
> Das waren keine Massnahmen gegen den Angriff, sondern Schwachstellen des
> Angriffs, die mir spontan eingefallen sind.

Okay. Ich hab die als "Tips" interpretiert.

Denn wie gesagt wollte der OP vermutlich nicht so im Detail wissen,
welche moeglichen Probleme der Angreifer bekommen kann. Vllt faellt
ja auch der Strom aus..

> Ich bin Nutzer von Tor und Betreiber eines Exitnodes, ich kenn mich
> relativ gut damit aus. Das Zertifikat und die /etc/hosts haben ja
> mal NULL miteinander zu tun. Mein Kommentar auf die /etc/hosts bezog
> sich auf gefaelschte DNS Antworten aus dem Tor Netzwerk.

Als "Schwachstelle eines Angriffs" ist festes DNS okay. Als
Sicherheitsmassnahme zur Verteidigung aber nahezu wertlos. Denn wenn
mein Exit-Node die DNS-Antwort aendert, kann er auch direkt die
SSL-Verbindung angreifen.

Statt sich gegen alle Eventualitaeten einzeln abzusichern, versucht man
halt SSL sicher zu verwenden und erledigt so alles auf einen Schlag.

> > Davon ab hat mich ueberrascht, dass FF sich angeblich Zertifikate
> > merkt und auf Aenderungen hinweist, aber das war offenbar ein
> > Missverstaendnis.
> 
> 1) Akzeptiere das Zertifikat fuer immer (bis es ablaeuft).
> 2) Akzeptiere das Zertifikat fuer diese Sitzung.
> 3) Lehne das Zertifikat ab (es wird keine Verbindung aufgebaut).

> Diese Meldung erhaeltst du fuer alle Zertifikate. Also ich erhalte sie
> jedenfalls.

Dann hat dein Mozilla/Firefox anscheinend keine CAs konfiguriert? Ich
sehe diese Meldung jedenfalls nur fuer Certs, deren zugehoerige CA ich
nicht habe. Ich habe diese Anfrage fuer "offizielle" Zertifikate seit
Jahren nicht mehr bekommen. In Debian gibt es das Paket ca-certificates,
ich weiss aber nicht ob auch Mozilla/FF darauf zurueck greifen. wget
z.B tut dies.


/pepe
-- 
pepe at unixfan.net                            gpg --recv-key A04D7875
Key fingerprint: B805 57BE E4AF 0104 CC51  77A1 CE6F 8D46 A04D 7875
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: Digital signature
URL         : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20070112/52cca00a/attachment.sig>

Mehr Informationen über die Mailingliste linux-l