[linux-l] tor sicherheitsfrage

Ivan F. Villanueva B. iv at artificialidea.com
Sa Jan 13 23:41:18 CET 2007 

Am Do, Jan 11, 2007 07:59:16 +0100, Andreas Hessen schrieb:
> 
> Hallo!
> 
> On 11.01.2007 14:09 ,  Ivan F. Villanueva B. wrote:
> 
> > ich habe eine Sicherheitsfrage. Angenommen, jemand betreibt einen
> > Torserver, der der Ausgangspunkt von einer Verbindung zu einem
> > Onlinebanking-Überweisung ist. Ist es nicht möglich, dass der Server
> > einen Man-In-The-Middle-Angriff macht, so dass nach eine Überweisung
> > die Bank gar keine Überweisung macht, aber der Serverbetreiber alle
> > Daten bekommt, die man braucht, um eine Überweisung mit diesem Konto
> > zu erledigen?
> 
> Was soll beim Weg über ein TOR anders sein als beim Routing über andere
> Server und Proxyserver?

Das jeder ein Tor-Server betreiben kann.
 
> > Um das zu vermeiden, es bleibt nur übrig, die Zertifikate der Bank zu
> >  überprüfen. Oder? Wie macht man es? Oder macht es Firefox schon
> > automatisch?
> 
> Firefox wird das Zertifikat von Deiner Bank daraufhin beurteilen, ob es
> von einer vertrauenswürdigen Stelle ausgestellt bzw. unterschrieben
> wurde. Welche Stelle als vertrauenswürdig eingestuft wird, hängt von Dir
> ab. Du kannst sie selbst als vertrauenswürdig in Deinen
> Zertifikatespeicher (liegt nicht pro Browser sondern systemweit - bei
> Ubuntu als pem-Dateien vor) einstufen.
> 
> Wenn Du das nicht machst, prüft Firefox, ob das Zertifikat der Bank von
> einer vertrauenswürdigen Stelle unterschrieben wurde. Unter Umständen
> ist Deinem System diese Stelle ebenfalls nicht bekannt. Dann kommt es
> darauf an, ob diese Stelle (und deren Zertifikat) wiederum von einer
> anderen Stelle als authentisch bestätigt wird. Normalerweise lässt sich
> ein Pfad von Zertifikateunterzeichnern/-ausstellern bis zu einem, ich
> nenne es mal "root-Trust", verfolgen. Diese "root-Trusts" (z.B.
> VeriSign) sind allen aktuellen Betriebssystemen bekannt und werden als
> "vertrauenswürdig" akzeptiert.
> 
> Wenn Du Dein Betriebssystem jahrelang nicht aktualisierst, wird auch der
> Zertifikatespeicher nicht aktualisiert mit der Folge, dass der Browser
> zu den ihm gezeigten Zertifikate (Serverpässe) keine Entsprechung mehr
> in seinem Zertifikatespeicher findet, da die Zertifikate ein Ablaufdatum
> haben. Bei Ubuntu ist es das Paket ca-certificates , mit dem die
> akzeptierten "root-Trusts" installiert bzw. aktualisiert werden.

Danke.
Gruß
-- 
Iván F. Villanueva B.

Mehr Informationen über die Mailingliste linux-l