[linux-l] sichere dns

Steffen Dettmer steffen at dett.de
Do Nov 15 19:45:35 CET 2007


* Steffen Schulz wrote on Tue, Nov 13, 2007 at 22:54 +0100:
> On 071113 at 16:32, Ivan F. Villanueva B. wrote:
> > Am Di, Nov 13, 2007 03:59:42 +1100, Peter Ross schrieb:
> > > Wie ich schon annahm, ist das Aufsetzen von Tor-Endknoten (die 
> > > entschlüsseln) besonders für zwielichtige Organisationen attraktiv..
> > 
> > Wenn ich meine Emails über pop3s verschicke, kann der Endknote weder wissen,
> > wer seine Emails liest, noch den Inhhalt lesen. Oder?
> 
> Ueber POP3s schickt man keine Mails. Aber richtig, du tunnelst dabei in
> SSL/TLS und niemand kann das lesen.

Wenn wir schon auf der Ebene von BKA oder höher sind, dann kann man auch
SSL/TLS nicht automatisch trauen!
Es reicht ja, wenn man ein Zertifikat *irgendeiner* CA hat, die in der
trusted.db des Browsers steht. Ein Debian-Benutzer traut z.B. cacert.org
soweit ich weiss.

Also muss das BKA (oder wer auch immer) einfach nur ein cacert.org
Zertifikat für den Zielserver kriegen (z.B., weil mindestens drei BKA
Leute assurer sind, ist vermutlich bereits der Fall). Dann kann ein MITM
Server die Daten problemlos umschlüsseln und der Browser zeigt das
leuchtende Schloss an. 

Die Daten sind ja verschlüsselt. 

Nur der Angreifer kann sie lesen.

oki,

Steffen




Mehr Informationen über die Mailingliste linux-l