[linux-l] sichere dns

[Volker Grabsch]

On Fri, Nov 16, 2007 at 04:19:04PM +0100, Steffen Schulz wrote:
> On 071116 at 15:59, Volker Grabsch wrote:
> > On Thu, Nov 15, 2007 at 07:45:35PM +0100, Steffen Dettmer wrote:
> > > 
> > > Also muss das BKA (oder wer auch immer) einfach nur ein cacert.org
> > > Zertifikat für den Zielserver kriegen (z.B., weil mindestens drei BKA
> > > Leute assurer sind, ist vermutlich bereits der Fall).
> > 
> > ... und dem CaCert gegenüber vorgaukeln, man hätte die Domain des
> > Zielservers unter Kontrolle. Klingt nicht so leicht. CaCert hat da
> > nette Schutzmechanismen, wie man sie auch von den kommerziellen CAs
> > kennt.
> 
> Huh?
> 
> Als ich das letzte mal nen CaCert-Zertifikat fuer meinen Server
> erstellt hab, musste ich nur eine eMail empfangen koennen, die
> wahlweise an root at domain oder postmaster at domain oder so geschickt wird.

Oder ssladmin at domain, das ist auch nett.

Eben, also musst du nicht nur dem Zielsystem gegenüber, sondern auch
CaCert gegenüber falsche DNS-Einträge vorgaukeln. Ist nicht ganz so
einfach.

Will sagen, das hat konkret mit CaCert nichts zu tun, dein Szenario
wäre auch bei anderen CAs möglich. Mit diesem 

> > Nee, in deinem Fall würde das BKA eher zu einem kommerziellen CA
> > gehen, oder zu *Betreiber* von CaCert, und dort direkt ein signiertes
> > Zertifikat erzwingen.
> 
> Jemand meinte mal, dass CAs sich sowas zweimal ueberlegen wuerden, weil
> das ja dem Geschaeft bedeutend Schaden kann.

Mag sein, aber welche Wahl hat man, wenn die Staatsgewalt das einem
auferlegt? Und man zur Geheimhaltung verpflichtet ist? Ist ja nicht
das erste Mal, dass sowas passiert. Auf dem vorletzten Chaos-
Communication-Congress war z.B. ein sehr interessanter Vortrag darüber.


Gruß,

    Volker

-- 
Volker Grabsch
---<<(())>>---
Administrator
NotJustHosting GbR