[linux-l] sichere dns
Steffen Dettmer
steffen at dett.de
Mo Nov 19 00:26:05 CET 2007
* Volker Grabsch wrote on Sat, Nov 17, 2007 at 15:57 +0100:
> On Sat, Nov 17, 2007 at 12:38:14AM +0100, Steffen Dettmer wrote:
> > * Volker Grabsch wrote on Fri, Nov 16, 2007 at 22:14 +0100:
> > > Eben, also musst du nicht nur dem Zielsystem gegenüber, sondern
> > > auch CaCert gegenüber falsche DNS-Einträge vorgaukeln. Ist nicht
> > > ganz so einfach.
> >
> > Dir ist aber schon bekannt, dass bereits gerichtlich DNS
> > Manipulation angeordnet wurden (zur "Sperrung" von Seiten)?
>
> Ja, und? In dem Fall kann man auch gleich die Ausstellung eines
> solchen Zitats gerichtlich anordnen, ohne diesen Umweg.
Siehst Du, ist also sogar noch einfacher, wenn man auf Ebene BKA (NSA,
wer auch immer) diskutiert :)
> > Ausserdem muss man hier ja gar kein DNS Spoofing machen, wenn man drei
> > Leute eingeschleust hat, die Assurer sind.
>
> Was macht das für einen Unterschied? Kann man in CaCert etwa ohne
> Nachweis über die entsprechenden Test-Mails an ein Zertifikat heran
> kommen? Wäre mir neu.
Natürlich kann man auch ohne Test-Mails an Zertifikate kommen.
Irgendjemand stellt den Kram ja aus. Irgendjemand wird auch
E-Mail-Adressen einstellen können und andere administrative Aufgaben
machen. Aber cacert.org ist eh ein schlechtes Beispiel, da gibts ja
keine Policy/Vertrag, da geht sowieso alles, auch wenn man vermutlich
meistens einem Wiki-Leitfaden folgt - dafür legt ja keiner seine Hand
ins Feuer.
> Aber falls dem so sein sollte, dass man in CaCert die automatische
> Domain-Überprüfung umgehen kann, klär mich bitte auf.
Beispielsweise wenn Du den kontrollierst, der die automatische Prüfung
programmiert. Oder die Tochter von dem entführst, der die Backups vom
private Key macht.
Das einfachste wird aber vermutlich via Assuerer sein. Es muss ja eine
Möglichkeit geben, Zertifkate händisch zu prüfen, beispielsweise, wenn
es ein X.509 Zertifikat für keinen Webserver ist oder so. Ich glaube,
ich würde an einer solchen Stelle ansetzen, ist vermutlich das
billigste, weil das sicherlich sehr viele Leute können.
> > > > Jemand meinte mal, dass CAs sich sowas zweimal ueberlegen
> > > > wuerden, weil das ja dem Geschaeft bedeutend Schaden kann.
> > >
> > > Mag sein, aber welche Wahl hat man, wenn die Staatsgewalt das
> > > einem auferlegt?
> >
> > Es gibt für eine grosse CA viele Möglichkeiten. Kostet natürlich
> > Anwälte, aber die kann sich ne grosse CA leisten, insbesondere wenn
> > es um die Existenz geht.
>
> Und die großen ISPs können sich das nicht leisten? Wieso wehren die
> sich nicht gegen gerichtlich verordnete DNS-Manipulation?
Machen sie ja und viele gerichtliche Sperren wurden wieder aufgehoben.
Aber bei dem Thema ist ja IMHO auch eher das Problem, dass die Gesetze
schon doof sind (z.B. das BDSG oder gar das GG verletzen), da ist so
gesehen selbst 100% gesetzestreue nicht unbedingt akzeptabel, finde
ich... na ja, anderes Thema :)
oki,
Steffen
--
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.
Mehr Informationen über die Mailingliste linux-l