[linux-l] Wie man CAcert.org Zertifikate deinstalliert

[Steffen Dettmer]

Mist, jetzt hab ich mich doch zu so einer langen Mail hinreißen
lassen, obwohl's keinen interessiert, in einer Zeit, wo selbst
Ämter Anrufer anweisen, Browser so zu konfigurieren, dass ein
unsinniges Zertifikat permanent akzeptiert wird...

* Frank Reker wrote on Tue, Jul 07, 2009 at 12:02 +0200:
> >Wenn etwas behauptet, SICHER zu sein, muß ich es einklagen
> >können. Es muß einen harten Vertrag geben und Garantien. Wenn das
>
> das ist gelinde gesagt "voelliger quatsch".

Wohl eher die logische Folge einer Zusammenfassung Deiner
Punkte... :-)
(wobei etliche IMHO nicht passen, wer hat was von 100% behauptet?)

Warum soll Sicherheit ein Prozess sein? Ich glaube, es ist eher
ein Qualitätskriterium. Man kann eine bestimmte Sicherheit
fordern (haben, realisieren, halten, ...). Die Höhe könnte man
angeben, in dem man die Kosten für einen erfolgreichen Angriff
abschätzt und beispielsweise fordert, dass ein System Angriffen
mit einem Budget von $500000 und Einzelkomponenten $50000
standhalten solle.

BTW, ein durch selbstsignierte Zertifikate geschützte lokale
Umgebung ist unter Umständen viel schwerer anzugreifen als eine
mit `günstig gekauften'. Aber OT.

Essentiell ist meiner Meinung nach, die Prüfbarkeit. Es muß
(transaktionsicher) nachvollziehbar sein. Man muß genau wissen
können, wer wann was gemacht hat. Wenn jemand Mist gemacht hat,
muß man an denjenigen rankommen können, alle von ihm
ausgestellten Zertifikate zurückrufen können (nicht unbedingt in
jedem Fall müssen, aber es muß möglich sein). Auch wenn da keiner
was unterschrieben hat (man mündlich überliefert versprochen hat,
Personalausweise zu prüfen, was übrigens eine Ausbildung
erfordert, aber ja auch bei Banken nicht richtig gemacht wird).
Man nimmt ja mindestens an, dass eine Identitätsprüfung erfolgt.
Das muß man aber an irgendwas festmachen. Vielleicht könnte man
sagen, es muß irgendeine Motivation geben, beispielsweise
jemanden davon abhalten, für 20.000 Euro etwas zu zertifizieren,
was nicht OK ist (gut, gefälschter Ausweis ist viel billiger).
Mit einer handvoll gefälschter Ausweise könnte so eine `Clique'
eigene Aussuer `erzeugen', die dann zertifizieren dürfen
(können). Das geht meines Wissens nach bei keiner CA. Da kann man
noch so guter Kunde sein, man wird nie zertifizieren dürfen.
Vernünftig!
Wenn es ein `Versprechen' gibt, muß es auch Maßnahmen geben,
die man ergreift, wenn ein Versprechen gebrochen wird. Das kann
sein, dass man den `Versprecher' mit Nichtachtung straft oder
dass man ihm seinen CAcert.org Zugang sperrt oder ihn im Falle
von Vorsätzlichkeit sein Bargeld abnimmt, um den verursachten
Schachen zu tragen.
Und da wir keine Selbstjustiz haben, muß man es also einklagen
können. Dazu müssen aber bestimmte formale Sachen erfüllt sein.
Beispielsweise müßte ein Assurer überhaupt erstmal `versprechen',
sich an irgendwelche Regeln zu halten.
Sonst würde ich erwarten, dass ein (deutsches) Gericht
feststellt, dass zum einen kein Vertrag verletzt wurde, weil ja
gar keiner bestand, und demzufolge kein Schaden zu ersetzen ist.
Der `Böse' wäre unschuldig (ein Gericht hat eine Unschuld
festgestellt).

Wenn nun aber die maximale Schadenshöhe (wenn er erwischt,
verklagt und freigesprochen wird) aber null Euro beträgt (weil er
unschuldig und nicht Schadenersatzpflichtig ist), beträgt
die die Angriffshürde null Euro, da anzunehmen ist, dass ein
Unternehmer dies für eine geringe Gebühr ja machen würde (ist ja
nichts falsches, wie ein Gericht urteilen würde).

Meiner Meinung nach ist ein Problem, warum Sachen wie CAcert.org
und WOT teilweise von Fachleuten empfohlen werden, daß viele
Fachleute überhaupt nicht auf die Idee kämen, so einen Blödsinn
zu machen. Hier auf der Liste beispielsweise würde wohl kaum
jemand auf die Idee kommen, einen per Mail erhalteten PGP
Schlüssel zu zertifizieren! Im web sieht es aber ganz anders aus!
Da schickt man den Kiddies irgendwas, erwähnt vielleicht noch,
dass ja schon 33 Freunde `mit am Schlüssel sind', und schwups,
ist ne 34 Signatur da. Kid erzählt es seinen Kumpels und alle
haben 33 Signaturen. Zwei Ebenen später sieht es wie ein WOT aus,
aber es hat den Wert Null.
Und ja, es ist wirklich so einfach. Die Leute da draußen SIND SO!
Ich habe schon in Foren Anleitungen gelesen, in denen stand
`damit das dann geht, müßt ihr noch da klicken, weiter, OK, JA,
weiter und dann...' und man begreift gar nicht so schnell, dass
damit mal eben irgendwas signierte wurde. Damit ne `komische
nervige Meldung, die immer kommt', weg ist. Da wird überhaupt
nicht in Erwähnung gezogen, dass die Meldung vielleicht einen
guten Grund hat!

Tja, und es ist vollkommen legal.

Man kann sich nichtmal drüber aufregen, weil die ja nichts
falsches tun. Die folgen mehr oder weniger willkührlich
festgelegten Regeln Anderer nicht, na und?

Da man über sieben Ecken ja angeblich jeden kennt, kennt man also
gaaanz viele solcher Leute. Damit kann man wohl nur noch denen
trauen, die man selbst kennt. Vielleicht denen, von denen man
sicher weiß, wo sie wohnen. Oder denen, von denen man es
einklagen kann (dann kriegt man auch raus, wo sie wohnen).

Wenn Du mit Freunden Mails austauschen möchtest, tauscht doch die
Keys einfach aus und gut ist. Mal ganz ehrlich, da trau ich einem
Skype-System (die was zu verlieren haben) mehr, als einem 12
jährigem Chinesen (der vielleicht für $100 seine kranke Mutter
rettet, in dem er etwas völlig legales tut).

(wobei das CAcert.org selbst auch alles nicht gänzlich unbekant
 ist, beispielseise `Your liability is limited to a total
 maximum of 1000 Euros.' - wobei man den Zertifikaten und noch
 wichtiger, deren Aussurern, nichtmal ansieht, ob diese Regeln da
 überhaupt schon existierten).

  (Gut, ist also die Angriffshürde möglicherweise doch 1000 Euro.
  Damit schon immerhin unter Umständen schon teurer als ne
  Ausweisfälschung.)

Schön ist auch der Satz:

  `To meet the increased demands on quality assurance due to the
  CAcert Systems Audit' ...

... da baut man nachträglich ein `Assurer Challenge' ein.

Nachträglich. `increased demands'.

Das ist eben genau das, was nicht geht!

Das ist doch vollkommen logisch, dass man das nicht nachträglich
machen kann!

Es kann doch für bereits ausgestellte Zertifikate
logischerweise nicht gelten! Die Assurer konnten es ja nichtmal
gewußt haben, bevor diese `demands increased'! Und wenn, dann
hätte man es ja wohl gleich vernünftig gemacht, oder?

Wie kann man denn auf die Idee kommen, die Sicherheit und
Qualität da nachträglich einbauen zu wollen?

Wie kann man denn auf die Idee kommen, jemandem zu vertrauen, der
allen Ernstes nach vorhat, angebliche Sicherheit und Qualität
nachträglich einbauen zu wollen?

Das ist mir vollkommen schleierhaft.



Leider ist das Sicherheitsniveau meiner Meinung nach im
Durschnitt wohl eher schlecht. Einfach nur ein Audit zu fordern,
reicht ja auch nicht (dann könnte man ja z.B. nach ISO9001
machen, hätte ne genau definierte CA beispielsweise ganz ohne
Identitätsprüfung, hat ja die 9001 kein Problem mit).

Daher finde ich Schade, dass Mozilla am Ende vielleicht
tatsächlich das CAcert.org rootcert in die Standarddistribution
aufnimmt, denn die müßten doch auch wissen, dass man Sicherheit
nicht nachträglich einbauen kann.

Leider konnte ich mich bisher noch nicht durchringen, auf diese
ganzen schlecht angewendeten Technologien zu verzichten.
Es gibt Leute, die machen einfach kein Online-Banking und nutzen
keine ec-Karten. Leider wird das immer schwieriger und `online'
langsam zur Pflicht (siehe online-Beantragung von
Abwrackprämien).

Und falls irgendjemand wirklich soweit gelesen hat, aber immer
noch nicht glaubt, dass die Realität so aussieht und nicht dem
Ideal des unbestechbaren, gut ausgebildeten Internetteilnehmer
entspricht, sei als letztes Beispiel die offzielle Homepage des
Landkreises Ostprignitz Ruppin ans Herz gelegt, die unter der URL
https://www.o-p-r.de/kfzwkz/ ein selbstsigniertes Zertifikat
verwenden. Ein Bekannter von mir rief darauf am Amt an. Er
meinte, man wüßte dort auch nicht so genau warum, aber es konnte
ihm erklärt werden, was er klicken müsse.

Dabei konfigurierte er seinen Browser auf `amtliche Anweisung'
so, dass dieses Zertifkat für immer akzeptiert würde.
(ja, es hat keine sinnvollen Feldinhalte ausser CN, ja, es ist
 seit fast zwei Jahren abgelaufen, nein, man konnte ihm den
 Fingerprint wohl nicht am Telefon vorlesen, weil man nicht
 wußte, was das ist, und wenn, hätte man es aus dem
 Browserfenster vorgelesen!)

So sieht das da draußen also aus.

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.