Probleme und Lösungsmöglichkeiten am SSL-Systems
Da mir eine einfache Erklärung über die Problematiken des SSL-Systems
fehlte, habe ich eine verfasst.
Sollte ich etwas grundlegend falsch verstanden haben wäre ich erfreut, wenn eine E-Mail an mich geht. [-> Adresse hier]
Funktionsweise von SSL
Um die Probleme und Lösungsmöglichkeiten für die Probleme von SSL zu
verstehen ist es entscheidend zu wissen, wie in Etwa SSL überhaupt
funktioniert.
Nun folgt eine kurze Erklärung:
- Der Client baut eine Verbindung zum Server auf. Beide senden ein "Hallo".
- Jetzt sendet der Server sein Zertifikat (Seine Identität, im übertragenen Sinne in Etwa sein Personalausweis) zum Client. Dieses Zertifikat ist von einer Signing-Authority signiert.
- Der Client schaut jetzt in seiner List der vertrauenswürdigen Signing-Authorities nach, ob die die das Zertifikat des Servers signiert hat dabei ist. Er überprüft auch, ob die Daten im Zertifikat mit seiner Verbindung übereinstimmen (Passt die Domain?) und ob das Zertifikat noch nicht abgelaufen ist.
- Trifft das zu, hält der Client die Verschlüsselung für
vertrauenswürdig.
Detalliertere Informationen zur Funktionsweise von SSL sind hier zu finden.
Probleme an diesem Vorgehen
Die Signierung der Zertifikate erfolgt über ein Stammzertifikat der
Signing-Authority. Jeder Client der diesem Stammzertifikat vertraut,
vertraut auch automatisch allen Zertifikaten, die von diesem
Stammzertifikat signiert sind.
Ein Beispiel für einen Angriff auf dieses System trat bei
diginotar auf. Cracker
verschafften sich Zugriff zu den internen Systemen der Signing-Authority
und signierten viele hundert Zertifikate auf fremde Domains.
Aufgefallen ist dieser Vorfall dadurch, dass Googlemail im Iran ein falsches Zertifikat nutzte.
Da die Browser jedoch den Zertifikaten die von Diginotar signiert waren
vertraut haben, ist dies Anfangs niemandem aufgefallen.
In dieser Hinsicht sind alle Signing-Authorities angreifbar. Die Browser
schwindeln den Benutzern Sicherheit vor, indem sie allen Zertifikat
die von bestimmten Authoritys signiert sind vertrauen. Wie diesen jedoch
bei eigentlich recht strengen Vorschriften zur Aufnahme der Stamm-Zertifikate
ein Eintrag in die Liste erfolgen konnte, bleibt schleierhaft.
Ein weiteres Problem ist, dass diese Unternehmen es auf Gewinne
abgesehen haben. Nur 3 Wochen nach Bekanntwerden des Diginotar-Hacks wurde Insolvenz angemeldet.
Daraus resultierend wird jede CA, besonders kleinere, versuchen, solche
Vorfälle geheim zu halten. Jedenfalls sieht meine Vermutung so aus.
Lösungsmöglichkeiten
Mit dem derzeitigen System ist die einzig praktikable Lösung meiner
Meinung nach, den Benutzer bewusst entscheiden zu lassen, welchen Seiten
er traut.
Durch Fehlerseiten der Browser die den Anschein erwecken, man würde sich
in starker Gefahr befinden und schlechtem Aufklärungsinhalt ist jedoch
bisher kein Schritt in diese Richtung gegangen. Die Benutzer baden noch
im Komfort des alten Systems.
Ein Problem an diesem Lösungsansatz ist, dass kein normaler Benutzer
gerne SHA1-Fingerabdrücke überprüfen möchte. Jeder würde einfach auf
"Akzeptieren" klicken.
Einen Schritt in die richtige Richtung macht CACert. CACert verfolgt keine Gewinnabsichten, stattdessen bildet es ein meiner Meinung nach sehr sicheres System mit seinem Web of Trust. Die Stammzertifikate von CACert sind in keinen Browsern enthalten. Einmal ist das als Nachteil zu sehen, anders herrum ist hierdurch das Bewusstsein des Benutzers wieder gestärkt. Hoffentlich.
October 25, 2011
Some right reserved