26.03.10 11:17 Uhr
 4.246
 

IT-Sicherheit: US-Behörden können vermutlich SSL-Datenströme mitlesen

Aktuelle Forschungsergebnisse der IT-Sicherheitsspezialisten Christopher Soghoian und Sid Stamm untermauern die Befürchtungen, dass die SSL-Zertifizierungsstellen sehr nah mit den US-Behörden zusammenarbeiten und Kopien der SSL-Zertifikate an die Regierungsstellen weitergeben.

So lassen sich seitens der Behörden mit Hilfe spezieller Programme sogenannte "Man-in-the-Middle"-Attacken durchführen, bei denen der Datenstrom zum Server entschlüsselt mitgelesen werden kann.

Die Forschungsergebnisse sind teilweise online verfügbar und können von jedem eingelesen werden. In näherer Zeit will eine Bürgerrechtsorganisation eine Problemlösung erarbeiten und anschließend veröffentlichen.


WebReporter: ROBKAYE
Rubrik:   High Tech
Schlagworte: Sicherheit, Behörde, IT, Verschlüsselung, SSL, Zertifizierung
Quelle: www.gulli.com

Jetzt Deinen
Kommentar abgeben!

DAS KÖNNTE DICH AUCH INTERESSIEREN

Verdächtige Konten: Twitter sperrt Tausende Accounts
Smart TVs von Samsung und TCL sind leicht zu hacken
Landgericht Berlin: Facebook verstößt gegen Datenschutz

Diese News zu meinen Favoriten hinzufügen Beitrag abgeben

17 User-Kommentare Alle Kommentare öffnen

Kommentar ansehen
26.03.2010 11:17 Uhr von ROBKAYE
 
+16 | -1
 
ANZEIGEN
Mh, wieso überrascht mich diese News nicht? ... es sollte ja mittlerweile dem blauäugigsten Leser klar sein, dass der Begriff "Privatsphäre" bei den US-Behörden schon seit langem nicht mehr im Wörterbuch vorkommt. Ich bin mal auf die Lösungsvorschläge der Forschungsgruppe gespannt...

Ich empfehle die Quelle, denn dort findet man auch die Forschungsergebnisse in einem Link.
Kommentar ansehen
26.03.2010 11:21 Uhr von usambara
 
+17 | -0
 
ANZEIGEN
da SSL in HTTPS eingesetzt wird, dürfte auch jedes Online-Konto offen liegen und e-mails sowieso (Pop3).

[ nachträglich editiert von usambara ]
Kommentar ansehen
26.03.2010 11:57 Uhr von Allmightyrandom
 
+9 | -0
 
ANZEIGEN
Überrascht mich nicht wirklich.

Wer heutzutage noch einigermaßen sicher Mails schreiben möchte sollte mit einer verschlüsselten Datei im Anhang arbeiten und den Schlüssel am besten in drei Teilen zum empfänger schicken: Per Telefon durchsagen, SMS und Brief...

Da könnte man im Regelfall aber auch gleich zum Nachbarn gehen und ihm die gebrannte CD in die Hand drücken ;).
Kommentar ansehen
26.03.2010 12:11 Uhr von iamrefused
 
+1 | -2
 
ANZEIGEN
@allmightyrandom: ich mach das wieder so, zu hause hab ich mein internet abgemeldet.
Kommentar ansehen
26.03.2010 12:56 Uhr von majorpain
 
+1 | -0
 
ANZEIGEN
kann sein habe mal gelesen das die Amerikanische Banken etc. nur bis einer Verschlüsselung bis 128 Bit arbeiten darf aber ich glaub die war sogar niedriger bei 40 Bit oder 58 bit weis nimmer genau
Kommentar ansehen
26.03.2010 13:11 Uhr von xGwydionx
 
+5 | -0
 
ANZEIGEN
Und Siemens schläft weiter Man hat z.B. ja nur an Japan und auch TGV Frankreich und China Millardenschwere Aufträge verloren auf Grund von Industrie Spionage der "befreundeten" Staaten. USA benutz eh seit dem 2 Weltkrieg Tausende Deutscher Patente. Von China gar nicht reden. Aber Siemens benutzt nach wie vor nur schwache oder gar keine Verschlüsselungen.Beweis: Man braucht nur auf die Homepage von Siemens gehen.Z.B. für Bewerbungen:
http://www.siemens.de/...
Die Bewerbung ist SSL verschlüsselt,aber nur Schwach und Zertifiziert von Akamai mit 256bit.Was heute schon mit ner Workstation mit 4 x Quadro CPU und64GB RAM geknackt werden kann. US Rechenzentren verarbeiten da ganz andere,größere Datenmengen. Z.B. werden Kreditkartenzahlungen komplett überwacht:Geldwäsche und Terrorgefahr....
Kommentar ansehen
26.03.2010 13:53 Uhr von datenfehler
 
+1 | -2
 
ANZEIGEN
@Autor: VERMUTLICH?!

Es ist ein "Geheimnis", das jeder kennt, dass jeder "Hersteller" von Verschlüsselungstechniken, die entsprechenden Entschlüsselungstechniken bei NSA und CIA abgeben muss.
Das ist schon seit jahrzehnten so. Weder News und auch kein Grund, um paranoid zu werden. Die NSA hat schon genug zu tun, den ganzen Datenverkehr, der bestimmte Schlüsselsätze beinhaltet, zu überprüfen - für euere Liebesbriefe und Pornobestellungen haben die sowieso keine Zeit...

"Ich bin mal auf die Lösungsvorschläge der Forschungsgruppe gespannt..."
Es gibt keine Lösungen. Wer eine Verschlüsselungstechnik entwickelt und sie dem NSA nicht zur Einsicht gibt, darf sie nicht auf den Markt bringen. PGP z.B. ist hier eine problematische Ausnahme und vielen ein Dorn im Auge...

Es sollte sogar dir blauäuigen Menschen klar sein, dass die Geheimdienste nicht darauf verzichten werden, bei Möglichkeit alles lesen zu können und es sollte dir blauäuigen Menschen auch klar sein, dass sie deine Post nicht überwachen, weil du nur ein unwichtiges, kleines Licht bist... Also ihr Paranoiker. Nehmt euch nicht so wichtig. Euch Nobodys überwacht keiner und für euch interessiert sich auch keiner - außer ihr habt ernsthaft mal vor ne Bombe zu basteln.
Kommentar ansehen
26.03.2010 14:37 Uhr von Criseas
 
+0 | -0
 
ANZEIGEN
@xGwydionx: SSL ist nicht geknackt! Das ist maximal Gebruteforced worden.
Aber nicht geknackt. Diese Verschlüsselung hat keine bekannte Schwachstelle.

256bit ist für eine Asynchrone Verschlüsselung nicht viel und daher recht schnell herausrechenbar.

Das einzige Problem was es damit gibt ist das die "GROßEN" Zertifizierer meist in den USA sind oder mit USA Koopieren. Wenn ich mir mein eigenes SSL Zertifikat erstelle ist es sehr sicher. Ich komme nur nicht bei anderen anbietern drumherum. Wenn mein Googlemail konnte SSL hat muss ich hoffen das diese von einem Zertifizierer ist der nicht das oben genannte Problem hat.


@ Datenfehler, nur von Sachen die in den USA Entwickelt und Hergestellt werden... nicht wenn dies ausserhalb der USA ist

[ nachträglich editiert von Criseas ]
Kommentar ansehen
26.03.2010 14:53 Uhr von kevin_sho
 
+1 | -0
 
ANZEIGEN
schon alt: via man in the middle i jedem netzwerk machbar.
Kommentar ansehen
26.03.2010 15:17 Uhr von dogdog
 
+0 | -0
 
ANZEIGEN
JUHU ! dann werden bald selbst signierte SSL Zertifikate nicht mehr als "Unsicher" eingestuft.

So kann man Geld sparen...
Kommentar ansehen
26.03.2010 15:40 Uhr von xGwydionx
 
+1 | -0
 
ANZEIGEN
@Datenfehler: Du springst zu Kurz:
Unsere Firmen haben sehr wohl Probleme:Industriespionage ist schon im Angebotswesen(siehe Siemens,aber auch andere) ein heftiges Problem!! Dabei sind praktisch auch Firmen auch und gerade im Mittelstand betroffen.
@Criseas: Wie kommst Du darauf? Da alle US Zertifizierungsstellen Ihre Codes hinterlegen müssen, kann man über rückrechnen betroffene SSL Codes berechnen.Was wiederum sowohl Konzerne als auch Mittelstand betrifft. Und Deutschland ist immer noch ohne Friedenvertrag, sondern es besteht Besatzungsrecht! Mit weitreichenden Vollmachten für 4 Mächte(auch USA!) in unserem Land.Wer das verhindern will,muß weitreichende Maßnahmen ergreifen.Und auf bestimmte Wörter reagieren US-Rechenzentren Weltweit allergisch! Und Denkt daran, das heutige Rechner eine Kapazität haben, die schaudern läßt. Mit Paranoid hat das schon lange nichts mehr zu tun. Wer Erfinder ist,Patentinhaber oder einfach nur hochwertige Geldanlagen hat, muß dieses alles in Rechnung stellen! Ich selber kann schon Rechner bauen, die durchaus kleinere Crashsimulationen und Wettersimulationen bewältigen.Etwas,was vor 5Jahren noch viele RZ nicht beherrschten!
Kommentar ansehen
26.03.2010 16:03 Uhr von fkn-0wned-
 
+1 | -0
 
ANZEIGEN
die können bestimmt noch viel mehr xD
Kommentar ansehen
26.03.2010 18:59 Uhr von Criseas
 
+0 | -0
 
ANZEIGEN
@xGwydionx: Mag ja alles sein.
Aber einfach mal 1024 oder 2048 Bit SSL Verschlüsselung zurückzurechnen ist nicht wirklich ein Thema....

Ich hab selber einen Webserver mit selber Zertifizierten SSL Zertifikat, dieses ist in einem Keyring verschlüsselt abgespeichert... 2048 Bit... Da kann die USA machen was sie will, im Kreishüpfen und sonstiges.. den bekommt sie nicht.. Solche Zertifikatsstrukturen gehen ehe in Richtung Trust of Web und weg von der Zentralisierung.

Inwiefern "Baust" du diese selber?
Kommentar ansehen
26.03.2010 19:39 Uhr von Markus_1989
 
+0 | -0
 
ANZEIGEN
muss man eben die mac in der arp-tabelle fest eintragen..

Aber das ist schon eine rießen sauerei!
Kommentar ansehen
26.03.2010 19:48 Uhr von Criseas
 
+0 | -1
 
ANZEIGEN
@Markus_1989: Mach das mal in einer großen Firma, oder bei einem Notebook was häufig in verschiedenen Netzen ist etc...
Witzbold... ausserdem kann man nicht nur im lokalen Netz MITM durchführen...
Kommentar ansehen
26.03.2010 21:06 Uhr von BuNnibuB
 
+0 | -0
 
ANZEIGEN
als ob nur die Amis mitlesen würden das tut der BND schon längst.
Kommentar ansehen
27.03.2010 00:29 Uhr von Graf_Kox
 
+0 | -0
 
ANZEIGEN
Also das Hersteller kommerzieller Verschlüsselungsprogramme "Hintertürchen" z.B.: in Form von Rescue-Keys (also sozusagen Generalschlüsseln) für Geheimdienste bereithalten müssen habe ich auch des Öfteren schon gehört. Von daher überrascht mich auch diese News nicht. Trotzdem interessant das bestätigt zu bekommen.

Refresh |<-- <-   1-17/17   -> -->|
Diese News zu meinen Favoriten hinzufügen Beitrag abgeben


Copyright ©1999-2018 ShortNews GmbH & Co. KG

Die News auf dieser Website werden eigenverantwortlich von Nutzern erstellt. Die Shortnews GmbH & Co. KG nimmt keinen redaktionellen Einfluss auf die Inhalte.

impressum | agb | archiv | usenet | zur mobilen Ansicht
SCHLIESSEN

Willst Du die Seite wirklich verlassen?


DAS KÖNNTE DICH AUCH INTERESSIEREN

Berlin: 680 Schwulenehen Ende 2017
Flüchtiger Mörder in Bayern gefasst
Indien: Auto rast in Schülergruppe - Mindestens neun Tote


...oder unseren und keine aktuellen News mehr verpassen?