Die TLS Wiederverhandlungsproblematik (TLS renegotiation issue)

20091110-CRW_7062.jpg

Am Donnerstag, den 5.11. erschien auf Heise Security eine Meldung zu einer Schwachstelle im SSL/TLS-Protokoll. Es war schwierig, aus der Beschreibung die Brisanz der Schwachstelle abzuleiten. Die bei Heise folgende Diskussion zeigte, dass der Eindruck entstand, dass es sich um eine Lücke handle, die nur bei exotischen Konfigurationen auftreten würde. Diese Einschätzung ist leider falsch! Heute meldet Heise: OpenSSL fixt TLS-Schwachstelle. Allerdings besteht hier der Fix nur darin, die Wiederverhandlung im TLS abzuschalten. Dabei handelt es sich jedoch zur Zeit leider um die beste zur Verfügung stehende Maßnahme. Das Security Advisory von Cisco, das gestern erschien, liest sich wie eine Produktportfolio (“Details”), da fast jedes Produkt SSL/TLS unterstützt. Hier arbeitet man an Lösungen.

Thomas Gebhardt und ich haben für unsere Administratoren und als Vorlage für Informationen für unsere Benutzer einen Artikel zusammengestellt, in dem wir den Wissensstand noch einmal in Deutscher Sprache zusammenfassen. Relevant ist dieses Wissen vor allem für Betreiber von Infrastruktur, die SSL/TLS verwendet (also z.B. HTTPS, IMAPS, LDAPS, etc.) aber leider auch für alle Benutzer von Online Banking, Online Shopping, eGovernment etc.

Daten wollen frei sein: Büchertipps bei libri.de

Es scheint sich zu bewahrheiten, dass Datensparsamkeit der einzig verlässliche Garant für die Vertraulichkeit von Daten ist. Das Erklärungen der Anbieter auch nur ein paar Bits im Datenrauschen sind, ist nun fast jedem Kunden klar. Aber auch TÜV Zertifizierung und Co. verlieren ihre Glaubwürdigkeit. Sicher sind die Daten, die ich nicht ins Netz bringe. Blöd nur, dass wir den Bücherladen um die Ecke bereits ruiniert haben, indem wir unsere Bücherlisten (unfreiwillig) ins Netz gestellt haben. [From Exklusiv: Die Bücher der Anderen : netzpolitik.org]

Rant gegen das BKA-Gesetz, Online-Durchsuchung und die Berater des Innenministeriums, die noch nicht in diesem Jahrtausend angekommen sind

Kai Biermann schreibt in der Onlineausgabe der Zeit einen sehr ordentlichen Kommentar zum BKA-Gesetz. Unbedingt lesenswert aber ein Garant für die Verbreitung schlechter Laune. Da mir aber auf Grund der Faktenlage auch nicht nach guter Laune ist, fühle ich mich genötigt, mit in “das ganze Gerede vom Überwachungsstaat” mit einzustimmen.

Ich habe auf Grund meiner Ausbildung und Tätigkeit eine eher technische Sicht auf die Dinge, die ich im folgenden möglichst allgemeinverständlich darlegen werde. Ich kann plausibel darlegen, dass die Onlinedurchsuchung zwar dem unbescholtenen Bürger, nicht aber einem echten Terroristen schaden kann. Denn wirkungsvolle Maßnahmen gegen die Onlinedurchsuchung sind zwar für den Hausgebrauch lästig und für die meisten nicht durchführbar, sind aber mit minimalem Aufwand für Terroristen und Schwerverbrecher zu leisten.

Rant gegen das BKA-Gesetz, Online-Durchsuchung und die Berater des Innenministeriums, die noch nicht in diesem Jahrtausend angekommen sind weiterlesen