Der Video-Stream l\u00e4uft nat\u00fcrlich nicht stabil. Peinlich, peinlich, der Pfusch beim CCC.<\/p>\n
Ui, Dan ist immer noch bei IOActive. Bisher war er jedes Jahr bei einer anderen Firma. Es geht mit Authentisierung los. Authentisierung mit Passw\u00f6rtern im Internet ist Mist.\u00c2\u00a0 Aber das ist nichts neues. Die Federation-Ans\u00e4tze sind jedenfalls alle gescheitert. Zertifikate sind hilfreich und die Unternehmen haben viel investiert. Trotzdem funktioniert irgendwas nicht richtig. Dan meint, das ist X.509. Nebenbei schmei\u00dft er zusammenhanglos ein paar andere Begriffe wie DNSSEC in die Runde.<\/p>\n
X.509 wird praktisch f\u00fcr alles (SSL, IPSec, PKI, …) au\u00dfer SSH verwendet. SSL ist vermutlich eh das beste was in Consumer-Crypto je passiert ist. Jetzt kommt die Analogie zu Reisep\u00e4ssen. Deutschland akzeptiert einen Ausweis der USA f\u00fcr Dan Kaminsky. Eine Webseite erh\u00e4lt den Ausweis von z.B. Verisign. Da hat er bei Dick Hardt geklaut. Der kann das jedoch besser pr\u00e4sentieren.<\/p>\n
Es gibt heute ganz viele Zertifizierungsstellen und die pr\u00fcfen den Eigent\u00fcmer von Webseiten. Aber das n\u00fctzt nicht viel, weil ein Browser sehr vielen\u00c2\u00a0 Zertifizierungsstellen vertraut und nicht alle den gleichen Sicherheitslevel\u00c2\u00a0 einhalten. Die b\u00f6sen Jungs holen sich halt ihr Zertifikat von Joe’s Certificate-Shack. Die Gesamtsicherheit des Systems ist deshalb nur so gut wie die Sicherheit des schw\u00e4chsten Glieds und das ist irgendeine obskure Zertifizierungsstelle.<\/p>\n
DNS ist besser, weil es nur eine Root gibt (ok, 13 Root-Server). Den Inhalt kontrolliert die US-Regierung aber Dan ist Amerikaner, der findet das ok. DNS ist auch gut, Ausschl\u00fcsse zu definieren. So gibt es f\u00fcr jede Toplevel-Domain nur eine Domain-Registry und nicht mehrere. Das hat Vorteile aber auch Nachteile. Und nun tr\u00e4umt Dan von einer zentralen Stelle, die f\u00fcr praktisch alle Ger\u00e4te im Internet Zertifikate ausstellt um sich zuverl\u00e4ssig identifizieren zu k\u00f6nnen.<\/p>\n
Viele Zertifikate nutzen immer noch MD5. Inzwischen kann man jedoch recht gut gef\u00e4lschte Zertifikate mit Hilfe von MD5-Kollisionen ausstellen. Findet man nun eine CA (am besten eine, die zu Verisign geh\u00f6rt) die im CA-Zertifikat MD5 verwendet, hat man einen guten Angriffspunkt. Der Angriff wurde 2008 umgesetzt. Ganz alte CAs verwenden sogar noch MD2.<\/p>\n
Ich hab ja langsam den Eindruck, Dan gehen die Themen aus. Darum kramt er immer wieder die alten DNS- und MD5-Themen raus und recycled die. Aber gut, ich bin sicher die amerikanischen Black Hat Kunden lieben das. Das Bashing von ASN.1 BER
\nist auch ganz witzig aber ASN.1 funktioniert nunmal und man darf nicht vergessen,
\ndas wurde entwickelt, damit es auf beliebigen Plattformen mit beliebigen
\nZeichens\u00e4tzen funktioniert. Der \\0-Bug in Zertifikaten ist meiner Meinung nach auch eher ein Fehler der C-Programmierer. Aber da kann man nat\u00fcrlich unterschiedlicher Meinung sein.<\/p>\n
Egal. Bei Dan z\u00e4hlt die Show und die ist Klasse.<\/p>\n","protected":false},"excerpt":{"rendered":"
Der Video-Stream l\u00e4uft nat\u00fcrlich nicht stabil. Peinlich, peinlich, der Pfusch beim CCC. Ui, Dan ist immer noch bei IOActive. Bisher war er jedes Jahr bei einer anderen Firma. Es geht mit Authentisierung los. Authentisierung mit Passw\u00f6rtern im Internet ist Mist.\u00c2\u00a0 Aber das ist nichts neues. Die Federation-Ans\u00e4tze sind jedenfalls alle gescheitert. Zertifikate sind hilfreich und […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[13,8],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/1048"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=1048"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/1048\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=1048"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=1048"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=1048"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}