{"id":790,"date":"2008-12-27T22:29:48","date_gmt":"2008-12-27T21:29:48","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/790-princeton-genies-manchmal-nicht-so-genial"},"modified":"2018-05-22T20:31:48","modified_gmt":"2018-05-22T19:31:48","slug":"princeton-genies-manchmal-nicht-so-genial","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/790-princeton-genies-manchmal-nicht-so-genial","title":{"rendered":"Princeton Genies manchmal nicht so genial"},"content":{"rendered":"<p>Nachtrag zum <a href=\"\/blog\/789-25c3-cold-boot-attacks-on-hard-drive-encryption\">Cold Boot Attack-Vortrag<\/a> von Jacob Appelbaum. Die Genies von Princeton (dort liegt die Software zum Download) sind leider manchmal nicht so genial. Der folgende Screenshot ist von einem <a href=\"http:\/\/citp.princeton.edu\/memory\/code\/\">Server des Center for Information Technology Policy<\/a> der Princeton Universit\u00e4t. Wo liegt der Hund begraben?<\/p>\n<p><img src=\"\/blog\/wp-content\/uploads\/2008\/12\/princeton.gif\" alt=\"Dumme Princeton Signaturen\" \/><\/p>\n<p>Genau: Der Code, die Signaturen und der Public Key liegen im gleichen Verzeichnis auf dem gleichen Server. Wenn ein Angreifer also den Server kompromittiert und die Software manipuliert, kann er trivial mit <em>seinem eigenen<\/em> privaten Schl\u00fcssel neue Signaturen erzeugen und <em>seinen<\/em> Public Key auf dem Server ablegen. Eine standardm\u00e4\u00dfige Kontrolle w\u00fcrde eine Kompromittierung daher nicht erkennen.\u00c2\u00a0 Da k\u00f6nnte man auch billige MD5-Hashes verwenden, die sind genauso toll und leichter zu bedienen.<\/p>\n<p>Wenn man schon Archive signiert, dann muss der Public Key entweder mittels Zertifikat auf einen bekannten Root-CA Key zur\u00fcckgef\u00fchrt werden oder <em>auf einem anderen Server<\/em> liegen. Ansonsten kann man sich den Unsinn mit den Signaturen gleich sparen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Nachtrag zum Cold Boot Attack-Vortrag von Jacob Appelbaum. Die Genies von Princeton (dort liegt die Software zum Download) sind leider manchmal nicht so genial. Der folgende Screenshot ist von einem Server des Center for Information Technology Policy der Princeton Universit\u00e4t. Wo liegt der Hund begraben? Genau: Der Code, die Signaturen und der Public Key liegen [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[10,4],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/790"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=790"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/790\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=790"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=790"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=790"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}