13 Mai 2014

Von den großen Sozialen Medien bot nur Google eine gute Verschlüsselung.

Da sich unsere Bundesregierung als "Cohones freie Zone" profiliert hat, und bei Obama eben nicht mal nachrücklich auf den Tisch haut wegen der Aktivitäten der neuen Stasi Amerikas, besser bekannt unter der Abkürtzung NSA, habe ich in meinen Browser die Einstellung getroffen, nur noch https Verbindungen mit 256 Bit und Perfect Forward Security zuzulassen. Das ist der zur Zeit höchste Sicherheitsgrad der im SSL vorgesehen ist.

256 Bit bedeutet, das es 2 hoch 256 Möglichkeiten gibt, den zu Übertragenden Inhalt zu verschlüsseln. Das ist eine Zahl die mit 134 Beginnt und 154 Stellen hat. Da die Zahl der Atome im Weltall dagegen eine Zahl mit weniger als 100 Stellen sein soll, kling das nach massiven Overkill. Aber da man bei der NSA und ihren schmutzigen Tricks nie so ganz sicher sein kann, kann das nicht schaden. Sind ja nur 32 Byte die man zum Speichern der temporären Schlüssel braucht.

Als Beispiel für so einen Schmutzziegen Trick kann die Versuchte Manipulation des Zufallszahlengenerators bereits im Standard gelten. Von der Utopischen Menge an Schlüsseln wäre es damit möglich gewesen, den allergrößten Teil auszuschließen so das die den Rest doch wieder mit einem Brut Force Angriff stemmen können. Deshalb 256 und nicht nur 128 Bit.

Noch wichtiger ist die "Perfect Forward Security". Das bedeutet, das der Angreifer keine Chance hat, mit reinem Abhören und dem Privaten Schlüssel des Servers an die Inhalte zu kommen. Das bedeutet, das es sich auch nicht lohnt, die Daten aufzuzeichnen, denn selbst wenn man den Schlüssel eines Servers legal oder illegal erlangt, man kann die Daten nicht entschlüsseln. Nur wenn man den Schlüssel zum Zeitpunkt der Kommunikation in Händen hält, ist eine Abhören möglich. Dazu muss sich dann ein Rechner als das Ziel ausgeben, die Daten entgegennehmen, sie Speichern und an das eigentliche Ziel weiterreichen. Es ist einsichtig, das diese Art des Abhörens sehr viel mehr Gefahr läuft, erkannt zu werden. Zum Beispiel an Details wie den Antwortzeiten des Heartbeat ping oder Implementierungsdetails wie dem SSL Konfig.

Interessant ist, welche Dienste wie auf die Verschärfung der Anforderung reagieren. Die Diehnste von Google funktionieren ohne jede Einschränkungen. Auch die Bank meines Vertrauens funktioniert ohne Beanstandung. Aber schon EBAY und Paypal sind nicht mehr zu erreichen.


Fieser ist aber das Verhalten von Twitter und Facebook. Diese Seiten sind zu erreichen, transferieren aber einen Massiven Teil ihrer Daten über andere Server im Hintergrund, welch nur schwächer gesichert sind. Bei beiden habe ich einen Support Call gestellt in dem ich das Problem beschrieben habe. Twitter hat binnen einer Stunde darauf reagiert, jetzt kann ich Twitter wieder aufrufen. Das nenne ich mal eine Schnelle Reaktion.

Facebook täuscht damit seine Nutzer

Besonderes Problematisch an den tief versteckten schwach Verschlüsselten Servern ist, das die Addons, welche die Qualität einer Verschlüsselung analysieren und anzeigen, sich immer auf die direkt Aufgerufene Seite beziehen, die oben in der Navigationsleiste steht. Das für NSA & Co Interessante befindet sich aber auf den im Hintergrund werkelnden Servern, wie dieser Screenshot eindrucksvoll zeigt.


Hier zum Vergleich, das gleiche ohne die hohen Ansprüche an die Verschlüsselung ...


Wer die Verschlüsselung ebenfalls hoch schrauben will, ich habe dazu die Calomel Browser Extension verwendet. Es kann aber auch die Konfiguration der SSL lib direkt verändert werden, was naturgemäß sicherer aber unkomfortabler ist.

Keine Kommentare:

Kommentar veröffentlichen