06 Februar 2016

Snowden, Lets Encrypt und die Digitale Sicherheit durch Virenscanner in einer Firewall ...

Bedingt durch die hemmungslose Aufzeichnung von Nutzerdaten durch die Geheim Dienste hat sich nach der Offenlegung dieser - zum großen Teil rechtswidrigen Aktionen staatlicher Stelle - ein Umbruch in der digitalen Welt entwickelt.

In der Anfangszeit des https war es recht Aufwendig war ein Digitales Zertifikat für die Verschlüsselung zu erhalten. Dieses musste unter Vorlage von Geschäftsunterlagen bei einem sogenannten CA beantragt werden. Damit war https de facto auf kommerzielle und gut dokumentierte Nutzung eingeschränkt.

Etliche Administratoren haben das Problem der Schadsoftware in einer oder mehreren guten zentralen Firewalls zentralisiert. Das hatte mehrere Vorteile: Zum einem war es möglich sich viel Arbeitszeit für die Administration der einzelnen Installationen zu Sparen. Zum anderen aber auch Installationen mit Betriebssystemen zu schützen, deren Support abgelaufen ist. Das Problem: in Installationen in denen ein Computer nur ein Teil zur Bedienung ist, sind die Lebenszyklen der Produkte zum Teil erheblich länger als die Lebensdauer von Betriebssystemen, auch dann wenn es sich um Long Term Support Versionen handelt.

Man denke an die Bedienung einer Immobilie, einen Messstand zur Qualitätssicherung, eine Sonstige Maschine ... und besonders Heikel: Geldautomaten. Die Folge ist, das zumindest Industriebetriebe, aber auch Haushalte wenn sie PC Basierte Immobilienmanagement verwenden, sehr oft auch mit nicht mehr supporteten Betriebssystemen hantieren. Das zu ändern würde die Betriebskosten für viele Dinge erheblich nach oben Treiben, weil man in Regelmäßigen Abständen für all jene Installationen neue IT Anpassen müsste.

Mit einem reinem Software update ist es dabei meist nicht getan, weil ja die Software jedes mal immer sehr viel Ressourcenfressender ist als die jeweilige Vorgängerversion. Also müssen neue Rechner her ... die eventuell Mechanisch in neue Formate eingepasst werden müssen ... sonstige Zertifikate für besondere Eigenschaften her müssen (Patientenschutz, Explosionsschutz im Bergbau, ... ) wo dann die zu handhabende Peripherie sich nicht mehr direkt anschließen lässt. Wer heute einen Rechner mit einer guten alten Seriellen oder Parallelen Schnittstelle erwerben will, der muss schon erheblich suchen ... besonders dann wenn weitere Erfordernisse hinzukommen.

Solange Verschlüsseln nicht Anonym möglich war, war das Loch für die https: Verbindungen welches Firewalls standardmäßig für Bank und Shop Applikationen vorsehen kein wirkliches Problem. Das hat sich fundamental geändert. Um im Interesse der Privatsphäre möglichst vielen Webseitenbetreibern eine hochklassige, kostenneutrale und einfache Möglichkeit der Einbindung von https: in ihr Webangebot zu ermöglichen gibt es einen neuen CA, der Automatisiert für das Akquirieren von gültigen Zertifikaten sorgt. Dieser CA von Lets Encrypt bestätigt - weil das der Grund für die Kostentreibende Arbeit eines Notars ist - nicht mehr eine bestimmte Person oder eine bestimmte Firma als Betreiber des Servers, sondern nur nach das es sich um den Server selber handelt.

Damit kann aber jeder der einen Server an den Start bringen kann, mit drei klicks seine Malware verschlüsselt an Gatekeepern vorbeischmuggeln. Blockiert eine Firewall Zertifikate von Lets Encrypt, so werden viele Webseiten unzugänglich, weil Lets Encrypt standardmäßig http auf https verweist, sonst würde es ja nichts bringen für die Privatsphäre. Will die Firewall in die https Verbindungen hineinsehen, so wird ein weiteres CA Zertifikat der Firewall in den Browsern gebraucht, um diesen kryptografisch klar zu machen, das diese Interception im Auftrag des Betreibers passiert. Kommt dieses Zertifikat aber in die Falschen Hände weil es nicht so gut gesichert ist wie die regulären Zertifikate, dann können auch die Anderen Verbindungen mit einer Man in the Middle Attacke angegriffen werden.

Ein weiteres Problem das Lets Encrypt verursacht: Mit ist nicht klar, wie die Verhindern wollen das sich ein fieser omnipotenter Geheimdienst der so viele Ressourcen hat das er das BGP Routing temporär verbiegen kann und damit erreicht, das alle relevanten Anfragen zu einer Adresse auf einem seiner Rechner landen, nicht ein gefälschtes Zertifikat zu jeder beliebigen Domain besorgen kann. Ein hinterlegen des gewählten https Zertifizierers im mit DNSsec gesicherten DNS wird also auch Pflicht um die Sicherheit einer klassischen https: Verbindung aufrecht zu erhalten.

Eine Möglichkeit das Problem anzugehen ist die eine Mehrzonenfirewall, in der ich unterschiedlichen Rechnern unterschiedliche Zonen zuweisen kann. Damit kann ich auch die Interaktion zwischen diesen Rechnern kontrollieren. Mit der Hilfe von VLan kann man das auch vergleichsweisse Kostenneutral sehr Feingliedrig machen, wenn man ein Netz hat, das damit leben kann, das alles erst mal in die Zentrale transportiert wird. Das ist aber wegen der Patchfelder erstaunlich oft der Fall.

Man hätte sich gewünscht, das es neben dem offenen http: und dem auf das Geschäftswesen zugeschnittene https: einfach weitere Abstufungen der Sicherheit durch Protokoll geben würde. Also zum Beispiel httpp: als private https: mit CA's wie lets encrypt, die nur den Korrekten Verbindungsaufbau zu einer Installation sicherstellen, nicht aber wer diese Betreibt. Oder da eine Verschlüsselung von öffentlich zugänglichen statischen Inhalten wegen der Erhaltung der Länge bei der Verschlüsselung wenig bis nichts bringt, auch ein httpi welches wie https die Integrität sicher aber nicht verschlüsselt, und damit lokales caching auch weiterhin ermöglicht. Das Caching im Gateway ist ein Weiterer Kollateralschaden, der unnötigerweise zu mehr Internetverkehr führt. Damit wäre dann klar, wie "Lets Encrypt" gesicherte Seiten aufgerufen werden könnten: Per httpi: zum Gatekeeper, dort wird Zwischengespeichert und auf Viren untersucht, und dann per httpp: zum Anbieter des Inhalts - während reguläres https wie bisher immer eine ende zu ende Verschlüsselung bleiben sollte. Die Trennung der Verkehre würde es erlauben, jedem Verkehr die Optimale Konfiguration angedeihen zu lassen und mit den Ressourcen des Internets sorgsamer umzugehen.







Keine Kommentare:

Kommentar veröffentlichen