taz.de/1/!5112885 - Gopher HTTP proxy

  URI:

       # taz.de -- Verschlüsselung im Netz: Wenn der digitale Notar schlampt
       
       > Abermals wurde die Internetverschlüsselung SSL geknackt, wieder waren
       > iranische Internetnutzer Ziel der Angriffe. Die Angriffe blieben über
       > Wochen unentdeckt.
       
   IMG Bild: Sicher ist nicht immer sicher: Schloss.
       
       "Am 19. Juli hat DigiNotar einen Angriff auf seine Zertifikatsinfrastruktur
       entdeckt", teilte das niederländischen Unternehmen in dieser Woche mit. Die
       unbekannten Angreifer waren in die Server des Sicherheitsdienstleisters
       eingedrungen und hatten dort so genannte SSL-Zertifikate erstellt, mit
       denen sie sich unter anderem als Google ausgeben konnten.
       
       Doch obwohl DigiNotar den Einbruch entdeckte und in aller Stille versuchte
       die betrügerischen Zertifikate zu widerrufen, blieben einige unentdeckt.
       Darunter auch ein Zertifikat, das iranische Nutzer des Dienstes Google Mail
       absichern sollte. Auch Webseiten des Verschlüsselungsnetzwerkes Tor sollen
       Ziel der Attacken gewesen sein – wahrscheinlich aber ohne Erfolg.
       
       Google selbst versichert: "Nutzer von Google Chrome waren vor den Attacken
       geschützt, weil der Browser die betrügerischen Zertifikate identifizieren
       konnte." Doch ob die Nutzer die Warnhinweise weggeklickt haben, ist
       keineswegs sicher. Andere Browserhersteller zogen nach, nachdem die
       Attacken bekannt wurden.
       
       ## Gegen Lauscher und Identitätsdiebe
       
       Die SSL-Verschlüsselung soll eine sichere Sache sein. Wenn Nutzer auf eine
       verschlüsselte Seite surfen, erscheint ein kleines Schloss in der
       Symbolleiste des Browsers, das signalisiert: die Kommunikation ist
       verschlüsselt. SSL soll nicht nur sicherstellen, dass niemand die Eingaben
       auf dem Weg zwischen Browser und Server belauschen kann, die Zertifikate
       sollen zudem die Identität des Servers bestätigen. Die Technik ist seit
       über 15 Jahren im Einsatz - Banken, Onlineshops und Kommunikationsanbieter
       setzen sie ein.
       
       Mit gefälschten Zertifikaten sind so genannte "Man in the middle"-Attacken
       möglich. Der Angreifer schaltet sich zwischen Anbieter und Surfer und kann
       jede Eingabe mitlesen, bevor er sie an den legitimen Server weitergereicht
       werden. Der Nutzer selbst merkt davon nichts. Gerade für staatlich
       kontrollierte Internet-Provider ist das einfach möglich. Der Schaden ist
       noch nicht abzusehen. Zwar gibt es Hinweise darauf, dass die Zertifikate
       wirklich eingesetzt wurden, doch noch ist absolut unklar, wen die Angreifer
       tatsächlich belauschen konnten.
       
       Für die Sicherheit der SSL-Verschlüsselung sollten die Registrare
       einstehen. Doch erst im April wurde die Sicherheit des Systems nachhaltig
       in Frage gestellt. Den bis heute unbekannten Angreifern war es
       [1][//taz.de/Angriff-auf-sichere-Online-Verbindungen/!68791/%E2%80%9C:mehrf
       ach gelungen] in die Systeme des Registrars Comodo einzudringen und dort
       quasi nach Belieben Zertifikate auszustellen. Die Browserhersteller
       beeilten sich seither die Prüfung von Zertifikaten zu verbessern.
       
       ## Ein halber Wurm
       
       Dass der neue Fall aber so lange unentdeckt blieb, wirft jedoch ein
       schlechtes Licht auf das gesamte System. Die Electronic Frontier Foundation
       fasst es so zusammen: "Was ist schlimmer als einen Wurm im Apfel zu finden?
       Einen halben Wurm zu entdecken." Denn wenn die Angreifer das
       Sicherheitssystem so einfach und unentdeckt aushebeln konnten, stellt sich
       die Frage: welche Sicherheitslücken wurden noch nicht entdeckt?
       
       "Das Zertifikationssystem wurde vor Jahrzehnten entwickelt, in einer Zeit,
       als das größte Augenmerk darauf lag, dass Nutzer ihre
       Kreditkarteninformationen übertragen konnten ohne abgehört zu werden. Heute
       verlassen sich jedoch viele Internet-Nutzer auf die Technik, um ihre
       Privatsphäre gegen Nationalstaaten abzusichern. Wir bezweifeln, dass das
       System diese Bürde tragen kann", heißt es in der
       [2][//www.eff.org/deeplinks/2011/08/iranian-man-middle-attack-against-googl
       e:Stellungnahme der Bürgerrechtler.] Doch ein Ersatz-System ist derzeit
       nicht in Sicht. Browser-Hersteller und Registrare müssen sich daher
       bemühen, das System ständig zu verbessern.
       
       2 Sep 2011
       
       ## LINKS
       
   DIR [1] http://typo3/%E2%80%9Chttp
   DIR [2] http://https
       
       ## AUTOREN
       
   DIR Torsten Kleinz
       
       ## TAGS
       
   DIR Schwerpunkt Überwachung
   DIR Schwerpunkt Überwachung
       
       ## ARTIKEL ZUM THEMA
       
   DIR Datenschutzfreundliche Provider: Sie wollen's nicht wissen
       
       Der US-Amerikaner Nicholas Merrill träumt von einem Provider, der maximalen
       Nutzerschutz gewährt. Das Projekt des Calyx Institute scheitert vorerst am
       Geld.
       
   DIR Hackerangriff auf Zertifikate: "Mobile Nutzer können nur beten"
       
       Der IT-Sicherheitsexperte Christopher Soghoian über den Einbruch beim
       holländischen Unternehmen Diginotar und die vielen Nachwirkungen für die
       Nutzer.
       
   DIR Digitale Zertifikate: SSL in Gefahr
       
       Der Einbruch beim Sicherheitsdienstleister Diginotar zieht weite Kreise,
       selbst die niederländische Regierung kommt in Bedrängnis. Weitere Angriffe
       könnten folgen.
       
   DIR Angriff auf sichere Online-Verbindungen: SSL-Zertifikate in falschen Händen
       
       Sind sichere Verbindungen noch sicher? Ein Angriff aus dem Iran auf den
       Sicherheitsdienstleister Comodo sorgt in der IT-Community für
       Verunsicherung.