Verschlüsselung im Netz: Wenn der digitale Notar schlampt

der letzte link im artikel ist kaputt.

Hat das eigentlich einen besonderen Grund, dass mein (nicht-beleidigender, nicht-rassistischer) Kommentar vom 02.09. nicht freigeschaltet wurde?

War es in Eurem Sinne beleidigend, dass ich darauf hingewiesen habe, dass dieser Bericht ein unengagiertes Remake dieses deutlich älteren netzpolitik.org-Artikels ist (und ansonsten nur Pressemitteilungen zitiert)?

https://netzpolitik.org/2011/wie-der-iran-mit-hilfe-einer-niederlandischen-firma-gmail-abhorte/

Oder kam es am Ende deshalb nicht zur Veröffentlichung, weil ich darauf hingewiesen haben, dass ich für einen solchen Artikel nicht bereit bin der taz etwas zu zahlen?

Irritiert,

Euer Leser

@Hanno: Danke. Aber im Prinzip hätte man das schon bei Planung (oder in der 0.2-Version) einführen sollen.

Auch könnte man Firefox oder Chrome problemlos stellen. Leider verbietet das BSI keine unsicheren Browser für den Zugriff auf Onlinebanking und Finanzamt (Elster) und alle Behörden-Webseiten.

Im Prinzip ist sowas also nur trivial und muss oder sollte defacto (wie Javascript oder Frames) etabliert werden.

Ein Cache wäre auch nett. Man fragt also bei jeder https-Seite bei google-Archive o.ä. ob der Key bekannt ist oder vielleicht untergejubelt wurde. Bei ganz neuen Keys wartet man dann vielleicht mal 1 Tag mit der Bestellung oder dem Onlinebanking.

Laut heise-Headline waren es 500 Signaturen. Da wäre es schon nett, aus den Firefox-Verläufen+Caches (soweit vorhanden) die Betroffenen "rauszukratzen". Ohne Breite keine Wirkung. Und Breite könnte man mit einem Analysetool für seinen Browser vielleicht generieren.

Die 500 betroffene Sites sollten sich mal organisieren. Wenn ich google wäre, würde ich mir das nicht bieten lassen.

Halb-OT: In Verbindung mit den Nameserver-"Attacken" heute wäre eine neue resolver-lib für Linux ganz nett. Die würde dann Zugriffe mit widersprüchlichen Werten blocken und DNS-Einträge cachen und bei verschiedenen Servern abfragen. Dafür braucht man nur schlauer Linuxer und sich nicht um die Browser scheren. Bei den Zertifikaten ist es leider etwas anderes. Theoretisch gingen Proxies aber de facto ist sowas oft Frickelei und meist nur Content-Blocking (Proxomitron u.ä.).

@Grund wissen:

Ein Zertifikat von zwei Stellen unterschreiben zu lassen ist mit der momentanen Browserinfrastruktur nicht direkt vorgesehen - ich glaube es gibt dafür Standards, die sind aber nicht breit im Einsatz und ein Problem bei X.509-Zertifikaten ist, dass sehr viel auf Abwärtskompatibilität (muss noch in 5 Jahre altem System funktionieren) geachtet wird.

Ein System zum Erkennen gefälschter Zertifikate wird gerade von der EFF erarbeitet - sie haben das Projekt SSL Observatory am Laufen und mittelfristig wollen sie da etwas dezentrales basteln was das auch ermöglicht. Sehr spannend. (Die EFF ist sowas ähnliches wie der CCC, nur in den USA)

Wenn man zigtausende für Klagen erst einmal verdienen muss (private Rechtschutzversicherungen bezahlen sowas sicher nicht und nur weil man 100 User hat oder für den Server bezahlt, ist man sicher automatisch geschäftlich (Vorstufe von "Gewerblich") unterwegs und wird auf Zigtausende abgemahnt. Meinbus und spickmich machen es vor.

Sonst gäbe es sowas längst. Du siehst ja den Druck auf die Leaks-Portale. Was meinst Du, wie lange Du es machst, wenn Du bei Google-Map verkündest, wie gut E+ erreichbar ist und damit die Monopolgewinne unterwanderst ? Na also.

Davon abgesehen will man morgen vielleicht noch arbeiten und nicht wie Gabriele Pauli, von und zu Guttenberg oder Kässmann.

Das Interview vom VroniPlag-Entwickler(? Chef?) sollte Dir bekannt sein. Kritik ist unerwünscht und die Bösen tun alles um sie zu unterbinden. Hetzjagd und Verfolgung per Kredit-Auskunfteien auf Reporter sollte Dir von diesem Jahr auch noch bekannt sein.

Stell Dir vor, jemand ist bei der T-Com und hat anständig gelernt und möchte solche Projekte unterstützen. Was müsstest Du dafür also tun damit er nicht hoppsgenommen wird und seine verdiente Pension auch noch bekommt und nicht nur Quadrocopter-Synchron-Flieger-Algorithmen in der Freizeit schreibt die dann vom Iran oder China für Waffenangriffe benutzt werden ?

Schau Dir die Newsberichte über Vroniplag genau an. In manchen (wenigen ?) Berichten steht, das er sich gezwungen sah, sich selbst zu outen nachdem Reporter ihn outen wollten. Die Anständigen kriegen oft keinen Job mehr, wenn der Filz zu weit gewachsen ist.

Man könnte so ein Projekt ja auch crowdfunden. Irgendwer kennt Firefox sicher besser als ich. Leider gibt es keine Crowdfundings, wo man anonym Projekte vorstellen kann (nach Überprüfung auf Legalität usw. natürlich) die dann irgendwer programmieren kann wer will.

1999 war es noch nicht so schlimm. Heute ist die Freiheit vorbei. Die FSF bietet auch keine anonymen upload-Möglichkeiten. Die Skype-Nachprogrammierung von vor 1-3 Monaten wäre so ein Fall dafür.

Es soll sogar Demokraturen geben, wo der Präsident aus dem Amt gemobbed wurde und keinen Staatsschutz es interessierte. Oder wo Parteikritik mit existenzieller Vernichtung vergolten wird. Was ein Glück das die Kontrollfunktion der Qualitäts-Leistungs-Schutz-Presse Deutschlands Politiker zu den besten und erfolgreichsten Demokraten aller Zeiten macht. Die erfolgreiche Bonner Verfassungs-Konferenz wollen die Franzosen jetzt in Paris nachmachen.

news.google/ARCHIV: bonner konferenz verfassung

Vor 10 Jahren wäre sowas noch eine Leistng gewesen. Heute laufen PDF-Anzeiger in Javascript im Browser. Die Infrastrukturen sind alle da und fertig. Und hier geht es nicht um Destruktismus o.ä. sondern anständige legale konstruktive Dinge ! Aber Verbrecher können sich halt besser wehren als das unterpresste Volk.

@Grundwissen: selber machen und nich nur anderen ihr (scheinbares) unwissen vorwerfen ;-)

Was sagt die BITKOM ? In Profi-Foren wurde man beschimpft, wenn man forderte, das jedes Zertifikat (Online-Banking, alle https:-Seiten mit dem Schlüssel in Firefox usw.) von mindestens ZWEI Registraren unterschrieben sein muss und das solche Keys alle 6-12 Monate erneuert werden müssen.

Ich muss auch bei einer deutschen Bank fürs onlinebanking wegklicken. Wenn ich taz.de wäre, würde ich eine offene Umfrage machen und herausfinden wessen Onlinebanking fragwürdig ist.

Davon abgesehen sind alle diese Dinge (Firefox, Chrome usw.) schon ewig open-Source und diese Angriffsmuster bekannt. Also muss die Revokation (Rückzug) von Schlüsseln usw. auch klar geregelt und problemlos organisiert sein.

Wenn der CCC mehr tun würde als reden, würde es Tools geben, welche die Opfer finden.

In den Browser-Caches sind schliesslich Verlauf und Zertifikate oft noch gespeichert. Man bräuchte also nur die https-Seiten durchgehen und gegen die bösen DigiNotar-Zertifikate abgleichen und wüsste, wo man möglicherweise abgezockt wurde. Leider hilft keiner den Opfern und von passenden Tools für FireFox, Opera uns natürlich Internet-Explorer habe ich nichts gesehen. Der Erfolg und totale Durchbruch von GPS-Tracking=böse war die App fürs Iphone wo man die Positionen auf der Landkarte sehen konnte. DAS begreift dann jeder und da kann auch kein bezahlter Diffamist mehr die Kohlen rausholen.

Der DATEV (=BITKOM-Chef) sollte über ihre Steuerberater empfehlen, das jede Firma die M$-Checkertools verwenden muss, um zu beweisen, das sie nicht verseucht wurde. Ansonsten kann man die Bilanz leider nicht mehr testieren weil verseuchte Rechner nicht den Grundsätzen der ordentlichen Buchführungs-Kaufmannes entsprechen und man sich als ehrbares DATEV-Mitglied nicht mitschuldig machen darf. D.h. jeder würde gezwungen, zu sehen ob er ein Opfer ist. Also was sagt die BITKOM ?

Oder die taz nutzt ihre ccc-Kontakte damit die Opfer sich mit 2-4 Mausklicks (Firefox-Plugin downloaden und laufen lassen) erkennen können. Die betroffenen Onlineshops können dann gleich mal zumachen und überlegen, wieso sie die trivialen Forderungen nach 2 Registraren und jährlichen Key-Updates nicht eingeführt haben... . Ach übrigens: Dies ist problemlos bei Schneier (1996) mehr oder weniger direkt zu finden und damit Grundwissen jedes ccc-Mitglieds und Diplom-Informatikers.

Die SSL-Verschlüsselung wurde nicht, wie im Anreißer angedeutet, geknackt. Das ist so schlicht falsch.

"Geknackt" wurde eine Zertifizierungsstelle. SSL benutzt sogenannte X.509-Zertifikate, die Infrastruktur dafür ist ein Problem. SSL selbst funktioniert sehr gut.