etLS - TLS1.3 mit Backdoor

Seite 1 von 1 - Forum: Internet & Provider auf overclockers.at

URL: https://www.overclockers.at/internet-provider/etls-tls1-3-mit-backdoor_252942/page_1 - zur Vollversion wechseln!


schizo schrieb am 16.01.2019 um 23:25


Die Bestrebungen mehrer Geheimdienste, Internetkriminalität weiter Tür und Tor zu öffnen sind schon recht weit fortgeschritten. Zusammen mit dem Gerichtsurteil in Australien könnte es bis zur Implementierung nicht mehr lange dauern. Wie geht ihr damit um? Zieht ihr in Betracht, eure Onlinegewohnheiten in Anbetracht von möglicher Überwachung oder deren Kompromittierung anzupassen?

Ich bin ja gespannt, wann etwa die ersten Messenger erscheinen werden, welche mit ihrem Firmen/Serverstandort werben.


JDK schrieb am 17.01.2019 um 00:07

Zitat aus einem Post von schizo
Ich bin ja gespannt, wann etwa die ersten Messenger erscheinen werden, welche mit ihrem Firmen/Serverstandort werben.

hm, wie hieß nochmal der schweizer Messenger?


schizo schrieb am 17.01.2019 um 00:16

Zitat aus einem Post von JDK
hm, wie hieß nochmal der schweizer Messenger?

Threema.
Wobei bei Messengern ja noch ein weiteres Problem der Play Stores dazukommen kann. Wenn US amerikanische Unternehmen (also Apple und Google) nur noch Messenger zum Download anbieten dürfen, welche etLS unterstützen bleiben nur noch inoffizielle Appstores, um einen solchen Messenger zu beziehen und die Gefahr, Schadsoftware zu nutzen steigt wiederum.


JDK schrieb am 17.01.2019 um 00:23

Genau, Threema hatte ja schon vor Jahren damit geworben.

Beziehungsweise bleiben auch noch APKs direkt vom Hersteller.


schizo schrieb am 17.01.2019 um 00:32

Zitat aus einem Post von JDK
Genau, Threema hatte ja schon vor Jahren damit geworben.

Beziehungsweise bleiben auch noch APKs direkt vom Hersteller.

Für technisch versierte Benutzer ist das ja eine gangbare Lösung. Aber wenn ich in meinem Umfeld sehe wie viele Menschen Whatsapp im Vergleich zu Signal nutzen (bzw. auch benutzt haben, bevor Whatsapp das OWS Protokoll implementiert hat, was ja durchaus ein begrüßenswerter Schritt war) sehe ich hier durchaus das Problem, eine breite Userschicht zu erreichen.


JDK schrieb am 17.01.2019 um 00:59

Das ist klar. Bevor wir hier aber den Teufel an die Wand malen, würde ich die Entwicklung abwarten.


Smut schrieb am 17.01.2019 um 08:43

Zitat aus einem Post von schizo
Threema.
Wobei bei Messengern ja noch ein weiteres Problem der Play Stores dazukommen kann. Wenn US amerikanische Unternehmen (also Apple und Google) nur noch Messenger zum Download anbieten dürfen, welche etLS unterstützen bleiben nur noch inoffizielle Appstores, um einen solchen Messenger zu beziehen und die Gefahr, Schadsoftware zu nutzen steigt wiederum.
Jein. Klar ist TLS derzeit essentiell. Nur verwendet Threema eben nicht nur TLS - das wäre ja jetzt schon mitm anfällig.
IM prinzip dreht sich bei TLS immer alles um den sesssion keys.


Smut schrieb am 30.01.2019 um 08:26


Longbow schrieb am 30.01.2019 um 09:27

Dann hoffe ich bald auf ein "ETS Nowhere" FF Plugin, das die Seite sofort sperrt sollte das verwendet werden.


davebastard schrieb am 30.01.2019 um 09:35

Zitat
Dann hoffe ich bald auf ein "ETS Nowhere" FF Plugin, das die Seite sofort sperrt sollte das verwendet werden.

ack, ich glaub nach den negativen Berichten in der Presse verwendet das aber eh niemand

edit: wobei es sicher auch firmeninteressen sind, nicht nur geheimdienste. wenn ich da an firewallhersteller denke wie checkpoint und paloalto, die verwenden ja man in the middle um z.B. dropbox oder ähnliche dienste rauszufiltern. das dürfte mit TLS 1.3 dann ja nicht mehr möglich sein oder ?


Viper780 schrieb am 30.01.2019 um 10:15

Natürlich ist das noch möglich. Da wird TLS einfach auf der Firewall Terminiert und dir entweder http weiter gegeben oder ein selbst signiertes dropbox zertifikat. Dem aber dein Browser vertraut da deine Firma natürlich das Rootzertifikat der Firewall bei allen einspielt.

Übrigends schwächt TLS 1.3 auch etwas ab da mit 0-RTT kein Forward Secrecy mehr möglich ist


daisho schrieb am 30.01.2019 um 10:35

Zitat aus einem Post von Viper780
Dem aber dein Browser vertraut da deine Firma natürlich das Rootzertifikat der Firewall bei allen einspielt.
oder auch nicht weil sie es nicht tun so wie bei uns und dann bekommt man plötzlich Zertifikatsfehler mit einem nicht trustworthy cert von Cisco :D (was aber eh wurscht wäre da entsprechende Seiten dann sowieso geblockt sind).


Smut schrieb am 30.01.2019 um 11:28

Zitat aus einem Post von davebastard
ack, ich glaub nach den negativen Berichten in der Presse verwendet das aber eh niemand

edit: wobei es sicher auch firmeninteressen sind, nicht nur geheimdienste. wenn ich da an firewallhersteller denke wie checkpoint und paloalto, die verwenden ja man in the middle um z.B. dropbox oder ähnliche dienste rauszufiltern. das dürfte mit TLS 1.3 dann ja nicht mehr möglich sein oder ?

Man braucht dafür kein mitm.
Das kannst während dem TLS handshake schon resetten. Verstehe oft nicht den Mehrwert der interception. Für diesen Fall benötige ich es jedenfalls nicht.


davebastard schrieb am 30.01.2019 um 11:33

Zitat
Das kannst während dem TLS handshake schon resetten. Verstehe oft nicht den Mehrwert der interception. Für diesen Fall benötige ich es jedenfalls nicht.

ok also gehts anders auch. aber interception wäre mit TLS 1.3 dann nicht (mehr) möglich oder ?


Smut schrieb am 30.01.2019 um 12:13

Im handshake kann man mittels SNI oder dem public cert des Servers das noch feststellen wohin der request geht und dann zb. Die tcp Verbindung resetten. Ist nicht elegant, da du keine Fehlermeldung erzeugen kannst, aber das Ziel kein Dropbox erreichst dadurch zuverlässig und billig.

Wenn du nur Dropbox Sync oder Funktionen sperren willst (Dropbox Download ok, Sync nein), dann wirst an interception nicht vorbeikommen. Die wird mit TLS1.3 potentiell teurer: sie muss am endpoint zb. Mittels agent passieren




overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2024