Jens Holzkämper: Authentifizierung

Beitrag lesen

Tach,

ist das tatsächlich so leicht, wie du es darstellst? Oder braucht's dazu eine gehörige Portion profundes Fachwissen und kriminelle Energie?

mit ein wenig Geld kann man sich das heutzutage vermutlich kaufen, "offene Überwachungsstaaten" wie der Iran machen das vermutlich (siehe Diginotar). Alternativ kann man sich natürlich auch selber (mit passenden Fachkenntnissen) bei einer der Zertifizierungsstellen oder einer deren Sub-Zertifizierungsstellen (oder deren Sub-Zertifizierungsstellen, ...) Zugang verschaffen.

Guck dir mal an, welchen "vertrauenswürdigen" Stellen dein Browser vertraut.

Hmm. Wie mach ich das? Wie finde ich das heraus? Das hat mich bisher noch nie interessiert. Ah, ich hab's gefunden. Ja, das sind eine Menge Organisationen, und von den meisten habe ich noch nie gehört.

Das ist leider noch nichteinmal die halbe Wahrheit: Is the SSLiverse a safe place? (Vortrag als Video), durch Weitergabe des Rechts Zertifikate zu Erstellen und des Rechts weitere CAs zu authentifizieren, ist die Menge an CAs inzwischen riesig; darunter sind dann "vertrauenswürdige" Firmen und Institutionen wie Walt Disney Company, Nestle, der deutsche Bundestag, das Department for Homeland Security, ... Laut dem Vortrag waren es letztes Jahr etwa 1500 CAs, denen vertraut wurde.

Mir hat es bisher noch immer genügt, dass ich die gewünschte URL eingebe und die erwartete Antwort bekomme. Die Szenarien, die ich umrissen habe, halte ich zwar für durchaus denkbar, aber hinreichend unwahrscheinlich, dass sie mich bisher in der Praxis nicht weiter interessiert haben. Und solange ich nicht vorhabe, geheimhaltungswürdige Daten ins Netz hinauszuschicken, juckt es mich auch nicht, wenn mein Browser meldet, das Zertifikat sei unbekannt, ungültig oder abgelaufen.

Deine Einstellung zu verschlüsselter Kommunikation ist ja bekannt, wenn ich allerdings sehe, dass unbescholtene Bürger aus meinem Bekanntenkreis regelmäßig bei der Einreise in ihr Heimatland festgehalten, durchsucht, ihre Telefone beschlagnahmt werden, möchte ich auf mein Recht sämtliche Kommunikation verschlüsseln zu können nicht mehr verzichten.

mfg
Woodfighter