schizo
Produkt der Gesellschaft
|
Zwist um neuen "Sicherheitsstandard" für das Internet - fm4.ORF.atParallel zum neuen Verschlüsselungsstandard TLS 1.3 der Internet Engineering Task Force wurde am europäischen ETSI eine kompatible, aber für Überwacher aufgebohrte Variante namens „eTLS“ erstellt. Federführend daran beteiligt ist der britische Militärgeheimdienst GCHQ. Link: fm4.orf.at Die Bestrebungen mehrer Geheimdienste, Internetkriminalität weiter Tür und Tor zu öffnen sind schon recht weit fortgeschritten. Zusammen mit dem Gerichtsurteil in Australien könnte es bis zur Implementierung nicht mehr lange dauern. Wie geht ihr damit um? Zieht ihr in Betracht, eure Onlinegewohnheiten in Anbetracht von möglicher Überwachung oder deren Kompromittierung anzupassen? Ich bin ja gespannt, wann etwa die ersten Messenger erscheinen werden, welche mit ihrem Firmen/Serverstandort werben.
|
JDK
Oberwortwart
|
Ich bin ja gespannt, wann etwa die ersten Messenger erscheinen werden, welche mit ihrem Firmen/Serverstandort werben. hm, wie hieß nochmal der schweizer Messenger?
|
schizo
Produkt der Gesellschaft
|
hm, wie hieß nochmal der schweizer Messenger? Threema. Wobei bei Messengern ja noch ein weiteres Problem der Play Stores dazukommen kann. Wenn US amerikanische Unternehmen (also Apple und Google) nur noch Messenger zum Download anbieten dürfen, welche etLS unterstützen bleiben nur noch inoffizielle Appstores, um einen solchen Messenger zu beziehen und die Gefahr, Schadsoftware zu nutzen steigt wiederum.
|
JDK
Oberwortwart
|
Genau, Threema hatte ja schon vor Jahren damit geworben.
Beziehungsweise bleiben auch noch APKs direkt vom Hersteller.
|
schizo
Produkt der Gesellschaft
|
Genau, Threema hatte ja schon vor Jahren damit geworben.
Beziehungsweise bleiben auch noch APKs direkt vom Hersteller. Für technisch versierte Benutzer ist das ja eine gangbare Lösung. Aber wenn ich in meinem Umfeld sehe wie viele Menschen Whatsapp im Vergleich zu Signal nutzen (bzw. auch benutzt haben, bevor Whatsapp das OWS Protokoll implementiert hat, was ja durchaus ein begrüßenswerter Schritt war) sehe ich hier durchaus das Problem, eine breite Userschicht zu erreichen.
|
JDK
Oberwortwart
|
Das ist klar. Bevor wir hier aber den Teufel an die Wand malen, würde ich die Entwicklung abwarten.
|
Smut
takeover & ether
|
Threema.
Wobei bei Messengern ja noch ein weiteres Problem der Play Stores dazukommen kann. Wenn US amerikanische Unternehmen (also Apple und Google) nur noch Messenger zum Download anbieten dürfen, welche etLS unterstützen bleiben nur noch inoffizielle Appstores, um einen solchen Messenger zu beziehen und die Gefahr, Schadsoftware zu nutzen steigt wiederum. Jein. Klar ist TLS derzeit essentiell. Nur verwendet Threema eben nicht nur TLS - das wäre ja jetzt schon mitm anfällig. IM prinzip dreht sich bei TLS immer alles um den sesssion keys.
Bearbeitet von Smut am 17.01.2019, 08:47
|
Smut
takeover & ether
|
Umstrittener Internet-"Sicherheitsstandard" eTLS wird umbenannt - fm4.ORF.atDer umstrittene, weil aufgebohrte ETSI-Verschlüsselungstandard wurde von „eTLS“ auf „ETS“ umbenannt. Das hatten die Internetstandardisierer der IETF verlangt, um Verwechslungen zu ihrem sicheren Standard TLS 1.3 auszuschließen. Link: fm4.orf.at
|
Longbow
Here to stay
|
Dann hoffe ich bald auf ein "ETS Nowhere" FF Plugin, das die Seite sofort sperrt sollte das verwendet werden.
|
davebastard
Vinyl-Sammler
|
Dann hoffe ich bald auf ein "ETS Nowhere" FF Plugin, das die Seite sofort sperrt sollte das verwendet werden. ack, ich glaub nach den negativen Berichten in der Presse verwendet das aber eh niemand edit: wobei es sicher auch firmeninteressen sind, nicht nur geheimdienste. wenn ich da an firewallhersteller denke wie checkpoint und paloalto, die verwenden ja man in the middle um z.B. dropbox oder ähnliche dienste rauszufiltern. das dürfte mit TLS 1.3 dann ja nicht mehr möglich sein oder ?
Bearbeitet von davebastard am 30.01.2019, 09:42
|
Viper780
ElderEr ist tot, Jim!
|
Natürlich ist das noch möglich. Da wird TLS einfach auf der Firewall Terminiert und dir entweder http weiter gegeben oder ein selbst signiertes dropbox zertifikat. Dem aber dein Browser vertraut da deine Firma natürlich das Rootzertifikat der Firewall bei allen einspielt.
Übrigends schwächt TLS 1.3 auch etwas ab da mit 0-RTT kein Forward Secrecy mehr möglich ist
|
daisho
VereinsmitgliedSHODAN
|
Dem aber dein Browser vertraut da deine Firma natürlich das Rootzertifikat der Firewall bei allen einspielt. oder auch nicht weil sie es nicht tun so wie bei uns und dann bekommt man plötzlich Zertifikatsfehler mit einem nicht trustworthy cert von Cisco  (was aber eh wurscht wäre da entsprechende Seiten dann sowieso geblockt sind).
|
Smut
takeover & ether
|
ack, ich glaub nach den negativen Berichten in der Presse verwendet das aber eh niemand
edit: wobei es sicher auch firmeninteressen sind, nicht nur geheimdienste. wenn ich da an firewallhersteller denke wie checkpoint und paloalto, die verwenden ja man in the middle um z.B. dropbox oder ähnliche dienste rauszufiltern. das dürfte mit TLS 1.3 dann ja nicht mehr möglich sein oder ? Man braucht dafür kein mitm. Das kannst während dem TLS handshake schon resetten. Verstehe oft nicht den Mehrwert der interception. Für diesen Fall benötige ich es jedenfalls nicht.
|
davebastard
Vinyl-Sammler
|
Das kannst während dem TLS handshake schon resetten. Verstehe oft nicht den Mehrwert der interception. Für diesen Fall benötige ich es jedenfalls nicht. ok also gehts anders auch. aber interception wäre mit TLS 1.3 dann nicht (mehr) möglich oder ?
|
Smut
takeover & ether
|
Im handshake kann man mittels SNI oder dem public cert des Servers das noch feststellen wohin der request geht und dann zb. Die tcp Verbindung resetten. Ist nicht elegant, da du keine Fehlermeldung erzeugen kannst, aber das Ziel kein Dropbox erreichst dadurch zuverlässig und billig.
Wenn du nur Dropbox Sync oder Funktionen sperren willst (Dropbox Download ok, Sync nein), dann wirst an interception nicht vorbeikommen. Die wird mit TLS1.3 potentiell teurer: sie muss am endpoint zb. Mittels agent passieren
|
Anmeldung