Tag Archives: PKI

Web-Site Verschlüsselung

Im Prinzip kann jeder alle Daten die durch das Internet laufen mitlesen ohne einen allzu großen Aufwand zu betreiben.

Um diesen Aufwand stark zu erhöhen setzen inzwischen die meisten Web-Sites auf eine verschlüsselte Datenübertragung, diese erkenne Sie an dem s hinter der Protokollbezeichnung in der Adressleiste Ihres Browsers, aus dem früher gebräuchlichen http wurde damit https, z.B. diese Seite wird über https://blog.weintz.de aufgerufen. Die verwendete Technik heiß Public Key Infrastructure kurz PKI.

Zur Realisierung dieser Verschlüsselung werden Zertifikate verwendet. Diese Zertifikate werden von verschiedenen akkreditierten Firmen ausgestellt und verwaltet, je nach Umfang der Leistungen zum Zertifikat fallen unterschiedlich hohe Gebühren für diese Zertifikate an.  Für einzelne Websites im Selfservice gibt es inzwischen auch kostenlose Angebote die auch mit wenig technischem Wissen eingesetzt werden können. Als Beispiel ist diese Seite mit einem Let’s Encrypt Class 1 Zertifikat unterschrieben, wie Sie leicht durch anklicken der Website-Information erfahren.

Hierbei heißt Class 1, dass die Zertifizierungsorganisation meine Authentizität lediglich durch Prüfung meiner Zugriffsberechtigung zu Web-Site und E-Mail-Konto verifizierte. Class 2 verwendet eine Identizitätsprüfung, während class 3  eine hinreichende Prüfung der Authentizität und Berechtigung des Antragstellers beinhaltet. Technisch gesehen gibt es dann aber keine Unterschiede in der Sicherheit. Sofern Sie Ihren privaten Schlüssel nicht aus der Hand geben ist eine Entschlüsselung der Daten sehr aufwendig, sofern der Angreifer nicht die Position des „man in the middle“ einnehmen kann.

Der Mann in der Mitte „man in the middle“ hat es relativ einfach, er befindet sich zwischen mir und meinem Partner und kann damit verhindern, dass mein Partner jemals eine meiner Nachrichten direkt erhält. Er gaukelt mir vor, dass er selber mein Partner ist und meinem Partner das er ich ist. Sofern wir keine Verschlüsselung verwenden, können wir dies gar nicht bemerken. Unter Verwendung der PKI wird für einen solchen Angriff wiederum eine Zertifizierung benötigt. Hierzu kann der Angreifer ein selbstzertifiziertes Zertifikat zur passenden Website verwenden oder aber er nutzt ein gültiges Zertifikat für eine andere Website und lenkt Ihren Internetverkehr dahingehend um.
Somit ist (abgesehen von wesentlich aufwändigeren Angriffen z.B. der Geheimdienste und Wirtschaftsspione) der Angriff unsererseits erkennbar dadurch dass unser Browser uns vor dem unsicheren Zertifikat (im 1. Fall) warnt oder wir in der Adresszeile des Browser eine andere Domain sehen. Leider sind diese Indizien nicht eindeutig, da auch bei legalen Sites selbstzertifizierte Zertifikate als auch Umleitungen benutzt werden. Ich meinerseits werde niemals vertrauliche Daten über eine solche Verbindung senden und erkunde allgemein Websites ohne passende Zertifikate nur sehr verhalten.

Einige „man in the middle“ rufen wir, aus gutem Grund selber herbei. Unser ISP (Internet Service Provider) stellt die Infrastruktur zwischen uns und unseren Partnern, er ist nicht verzichtbar, er wird aber keine Änderung an unseren Datenpaketen vornehmen so dass er uns nicht zwingt unsichere Zertifikate zu akzeptieren. Gleichwohl ist in manchen Staaten die Spiegelung des Internettraffics durch die ISP an Geheimdienste verpflichtend.
Mögliche Proxy Server, eingesetzt zur Absicherung der Firmen Internetverbindung oder externe zur Verschleierung des Ortes (geo blocking), genauso wie tor-server zur Anonymisierung des Internetverkehrs sind in dieser Position und können ihre Arbeit nur  unter zu Hilfenahme des vorhin beschriebenen Täuschungsmanövers durchführen. In diesem Fall verzichten wir auf Filterung, Anonymität oder die Erkennbarkeit eines Angriffs, womit wir potentiell unsicher sind.