1. Inhalt SSL-Grundlagen Der Hack L¨sungen
o Was kann *ich* tun?
Comodogate
?!?
Version 1.1
2. April 2011
2. Inhalt SSL-Grundlagen Der Hack L¨sungen
o Was kann *ich* tun?
Inhalt
Inhalt
3. Inhalt SSL-Grundlagen Der Hack L¨sungen
o Was kann *ich* tun?
Inhalt
Inhalt
SSL-Grundlagen
Symmetrische Kryptografie
Asymmetrische Kryptografie
Public key infrastructure
4. Inhalt SSL-Grundlagen Der Hack L¨sungen
o Was kann *ich* tun?
Inhalt
Inhalt
SSL-Grundlagen
Symmetrische Kryptografie
Asymmetrische Kryptografie
Public key infrastructure
Der Hack
Gef¨lschte Zertifikate
a
(Wo)man In The Middle
Wie kann so etwas passieren?
5. Inhalt SSL-Grundlagen Der Hack L¨sungen
o Was kann *ich* tun?
Inhalt
Inhalt
SSL-Grundlagen
Symmetrische Kryptografie
Asymmetrische Kryptografie
Public key infrastructure
Der Hack
Gef¨lschte Zertifikate
a
(Wo)man In The Middle
Wie kann so etwas passieren?
L¨sungen
o
Zertifikate widerrufen
TOFU/POP
DNSSEC
Perspectives
6. Inhalt SSL-Grundlagen Der Hack L¨sungen
o Was kann *ich* tun?
Inhalt
Inhalt
SSL-Grundlagen
Symmetrische Kryptografie
Asymmetrische Kryptografie
Public key infrastructure
Der Hack
Gef¨lschte Zertifikate
a
(Wo)man In The Middle
Wie kann so etwas passieren?
L¨sungen
o
Zertifikate widerrufen
TOFU/POP
DNSSEC
Perspectives
Was kann *ich* tun?
7. Inhalt SSL-Grundlagen Der Hack L¨sungen
o Was kann *ich* tun?
Symmetrische Kryptografie
Ver- und Entschl¨sselung mit dem selben Schl¨ssel
u u
(DES, 3DES, AES, RC4, ...)
8. Inhalt SSL-Grundlagen Der Hack L¨sungen
o Was kann *ich* tun?
Asymmetrische Kryptografie
Verschl¨sselung mit dem ¨ffentlichen Schl¨ssel des Empf¨ngers.
u o u a
Entschl¨sselung mit dem geheimen Schl¨ssel des Empf¨ngers.
u u a
Signieren genau umgekehrt.
9. Inhalt SSL-Grundlagen Der Hack L¨sungen
o Was kann *ich* tun?
Public key infrastructure
¨
Offentlicher Schl¨ssel wird in einem Zertifikat gespeichert.
u
Echte Zertifikate werden von der Root CA ”unterschrieben”.
Root CA-Zertifikat wird mit OS/Browser mitgeliefert.
10. Inhalt SSL-Grundlagen Der Hack L¨sungen
o Was kann *ich* tun?
Gef¨lschte Zertifikate
a
Hacker hat sich durch eine L¨cke in einer RA folgende Zertifikate
u
ausstellen lassen k¨nnen:
o
• mail.google.com (GMail)
• login.live.com (Hotmail et al)
• www.google.com
• login.yahoo.com (drei Zertifikate)
• login.skype.com
• addons.mozilla.org (Firefox extensions)
• Global Trustee
11. Inhalt SSL-Grundlagen Der Hack L¨sungen
o Was kann *ich* tun?
(Wo)man In The Middle
Falls Traffic uber den Angreifer umgeleitet werden kann → :/
¨
12. Inhalt SSL-Grundlagen Der Hack L¨sungen
o Was kann *ich* tun?
Wie kann so etwas passieren?
13. Inhalt SSL-Grundlagen Der Hack L¨sungen
o Was kann *ich* tun?
Wie kann so etwas passieren?
• Niemand will schuld sein...
14. Inhalt SSL-Grundlagen Der Hack L¨sungen
o Was kann *ich* tun?
Wie kann so etwas passieren?
• Niemand will schuld sein...
• Browser will Benutzer nicht mit Fehlermeldungen nerven →
eher liberal
15. Inhalt SSL-Grundlagen Der Hack L¨sungen
o Was kann *ich* tun?
Wie kann so etwas passieren?
• Niemand will schuld sein...
• Browser will Benutzer nicht mit Fehlermeldungen nerven →
eher liberal
• Browser m¨ssen uber Vertrauen entscheiden → eher liberal
u ¨
(z.B.:CNNIC)
16. Inhalt SSL-Grundlagen Der Hack L¨sungen
o Was kann *ich* tun?
Wie kann so etwas passieren?
• Niemand will schuld sein...
• Browser will Benutzer nicht mit Fehlermeldungen nerven →
eher liberal
• Browser m¨ssen uber Vertrauen entscheiden → eher liberal
u ¨
(z.B.:CNNIC)
• Systemadmins wollen keinen Aufwand. → nichts ¨ndert sich.
a
17. Inhalt SSL-Grundlagen Der Hack L¨sungen
o Was kann *ich* tun?
Wie kann so etwas passieren?
• Niemand will schuld sein...
• Browser will Benutzer nicht mit Fehlermeldungen nerven →
eher liberal
• Browser m¨ssen uber Vertrauen entscheiden → eher liberal
u ¨
(z.B.:CNNIC)
• Systemadmins wollen keinen Aufwand. → nichts ¨ndert sich.
a
• CAs geben Implementierungen die Schuld. → nichts ¨ndert
a
sich.
18. Inhalt SSL-Grundlagen Der Hack L¨sungen
o Was kann *ich* tun?
Zertifikate widerrufen
• Einfachste Reaktion.
19. Inhalt SSL-Grundlagen Der Hack L¨sungen
o Was kann *ich* tun?
Zertifikate widerrufen
• Einfachste Reaktion.
¨
• Uberpr¨fung via Certificate Revocation Lists
u
20. Inhalt SSL-Grundlagen Der Hack L¨sungen
o Was kann *ich* tun?
Zertifikate widerrufen
• Einfachste Reaktion.
¨
• Uberpr¨fung via Certificate Revocation Lists
u
• oder Online Certificate Status Protocol
21. Inhalt SSL-Grundlagen Der Hack L¨sungen
o Was kann *ich* tun?
Zertifikate widerrufen
• Einfachste Reaktion.
¨
• Uberpr¨fung via Certificate Revocation Lists
u
• oder Online Certificate Status Protocol
¨
• Uberpr¨fung h¨ngt von Implementierung ab (think mobile
u a
devices)
22. Inhalt SSL-Grundlagen Der Hack L¨sungen
o Was kann *ich* tun?
TOFU/POP
Trust on first use/then popup ”Certificate Patrol”
Quelle: https://addons.mozilla.org/de/firefox/addon/certificate-patrol/
23. Inhalt SSL-Grundlagen Der Hack L¨sungen
o Was kann *ich* tun?
TOFU/POP
Quelle: https://addons.mozilla.org/de/firefox/addon/certificate-patrol/
24. Inhalt SSL-Grundlagen Der Hack L¨sungen
o Was kann *ich* tun?
DNSSEC
Quelle: http(s)://dankaminsky.com/
DNS sicher? → Zertifikat mit DNS abfragen!
25. Inhalt SSL-Grundlagen Der Hack L¨sungen
o Was kann *ich* tun?
Perspectives
Quelle: https://www.networknotary.org/
Mehrere Server im Internet fragen → MITM erkennbar.
26. Inhalt SSL-Grundlagen Der Hack L¨sungen
o Was kann *ich* tun?
Was kann *ich* tun?
27. Inhalt SSL-Grundlagen Der Hack L¨sungen
o Was kann *ich* tun?
Was kann *ich* tun?
• Probleme verstehen → sich informieren!
28. Inhalt SSL-Grundlagen Der Hack L¨sungen
o Was kann *ich* tun?
Was kann *ich* tun?
• Probleme verstehen → sich informieren!
• Entsprechende Plugins installieren und unterst¨tzen!
u
(Certivicate Patrol, Perspectives, ...)
29. Inhalt SSL-Grundlagen Der Hack L¨sungen
o Was kann *ich* tun?
Was kann *ich* tun?
• Probleme verstehen → sich informieren!
• Entsprechende Plugins installieren und unterst¨tzen!
u
(Certivicate Patrol, Perspectives, ...)
• DNSSEC einsetzen und pushen! (z.B.: Phreebird (zeroconfig
proxy by Dan Kaminsky))
30. Inhalt SSL-Grundlagen Der Hack L¨sungen
o Was kann *ich* tun?
Was kann *ich* tun?
• Probleme verstehen → sich informieren!
• Entsprechende Plugins installieren und unterst¨tzen!
u
(Certivicate Patrol, Perspectives, ...)
• DNSSEC einsetzen und pushen! (z.B.: Phreebird (zeroconfig
proxy by Dan Kaminsky))
• Weitererz¨hlen.
a
31. Inhalt SSL-Grundlagen Der Hack L¨sungen
o Was kann *ich* tun?
Thomas Steinbrenner, B.Sc.
http(s)://www.thomas-steinbrenner.net
https://twitter.com/#!/Tie fighter
Feel free to share this!
Creative Commons - Attribution