neues CAcert.org SSL-Zertifikat für debianforum.de

Neues rund um debianforum.de
Antworten
DeletedUserReAsG

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von DeletedUserReAsG » 24.01.2014 23:45:36

Meine PNs sind öffentlich einsehbar? Mein Passwort auch? Finde ich nun nicht soo lustig.

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von wanne » 26.01.2014 00:38:19

Ich weiß ja nicht was du für PNs hier im Forum verbreitest. Aber mal ganz ehrlich bei PFS geht es darum dass jemand den Internetverkehr über jahrzehte hinweg wegsepeichert und darauf hofft, dass irgen jemand mal die entsprechende symetrische Verschlüsslung knackt. (Nicht aber die assymetrische) Wenn der BND (Und der ist wohl der einzige mit den Kapazitäten für sowas.) in 20Jahren mein heutiges PW bekommt dann ist mir das ziemlich wurst. Auch meine PNs sind nicht wirklich privat sind in erster Linie sachen die halt im öffentlichen Bereich unerwüscht sind, weil das niemand interessiert.
Bei E-Mail oder Chat kann ich sowas verstehen aber hier im Forum... Das einzige private, dass es hier gibt sind die IP-Adressen und die bekommt man beim Ajhören ja sowieso frei haus. (bzw. bruacht sie um überhaupt abhören zu können.)
rot: Moderator wanne spricht, default: User wanne spricht.

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von dufty2 » 26.01.2014 03:27:48

wanne hat geschrieben:Ich weiß ja nicht was du für PNs hier im Forum verbreitest.
Eben,
Du solltest von Deinem Schutzbeduerfnis nicht auf jenes von anderen schließen.

Lt. Wikipedia ist der Overhead für PFS 15 % und die Einrichtung dauert keine 2 Minuten.
Ergo, überwas diskutieren wir überhaupt?

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von wanne » 26.01.2014 10:42:33

Die eigentlichen Problem an PFS sind:
a) Der zusätzliche Rechenaufwand. (Den können wir uns leisten.)
b) Es ist nicht direkt im TLS Standard. => Es so hinzubekommen das es interoperabel mit alle Browsern tut ist eben schwer. Das Problem haben wir hier eben mit den alten IEs.

Ansonstem muss ich eherlich sagen, dass ich die Gefahr auch einfach nicht so wirklich sehe.
Ich halte es für viel, viel warhscheinlicher, dass die asymetrische Crypto gebrochen wird, oder es andere aktive Angriffe auf TLS gibt als, dass irgend wann mal jemand billig RSA knackt.
Gerade wenn man bedenkt, dass es auf jeden Fall reicht ein paar von CACert zu bestechen, scheint mir die Variante mit RSA-Knacken einfach vergleichsweise klein.
rot: Moderator wanne spricht, default: User wanne spricht.

DeletedUserReAsG

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von DeletedUserReAsG » 26.01.2014 10:50:12

Ich weiß ja nicht was du für PNs hier im Forum verbreitest.
Zuletzt hat mir ein User Zugangsdaten für eine Maschine geschickt. Darauf habe ich keinen Einfluss – dennoch bin ich der Meinung, dass sowas nicht öffentlich einsehbar sein sollte.

Benutzeravatar
catdog2
Beiträge: 5352
Registriert: 24.06.2006 16:50:03
Lizenz eigener Beiträge: MIT Lizenz

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von catdog2 » 26.01.2014 10:55:01

b) Es ist nicht direkt im TLS Standard. => Es so hinzubekommen das es interoperabel mit alle Browsern tut ist eben schwer. Das Problem haben wir hier eben mit den alten IEs.
1. Die benutzen dann halt ihr kaputtes RC4, deren Problem (feltel hat es freundlicherweise an gelassen)
2. Wen interessiert schon alte, kaputte Software?
Unix is user-friendly; it's just picky about who its friends are.

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von wanne » 26.01.2014 11:56:42

catdog2 hat geschrieben:1. Die benutzen dann halt ihr kaputtes RC4,
Nein auch die bekommen saubere ungeknackte Crypto (RSA/3DES/SHA1).
Aber die Keys für den 3DES werden ganz normal über RSA und nicht über DiffieHellman ausgetauscht.

EDIT: Ob SHA1 für Geheimdienste ein unüberwindbares Problem ist, ist fraglich. Wieviel das denen ohne 3DES zu knacken dann aber wirklich bringt weiß ich nicht. TLS ist so hässlich kompliziert, dass ich da nicht wirklich durchsteige.
rot: Moderator wanne spricht, default: User wanne spricht.

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von wanne » 26.01.2014 12:14:25

Halt ich habe nochmal nachgedacht. Ich habe in den ersten beiden posts müll erzählt.
PFS bringt genau dann was, wenn jemand nachträglich den RSA Teil entschlüsseln kann. Da es eher aufgrund der starken Verwandschaft sehr unwahrschinlich ist, dass RSA gebrochen wird, DH aber nicht (Ich glaube da gibt's einfache reduktionen in beide Richtungen.) ist das Szenario wovor es schützt, dass feltel irgend wann in Zukunft sein Zertifikat verschlickert. (Oder dazu überredet wird sein Cert zu verschlickern.) Es aber bis jetzt noch nicht kompromitiert ist.

Edit: Konnte feltel nicht schreiben.
rot: Moderator wanne spricht, default: User wanne spricht.

123456
Beiträge: 6126
Registriert: 08.03.2003 14:07:24

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von 123456 » 26.01.2014 18:19:01

dufty2 hat geschrieben:mein Calomel SSL Validation meldet für https://debianforum.de
Moderate (yellow 79%)

Wenn demnächst das Zertifikat erneuert werden soll, vielleicht kann man es etwas pimpen ;)

Vielleicht liegts auch daran, dass ich noch kein Firefox resp. Iceweasel 27 (mit TLS 1.2) benutze.
ja, das liegt am fehlenden FF 27. Calomel meldet dann "strong" mit 83%. :)

123456
Beiträge: 6126
Registriert: 08.03.2003 14:07:24

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von 123456 » 26.01.2014 18:26:30

catdog2 hat geschrieben:
b) Es ist nicht direkt im TLS Standard. => Es so hinzubekommen das es interoperabel mit alle Browsern tut ist eben schwer. Das Problem haben wir hier eben mit den alten IEs.
1. Die benutzen dann halt ihr kaputtes RC4, deren Problem (feltel hat es freundlicherweise an gelassen)
2. Wen interessiert schon alte, kaputte Software?
Alte kaputte Software läuft in grossen alten kaputten Firmen. :) damit sie ihr selbst geschriebenes Legacy Gerümpel darstellen können. Aber bei einigermassen Security Bewusstsein lassen sie alte IE's dann in virtuellen Umgebungen laufen und verwenden zum browsen im Internet eine aktuelle Version von IE oder Firefox. Dabei ist FF 27 gerade mal Beta mit TLS 1.2. Hmpf.

Antworten