neues CAcert.org SSL-Zertifikat für debianforum.de
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
Meine PNs sind öffentlich einsehbar? Mein Passwort auch? Finde ich nun nicht soo lustig.
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
Ich weiß ja nicht was du für PNs hier im Forum verbreitest. Aber mal ganz ehrlich bei PFS geht es darum dass jemand den Internetverkehr über jahrzehte hinweg wegsepeichert und darauf hofft, dass irgen jemand mal die entsprechende symetrische Verschlüsslung knackt. (Nicht aber die assymetrische) Wenn der BND (Und der ist wohl der einzige mit den Kapazitäten für sowas.) in 20Jahren mein heutiges PW bekommt dann ist mir das ziemlich wurst. Auch meine PNs sind nicht wirklich privat sind in erster Linie sachen die halt im öffentlichen Bereich unerwüscht sind, weil das niemand interessiert.
Bei E-Mail oder Chat kann ich sowas verstehen aber hier im Forum... Das einzige private, dass es hier gibt sind die IP-Adressen und die bekommt man beim Ajhören ja sowieso frei haus. (bzw. bruacht sie um überhaupt abhören zu können.)
Bei E-Mail oder Chat kann ich sowas verstehen aber hier im Forum... Das einzige private, dass es hier gibt sind die IP-Adressen und die bekommt man beim Ajhören ja sowieso frei haus. (bzw. bruacht sie um überhaupt abhören zu können.)
rot: Moderator wanne spricht, default: User wanne spricht.
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
Eben,wanne hat geschrieben:Ich weiß ja nicht was du für PNs hier im Forum verbreitest.
Du solltest von Deinem Schutzbeduerfnis nicht auf jenes von anderen schließen.
Lt. Wikipedia ist der Overhead für PFS 15 % und die Einrichtung dauert keine 2 Minuten.
Ergo, überwas diskutieren wir überhaupt?
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
Die eigentlichen Problem an PFS sind:
a) Der zusätzliche Rechenaufwand. (Den können wir uns leisten.)
b) Es ist nicht direkt im TLS Standard. => Es so hinzubekommen das es interoperabel mit alle Browsern tut ist eben schwer. Das Problem haben wir hier eben mit den alten IEs.
Ansonstem muss ich eherlich sagen, dass ich die Gefahr auch einfach nicht so wirklich sehe.
Ich halte es für viel, viel warhscheinlicher, dass die asymetrische Crypto gebrochen wird, oder es andere aktive Angriffe auf TLS gibt als, dass irgend wann mal jemand billig RSA knackt.
Gerade wenn man bedenkt, dass es auf jeden Fall reicht ein paar von CACert zu bestechen, scheint mir die Variante mit RSA-Knacken einfach vergleichsweise klein.
a) Der zusätzliche Rechenaufwand. (Den können wir uns leisten.)
b) Es ist nicht direkt im TLS Standard. => Es so hinzubekommen das es interoperabel mit alle Browsern tut ist eben schwer. Das Problem haben wir hier eben mit den alten IEs.
Ansonstem muss ich eherlich sagen, dass ich die Gefahr auch einfach nicht so wirklich sehe.
Ich halte es für viel, viel warhscheinlicher, dass die asymetrische Crypto gebrochen wird, oder es andere aktive Angriffe auf TLS gibt als, dass irgend wann mal jemand billig RSA knackt.
Gerade wenn man bedenkt, dass es auf jeden Fall reicht ein paar von CACert zu bestechen, scheint mir die Variante mit RSA-Knacken einfach vergleichsweise klein.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
Zuletzt hat mir ein User Zugangsdaten für eine Maschine geschickt. Darauf habe ich keinen Einfluss – dennoch bin ich der Meinung, dass sowas nicht öffentlich einsehbar sein sollte.Ich weiß ja nicht was du für PNs hier im Forum verbreitest.
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
1. Die benutzen dann halt ihr kaputtes RC4, deren Problem (feltel hat es freundlicherweise an gelassen)b) Es ist nicht direkt im TLS Standard. => Es so hinzubekommen das es interoperabel mit alle Browsern tut ist eben schwer. Das Problem haben wir hier eben mit den alten IEs.
2. Wen interessiert schon alte, kaputte Software?
Unix is user-friendly; it's just picky about who its friends are.
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
Nein auch die bekommen saubere ungeknackte Crypto (RSA/3DES/SHA1).catdog2 hat geschrieben:1. Die benutzen dann halt ihr kaputtes RC4,
Aber die Keys für den 3DES werden ganz normal über RSA und nicht über DiffieHellman ausgetauscht.
EDIT: Ob SHA1 für Geheimdienste ein unüberwindbares Problem ist, ist fraglich. Wieviel das denen ohne 3DES zu knacken dann aber wirklich bringt weiß ich nicht. TLS ist so hässlich kompliziert, dass ich da nicht wirklich durchsteige.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
Halt ich habe nochmal nachgedacht. Ich habe in den ersten beiden posts müll erzählt.
PFS bringt genau dann was, wenn jemand nachträglich den RSA Teil entschlüsseln kann. Da es eher aufgrund der starken Verwandschaft sehr unwahrschinlich ist, dass RSA gebrochen wird, DH aber nicht (Ich glaube da gibt's einfache reduktionen in beide Richtungen.) ist das Szenario wovor es schützt, dass feltel irgend wann in Zukunft sein Zertifikat verschlickert. (Oder dazu überredet wird sein Cert zu verschlickern.) Es aber bis jetzt noch nicht kompromitiert ist.
Edit: Konnte feltel nicht schreiben.
PFS bringt genau dann was, wenn jemand nachträglich den RSA Teil entschlüsseln kann. Da es eher aufgrund der starken Verwandschaft sehr unwahrschinlich ist, dass RSA gebrochen wird, DH aber nicht (Ich glaube da gibt's einfache reduktionen in beide Richtungen.) ist das Szenario wovor es schützt, dass feltel irgend wann in Zukunft sein Zertifikat verschlickert. (Oder dazu überredet wird sein Cert zu verschlickern.) Es aber bis jetzt noch nicht kompromitiert ist.
Edit: Konnte feltel nicht schreiben.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
ja, das liegt am fehlenden FF 27. Calomel meldet dann "strong" mit 83%.dufty2 hat geschrieben:mein Calomel SSL Validation meldet für https://debianforum.de
Moderate (yellow 79%)
Wenn demnächst das Zertifikat erneuert werden soll, vielleicht kann man es etwas pimpen
Vielleicht liegts auch daran, dass ich noch kein Firefox resp. Iceweasel 27 (mit TLS 1.2) benutze.
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
Alte kaputte Software läuft in grossen alten kaputten Firmen. damit sie ihr selbst geschriebenes Legacy Gerümpel darstellen können. Aber bei einigermassen Security Bewusstsein lassen sie alte IE's dann in virtuellen Umgebungen laufen und verwenden zum browsen im Internet eine aktuelle Version von IE oder Firefox. Dabei ist FF 27 gerade mal Beta mit TLS 1.2. Hmpf.catdog2 hat geschrieben:1. Die benutzen dann halt ihr kaputtes RC4, deren Problem (feltel hat es freundlicherweise an gelassen)b) Es ist nicht direkt im TLS Standard. => Es so hinzubekommen das es interoperabel mit alle Browsern tut ist eben schwer. Das Problem haben wir hier eben mit den alten IEs.
2. Wen interessiert schon alte, kaputte Software?