Web-Sicherheit: X.509 PKI wird kompromittiert

Public Key Infrastructure - klingt nach Großprojekten für Unternehmen, aber tatsächlich fußt die Sicherheit des Internet auf eine solche PKI. Sobald man mit seinem Browser auf eine Login-Seite eines Webdienstes geht, sollte SSL/TLS im Spiel sein und damit auch eine PKI nach dem Standard X.509. Denn jeder Webbrowser kommt mit einer Reihe von Zertifikaten von so genannten Zertifizierungsstellen (Certificate Authority) wie Verisign, an Hand derer der Browser dann feststellen soll, ob einer verschlüsselte Verbindung zu einer Website wie beispielsweise Facebook oder PayPal vertraut werden kann.

Bisher vertraut man als Anwender in solchen Fällen seinem Browser. Solange der bei einer verschlüsslten Verbindung nicht meckert, geht man davon aus, das alles seine Richtigkeit hat. Das macht es wiederum für Angreifer interessant. Und anscheinend sind Angreifer recht erfolgreich in diesem Bereich. Peter Gutmann hat ein paar besonders erschreckende Fälle in einem Posting zusammen getragen, unter anderem hat jemand für $100 ein Zertifikat erhalten, das ihn als den Inhaber der Domain apple.com und aller Subdomains ausweist.

X.509 kommt übrigens auch bei der Verschlüsselung von E-Mails im Unternehmensumfeld zum Einsatz (S/MIME). Bei OpenPGP und dem Web of Trust hat man diese Probleme prinzipbedingt nicht.

[via fefe]

E-Learning-Blog: 

Neuen Kommentar schreiben