AKTUALISIERT EURE ZERTIFIKATE !!!
Neulich beim Ändern des Passwortes zum Uni-Netz…
Neulich beim Ändern des Passwortes zum Uni-Netz…
Diese Sicherungsmitteilungen wurden ihnen präsentiert von … Firefox 3.0
Kategorie: Crypto
Schöne Sachen erleben mit Firefox und Windows…
Wow… heute, respektive seit gestern 19.00 Uhr (17.6.2008) ist endlich die neue Firefox-Version 3.0 auf dem Markt, und im Moment, fast 24 Stunden seit dem Start wurde es schon mehr als 7500000 mal runtergeladen. Nun, eines der neuen Features von dem neuen FF, ist der Phishing-Schutz, der direkt oben in der Addressleiste dem User anzeigt, ob die Seite auf der man ist, auch wirklich die Seite ist, für die man sie hält, d.h. z.B. wenn man Online-Einkäufe machen will oder Online-Banking, will man auch sicher gehen, dass das Geld auch wirklich da ankommt, wo es auch hingehört, und nich auf irgendwelchen russischen Mafia-Konten.
Das ganze funktioniert auf folgendem Prinzip… Es gibt auf der Welt verschiedene Zertifizierungsorganisationen, die dafür sorgen, dass man, wann immer seinen digitalen Fingerabdruck hinterlassen hat, auch wirklich verifizieren kann im nachhinein, dass der dazu passende Finger einem selbst gehört hat. Beispielsweise Verisign, Thawte oder CAcert.
Hier mal ein gutes Beispiel… Deutsche Bank zertifiziert bei VeriSign
Das ganze funktioniert auf folgendem Prinzip… Es gibt auf der Welt verschiedene Zertifizierungsorganisationen, die dafür sorgen, dass man, wann immer seinen digitalen Fingerabdruck hinterlassen hat, auch wirklich verifizieren kann im nachhinein, dass der dazu passende Finger einem selbst gehört hat. Beispielsweise Verisign, Thawte oder CAcert.
Hier mal ein gutes Beispiel… Deutsche Bank zertifiziert bei VeriSign
Sieht doch schon mal ganz gut aus… Komm ich allerdings an die Uni und will ins VPN Web. Dies sieht vorher erst mal so aus… 
So weit, so bekannt… Ins Internet kommt man über dieses Web-Interface… Da das ganze natürlich über ne sichere Verbindung laufen muss, muss man natürlich seinen Weg gehen über ein Web-Zertifikat… Doch… Bumm… Nix da… „Das Zertifikat auf dieser Seite ist abgelaufen“. Hö?
Nun, nach bisserl rumklicken hab ich die böse Phishing-Seite a.k.a. als Rechenzentrum der UdS mal akzeptiert, trotz dieses Zertifizierungs-GAUs. Dann hab ich mir das doch mal etwas näher anschauen müssen…
Oh oh…
Große Behörde… zertifiziere dich selbst…
Jetzt mag man sich fragen, woher denn das „Bumm“ vorhin gekommen ist… Ich vermute mal, da haut grad der coolste Prof Deutschlands (laut Bild) seinen Kopf gegen die Wand…
Ach ja… woher stammt dann nun das Firefox in der Überschrift… Nun ja…
erinnert ihr euch noch an den alten Vista-Beitrag? Nun… heute hat mein Vista mal gemeint, mal mit mir ein ernstes Wort reden zu müssen.
„Ihre Windows-Lizenz läuft in 13 Tagen ab“
ääääh… mooooooment… kurzer Blick bei google zeigte, dass das die Folgen von verfrühtem Downloades ist… Coitus Downloadimus würde der Lateiner womöglich sagen dazu… oder auch nich… egal…
Also… Idee… RC1 deinstallieren, und SP1 Final wieder drauf… es hat auch nur 3,5 Stunden gedauert bis das Teil fertig war… argh… verficktes Vista…
Ach ja… neuerdings will mein Vista um 23 Uhr abends hochfahren… aus irgendeinem mir nicht erfindlichen Grund… Wird mal so langsam echt Zeit das BS zu wechseln…
Hmmm… CRCA?
Ha… und ich kann doch Roller Coaster irgendwie mathematisch erzeugen…
…which we can show in terms of a game…
Tja… wie schon letzte Woche bin ich schon wieder im Crypto-Mode… und auch dieses Mal kommen richtig seltsame Gedanken auf… Nachdem wir ja schon den CRCA erfunden haben, kommt nun was neues hinzu… der 1-CTA… der Single-Chosen Topic Attack. Oh… was hat sich denn der Kai nur schon wieder ausgedacht. Also die Idee ist entstanden während der Mensa… Also… zum Background… es gibt mathematische Konzepte in der Kryptografie, die einem bei der Definition von Sicherheit von kryptografischen Systemen helfen. Dabei gibt es dann 2 Konzepte. Einerseits gibt es Pseudo-Random Function (PRFs) und Pseudo-Random Permutations. Eigentlich ne gute Idee und sehr ausreichend… Bis der Kai angefangen hat, sich einen PRLG aus zu denken… den Pseudo-Random-LaTeX-Generator. Ein Herausforderer für den PRLG sieht wie folgt aus. Ein Angreifer schickt ein Thema (Topic) zu dem PRLG. Dieser wählt ein beliebiges Bit b. Außerdem hat der PRLG eine Knowledge Base aus allen möglichen mathematischen Sätzen und den verschiedenen Beziehungen zwischen diesen Sätzen.
Bedingt von dem gewählten Bit b, erstellt der PRLG entweder ein korrekt formuliertes Skript (falls b = 0) oder es erstellt eine komplett willkürliche Ansammlung mathematischer Formeln und Texten zusammen (b=1). Dieses Skript wird dann dem Angreifer übermittelt und dieser versucht nun herauszufinden, ob das Skript nun wirklich passt oder ob da nur Mist drin steht. Man kann das ganze auch als eine Art umgekehrten Turing-Test auffassen, der überprüft, wie doof der User ist^^
… bzw. eine perfekte Möglichkeit, um sich Vorträge für die nächste Partie Powerpoint-Karaoke zu generieren…
Ach ja… man kann auch den Vorteil des Angreifers berechnen… je nach Annahme über den geistigen Zustand der User („Perfect Idiocy“)…
Ach ja… ich hasse Lernen für Mini-Quizzes…^^
Crypto – Done (Sort of) Right…
Nun ja… ich hör ja bekanntermaßen zum 2. Mal zur Zeit die Vorlesung Cryptography beim coolsten Prof Deutschlands (laut Bild-Zeitung). Wie immer werden dafür mittwochs regelmäßig Quizzes geschrieben. Wer mich näher kennt… Quizzes findet der Kai gar nich toll… Denn, der arme Kai sieht jedes einzelne Quiz als Prüfung über Leben und Tod an… Und dann fängt der Kai natürlich an alles zu lesen und und lernt was das zeug hält und so weiter und so fort. Nun, da ich die Vorlesung ja wie schon gesagt schon irgendwann mal gehört hab, kommt mir die ganze Veranstaltung so vor, wie wenn man im Kino sitzt und sich einen Film ansieht, den man schon mal vor 2 Wochen gesehen hast. So wie in 2 Wochen Indiana Jones und das Königreich des Kristallschädels z.B. Aber ich schweife ab. Der Kai ist wie gesagt mächtig am Lernen, als ihm da ein altes Buch in die Hand fällt…
„Angewandte Kryptographie“ von Wolfgang Ertel. Und da auf Seite 23 stand dann neben den üblichen Kryptografischen Angriffen noch das folgende:
Angriff mit Gewalt: Der Kryptanalytiker bedroht oder foltert eine Person mit Zugang zum Schlüssel.
sowie
Angriff mit gekauftem Schlüssel: Der Schlüssel wird mittels Bestechung „gekauft“.
Wow… Welch unerwartete Möglichkeiten. Angenommen ich hab da einen Typpie, der seine Festplatte mit eingebauter AES-Verschlüsselung mit irgendwelchen geheimen Daten gefüllt hat, die die nationale Sicherheit bedrohen, und aus irgendwelchen hanebüchenen Gründen (kann man sich ja immer noch ausdenken) muss gerade ich als lokaler Jack Bauer Ersatz herhalten und muss die geheimen Dateien entschlüsseln. Also ein Bruteforce Angriff kann etwas lang dauern… in etwa so lange wie das Universum existert. Aber es geht einfacher… viel einfacher… Mit Waterboarding zum Beispiel. Erstens im Vergleich zu üblichen Krypto-Verfahren deutlich schneller („Mama, ich brech da nen DES-Code in den kommenden 3 Tagen, bitte geh in den nächsten drei Tagen nicht zu WKW, das kann das Brechen verlangsamen. Währenddessen fahr ich mal nach London shoppen. Bis dann…“). Zweitens, man hat das Gefühl was geschafft zu haben, und zwar das physische Brechen des Opfers… ^^. Hey, und das liefert deutlich bessere Angriffsmöglichkeiten. Beispielsweise könnte man ja das Opfer auf die GeForce Achterbahn im Holidaypark ketten. Andererseits kann das wiederum dazu führen, dass die Opfer sich schnell an die 4.5 G-Kräfte gewöhnen, die auf den Körper wirken, wie man das bei diesen Kandidaten auf diesem Bild hier genau sehen kann. 
Deutlich zu erkennen ist hier der sehr gelangweilt aussehende Gesichtsausdruck der Probanten. Aber auch das Waterboarding kann so relativ simpel und einfach durchgeführt werden… Durch unendliches Donnerfluss-Fahren zum Beispiel. Hier ein erschreckendes Video, wie ein solcher Angriff aussehen könnte…
Was man doch alles mit einem Chosen-Roller-Coaster-Attack (CRCA) anstellen kann. Schockierend…
Ach ja… natürlich… was ich vergessen hab… Wenn man richtig viel Gewalt anwenden will, sollte man hier einen Blick drauf werfen… die Bruce Schneier Facts.