Erst HEARTBLEED dann POODLE und nun FREAK

Die Entdecker von Sicherheitslücken in der SSL / TLS Bibliothek sind auch besonders einfallsreich im Benennen von Sicherheitslücken. Die aktuelle Lücke, in der ein uralter Export Schlüssel mit 512 Bit verwendet, wird FREAK genannt. Wer mal seinen Server mit Zertifikat von außen testen lassen möchte, kann dies hier tun.

HTTP 2.0 – Mit MITM Proxy der Geheimdienste

Jahrelang wurde uns eingebläut verschlüsselte Verbindungen zu nutzen. Auch bekannt als https:// Dann kam vor einigen Jahren ein Problem mit Diginotar, einer zentralen Zertifikatsstelle, zu Tage die einfach mal für Zweitzertifikate ausgestellt haben.
Dann wurde uns allen durch den Snowden Skandal bewusst, dass die schlimmsten Befürchtungen aller Nerds wahr wurden und die NSA tatsächlich alles überwacht und für später wegspeichert.

Die IETF hat nun einen Vorschlag namens „Explicit Trusted Proxy in HTTP/2.0“ erarbeitet um mal eben einen vertrauensvollen Proxy zu ermöglichen, der mal eben alle https Verbindungen aufmacht und reinschaut. Man könnte fast meinen, die IETF (also die Internet Engineering Task Force und damit die Urväter des Internets) hat sich von DE-Mail beeindrucken lassen. Da gibt es schließlich auch End-to-End Krypto. Doch natürlich muss der Provider ja auf dem Weg der Zustellung nochmal eben die Mail direkt entschlüsseln und auf Viren und Spam überprüfen. Das Absurde an dieser Idee bei DE-Mail ist:
– DE-Mail Benutzer müssen sich bei der Anmeldung mit Ausweis vollständig legitimieren. –> Der Virenversender ist also sofort greifbar und kann sehr schnell gefasst werden.
– Jede DE-Mail kostet richtig Geld. –> Tausende Spammails werden dem Versender also richtig viel Geld kosten.

Beide Gründe dürften davor sorgen, dass Spam und Viren über DE-Mails niemals verschickt werden.

Wenn nun IETF also einen Standard über einen vertrauenswürdigen Proxy erarbeitet haben die Geheimdienste sogar noch einen eigenen offiziellen Standard dafür wie man jede Verschlüsselung aushebeln kann.

Lauren Weinstein schreibt in seinem Blog wirklich treffend:

So this dandy proposal offers a dandy solution: „Trusted proxies“ — or, to be more straightforward in the terminology, „man-in-the-middle attack“ proxies. Oh what fun.

The technical details get very complicated very quickly, but what it all amounts to is simple enough. The proposal expects Internet users to provide „informed consent“ that they „trust“ intermediate sites (e.g. Verizon, AT&T, etc.) to decode their encrypted data, process it in some manner for „presumably“ innocent purposes, re-encrypt it, then pass the re-encrypted data along to its original destination.

Chomping at the bit to sign up for this baby? No? Good for you!

Ironically, in the early days of cell phone data, when full capability mobile browsers weren’t yet available, it was common practice to „proxy“ so-called „secure“ connections in this manner. A great deal of effort went into closing this security hole by enabling true end-to-end mobile crypto.

Now it appears to be full steam ahead back to even worse bad old days!

Und abschließend:

I’m sorry gang, no matter how much lipstick you smear on this particular pig — it’s still a pig.

The concept of „trusted proxies“ as proposed is inherently untrustworthy, especially in this post-Snowden era.

And that’s a fact that you really can trust.

Sollte die IETF wirklich auch noch https aushebeln wollen kann man das Internet so langsam echt vergessen. Denn dann kann wirklich jeder alles mitlesen.