Sicherheit in GLF und Internet - Wichtig für neue User!
Antworten
Benutzeravatar
Lolimat
Beiträge: 1497
Registriert: 04.07.2010, 14:37
AoA: 7-12 ungefähr

HTTPS - Welchen Fingerabdruck habt ihr?

Beitrag von Lolimat »

Bei mir ist es dieser:

SHA-1: 85 FD A3 07 04 BE 96 C2 DE 61 79 9C D7 88 1B 1E 38 42 84 F5


Und was soll das?

Hier im Sichergeitsforum gab es mal eine Diskussion über die Vor- und Nachteile der verschlüsselten Verbindungen (https) zum GLF.
Dabei hat Ovid sehr richtig darauf hingewiesen, dass bei selbst ausgestellten Zertifikaten - wie beim GLF der Fall - die Möglichkeit eines Man-in-the-Middle-Angriffs besteht. Und um diesem vorzubeugen muß man den Fingerprint des benutzten Zertifikates vergleichen.
Der Man-in-the-middle-Angriff läuft ganz grob so ab:
Ich möchte gerne eine verschlüsselte https-Verbindung zum GLF aufbauen und tippe in der Browser-Adresszeile "https://www.girlloverforum.net". Der GLF-Server schickt mir nun sein Zertifikat, das ich für die Verschlüsselung benötige. Leider läuft aber meine Verbindung zum GLF über den Rechner eines Angreifers, der mitliest ohne das ich etwas davon bemerke. Der Angreifer erhält nun das GLF-Zertifikat, aber anstatt es an mich durchzureichen, schickt er mir seins, das er (genauso wie die Admins des GLFs) selbst ausgestellt hat. Ich bemerke davon nichts und verschlüssele nun meinen Internet-Traffic zum GLF mit dem Zertifikat des Angreifers. Dieser entschlüsselt, liest frech mit und leitet die Daten nun ans GLF. Die Daten, die vom GLF zurückkommen liest der Angreifer wieder mit, verschlüsselt dann alles mit seinem Zertifikat und leitet es an mich. Ich entschlüssele die Daten vom GLF und finde mich total cool, weil ich jetzt ultra-privat mit dem GLF kommuniziere.

Würde ich jedoch das echte Zertifikat des GLF kennen, würde ich erkennen, dass es nicht das selbe ist, wie das welches ich grade benutze (es gehört ja dem Angreifer), wäre alamiert und würde mich nicht im Forum einloggen.

Aber selbst wenn ich das Zertifikat kennen würde, wäre es recht mühsam, die langen Zahlenkolonnen mit einander zu vergleichen. Deshalb kann man mit einer mathematischen Funktion eine Art Fingerabdruck davon errechnen, welcher schon viel besser zu Vergleichen geht. Mein Browser benutzt dazu die Funktion "SHA-1" und oben steht der Fingerabdruck des Zertifikates, von dem ich hoffe, dass es das echte GLF-Zertifikat ist.

Ihr könnt es leicht bei euch nachsehen (sollte bei allen Browsern ähnlich sein):
Klickt in Firefox auf das kleine Schloss links in der Adresszeile. Dann auf "Weitere Informationen" > Sicherheit > Zertifikat anzeigen
Unten stehen dann die Fingerabdrücke zweier sog. mathematischer Hash-Funktionen, von denen man dann aber nur eine zu vergleichen braucht. Ich nehme SHA-1 weil sicherer.

Habt ihr nun den selben Fingerabdruck?

... und sie sah die Welt nicht so wie sie war, sondern wie sie sein könnte. aus Cinderella

TorChat: klick auf Profil.
Benutzeravatar
Ovid
Beiträge: 9521
Registriert: 09.10.2008, 20:26
Wohnort: ricochet:y3oy6i4ubgu4b2pd

Re: HTTPS - Welchen Fingerabdruck habt ihr?

Beitrag von Ovid »

Auf den Fingerabdruck zu achten, ist eine gute Idee und ich habe das auch seit längerem im Blick.

Ich kontrolliere jeweils aber immer nur 2 ausgesuchte Bytes an verschiedenen Stellen und zwar bei beiden Hashes (SHA1 und MD5) jeweils.
Ich hätte keine Lust jedes Mal den ganzen Hash zu vergleichen, und das ist denke ich mal unnötig. Keiner wird ausgerechnet eine Kollision für beide Hashes errechnen können, die zufällig auch meine 4 ausgesuchten Bytes bei beiden Hashes treffen würden.
Das ist extreeeeem unwahrscheinlich.

Und ja, Lolimat. Der stimmt überein.
(Natürlich könnte es aber sogar sein, dass der Angreifer aber auch den Fingerabdruck in den Beiträgen selbst ersetzt als Man-in-the-Middle)

Deswegen bestätige ich noch einmal anders: Der Fingerabdruck beginnt mit Accchtt-Fünfff und endet mit efFF Fünnff.
Schnell! Bevor der Angreifer auch diesen Inhalt substituiert. :lol:

Wer also nicht ständig den ganzen Hash vergleichen will, sucht sich an bestimmten Stellen einfach ein paar Bytes aus und merkt sich die.
Wenn man das GLF dann schon sehr oft aufgerufen hat, dann lohnt sich das auch.
Man muss ja sowieso jedes mal beim Firefox diese "Ausnahme"-Prozedur durchgehen.

Wovor schützt das? Besonders bei TOR-Usern vor Exitnodes, die eben edes Öfteren mal MitM-Attacken ausführen. Oder selbst vor einem bösen Internet-Provider.

Behörden würden allerdings wohl einfach direkt am physikalischen Server des GLF direkt abhören. Davor schützt das natürlich nicht. Deswegen: Das Passwort im GLF nirgendwo wiederverwenden und es sollte auch ganz anders sein, als bei anderen Diensten, die man nutzt!
Außer dem Passwort gibt es aber wohl auch nicht viel zu holen. Denn im GLF gibt es ja keine PNs und alle Nachrichten sind öffentlich (außer Mod-Bereich oder so).
Benutzeravatar
Horizonzero
Beiträge: 13321
Registriert: 29.01.2009, 18:08
AoA: ab 8 aufwärts
Wohnort: [email protected]

Re: HTTPS - Welchen Fingerabdruck habt ihr?

Beitrag von Horizonzero »

ein biserl Paranoia soll ja gesund sein - hab ich mir sagen lassen ...

Also, das SSL Zertifikat wird vom PGB Techniker gebastelt, der den Admins des GLF und auch vielen von Euch persönlich bekannt ist.

Zusätzlich kommt noch hinzu das außer den Admins kein Nutzer direkten Zugriff auf den Server hat - und im Gegensatz zu früher kaum noch Ausfälle zu verzeichnen sind.
679KCNGQQ (Teleguard)
Benutzeravatar
Annika
Beiträge: 4493
Registriert: 08.10.2008, 21:38
AoA: 90's bitch
Wohnort: Kein Busen ist so flach wie das Niveau dieser Party!

Re: HTTPS - Welchen Fingerabdruck habt ihr?

Beitrag von Annika »

Ovid? Ich dachte das war meine Idee ;)
@Threadersteller
Woher weisst Du, dass die Schnüffler nicht Deinen Post in Echtzeit geändert haben und alle Mitglieder die gefälschte Signatur sehen? Und nur Du Deine eigene Signatur liesst?

Für meinen Perso hab ich mir den Abdruck von Schäuble besorgt
Dumm fickt gut. Noch Fragen ??
Benutzeravatar
Ovid
Beiträge: 9521
Registriert: 09.10.2008, 20:26
Wohnort: ricochet:y3oy6i4ubgu4b2pd

Re: HTTPS - Welchen Fingerabdruck habt ihr?

Beitrag von Ovid »

Annika hat geschrieben:Ovid? Ich dachte das war meine Idee ;)
Oder Permas?

https://www.girlloverforum.net/forum/vi ... 56#p256356
Annika hat geschrieben: Woher weisst Du, dass die Schnüffler nicht Deinen Post in Echtzeit geändert haben und alle Mitglieder die gefälschte Signatur sehen? Und nur Du Deine eigene Signatur liesst?
Ich dachte das war meine Idee. :lol:
Ovid hat geschrieben: (Natürlich könnte es aber sogar sein, dass der Angreifer aber auch den Fingerabdruck in den Beiträgen selbst ersetzt als Man-in-the-Middle)

Deswegen bestätige ich noch einmal anders: Der Fingerabdruck beginnt mit Accchtt-Fünfff und endet mit efFF Fünnff.
Schnell! Bevor der Angreifer auch diesen Inhalt substituiert.
Aber noch einmal kurz, was SSL leistet und nicht leistet.
- Man ist damit nicht anonym.
- Die Kommunikation, also auch die Beiträge, die man sendet, sind zwar verschlüsselt, aber danach sowieso alle öffentlich lesbar
- Es ist also in diesem Fall hier für das GLF sinnvoll um das Passwort vor dem Abhorchen einer mittleren Instanz (z.B. Tor-Exits) zu schützen. Ist man dagegen selbst kompromittiert oder der Server, bringt das natürlich nichts.
Benutzeravatar
Annika
Beiträge: 4493
Registriert: 08.10.2008, 21:38
AoA: 90's bitch
Wohnort: Kein Busen ist so flach wie das Niveau dieser Party!

Re: HTTPS - Welchen Fingerabdruck habt ihr?

Beitrag von Annika »

Ovid postet Fisching Urls !! ;)

ich hab das übrigens schon 2011 erörtert

Da macht sich doch altbewährte Verschlüsselung bewährt: Wer Ohren hat der möge hören: Der Anfang meiner ID ist der 8. Tag nachdem der Wolf seine Stimme erhebt. Die 2. Stelle folgt dem Rufe des ...
Dumm fickt gut. Noch Fragen ??
Benutzeravatar
cortejador
Beiträge: 5442
Registriert: 25.11.2008, 00:53
Wohnort: in der Vorstufe zum Paradies

Re: HTTPS - Welchen Fingerabdruck habt ihr?

Beitrag von cortejador »

Annika hat geschrieben:Wer Ohren hat der möge hören:
WAS WILLST DU DENN EIGENTLICH SAGEN?

Ich glaube gar nichts.
Ich habe dir viele Gelegenheiten gegeben, aber von dir kam nichts.

NICHTS, kam von dir.
Benutzeravatar
Lolimat
Beiträge: 1497
Registriert: 04.07.2010, 14:37
AoA: 7-12 ungefähr

Re: HTTPS - Welchen Fingerabdruck habt ihr?

Beitrag von Lolimat »

cortejador hat geschrieben: WAS WILLST DU DENN EIGENTLICH SAGEN?

NICHTS, kam von dir.
Das stimmt für mich aber nicht. Er will damit sagen, dass Man-in-the-middle-Angreifer nicht nur Zertifikate austauschen können, sondern auch Inhalte.
Nur weil ich hier sehe, dass mein geposteter Fingerprint im GLF richtig dargestellt wird, heisst das noch lange nicht, dass er auch wirklich da ist.
Um es einem solchen Angreifer schwerer zu machen, die Inhalte in kürzester Zeit (Zeit des Seitenladens) zu ändern, könnte man Ovids einfache verbale Methode wählen ("Eff, Fünf..."). Aber auch das ließe sich noch recht einfach manipulieren. Halbwegs manipulationssicher wird es erst, wenn man vom Angreifer echte Intelligenz abverlangt, indem man die Daten abstrakt kodiert, so wie Annika das demonstriert hat.
corte, hoffe ich konnte helfen.

Schöne Theorie übrigens, macht Spass das gedanklich ein wenig durchzugehen. Für die Praxis reicht es mir jedoch vollkommen, meinen Fingerprint hier dargestellt zu sehen und Ovids Bestätigung dazu zu lesen.
Für eine weitere Bestätigung wäre ich jedoch sehr dankbar, schließlich kann ich nicht wissen, ob Ovid eigentlich echt ist oder ein NSA-Bot.

... und sie sah die Welt nicht so wie sie war, sondern wie sie sein könnte. aus Cinderella

TorChat: klick auf Profil.
Benutzeravatar
YoungLover
Beiträge: 1295
Registriert: 01.04.2013, 02:09
AoA: 4 - 11

Re: HTTPS - Welchen Fingerabdruck habt ihr?

Beitrag von YoungLover »

Lolimat hat geschrieben:Für eine weitere Bestätigung wäre ich jedoch sehr dankbar, [...]
Mein Fingerprint beginnt damit, dass man von hundert-und-eins Dalmatiner Sechzehn Stück subtrahiert und den Abdruck dann mit dem "Refresh"-Button beendet! ;)
Benutzeravatar
cortejador
Beiträge: 5442
Registriert: 25.11.2008, 00:53
Wohnort: in der Vorstufe zum Paradies

Re: HTTPS - Welchen Fingerabdruck habt ihr?

Beitrag von cortejador »

@Lolimat:
Danke, lieber Lolimat und YL, aber soweit hatte ich garnicht gedacht.
Ich bin zwar nur Netzwerkadministrator, habe aber von technischen Dingen eigentlich keine Ahnung (bitte nicht weitersagen).
Ich wollte nur von Annika etwas mehr hören, was in irgendwie an menschliche Gefühle erinnern könnte, und das tue ich an jeder Stelle!

corte
Benutzeravatar
Lolimat
Beiträge: 1497
Registriert: 04.07.2010, 14:37
AoA: 7-12 ungefähr

Re: HTTPS - Welchen Fingerabdruck habt ihr?

Beitrag von Lolimat »

YoungLover hat geschrieben: Mein Fingerprint beginnt damit, dass man von hundert-und-eins Dalmatiner Sechzehn Stück subtrahiert und den Abdruck dann mit dem "Refresh"-Button beendet! ;)
Unknackbar! :D


corte, ja an verborgenes kommt man nicht so leicht heran, wenn überhaupt.

... und sie sah die Welt nicht so wie sie war, sondern wie sie sein könnte. aus Cinderella

TorChat: klick auf Profil.
Benutzeravatar
Annika
Beiträge: 4493
Registriert: 08.10.2008, 21:38
AoA: 90's bitch
Wohnort: Kein Busen ist so flach wie das Niveau dieser Party!

Re: HTTPS - Welchen Fingerabdruck habt ihr?

Beitrag von Annika »

cortejador hat geschrieben:@Lolimat:
Danke, lieber Lolimat und YL, aber soweit hatte ich garnicht gedacht.
corte
Davon ging ich auch gar nicht aus

dass ich Dir seit 2007 nicht geantwortet habe lag daran, dass beim GLF-Bust alle PMs gelöscht wurden. Aus und weg
Dumm fickt gut. Noch Fragen ??
Antworten