HTTPS gesetzlich erzwingen - bringt das etwas?
-
Mal angenommen, in der EU wird flächenddeckend durch ein Gesetz vorgeschrieben, dass
- Alle HTTP/HTTPS-Verbindungen durch HTTPEU ersetzt werden müssen, wobei HTTPEU ein sicheres HTTPS ist (ohne RC4, Mindestschlüsselänge, Perfect forward secrecy, etc).
- Alle Browser müssen HTTPEU erzwingen, in einer Übergangsphase wird HTTP und HTTPS geduldet, wenn der Browser die Adressleiste rot einfärbt und den User informiert, dass die Verbindung unsicher ist. Plugins, die diesen Hinweis entfernen sind nicht verboten, müssen aber vom User bewusst installiert werden.
- Wer eine eigene Domain hat, ist gezwungen, diese einer öffentlichen CA zukommen zu lassen, welche den Key kostenlos annehmen muss und einen Server bereitstellt, der diese ausliefert. Die öffentliche CA hat ihrerseits ein öffentliches Zertifikat, dessen Key in Brüssel analog ausgestellt wird (in einer schönen Statue o.Ä.). Wenn ich als User dieses Zertifikat kenne, bin ich vor Man-In-The-Middle-Attacken geschützt.
- Nationale Sicherheitsorganisationen stellen sicher, dass nirgendwo gefälschte Zertifikate im Umlauf sind (optional).
Ziel ist, sichere Verschlüsselung für DAUs zu ermöglichen. Es macht für die NSA keinen Sinn mehr, den Netzverkehr zu überwachen. Klar, die Endpoints sind genauso unsicher wie vorher, aber wenigstens ist ein Glied abgesichert. Der Aufwand für die NSA wird dadurch hoffentlich um einiges grösser.
Würde das etwas bringen oder sorgt das nur für zusätzlichen Netzverkehr?
-
httpseverywhere schrieb:
Würde das etwas bringen
Nein, würde nichts bringen.
-
Und dann geht Mutti Angela zu Papa Barack und überreicht ihm den Master-Schlüssel auf dem Servierteller.
-
Shade Of Mine schrieb:
httpseverywhere schrieb:
Würde das etwas bringen
Nein, würde nichts bringen.
Ich bin sicher, das Konsortium aus Telekom, Vattenfall und AVM freut sich über die gestiegene Netz- und Stromlast, die es für seine kleine Zuwendung an die EU-Komission erhält.
-
Shade Of Mine schrieb:
httpseverywhere schrieb:
Würde das etwas bringen
Nein, würde nichts bringen.
Begründung?
Ich finde, es macht schon einen Unterschied, ob die NSA den Netzverkehr mitlesen kann oder nicht.
-
httpseverywhere schrieb:
Ich finde, es macht schon einen Unterschied, ob die NSA den Netzverkehr mitlesen kann oder nicht.
Könnte sie doch trotzdem noch, wenn sie wollte. Braucht sie aber gar nicht.
-
Weiters gehst du davon aus dass die NSA die einzigen sind - was ziemlich falsch und furchtbar naiv ist.
-
SeppJ schrieb:
Könnte sie doch trotzdem noch, wenn sie wollte.
Ja, aber nur in Ausnahmefällen. Nicht als Massenüberwachung
SeppJ schrieb:
Braucht sie aber gar nicht.
Nicht so einfach. Die Daten per Internet zu übertragen liegt kapazitätmässig nicht drin. Regelmässige Lastwagentransporte mit Festplatten sind teuer und schwer geheimzuhalten.
Deshalb kriegt die NSA zwar Infos, aber nur auf (automatische) Anfrage, das taugt nicht zur Massenüberwachung.
Shade Of Mine schrieb:
Weiters gehst du davon aus dass die NSA die einzigen sind - was ziemlich falsch und furchtbar naiv ist.
Richtig, aber die NSA ist das grösste Übel. Europa ist unfähig (bis auf England, das ein Sklave der NSA ist) und gegen China funktioniert das genauso. Selbst wenn Europa weniger unfähig wäre, würde die Verschlüsselung etwas nützen.
-
httpseverywhere schrieb:
Shade Of Mine schrieb:
Weiters gehst du davon aus dass die NSA die einzigen sind - was ziemlich falsch und furchtbar naiv ist.
Richtig, aber die NSA ist das grösste Übel. Europa ist unfähig (bis auf England, das ein Sklave der NSA ist) und gegen China funktioniert das genauso. Selbst wenn Europa weniger unfähig wäre, würde die Verschlüsselung etwas nützen.
Das ist falsch und naiv. Nur weil Europa unfaehig ist entscheidungen zu faellen sind noch lange nicht die Geheimdienste unfaehig. Die Englaender und Franzosen sind enorm weit was die Ueberwachung betrifft - die sind allgemein weiter im Ausbau der Infrastruktur als die NSA.
PS:
wer glaubst du macht die Ueberwachung auf deutschem Boden denn? Das ist zu einem grossen Teil der BND der die Daten an die NSA weiter gibt - die NSA muss garnicht selber ueberwachen. Ist viel simpler wenn das der lokale Staat macht der die Firmen kontrollieren kann. Deshalb haengt auch der BND auf den deutschen IX und nicht die NSA
-
httpseverywhere schrieb:
SeppJ schrieb:
Braucht sie aber gar nicht.
Nicht so einfach. Die Daten per Internet zu übertragen liegt kapazitätmässig nicht drin. Regelmässige Lastwagentransporte mit Festplatten sind teuer und schwer geheimzuhalten.
Deshalb kriegt die NSA zwar Infos, aber nur auf (automatische) Anfrage, das taugt nicht zur Massenüberwachung.
Wenn du wirklich glaubst, dass das so abgehen würde/geht, dann hast du nichts verstanden.
-
Alles viel zu kompliziert.
Machen wir es einfach wie im alten Rom. Mit Boten - und der Überbringer der schlechten Nachricht wird eben abgemurkst. Klingt ziemlich sicher und zuverlässig.
-
Shade Of Mine schrieb:
Das ist falsch und naiv. Nur weil Europa unfaehig ist entscheidungen zu faellen sind noch lange nicht die Geheimdienste unfaehig. Die Englaender und Franzosen sind enorm weit was die Ueberwachung betrifft - die sind allgemein weiter im Ausbau der Infrastruktur als die NSA.
Gut, du hast recht. Die europäischen Geheimdienste könnten noch Man-in-the-Middle-Attacken durchführen.
Ich bezweifle aber, dass das in grossem Masstab möglich ist, wenn es schon eine Herausforderung ist, den Traffic überhaupt mitzuschneiden.
SeppJ schrieb:
Deshalb kriegt die NSA zwar Infos, aber nur auf (automatische) Anfrage, das taugt nicht zur Massenüberwachung.
Wenn du wirklich glaubst, dass das so abgehen würde/geht, dann hast du nichts verstanden.
Erklärung/Link?
-
Wenn ich sowieso schon Tools hab um SSL/TLS abzufangen und zu entschlüsseln - was wollt ihr Anfänger dann noch?
Ixh bin nicht man-in-the-middle, ich bin man-in-the-front. :p
-
httpseverywhere schrieb:
SeppJ schrieb:
Deshalb kriegt die NSA zwar Infos, aber nur auf (automatische) Anfrage, das taugt nicht zur Massenüberwachung.
Wenn du wirklich glaubst, dass das so abgehen würde/geht, dann hast du nichts verstanden.
Erklärung/Link?
Die NSA kann alles und macht alles was nötig ist, um an Infos zu kommen. Neben dem Schlüssel den sie bekommt, kann die NSA auch Verschlüsselungen selber knacken und https ist leider sowas von nutzlos - zumindest, wenn du dich mit der NSA anlegst.
Davon abgesehen, was nützt mir ne verschlüsselung, wenn jemand die Daten VOR der verschlüsselung abgreift. Bsp Skype - ist verschlüsselt und die Quellen TKU des Rechts und verfassungswidrigen Staatstrojaners greift deine Daten vorher ab, bevor sie verschlüsselt wurden.
Und warum lese ich überall nur NSA? Die Briten sitzen im Boot und die werden zuoft gar nicht erwähnt. Die Briten sitzen ebenso wie die Amis mitten in DE und können Daten direkt an der Datenautobahn abgreifen.
Warum wird Glasfaser in Britische Kasernen in DE verlegt, deren Bauvorhaben nirgends nachzulesen sind?
Dazu kommt der BND der Abhöranlagen von den Amis übernommen hat - bei manchen fehlt noch das Bewusstsein, das die NSA nur ein Teil des Problems ist.
Du willst dich mit Tor verstecken? Prima, ist schon unterwandert.
http://www.heise.de/newsticker/meldung/Botnet-loest-Nutzer-Explosion-im-Tor-Netz-aus-1952453.htmlWenn du glaubst, es werden HDD mit dem LKW transportiert, wie naiv bist du? Selbst wenn, werden wir es nicht mitbekommen, wenn LKW's mit HDD rumkutschieren.
Zuerst sagt er, er wolle neue Gesetzliche Regelungen bezüglich NSA und jetzt das.
http://www.heise.de/newsticker/meldung/Obama-Regierung-erweiterte-wohl-die-Befugnisse-der-NSA-1952551.htmlNichts ist sicher:
http://www.heise.de/newsticker/meldung/NSA-hat-angeblich-Infrastruktur-von-Google-und-SWIFT-gehackt-1952344.html
-
@raptor49 Ja, Daten an der Qulle abgreifen geht immer. Aber es ist viel offensichtlicher und die Wahrscheinlichkeit, dass das heraus kommt ist höher. Deswegen bevorzugen alle Geheimdienste den Zugriff auf die Datenlitungen, eben weil dort die Gefahr geringer ist, beim Mitschnidn ertappt zu werden.
-
otze schrieb:
@raptor49 Ja, Daten an der Qulle abgreifen geht immer. Aber es ist viel offensichtlicher und die Wahrscheinlichkeit, dass das heraus kommt ist höher. Deswegen bevorzugen alle Geheimdienste den Zugriff auf die Datenlitungen, eben weil dort die Gefahr geringer ist, beim Mitschnidn ertappt zu werden.
Äh, nein.
Du gehst einfach zu dem Unternehmen hin, zB Google und sagst: wir wollen live Zugriff auf alle Gmail Accounts haben und BÄMM du hast live Zugriff auf alle gmail Accounts.
Das ist viel simpler und sicherer als sich irgendwo an Backbones zu hängen.
Natürlich mag man auch an Backbones hängen um herauszufinden wie der Traffic verläuft, aber das ist generell nur für Statistik interessant. Zur Profilerstellung und direkten Keywort Überwachung tut man das lieber genau dort wo die Daten generiert werden - sprich bei Facebook, Twitter, Google, Microsoft, etc. Denn diese haben die Daten ja vorliegen.
-
Und der Zertifikatsersteller und -hüter ist die EU. Da Du dem Deutschen Staat und der EU voll vertraust.
Die Überwachung findet in jedem Staat statt, die wollen uns nur für dumm verkaufen wenn gesagt wird das andere Staaten sich an unseren Datenschutz halten sollen. In Wirklichkeit werden alle möglichen Daten getauscht. Selbst Deutsche Institutionen geben die Daten ungefragt weiter, wie zum Beispiel das Arbeitsamt. Wenn Du dich arbeitslos meldest werden die Daten an dubiose Leiharbeitsfirmen gegeben die Dich dann anrufen und sagen sie hätten die Daten von der Agentur für Arbeit. Die Post verkauft an Werbetreibende. Woher kommen Standortinformationen auf verschiedenen Webseiten die deinen Benutzerstandort lokalisieren (wollen)? Vom Provider gekauft! So kann man 'lokale Werbung' schalten. Innerhalb des Providernetzwerks kann man den Benutzer nicht lokalisieren, nur bis zum Knotenpunkt. Das nimmt kein Ende. Der Staat gibt einem anderen Staat und bekommt dafür auch, so ist das.
Lustig finde ich Frau Merkel die sagt wir brauchen einen Europäischen Routerhersteller damit die Anfragen nicht ausserhalb Europas geroutet werden. LOL.
Ein Chinesischer Router routet nach China, der Amerikanische nach Amerika. Was für ein nonsens. Volksverdummung.Wenn Du verschlüsselte Verbindung haben willst musst du demjenigen der die Schlüssel rausgibt auch vertrauen, ansonsten wiegst Du dich in Sicherheit und das ist schlimmer als wenn Du weisst das so ist.
-
Shade Of Mine schrieb:
Du gehst einfach zu dem Unternehmen hin, zB Google und sagst: wir wollen live Zugriff auf alle Gmail Accounts haben und BÄMM du hast live Zugriff auf alle gmail Accounts.
Was nützt dir ein live-Zugriff, wenn die Verbindung lahm ist? Genau 2000 wird das pro Monat voll ausgenutzt. Das ist (noch) keine Massenüberwachung.
raptor49 schrieb:
Die NSA kann alles und macht alles was nötig ist, um an Infos zu kommen. Neben dem Schlüssel den sie bekommt, kann die NSA auch Verschlüsselungen selber knacken und https ist leider sowas von nutzlos - zumindest, wenn du dich mit der NSA anlegst.
Den Schlüssel bekommt sie zwar, aber der ist nutzlos, wenn perfect forward secrecy verwendet wird.
Ob sie Verschlüsselungen knacken kann ... vielleicht RC4, aber gute Verschlüsselungen mit langen Schlüsseln sind unknackbar.
-
httpseverywhere schrieb:
unknackbar
Das spricht nun wirklich von Ahnungslosigkeit, nichts ist unknackbar, lediglich die Verhältnismässigkeit spielt eine Rolle.
Und die Verfahren zur Primzahlfaktorisierung werden sich verbessern.
-
plusside schrieb:
httpseverywhere schrieb:
unknackbar
Das spricht nun wirklich von Ahnungslosigkeit, nichts ist unknackbar, lediglich die Verhältnismässigkeit spielt eine Rolle.
Und die Verfahren zur Primzahlfaktorisierung werden sich verbessern.One-Time-Pads sind unknackbar.
