To give you the best possible experience, this site uses cookies. Review our Privacy Policy and Terms of Service to learn more. Verstanden!
Artwork

Technologie Stefan Majewsky Xyrillian Noises
Inhalt bereitgestellt von Stefan Majewsky and Xyrillian Noises. Alle Podcast-Inhalte, einschließlich Episoden, Grafiken und Podcast-Beschreibungen, werden direkt von Stefan Majewsky and Xyrillian Noises oder seinem Podcast-Plattformpartner hochgeladen und bereitgestellt. Wenn Sie glauben, dass jemand Ihr urheberrechtlich geschütztes Werk ohne Ihre Erlaubnis nutzt, können Sie dem hier beschriebenen Verfahren folgen https://de.player.fm/legal.

Ähnelt Schlüsseltechnologie

Player FM - Podcast-App
Gehen Sie mit der App Player FM offline!
Get it on App Store Get it on Google Play

Schlüsseltechnologie »
STP054: TLS als Ganzes

54:43
 
Abspielen
Abspielen
Teilen
 

OPUSEpisode-Home
Manage episode 414599114 series 2920733
Inhalt bereitgestellt von Stefan Majewsky and Xyrillian Noises. Alle Podcast-Inhalte, einschließlich Episoden, Grafiken und Podcast-Beschreibungen, werden direkt von Stefan Majewsky and Xyrillian Noises oder seinem Podcast-Plattformpartner hochgeladen und bereitgestellt. Wenn Sie glauben, dass jemand Ihr urheberrechtlich geschütztes Werk ohne Ihre Erlaubnis nutzt, können Sie dem hier beschriebenen Verfahren folgen https://de.player.fm/legal.

Nach unserem kleinen Ausflug in fremdes Fach kehren wir heute zurück zu TLS. Dabei soll es diesmal mehr um einen Blick aufs Ganze gehen – und um die Identität der Entität.

Shownotes

Feedback per Mail:

Bei ca. 8 Minuten sagst du, das ein 64-Bit-Prozessor eine Adressbreite von 64 Bit hat, 32 Bit etc. analog. Das stimmt so nicht. Die Zahl gibt die Datenbreite an, nicht die Adressbreite (und damit auch die Registerbreite). Ein aktueller 64 Bit amd64 Prozessor kann max. 48 Bit adressieren (siehe /proc/cpuinfo, bzw. die Länge deiner Adressen in der maps Ausgabe). Der 286er konnte 20 bit Adressbreite, obwohl es ein 16-Bit-Prozessor war – Ich weiss nicht, ob du die Rumfummelei mit den Segmentregistern noch machen musstest. ;) Bei den 32-Bit-Prozessoren hat es übereingestimmt.

Ca 14 Minuten: Das Programm muss nicht komplett im Speicher liegen, sondern nur Teil, der abgearbeitet wird. Heute eventuell unüblich, aber früher war es durchaus so, das Programmteile während der Ausführung nachgeladen wurden und dann andere, gerade nicht benutzte Programmteile ersetzt haben.

Bei den 8-Bit-Spielekonsolen teilweise mit per Software umschaltbaren Speicherseiten des Game-ROMs, als z.B. das von einem 64k-ROM immer nur 16k-Blöcke für den Prozessor sichtbar waren (und die gleichen Adressen benutzt haben) und per IO-Befehl die Speicherseiten vom Programm gewechselt werden konnten, da ansonsten der Adressraum nicht ausgereicht hätte.

Stack: Soweit ich weiss, ist der Stack nicht wirklich hart beschränkt, sondern nur über das eingestellte ulimit. Bis zu diesem (änderbarem) Limit wird der dynamisch zur Laufzeit verwaltet und ggf. vergrößert.

Xyrill nimmt die Ausführungen wohlwollend zur Kenntnis, sieht sich jedoch nicht gezwungen, seine Position zu revidieren. Nun zum eigentlichen Thema:

  • Wo kriegt man Zertifikate her?

    • Rückblick auf STP048: Zertifikate sind signiert von übergeordneten Zertifikaten (Zertifikatsautoritäten, CA), wodurch sich eine Kette bis hoch zu einem Wurzelzertifikat (Root-CA) aufbaut
    • Clientzertifikate werden durch eine Stelle ausgegeben, der der Server vertraut (z.B. in Unternehmensnetzwerken eine CA unter der Obhut der Unternehmens-IT)
    • für Serverzertifikate enthält der Browser bzw. das Betriebssystem eine Liste von vertrauenswürdigen Root-CAs -> Wie kann man eine Root-CA werden?

  • CA/Browser Forum

  • eine sehr bekannte Root-CA: ISRG (Internet Security Research Group) unter dem Markennamen Let's Encrypt

    • Situation vor 2013: TLS-Zertifikate kosten Geld und werden im Prinzip nur von Firmenwebseiten gekauft (Teufelskreis: teuer -> kleine Kundschaft -> keine Skaleneffekte -> teuer)
    • 2013: Snowden-Enthüllungen (Pentaradio berichtete neulich über das 10-jährige Jubiläum) -> Erkenntnis: wir brauchen mehr Verschlüsselung im Internet
    • 2015: ISRG bietet mit Let's Encrypt automatisierbare und kostenlose TLS-Zertifikate für Jedermann

  • Was tun nach einem IT-Angriff, wenn ein Server-Zertifikat kompromittiert wurde?

    • Zertifikate können der CA als gestohlen gemeldet werden
    • Online Certificate Status Protocol (OCSP): Protokoll für die Abfrage von Rückzugsanzeigen (dem digitalen Äquivalent von Diebstahlsmeldungen)
    • Probleme: wenn das die Clients machen, überlastet es die kleinen CAs und die großen CAs könnten damit wunderbar #Datenspuren sammeln
    • OCSP-Stapling ("OCSP-Tackern"): der Server lässt sich alle paar Minuten per OCSP bescheinigen, dass das eigene Zertifikat noch nicht zurückgezogen wurde, und tackert das an alle TLS-Handshakes ran

  • Angriffe auf TLS

    • grundsätzlich alle Angriffe auf einzelne Primitiven sowie die Interaktion bestimmter Primitiven miteinander im Rahmen von TLS -> das geht uns zu sehr ins Detail, ist aber einer der Hauptgründe für die fortwährende Weiterentwicklung des Protokolls
    • Implementierungsfehler (z.B. Heartbleed, siehe STP037)
    • Downgrade-Angriffe: Kryptoagilität ausnutzen, um die anderen Teilnehmer zu einer weniger starken Verschlüsselung zu überreden; z.B. auch durch Machine-in-the-Middle (MITM), weswegen die Verschlüsselung schon der allerersten Handshake-Schritte so wichtig ist
    • Export-Downgrade: Spezialform des Downgrade-Angriffs, der die anderen Teilnehmer auf eine extrem schwache Exportverschlüsselung herunterzieht (bewusst schwache Verschlüsselungen aus der Zeit vor dem Wassenaar-Abkommen, als starke Verschlüsselung noch als exportlimitierte Militärtechnik eingestuft war)
  continue reading

55 Episoden

#Technologie #Stefan Majewsky #Xyrillian Noises
Artwork

STP054: TLS als Ganzes

Schlüsseltechnologie

published

Abspielen Abspielen
iconTeilen
 
OPUSEpisode-Home
Manage episode 414599114 series 2920733
Inhalt bereitgestellt von Stefan Majewsky and Xyrillian Noises. Alle Podcast-Inhalte, einschließlich Episoden, Grafiken und Podcast-Beschreibungen, werden direkt von Stefan Majewsky and Xyrillian Noises oder seinem Podcast-Plattformpartner hochgeladen und bereitgestellt. Wenn Sie glauben, dass jemand Ihr urheberrechtlich geschütztes Werk ohne Ihre Erlaubnis nutzt, können Sie dem hier beschriebenen Verfahren folgen https://de.player.fm/legal.

Nach unserem kleinen Ausflug in fremdes Fach kehren wir heute zurück zu TLS. Dabei soll es diesmal mehr um einen Blick aufs Ganze gehen – und um die Identität der Entität.

Shownotes

Feedback per Mail:

Bei ca. 8 Minuten sagst du, das ein 64-Bit-Prozessor eine Adressbreite von 64 Bit hat, 32 Bit etc. analog. Das stimmt so nicht. Die Zahl gibt die Datenbreite an, nicht die Adressbreite (und damit auch die Registerbreite). Ein aktueller 64 Bit amd64 Prozessor kann max. 48 Bit adressieren (siehe /proc/cpuinfo, bzw. die Länge deiner Adressen in der maps Ausgabe). Der 286er konnte 20 bit Adressbreite, obwohl es ein 16-Bit-Prozessor war – Ich weiss nicht, ob du die Rumfummelei mit den Segmentregistern noch machen musstest. ;) Bei den 32-Bit-Prozessoren hat es übereingestimmt.

Ca 14 Minuten: Das Programm muss nicht komplett im Speicher liegen, sondern nur Teil, der abgearbeitet wird. Heute eventuell unüblich, aber früher war es durchaus so, das Programmteile während der Ausführung nachgeladen wurden und dann andere, gerade nicht benutzte Programmteile ersetzt haben.

Bei den 8-Bit-Spielekonsolen teilweise mit per Software umschaltbaren Speicherseiten des Game-ROMs, als z.B. das von einem 64k-ROM immer nur 16k-Blöcke für den Prozessor sichtbar waren (und die gleichen Adressen benutzt haben) und per IO-Befehl die Speicherseiten vom Programm gewechselt werden konnten, da ansonsten der Adressraum nicht ausgereicht hätte.

Stack: Soweit ich weiss, ist der Stack nicht wirklich hart beschränkt, sondern nur über das eingestellte ulimit. Bis zu diesem (änderbarem) Limit wird der dynamisch zur Laufzeit verwaltet und ggf. vergrößert.

Xyrill nimmt die Ausführungen wohlwollend zur Kenntnis, sieht sich jedoch nicht gezwungen, seine Position zu revidieren. Nun zum eigentlichen Thema:

  • Wo kriegt man Zertifikate her?

    • Rückblick auf STP048: Zertifikate sind signiert von übergeordneten Zertifikaten (Zertifikatsautoritäten, CA), wodurch sich eine Kette bis hoch zu einem Wurzelzertifikat (Root-CA) aufbaut
    • Clientzertifikate werden durch eine Stelle ausgegeben, der der Server vertraut (z.B. in Unternehmensnetzwerken eine CA unter der Obhut der Unternehmens-IT)
    • für Serverzertifikate enthält der Browser bzw. das Betriebssystem eine Liste von vertrauenswürdigen Root-CAs -> Wie kann man eine Root-CA werden?

  • CA/Browser Forum

  • eine sehr bekannte Root-CA: ISRG (Internet Security Research Group) unter dem Markennamen Let's Encrypt

    • Situation vor 2013: TLS-Zertifikate kosten Geld und werden im Prinzip nur von Firmenwebseiten gekauft (Teufelskreis: teuer -> kleine Kundschaft -> keine Skaleneffekte -> teuer)
    • 2013: Snowden-Enthüllungen (Pentaradio berichtete neulich über das 10-jährige Jubiläum) -> Erkenntnis: wir brauchen mehr Verschlüsselung im Internet
    • 2015: ISRG bietet mit Let's Encrypt automatisierbare und kostenlose TLS-Zertifikate für Jedermann

  • Was tun nach einem IT-Angriff, wenn ein Server-Zertifikat kompromittiert wurde?

    • Zertifikate können der CA als gestohlen gemeldet werden
    • Online Certificate Status Protocol (OCSP): Protokoll für die Abfrage von Rückzugsanzeigen (dem digitalen Äquivalent von Diebstahlsmeldungen)
    • Probleme: wenn das die Clients machen, überlastet es die kleinen CAs und die großen CAs könnten damit wunderbar #Datenspuren sammeln
    • OCSP-Stapling ("OCSP-Tackern"): der Server lässt sich alle paar Minuten per OCSP bescheinigen, dass das eigene Zertifikat noch nicht zurückgezogen wurde, und tackert das an alle TLS-Handshakes ran

  • Angriffe auf TLS

    • grundsätzlich alle Angriffe auf einzelne Primitiven sowie die Interaktion bestimmter Primitiven miteinander im Rahmen von TLS -> das geht uns zu sehr ins Detail, ist aber einer der Hauptgründe für die fortwährende Weiterentwicklung des Protokolls
    • Implementierungsfehler (z.B. Heartbleed, siehe STP037)
    • Downgrade-Angriffe: Kryptoagilität ausnutzen, um die anderen Teilnehmer zu einer weniger starken Verschlüsselung zu überreden; z.B. auch durch Machine-in-the-Middle (MITM), weswegen die Verschlüsselung schon der allerersten Handshake-Schritte so wichtig ist
    • Export-Downgrade: Spezialform des Downgrade-Angriffs, der die anderen Teilnehmer auf eine extrem schwache Exportverschlüsselung herunterzieht (bewusst schwache Verschlüsselungen aus der Zeit vor dem Wassenaar-Abkommen, als starke Verschlüsselung noch als exportlimitierte Militärtechnik eingestuft war)
  continue reading

55 Episoden

#Technologie #Stefan Majewsky #Xyrillian Noises

Alle Folgen

×
 
Loading …

Willkommen auf Player FM!

Player FM scannt gerade das Web nach Podcasts mit hoher Qualität, die du genießen kannst. Es ist die beste Podcast-App und funktioniert auf Android, iPhone und im Web. Melde dich an, um Abos geräteübergreifend zu synchronisieren.

 

Ähnelt Schlüsseltechnologie

Höre 500+ Themen zu
Player FM - Podcast-App
Gehen Sie mit der App Player FM offline!
Get it on App Store Get it on Google Play

Kurzanleitung

Top Podcasts
kicker Daily Podcast
Sportradio360
Sportgespräch
Wirtschaft im Gespräch
WDR 2 Kabarett
Die Blaue Stunde
Ö1 Leporello
Kultur heute
Das Verbrauchermagazin
Wissenschaftsmagazin
tagesschau (Audio-Podcast)
Unboxing News - Deutschlandfunk Nova
happy, holy & confident® Dein Podcast fürs Herz und den Verstand
Wissenschaft im Brennpunkt
WDR 5 Quarks - Wissenschaft und mehr
Blaue Couch
Einhundert - Deutschlandfunk Nova
Verbrechen
Der Benecke
True Crime Germany
Player FM logo
Hilfe/FAQ | Upgrade | Advertise
Kunst|Wirtschaft|Komödien|Wirtschaft|Unterhaltung|Nachrichten|Politik|Religion
Wissenschaft|Fußball|Sport|Geschichtenerzählen|Technologie|Wahre Kriminalfälle
Copyright 2024 | Seitenverzeichnis | Datenschutzbestimmungen | Nutzungsbedingungen | | Urheberrechte ©
Episode being played series thumbnail
icon icon
Geschwindigkeit
Serie Einstellungen
1x
1x
Volume
100%
icon
icon icon
/

View Player FM in ...
Player FM
Browser
Chrome
Safari
Firefox