Hier findet Ihr das Cert unserer CA:CA der IKS-Jena
Und hier geht's weiter: https://www.ccc.de
Hupsala: www.ccc.de nur noch verschlüsselt über https
Das WWW Angebot des Chaos Computer Club gibt es für alle https-fähigen Browser nur noch verschlüsselt mittels SSL über https.
Warum das?
Wir möchten sowohl den Schutz privater Daten im Netz, als auch die Verbindlichkeit der Kommunikation steigern. Damit diejenigen Institutionen, deren Tagesgeschäft darin besteht, anderer Leute Daten mitzulesen, es möglichst schwer haben, möchten wir soviel Kommunikation wie möglich im Netz verschlüsseln.
Unser WWW-Programm ist öffentlich - wir haben hier nichts zu verbergen. Aber genau deswegen möchten wir durch die vollständige Verschlüsselung der Daten von und zu unserem Webserver Einblicke in die Kommunikation erschweren. Wenn möglichst viele Internet-Nutzer möglichst viel Kommunikation verschlüsseln - egal ob es öffentliche oder private ist - wird es für die Bedarfsträger und Schlapphütte ganz schön schwierig, private Daten von öffentlichen zu unterscheiden. Also, geben wir Ihnen mal ordentlich zu tun.
Ein schöner Nebeneffekt ist, daß ihr bei Nutzung von https sicher gehen könnt, daß auch wirklich unser Server am anderen Ende der Verbindung ist und das die Inhalte auf dem aktuellen Stand sind.
Wie funktioniert es?
Secure Sockets Layer (SSL) oder auch TLS, ist ein offenes Protokoll zur verschlüsselung des Hyper Text Transfer Protokolls (http). Eine mit SSL gesicherte Verbindung erkennt man der Protokollbezeichnung in der URL: "https://...".
Wie auch PGP basiert SSL auf der Public Key Kryptographie, d.h. es gib einen Secret-Key und einen Public-Key. Diese werden bei SSL Zertifikate (Cert) genannt, denn es werden neben dem eigentlichen RSA Key noch weitere Informationen über den Inhaber abgespeichert. Beim erstmaligen Aufbau der Verbindung müßt ihr euch einmalig unser CERT runterladen.
Wenn der Browser sich mit einer https Site verbindet und er den Public dieser Site noch nicht hat, lädt er diesen und überprüft, ob er schon von einer ihm bekannten Certifying Authority (CA) unterschrieben ist. Wenn dies so ist, erfolgt der Verbindungsaufbau ohne weitere Nachfrage und wenn nicht, wird der Benutzer aufgefordert zu entscheiden, ob er diesen Key akzeptieren möchte.
Um kommerziellen Sites die Benutzung von SSL zur Kreditkartenübermittlung zu ermöglich, ohne daß der Benutzer mit Fragen genervt wird, haben Netscape und M$ mehrere sog. Root-CAs eingebaut. Diese CAs unterschreiben die Certs gegen Geld und Anerkennung teils absurder Lizensbedingungen. Da wir mit der Mafia keine Geschäfte machen, ist unser CERT von einer privaten CA herausgegeben. Deswegen müsst ihr das formell in der gleich folgenden Prozedur herunterladen.
Was ist zu tun?
Wir haben unser Cert von der IKS-Jena unterschreiben lassen, die auch an der PGP CA des Individual Networks (IN) beteilig ist. Sobald das IN in der Lage ist SSL-Certs zu unterschreiben wird unser Cert dort signiert. Also bitte nicht wundern, wenn Ihr in wenigen Monaten nochmals zum annerkennen einer CA aufgefordert werdet.
Einmalig müsst Ihr euch das CERT herunterladen, dass findet Ihr hier. Ihr könnt auch einfach auf https://www.ccc.de gehen, dann werdet ihr zum runterladen von eurem Browser im automatisierten Verfahren aufgefordert.
Wenn das geschafft ist, gleich mal ausprobieren: https://www.ccc.de oder https://chaosradio.ccc.de.
Und wie wird verschlüsselt?
Nachdem geklärt ist, welches Cert benutzt wird, einigen sich Server und Browser auf einen Bulk Cypher aus der Liste der von beiden unterstützten Methoden. Der Browser schickt nun einen mit dem Public Key des Servers verschlüsselten Session Key zum Server und wartet, ob der Server in der Lage ist, diesen zu entschlüsseln. Wenn alles geklappt hat, schickt nun der Server die angeforderten Dateien mit dem Session Key verschlüsselt zum Browser und alle sind glücklich :-) Wenn der Server dies wünscht kann jetzt mit der gleichen Methode, bloß andersrum, der Browser mit einem Client Cert seine Identität nachweisen.
Ist eine SSL Verbindung 100% gegen Abhören geschützt?
Ob die Verbindung jetzt wirklich abhörsicher ist, hängt von der eingesetzten Software ab. Erstmal ist die Läge des verwendeten RSA Schlüssel Paars von der Version des Browsers abhängig. Der von uns verwendete 1024 Bit Schlüssel funktioniert mit jedem SSL fähigen Browser. Länger Schlüssel werden leider nur von Marktüblichen Browsern ab Version 4 oder freier Software wie z.B. SafePassage oder Cryptozilla unterstützt.
Die Länge des Session Key ist zwar immer 128 Bit, allerdings werden bei den Exportversionen Amerikanischer Produkte 88 Bit nicht mit RSA verschlüsselt, sondern einfach im Klartext mitgeschickt. D.h. die 40 Bit sind für eine etwas besser ausgestattete interessierte Stelle einfach zu entschlüsseln und damit wieder abhörbar.
Selbst wenn alles prima verschlüsselt ist, solltet Ihr Euch bewußt sein, daß beobachtet werden kann, mit welcher Site Ihr Euch verbindet und wieviel Daten übertragen werden. Abhilfe würde nur eine Art Remailer für http schaffen. Ein per SSL verbundenes Proxy Array, z.B.
Bei mir funktioniert das nicht, kann mein Browser das überhaupt?
Die allerallermeisten Browser können https, meckern nur anfänglich wenn sie das CERT noch nicht haben. Einfachst-Browser wie LYNX erkennen wir automatisch und geben Ihnen unverschlüsselten Zugriff. Wenn euer Browser mit https gar nicht läuft, nehmt einen anderen oder schickt uns eine Mail an webmaster@ccc.de - wir prüfen das. Ernste Probleme sind uns nur mit dem Microsoft Internet-Explorer unter MacOS bekannt, weil die Firma Microsoft offenbar darauf besteht, daß nur von Ihr anerkannte CA´s überhaupt CERT´s übermitteln dürfen. Wegen solcher Vorgehensweise ist die Firma Microsoft ja auch vor Gericht. Also: anderen Browser nutzen, oder sich bei Microsoft beschweren.
Ich will mehr wissen und/oder meinen Server auch absichern, wie geht´n das?
Empfohlene Software:
SSLeay
Crytozilla
SafePassage von C2
Sammlung von Software und RFCs
Literatur zum Thema:
CA des IN
CA der IKS-Jena
Linkliste zum Thema
Viel Spaß am Gerät!
CCC
Zurück zur Chaos Computer Club Home Page