{"id":613,"date":"2011-09-07T21:52:57","date_gmt":"2011-09-07T19:52:57","guid":{"rendered":"http:\/\/www.scheiss-software.de\/?p=613"},"modified":"2011-09-07T21:59:28","modified_gmt":"2011-09-07T19:59:28","slug":"der-ca-supergau","status":"publish","type":"post","link":"https:\/\/www.scheiss-software.de\/?p=613","title":{"rendered":"Der CA-Supergau"},"content":{"rendered":"

Ups, da geht gerade mal der letzte Funke Vertrauensw\u00fcrdigkeit der kommerziellen IT-Gesellschaft verloren und die breite Masse bekommts noch nicht mal mit :-D…. Wie gibts den sowas?<\/strong><\/p>\n

Ich glaube hier muss man erstmal kurz die Grundlagen kl\u00e4ren. Nachdem das WWW erfunden war, ging es in der n\u00e4chsten Stufe gleich darum, wie kann man sowas f\u00fcrs Business benutzen? F\u00fcr Banken bot sich das WWW f\u00fcrs Online-Banking an, und als Plattform f\u00fcr Online-Shops ist das WWW nat\u00fcrlich auch verlockend. Um zumindest einen gewissen Grad von Sicherheit zu gew\u00e4hrleisten erfand die Firma Netscape damals die erste Version von SSL<\/a>. SSL wird zum Beispiel bei HTTPS verwendet<\/a> – wir erinnern uns das war die Geschichte mit diesem kleinen Schloss wenn man im Web-Browser Online-Banking macht.<\/p>\n

Der IT-Experte hatte bei dem netten Schl\u00f6sschen ja schon immer ein ziehen in der Magengegend, seit kurzem kann man dieses Schl\u00f6sschen aber getrost in die Tonne kippen!<\/p>\n

Wir machen am besten mal ein Beispiel und gehen auf die Webseite https:\/\/www.bund.de\/DE\/Home\/homepage_node.html<\/a>. Jeder Web-Browser bietet irgendwo die M\u00f6glichkeit sich das Zertifikat f\u00fcr diese Webseite anzusehen. F\u00fcr www.bund.de sieht das etwa so aus (Text verk\u00fcrzt):<\/p>\n

\r\nCertificate Data:\r\n  Version: 3 (0x2)\r\n  Serial Number:\r\n      e9:44:00:01:00:02:e8:5b:37:3c:fb:81:1c:3e\r\n  Signature Algorithm: sha1WithRSAEncryption\r\n  Issuer: C=DE, O=TC TrustCenter GmbH, \r\n          OU=TC TrustCenter Class 2 L1 CA, \r\n          CN=TC TrustCenter Class 2 L1 CA XI<\/strong>\r\n  Validity\r\n      Not Before: Mar 24 08:30:02 2011 GMT\r\n      Not After : Jun 22 07:29:44 2014 GMT\r\n  Subject: C=DE, ST=NRW, L=Koeln, O=Bundesverwaltungsamt, \r\n           OU=BIT B 5, CN=www.bund.de<\/strong>\r\n  Subject Public Key Info:\r\n      Public Key Algorithm: rsaEncryption\r\n          Public-Key: (2048 bit)\r\n  X509v3 extensions:\r\n    X509v3 Authority Key Identifier: \r\n      keyid:66:B3:C6:91:F9:B6:CD:B2:5F:9A:\r\n            37:56:46:0C:E2:6B:D5:B1:7C:B4\r\n    X509v3 Subject Key Identifier: \r\n      24:9E:C0:C7:F8:17:EE:47:B3:51:B5:1B:0B:58:8A:54:B7:DC:85:4D\r\n    X509v3 Extended Key Usage: \r\n        TLS Web Server Authentication, TLS Web Client Authentication\r\n    Netscape Cert Type: \r\n        SSL Client, SSL Server\r\n    X509v3 Subject Alternative Name: \r\n        email:it-sicherheit@bva.bund.de, DNS:www.bund.de, \r\n        DNS:editor.bund.de, DNS:m.bund.de, DNS:bund.de\r\n<\/pre>\n
Wichtig ist f\u00fcr wenn das Zertifikat ausgestellt wurde (Subject<\/strong>) und wer es ausgestellt hat (Issuer<\/strong>). In meinem Beispiel wurde das Zertifikat von der Firma TrustCenter GmbH f\u00fcr das Bundesverwaltungsamt ausgestellt. Den Issuer nennt man auch CA – (Certificate Authority \/ Zertifizierungsstelle<\/a>). D.h. die Zertifizierungsstelle ist im Prinzip die Wurzel f\u00fcr die gesamte Vertrauensw\u00fcrdigkeit dieses Systems. Hihihi, und jetzt kommt die Preisfrage – Was passiert wenn jemand mal eben Vollzugriff auf so eine Zertifizierungsstelle erlangt und beliebige Zertifikate ausstellen kann?<\/strong><\/p>\n
Tja und seit Fukushima sprechen wir ja nur noch von Supergau wenn es gleich an mehreren Stellen knallt und so ist es hier auch:<\/p>\n