https://paragonie.com/blog/2018/08/security-concerns-surrounding-webauthn-don-t-implement-ecdaa-yet
und daraus diese Überschrift? Und dieser Artikel? WTF!?!
Die Forscher kritisieren WebAuthn nicht. Wie warnen nicht einmal davor, sondern sie weisen darauf hin, wie man das aufkommende RFC besser machen kann!
Der Blogpost sagt ganz klar, und dem schließe ich mich an:
WebAuthn ist anderen 2FA-Mechanismen deutlich überlegen, wer ihn heute schon einsetzt soll das auf keinen Fall ändern!
So liest sich der Artikel hier bei Heise aber ganz und gar nicht! Und das macht in meinen Augen klar zur FAKE NEWS!
- Die Forscher haben keinen Standard kritisiert. Es ist noch kein RFC.
- Die Forscher haben sogar den vorgeschlagenen Standard nicht kritisiert.
- Die Forscher haben kritisiert, dass der Standard bereits verwendet wird, bevor er endgültig verabschiedet wurde.
Und selbst das ist kein Grund für irgendwelche Panikmache!
- RSA ist im gegebenen Einsatzszenario zum heutigen Tage her sicher. Den Forschern fehlen nur Hinweise im Draft, worauf man explizit achten sollte um keine Fehler zu machen, damit Trottel wie du und ich jetzt nicht in die Falle tappen, wenn sie den Standard mal irgendwann in Zukunft unbedarft nutzen.
- Ein RFC ist ein RFC und bleibt ein RFC und kann jederzeit verbessert werden. Deshalb heißt es ja RFC.
Ein Kommentar zu einem RFC ist keine Kritik in diesem Sinne. Darauf hinzuweisen, dass der Prototyp eines Allgeländefahrzeugs kein U-Boot ist, also nix taucht (also nicht tauchen kann), ist ja auch keine Kritik am Allgeländefahrzeug, sondern ein Hinweis darauf, dass es in Zukunft wohl absehbare Einsatzzwecke geben wird, in denen es dann eben nicht taucht und dafür halt ein anderes Fahrzeug benötigt. Wer das Kritik am Allgeländefahrzeug nennt, der spinnt!
Der Blogpost selbst indes erscheint nicht viel besser als der Heise-Artikel:
Don't implement ECDAA in its current incarnation, because it's likely to be changed in some ways, and the less we get trapped in the quagmire of backward compatibility, the better off the Internet of tomorrow will be.
Und ja, das wäre durchaus FAKE NEWS wenn man das so sehen will:
- Erstens ist eben nicht sicher, dass sich der Standard ändert. Er könnte so verabschiedet werden und verwendet dann halt nur RSA. Das kann dann ein Nachfolge-RFC verbessern. Hätten wir mit jedem RFC gewartet bis es keine Kommentare mehr gegeben hätte, hätten wir heute vermutlich nicht einmal IPv4 (ja, v4. v6 haben wir ja noch nicht überall).
- Zweitens ist backward-compatibility kein Sumpf, im Gegenteil ist Toleranz ein typisches grundlegendes Merkmal vom Internet. Dagegen sind aber halt so Leute wie die Cryptonazis, so bezeichne ich all diejenigen, die Crypto selbstherrlich in Gut und Böse einteilen (in "darf leben" oder "muss dringend vergast werden". Ja, der harte Vergleich ist nicht nur gestattet sondern muss gezogen werden. Denn genau dieselbe Haltung, die damals den ungeheuren menschenverachtenden Holocaust ermöglicht hat, zeigt sich hier wiederum in voller Blüte. Es IST dieselbe Haltung! Sie ist ubiquitär, steckt wieder tief in den Menschen, und wird inzwischen sogar immer salonfähiger, siehe AFD. Oder um es prägnant auszudrücken: '33 ist nimmer weit!).
In diesem Fall ist das aber KEINE FAKE NEWS. Das war nur Meinung und Erkenntnis eines Blogs, und damit keine NEWS. Es ging hier eben nicht um eine wissenschaftliche Arbeit oder eine Pressenotiz, die Jungs wollten einfach nur konstruktiv helfen und gleichzeitig davor warnen, was möglicherweise so typischerweise(!) passiert ..
Zum Verständnis wie ich es sehe:
Dieser Blog-Post ging, ohne es darauf angelegt zu haben, viral. Und daraufhin sahen sich die Autoren genötigt, eine Klarstellung zu verfassen, um all diejenigen aufzuklären, die den Post vollkommen falsch verstanden hatten. Da hat sich also niemand stark gemacht und "Kassandra Kassandra!" geschrien, sondern einfach im Blog was reingeschrieben, so wie jeder das tut. Keine bösen Hintergedanken, sondern die Gedanken, die so gerade durch den Kopf schießen, in guter Absicht. Das ist beste Internet-Tradition!
Auf all das geht der Artikel hier irgendwie gar nicht ein. In sich gesehen ist zwar wohl jedes Wort im Artikel durchaus richtig. Aber durch das, was weggelassen wurde und so wie er dadurch bei mir ankommt, liest er sich eben komplett anders!
Es hilft nicht, dass der letzte Absatz im Artikel dann die Sache plötzlich relativiert. Dieser Absatz hätte ganz an den Anfang gehört, da es den Kontext definiert, in dem der Artikel zu verstehen ist!
Außerdem erscheint mir die Einschätzung zur konstruktiven Kritik falsch zu sein.
Es handelt sich eindeutig um einen konstruktiven Kommentar (C vom RFC), nämlich um Implementierungsfehler zu vermeiden, doch bestimmte Warnungen ins RFC zu schreiben.
Es handelt sich auch um die Aufforderung, RSA nicht alleine in den Standard zu schreiben.
Die einzige Kritik, die geübt wird, ist indes destruktiv. Sie sagt, dass es nicht gut ist, dass der unfertige Standard schon jetzt verwendet wird. Das ist ein "lass das sein"-Kritik. Solche Kritik ist nicht konstruktiv, sondern eben destruktiv (sie verhindert alternativlos).
-Tino
Edit: Tippsfehler
Das Posting wurde vom Benutzer editiert (21.09.2018 14:18).