"Ehrenamtliche Notare" als Konkurrenz zu VeriSign
Notar-Server sollen die Echtheit von Zertifikaten bestätigen - auch wenn diese keine teure Unterschrift einer Zertifizierungsstelle tragen, sondern nur selbstsigniert sind.
Studenten der Carnegie Mellon School of Computer Science stellen mit Perspectives ein Konzept für sichere Verbindungen im Internet vor. Die etablierten Verfahren erfordern es, dass sich Server-Betreiber regelmäßig teure Zertifikate von Dienstleistern wie VeriSign ausstellen lassen. Die billige Lösung mit selbstsignierten Zertifikaten wälzt die Verantwortung, deren Echtheit zu überprüfen, auf den Anwender ab, der damit häufig überfordert ist. Unter anderem deshalb produziert beispielsweise Firefox 3 bei selbstsignierten Zertifikaten richtige Fehlermeldungen, die Anwender davon abhalten, die angeblich gesicherte Seite aufzusuchen.
Damit wird das Signieren von Zertifikaten ein lukratives Geschäftsmodell für die Einen und zum Ärgernis für die Anderen. Insbesondere wer keine Geschäfte über die Webseite abwickeln will, sieht oft nicht ein, warum er Geld für ein Zertifikat investieren soll. Dabei wären beispielsweise die übertragenen Adressdaten durchaus schützenswert. Aber ohne eine Instanz, die sich für die Echtheit eines Zertifikats verbürgt, hilft die Verschlüsselung einer https-Site wenig, weil sie sich durch Man-in-the-Middle-Angriffe aushebeln lässt.
Als Alternative zu den teuren Zertifizierungsstellen sollen bei Perspective Notare direkt beim Aufbau einer Sitzung versichern, dass das alles schon seine Richtigkeit hat – oder eben auch nicht. Letzteres soll aber möglichst nur in den seltenen Fällen vorkommen, bei denen wirklich gerade ein Angriff stattfindet.
Mit Hilfe der Notare kann ein Anwender zum einen überprüfen, ob sich die Site ihm gegenüber mit dem gleichen Zertifikat ausweist wie beim Notar. Außerdem überwachen die Notare, welche Schlüssel eine https-Site in den vergangenen Tagen eingesetzt hat. Sehen mehrere Notare das gleiche Zertifikat wie der Anwender – und das bereits seit mehreren Wochen, dann ist das Risiko, dass da gerade ein Man-in-the-Middle-Angriff stattfindet, schon recht gering.
Die Studenten haben als Demo einen solchen Notar-Dienst aufgesetzt. Außerdem stellen sie ein Add-on für Firefox 3 bereit, das für scheinbar fehlerhafte Zertifikate bei Notar-Servern nachfragt. Wenn sich die Notare einig sind, dass sie den gleichen Schlüssel sehen, überschreibt es die Sicherheitswarnung des Browsers und erstellt automatisch eine temporäre Ausnahmeregel.
Die Perspective-Demo ist eher als Machbarkeitsstudie zu betrachten, denn als zusätzliche Sicherheitsfunktion für den realen Einsatz – schon weil sie eine Reihe von Gefahren ignoriert. So entfällt in der Standardeinstellung der Alterscheck für die Zertifikate (wahrscheinlich, weil der aktuelle Datenbestand der Notare noch zu dünn ist und somit fast alle https-Server an dieser Hürde scheitern würden). Das bedeutet konkret, dass das Add-on jedes Zertifikat durchwinkt, wenn es nur von mindestens 75 Prozent der Server gleichzeitig gesehen wird – also kein lokaler MITM-Angriff auf den Anwender zu vermuten ist.
Dabei könnte der sich durchaus vertippt haben und statt bei der Bank auf einer schrägen Domain gelandet sein, die sich mit einem selbstsignierten Zertifikat ausweist. Ohne das Perspective-Plug-in müsste ein Phisher zumindest ein Zertifikat für diese Schreibfelher-Domain kaufen, um den Schein einer Online-Banking-Seite aufrecht zu erhalten. Auch Zertifikate mit schwachen Debian-Schlüsseln erkennen die Notare nicht. Trotzdem präsentiert Perspective eine interessante Anregung, wie sich das eingefahrene Konzept einer Verschlüsselungsinfrastruktur vielleicht etwas anwenderfreundlicher gestalten ließe.
Siehe dazu auch:
- Perspectives: Improving SSH-style Host Authentication with Multi-Path Probing, Dan Wendlandt, David G. Andersen, Adrian Perrig von der Carnegie Mellon University
(ju)
