Forum

Chaos um das besondere elektronische Anwaltspostfach beA
Dezember 22, 2017, 16:38:44
Das ab Januar gesetzlich vorgeschriebene sichere, elektronische Anwaltspostfach gibt es nur, wenn ein Zertifikat entgegen der Installationswarnung ("Seriöse Banken, Geschäfte und andere öffentliche Seiten werden Sie nicht bitten, derartiges zu tun.") installiert wird:
https://www.heise.de/newsticker/meldung/beA-Schwere-Panne-beim-besonderen-elektronischen-Anwaltspostfach-3927314.html

Der Nerd wird vielleicht sagen "logisch", "normal". Ich sage, so eine - von Menschen und Laien zu bedienende - SicherheitsArchitektur muss Murks sein.
Re: Chaos um das besondere elektronische Anwaltspostfach beA
Antwort #1: Dezember 22, 2017, 17:10:49
Ich bin auch kein Nerd. :)
Ich verstehe auch nicht, warum die ein Zertifikat installieren müssen. Das kenne ich nur dann, wenn man selbst signierte Zertifikate oder von unbekannten Stellen signierte einsetzen will. Dann ist die Warnung in Ordnung. Aber sowas sollte doch bei so einem Verfahren nicht der Fall sein.
???
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Es lebe der König!
Re: Chaos um das besondere elektronische Anwaltspostfach beA
Antwort #2: Dezember 22, 2017, 22:37:58
Nö, dass ist kein Murks. Es handelt sich um bewährte asymmetrische Verschlüsselung mit öffentlichen und privaten Schlüsseln. Wüsste kein besseres System. 
Die Apfelinsel nutzt übrigens dasselbe. Alle anderen SSL-Seiten auch.

Nur wenn Idioten damit spielen, dann geht das eben in die Hose.

Es geht auch nicht um Nerd und „Normaluser“, wenn die IT-Verantwortlichen das richtig machen, merkt der User gar nichts davon.
_______
Das Geheimnis des Glücks ist die Freiheit, das Geheimnis der Freiheit aber ist der Mut.
Thukydides
Re: Chaos um das besondere elektronische Anwaltspostfach beA
Antwort #3: Dezember 23, 2017, 09:34:13
Wie oben schon geschrieben, ich habe mich gewundert, dass überhaupt ein Zertifikat installiert werden muss. Die sollten sich doch locker ein gekauftes leisten können. Daher habe ich im heise-Forum mal gestöbert, denn sort sollte diese Frage auch aufgetaucht sein und evtl. hat die jemand beantwortet. Und tatsächlich hat das jemand:
Da ist noch viel mehr im Argen!

Effektiv haben T-Systems und Atos zusammen ein Konzept für eine Software erarbeitet, die völlig hanebüchen ist und ein nicht lösbares Sicherheitsproblem enthält.
Die hatten sogar ursprünglich ein Zertifikat benutzt, welches nicht manuell installiert werden muss. Allerdings braucht der zweite Teil der Softwarelösung auf jedem Rechner der Benutzer auch den privaten Schlüssel, den sie daher ausgeliefert haben. Daher musste dieses Zertifikat zurückgezogen werden. Stattdessen benutzen sie nun ein selbst signiertes Zertifikat, welches manuell installiert werden muss, und liefern den privaten Schlüssel dieses neuen Zertifikates, welcher natürlich weiterhin auf jedem Rechner installiert wird, auch aus. Es hat sich also an dem Grund, warum das erste Zertifikat zurück gezogen wurde, nichts geändert. Nur zusätzliche Arbeit.

Es ist also noch viel schlimmer als radneuerfinder im ursprünglichen Posting schrieb. Das manuelle Installieren entgegen der Sicherheitswarnungen ist noch das allerkleinste Problem an der Sache. Hier fällt es nur auf, weil das ursprüngliche (heimliche) Konzept aufgeflogen war und bei dem nun eingesetzten nutzlosen Flicken der Browser sinnvollerweise schon warnt.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Es lebe der König!
Re: Chaos um das besondere elektronische Anwaltspostfach beA
Antwort #4: Dezember 23, 2017, 12:14:21
Typisches deutsches IT-Großprojekt. Allmählich nimmt das tragische Züge an.
_______
Das Geheimnis des Glücks ist die Freiheit, das Geheimnis der Freiheit aber ist der Mut.
Thukydides
Re: Chaos um das besondere elektronische Anwaltspostfach beA
Antwort #5: Dezember 23, 2017, 14:02:34
Vielen Dank für die Recherche! Halten wir fest, es liegt an der SicherheitsArchitektur dieses Projekts, nicht an der von Zertifikaten an sich.
Re: Chaos um das besondere elektronische Anwaltspostfach beA
Antwort #6: Dezember 23, 2017, 14:51:16
Halten wir fest, es liegt an der SicherheitsArchitektur dieses Projekts, nicht an der von Zertifikaten an sich.

Ja, bei einem normalen Zertifikat bekommt man keine Meldung und muss nichts manuell installieren. Im Browser sind die vertrauenswürdigen Stellen, die Zertifikate ausstellen dürfen, hinterlegt und wenn ein von diesen Stellen signiertes Zertifikat gezeigt wird, dann bekommt der Benutzer keine Warnungen oder Ähnliches (wie hier bei der Apfelinsel).

Ein Zertifikat dient eigentlich dazu, dass sich ein(!) Server gegenüber dem Benutzer ausweist, damit der sicher sein kann, dass es dieser Server ist. In diesem Projekt wollen sie aber, dass jeder Anwalt einen eigenen Server betreibt und alle diese Server das gleiche Zertifikat benutzen. Vom Konzept her schon Schwachsinn. Dazu haben sie sich erstmal ein Zertifikat einer vertrauenswürdigen Stelle ausstellen lassen und der Benutzer bekam keine Warnungen etc. Das ganze verstößt aber gegen die Richtlinien der Zertifikatsvergabe. Und jetzt haben sie zur Krönung ein selbst signiertes Zertifikat (also wie ein selbst gemalter Ausweis) erstellt, der genauso unsicher verwendet wird (ein Zertifikat für alle Anwaltsserver/-rechner), aber zusätzlich manuell installiert werden muss, damit keine Warnungen kommen.

Vergleichen könnte man es damit, dass sich z.B. alle Polizisten beim Bürger mit dem selben(!) Polizeiausweis ausweisen (also quasi nur ein Zettel mit "Der Besitzer ist Polizist" ohne individuelle Daten). Das ist unsicher, weil nun jede Person mit einem so gemalten Ausweis nicht von einem echten Polizisten unterscheiden werden kann. Der Ausweis (Zertifikat) kann also nicht dazu dienen, die Identität des Gegenüber festzustellen.

Vermutlich waren die Verantwortlichen zufrieden, so ein Schlagwort wie SSL auf einer PowerPointfolie zu haben, ohne über die richtige oder sinnvolle Implementierung nachzudenken.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Chaos um das besondere elektronische Anwaltspostfach beA
Antwort #7: Dezember 23, 2017, 16:09:37
« Letzte Änderung: Januar 27, 2018, 11:48:08 von radneuerfinder »
Re: Chaos um das besondere elektronische Anwaltspostfach beA
Antwort #8: Dezember 23, 2017, 17:27:48
Den Artikel wollte ich auch gerade verlinken. :)
Der beschreibt eigentlich ganz gut, was für einen Unsinn die da machen und warum deren neueste "Lösung" ein Riesenproblem ist (beliebige Man-in-the-middle-Angriffe ermöglichen).

Aber was hat das mit der Verständlichkeit des Zertifikate Systems zu tun? Ist doch im Prinzip ähnlich wie bei Ausweisen.
- Es gibt Stellen (CAs), die als vertrauenswürdig gelten und Zertifikate ausstellen dürfen. Also so etwas wie die Bundesdruckerei.
- Zum Starten einer verschlüsselten Verbindung benötigt ein Serverbetreiber ein Zertifikat, was er sich von einer CA ausstellen lässt. Also so wie sich z.B. ein Bürger, der sich gegenüber jemandem ausweisen will, einen Personalausweis beantragt.
- Der Server zeigt dem Browser (Benutzer) sein Zertifikat. Da die CAs auch dem Browser bekannt sind, vertraut der Browser dem Server. Eine Warnung gibt es nur, wenn das Zertifikat nicht in Ordnung ist. Also so wie ein Bürger seinen Ausweis irgendwo vorzeigt und weil der von der Bundesdruckerei ist, wird er akzeptiert. Probleme gibt es, wenn der Ausweis nicht stimmt (z.B. falsches Bild) oder erkennbar selbst gemalt ist.
Was ist Dir unverständlich?
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Chaos um das besondere elektronische Anwaltspostfach beA
Antwort #9: Dezember 29, 2017, 10:02:30
Zu dem gleichen Thema ein Vortrag bei der 34C3:
34C3: Das besondere Anwaltspostfach beA als besondere Stümperei

Man kann echt nur den Kopf schütteln.  :o
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Chaos um das besondere elektronische Anwaltspostfach beA
Antwort #10: Januar 04, 2018, 10:31:18
Was ist Dir unverständlich?

Deine Erklärung verstehe ich schon. Bei meinen konkreten Berührungspunkten mit dem System hilft mir sie aber nicht so viel weiter. Einige Berührungen habe ich ja in diesem Faden beschrieben. Auch, dass mir die CA Stellen meist unbekannt sind, macht eine Einschätzung für mich schwieriger. Auch weiß ich nicht, wie ich die Echtheit der Behauptung „ausgestellt von CA XY“ überprüfen könnte.


https://www.golem.de/news/bea-noch-mehr-sicherheitsluecken-im-anwaltspostfach-1801-131942.html
« Letzte Änderung: Januar 27, 2018, 11:51:15 von radneuerfinder »
Re: Chaos um das besondere elektronische Anwaltspostfach beA
Antwort #11: Januar 04, 2018, 11:59:24
Auch, dass mir die CA Stellen meist unbekannt sind, macht eine Einschätzung für mich schwieriger.

Tja, die Stellen kann man nicht einschätzen. Man muss davon ausgehen, dass die Root-CAs ehrlich sind. Darauf basiert das System.

Zitat
Auch weiß ich nicht, wie ich die Echtheit der Behauptung „ausgestellt von CA XY“ überprüfen könnte.


Das brauchst Du nicht manuell, das wird bereits vom System überprüft.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Es lebe der König!
Re: Chaos um das besondere elektronische Anwaltspostfach beA
Antwort #12: Januar 04, 2018, 14:05:04
Es gab ja schon Skandale um CAs, so hatten Thawte (gehört zu Symantec) und andere CAs an böse Jungs Google-Zertifikate ausgegeben. Google reagierte harsch und hat auch schon CAs ausgeschlossen.. Auch werden veraltete Verschlüsselungsmethoden von den Browsern nicht mehr akzeptiert und so weiter.
Hier muss man Google loben, oft gehen sie voran.
 
 Ist das Root-Zertifikat eines Instituts nicht im Browser (oder Systemschlüsselbund, wie bei macOS/Safari) gespeichert, oder gar auf einer schwarzen Liste, gelten alle auf sie laufenden Zertifikate als unzulässig und der Browser wirft eine Warnung aus.

CAs müssen in Deutschland und der gesamten EU gesetzlichen Vorgaben genügen.
https://de.wikipedia.org/wiki/Zertifizierungsstelle

Die Browserhersteller haben teilweise noch höhere Hürden. Das ist auch der Grund, warum es so lange dauerte, bis es kostenlose Zertifikate gab. Man muss erst das Vertrauen herstellen und wird auch überprüft.

Trotzdem: Natürlich basiert das ganze System auf Vertrauen in die Institute. Nicht nur müssen sie selber seriös sein, ihre Identitätsprüfungen von Seitenbetreibern müssen auch tadellos sein. Bei letztem Punkt habe ich auch oft meine Zweifel. Unmöglich, sich ein Zertifikat auf eine fremde ID ausschreiben zu lassen, ist es nicht.

Den menschlichen Faktor kann man halt (noch) nicht ganz ausschließen.
_______
Das Geheimnis des Glücks ist die Freiheit, das Geheimnis der Freiheit aber ist der Mut.
Thukydides
Re: Chaos um das besondere elektronische Anwaltspostfach beA
Antwort #13: Januar 05, 2018, 08:44:13
@Florian: Ja, das sind Fragen/Problemstellungen, wem man überhaupt vertrauen kann bzw. wer verantwortlich umgeht. Aber das sind och eher grundlegende Probleme der Vertrauensfrage. Das ganze System
Ich hatte radneuerfinders Frage so verstanden, dass beim konkreten Umgang mit dem Zertifikatssystem Sachen unverständlich sind. Das sehe ich nicht ganz so. Den eigentlich Umgang finde ich relativ klar. Das System überprüft sicher und für mich unsichtbar im Hintergrund, wer welches Zertifikat ausgestellt hat und ob es für diesen konkreten Fall zulässig und gültig ist. Man kommt doch im Prinzip nur dann mit dem System in Berührung, wenn das Zertifikat nicht gültig ist und man sich dann entscheiden soll. Und konsequent muss man das immer ablehnen (außer man hat für sich selber eins erstellt), denn wenn man ein ungültiges zulässt, dann ist das ganze System sinnlos. Und man selber hat auch keine Möglichkeiten die Root-CAs einzuschätzen oder zu überprüfen. Genauso wenig wie ich die Zuverlässigkeit der Bundesdruckerei überprüfen kann.

Ich habe jetzt nicht den Thread nachgelesen, aber effektiv ist es doch so: Wenn der Browser (oder ein anderes Programm meckert), dann macht entweder der Admin des betreffenden Servers etwas falsch oder es ist ein böser Server.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Es lebe der König!
Re: Chaos um das besondere elektronische Anwaltspostfach beA
Antwort #14: Januar 05, 2018, 19:11:20
Ich wollte Dir auch nicht widersprechen, sondern nur ergänzen. :)

Wenn unerwartet eine Browser-Warnung kommt, würde ich bei seriösen, mir bekannten Seiten den technischen Admin kontaktieren und lieber keinen Daten eingeben.
Beim simplen Browsern/Lesen kann man das auch mal ignorieren. Nur kann man sich mit der Identität des Seitenbetreibers dann nicht sicher sein und sollte im Zweifelsfall Vorsicht walten lassen.

 
_______
Das Geheimnis des Glücks ist die Freiheit, das Geheimnis der Freiheit aber ist der Mut.
Thukydides