[Postfixbuch-users] To TLS or not to StartTLS?
Peer Heinlein
p.heinlein at heinlein-support.de
Do Jun 24 12:03:38 CEST 2010
Am Donnerstag, 24. Juni 2010 01:02:39 schrieb Mathias Jeschke:
Moin,
> Nur mal so als Denkanstoß: Verschlüsselung ist ohne Authentifizierung
> der Kommunikationspartner in den meisten Fällen ziemlich sinnfrei.
Nein, ist es nicht.
Solange die Authentizität des Zertifikats nicht gesichert ist, kann
jeder MiM natürlich den Key austauschen und mitlesen.
Also, klar: Gegen einen gezielten (!) MiM-Angriff von jemandem, der dazu
in der Lage ist, hilft es nicht -- keine Frage.
Aber es hilft gegen alle andere, die "zufällig" mal im Wege stehen:
Admins, Praktikanten, Hiwis, Kinder, Möchtegernhacker oder auch
konkreter interessierte Leute, denen durch ein gute
Netzwerkinfrastruktur der MiM-Angriff erschwert/unmöglich gemacht wird.
-Auch MiM muß man ja erstmal werden können.
Insofern ist eine "08/15"-Verschlüsselung von SSL/TLS eben ein
elektronischer Briefumschlag -- mehr nicht, aber immerhin. Auch einen
echten Briefumschlag wäre sonst nach dieser Logik "sinnfrei", da ihn
jeder mit Wasserdampf aufmachen kann. Trotzdem wird niemand den Sinn und
Zweck eines Briefumschlages wegreden können, der eben gegen zufällige
Kenntnisnahme durch Dritte schützt. -Denn davon gibt's eine ganze Menge,
sowohl bei der Post als auch im Netz.
Auch juristisch sehe ich da übrigens Unterschiede. Während eine
Klartextkommunikation gegen kenntnisnehmen IMO kaum strafrechtlich
geschützt ist (weil es keine "besondere Sicherunsgmaßname" gibt. die der
Angreifer überwindet!), ist das nach meiner Auffassung bei einer SSL/TLS
gesicherten Verbindung ganz anders. Dort wird ja geade der dafür
aufgebaute Schutz umgangen. Das eine ist "Ausspionieren von Daten" im
Sinne des §202a StGB, das andere nicht. Das ist doch ein
Unterschied!
Es ist also doch etwas anderes: Ob der Kollege/Praktikant mal eben
tcpdump anwirft und im Klartext die Mail vom Chef (oder die Schüler vom
Lehrer) zum Jux mitliest, oder ob man mit Aufwand und Know-how einen
MiM-Angriff mit Keytausch durchführt und sich dabei auch sclichtweg
strafbar macht, sind dann doch noch zwei verschiedene Kategorien --
technisch, moralisch und juristisch.
Jeder hat Türschlüsser, obwohl diese erwiesenermaßen leicht aufzupicken
sind. Wer SSL/TLS für sinnfrei erklärt, der muß jetzt sein Haustürschloß
ausbauen. Denn "schützen" tut es demzufolge nach ja nicht. Aber es
entscheidet eben auch strafrechtlich zwischen Einbruch und "bloßem"
Hausfriedensbruch.
Hmm?
Peer
--
Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting
http://www.heinlein-support.de
Tel: 030 / 40 50 51 - 0
Fax: 030 / 40 50 51 - 19
Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin
Mehr Informationen über die Mailingliste Postfixbuch-users