Grundsätzliche Frage: Sind DSL/ADSL/VDSL Links durch Verschlüsselung geschützt? Oder kann jeder der durch anzapfen bzw. das was über Nebensprechen an anderen Kabeln ankommt unverschlüsselt mitlesen? Ich finde dazu nichts...
Hans Müller schrieb: > Grundsätzliche Frage: Sind DSL/ADSL/VDSL Links durch Verschlüsselung > geschützt? Nein. Denn ansonsten müsstest Du ja irgenwie am Anfang Schlüsselmaterial austauschen. Es wird ausschließlich authentifiziert. > Oder kann jeder der durch anzapfen bzw. das was über > Nebensprechen an anderen Kabeln ankommt unverschlüsselt mitlesen? Theoretisch ja. Du brauchst halt Hardware die das kann und die ist für DSL nicht gerade gängig. Und Du musst natürlich an die Kabel ran.
Das geht, nur hab ich bislang noch kein Equipment dafür gesehen. Bedarfsträger haben aber so oder so die Möglichkeit das am BRAS ausleiten zu lassen.
Die Telekom hat bei mir einen neuen Anschluß geschaltet. Der lief auch sofort, trotzdem bestand der Techniker darauf den Anschluß nochmals nachzumessen. Auf die Frage warum er denn das mache sagte er mir, daß es machmal vorkomme, daß man das falsche Adernpaar erwischt und daß die Verbindung dann in diesem Falle nur durch das Übersprechen / Nebensprechen in den Kabelbündeln zustande käme. Ergo: wenn jemand auf nicht benutzen Adern mit entsprechndem Equipment lauscht kann er die Daten ausleiten und den Dateninhalt analysieren, sofern eben genug überkoppelt. Wer sich frech z.B. am Hauptverteiler eine größeren Wohnhauses anklemmt kann auch mithören. Hätte ich nicht gedacht, daß so ein Murx gemacht wird. Da verschlüsselt man WLAN / PLC und hinten raus geht alles unverschlüsselt...
Hans Müller schrieb: > Hätte ich nicht gedacht, daß so ein Murx gemacht wird. > Da verschlüsselt man WLAN / PLC > und hinten raus geht alles unverschlüsselt... Was "hinten raus" verschlüsselt und unverschlüsselt geht liegt doch einzig und alleine an Dir und an den Diensten die Du nutzt!? Wenn Du einen "sicheren" Webserver ansurfst ("https://") dann ist der Verkehr selbstverständlich auch über dein DSL verschlüsselt. It's only on you!
Nö. Die reine Transoportebene verschlüsselt nicht. Aber der Inhalt kann und sollte. Die Autos auf der Autobahn sind auch nicht angeschnallt (Ausnahme Autotransporter), die Insassen der Autos aber schon (hoffentlich).
Michael S. schrieb: > Was "hinten raus" verschlüsselt und unverschlüsselt geht liegt doch > einzig und alleine an Dir und an den Diensten die Du nutzt!? Das ist logisch. Bei vielen anderen Systemem wird auch die Transportebene verschlüsselt, wie z.B. WLAN oder PLC. Warum nicht bei DSL? Ich schätze, daß aufgrund mangelnder Verschlüsselung auch die Authentifizierung angreifbar ist. Dann kann man theoretisch noch ganz andere Probleme bekommen als daß der Nachbar meine Emails mitlesen kann...
Hans Müller schrieb: > Das ist logisch. Bei vielen anderen Systemem wird auch die > Transportebene verschlüsselt, wie z.B. WLAN oder PLC. Warum nicht bei > DSL? Wann hat Dir der Provider ganz konkret die Verschlüsselung vertraglich bindend zugesagt? Eine Verschlüsselung nur auf der letzten Meile wäre auch ziemlich sinnlos, da man darauf vertrauen müsste, das die ziemlich lange Kette von Übertragungsstrecken zwischen Client und Server entsprechend geschützt sein müsste. Deswegen setzt man natürlich sinnvollerweise auf eine Verschlüsselung zwischen den Kommunikationsendpunkten, d.h. z.B. mit SSL/TLS. Die Abschottung des eigenen W-LANs dient auch dazu, netzwerkinterne Ressourcen, z.B. Dateiserver/NAS gegen Angriffe zu schützen. > Ich schätze, daß aufgrund mangelnder Verschlüsselung auch die > Authentifizierung angreifbar ist. Dann kann man theoretisch noch ganz > andere Probleme bekommen als daß der Nachbar meine Emails mitlesen > kann... Für die Authenti(fi)zierung wird üblicherweise PAP oder CHAP verwendet. Letzteres basiert auf einem Challenge-Response-Verfahren. Allerdings gibt es seit ca. zwei Jahren erfolgreiche Angriffe auf CHAP.
Hans Müller schrieb: > Warum nicht bei DSL? Aufgrund der Komplexität? Jeder DSL-Teilnehmer müsste zur entsprechenden Gegenstelle einen verschlüsselten Kanal aufbauen können. Das könnte man mitunter noch über die Zugangsdaten machen, wobei hier ein verbindlicher Standard nötig wäre, nach dem sich alle DSL-Modems richten. Aber das wäre ja nur die erste (letzte) Meile. Denn nun müssen die Daten ja in die Welt verteilt werden. Unverschlüsselt kann das nicht geschehen, da sonst jemand hinter der Gegenstelle die Daten abgreifen könnte. Also muss nun jede folgende Verbindung ebenfalls verschlüsselt werden. Also müsste jegliches Netzwerkequipment in der Lage sein, Daten verschlüsselt zu empfangen und weiterzuleiten. Und dies müsste erzwungen werden, ein Fallback auf unverschlüsselte Kommunikation bei alter Netzwerkhardware würde ja wieder die Sicherheit kompromittieren. Kommen wir zuden kryptographischen Problem. Jeder Teilnehmer muss in diesem Netz potentiell mit jedem anderen Teilnehmer reden können. Damit scheidet symmetrische Kryptographie alleine aus. Idealerweise würde man also asymmetrische Kryptographie mit Schlüsselaustauschprotokollen einsetzen. Aber dann bräuchte man auch eine Möglichkeit die Authentizität des Gegenübers zu bestimmen um zu verhindern, dass ein Schlüssel mit einem Angreifer ausgetauscht wird und dieser die Daten anschließend abhören kann. Also bräuchte jede Netzwerkhardware ein eigenes digitales Zertifikat welches von einer übergeordneten, vertrauenswürden Instanz signiert ist welcher alle Netzwerkgeräte vertrauen. Aber was, wenn diese Instanz kompromittiert wird und nicht-authentische Netzwerkhardware auftaucht? Also lieber mehrere solcher Instanzen, damit man einen Fallback hat. Informationen über diese sicheren Instanzen müssten natürlich in jedem Netzwerkgerät hinterlegt sein. Und damit kratzen wir nur an der Oberfläche, denn nun könnte ein böser Mensch ja auch direkt in die Netzwerkhardware eingreifen und die Daten dort abgreifen, da jedes Gerät ja nun aufgrund der verschiedenen Gegenstellen "umverschlüsseln" muss. Also müsste noch in jedes Netzwerkgerät ein Sicherheitschip eingebaut werden, welcher nur mit kaum vertretbarem kompromittiert werden kann und sich bei Erkennung von Manipulation idealerweise selbst löscht. Also bauen wir noch solche Chips ein. Und dann heißt es plötzlich, dass in diesen Chips eine Backdoor eingebaut ist, welche Organisation/Firma xy erlaubt die Daten unverschlüsselt abzugreifen. Und spätestens da sind wir dann an dem Punkt wo der ganze Aufwand zur farce wird und man mit Ende-zu-Ende-Verschlüsselung wohl besser beraten wäre. Viele Grüße Daniel P.S.: Man möge mir Ungenauigkeiten verzeihen, das Thema sichere Vollverschlüsselung ist in diesem Kontext wirklich zu komplex. P.P.S.: Übrigens finde ich den Vergleich zu WLAN nicht wirklich gelungen. Natürlich ist WLAN verschlüsselt, der Grund dafür ist aber eher, dass WLAN keine physische Sicherheit bietet, da Funkwellen sich ja (fast) ungehindert ausbreiten und damit auch außerhalb der eigenen vier Wände empfangen werden können. Um Daten an einem LAN-Kabel abzugreifen muss ich mir erstmal physischen Zugang verschaffen, sprich, einbrechen.
:
Bearbeitet durch User
In dem Zusammenhang interessiert auch die Frage, wie abhörsicher der Internetvekehr auf der letzten Meile für Kunden mit Tripleplay ist. Bei denen das Netz also nicht über die Telefonleitung per DSL ins Haus kommt, sondern über das Kabelfernsehnetz (Übertragungsprotokoll meist DOCSIS). Hier läuft ja der Datenverkehr mehrerer Teilnehmer (in der näheren Umgebung) über ein einziges Koaxkabel und steht theoretisch auch an fremden Anschlussdosen zur Verfügung.
Ich verstehe die Entrüstung über meine Frage nicht so ganz... Fakt ist, daß der Zugriff für Fremde auf der letzten Meile sehr einfach zu bewerkstelligen ist. Einfach im Keller anklemmen, einfach auf unbenutzten Adern mithören usw. Natürlich sind auch die darauf folgenden Netzabschnitte teilweise unverschlüsselt, aber da kommt man nur noch durch Einbruch, Bestechung, Sabotage usw. dran. Ich finde das ist schon ein Unterschied! Hauptgrund wird sein, daß DSL aus einer Zeit stammt, in der man das Thema Sicherheit einfach noch nicht ernst genommen hat. Ich finde das sollte sich schleunigst ändern... P.S. wenn die gegenstelle keine https Verbindung anbietet, was dann? SO einfach ist das nicht. Als End nutzer muß man nehmen was man bekommt...
Hans Müller schrieb: > Fakt ist, daß der Zugriff für Fremde auf der letzten Meile sehr einfach > zu bewerkstelligen ist. Einfach im Keller anklemmen, einfach auf > unbenutzten Adern mithören usw. Ja, alles ganz easy. Bei mir ist im Keller jeden Tag der offenen Tür, ich stelle den Schlapphüten auch schon immer extra Kekse und Milch hin und habe die zu verwendenden Adern mit Flatterband markiert. Hans Müller schrieb: > Natürlich sind auch die darauf folgenden > Netzabschnitte teilweise unverschlüsselt, aber da kommt man nur noch > durch Einbruch, Bestechung, Sabotage usw. dran. Und in deinen Keller kommt man durch die Drehtür? Ganz davon ab, dass viele DSLAMS in der Regel nicht gerade in einem Hochsicherheitstrakt sondern irgendwo an der Straße stehen. Hans Müller schrieb: > Hauptgrund wird sein, daß DSL aus einer Zeit stammt, in der man das > Thema Sicherheit einfach noch nicht ernst genommen hat. Nein, Hauptgrund wird sein, dass es sich um ein komplexes Thema handelt, dass nicht mal eben so gelöst werden kann. Hans Müller schrieb: > wenn die gegenstelle keine https Verbindung anbietet, was dann? SO > einfach ist das nicht. Pech gehabt. Im Vergleich zu einer Umrüstung des DSL-Netzes auf Vollverschlüsselung ist es für Serverbetreiber nahezu ein Kinderspiel gesicherte Verbindungen per SSL zuzulassen. Machen die meisten Serverbetreiber aber nicht. Und das sollte sich tatsächlich schleunigst ändern. Meine Ansicht ist, dass man die Anwender nicht in trügerischer Sicherehits wiegen sollte, indem eine vermurkste Verschlüsselung zwischen Modem und Vermittlungsstelle aufgebaut wird und der Datenverkehr danach unverschlüsselt weitergeroutet wird. Entweder voll verschlüsseln oder gar nicht. Und selbst dann würde ich dem nicht trauen, sondern für brisante Daten weiter Ende-zu-Ende-Verschlüsselung einsetzen.
Was hat den DSL mit Verschlüsselung zu tun? Ein LAN Kabel ist doch auch nicht verschlüsselt. Das ist die eine Sache mindestens einer Ebene höher. (nach OSI)
Der Traffic der DSL-Anschlüsse landet in wenigen Verteilknoten. Es wäre kein Problem den Verkehr vom Kunde bis dahin zu verschlüsseln. Es würde sogar reichen bis zum nächsten DSLAM zu verschlüsseln, denn das darauf folgende Glasfaserkabel kann kaum jemand anzapfen. Das würde sofort auffallen.
:
Bearbeitet durch User
Fred schrieb: > Was hat den DSL mit Verschlüsselung zu tun? Müsste halt entsprechend definiert werden. Aktuell hat DSL damit eben genau gar nichts zu tun :) Abdul K. schrieb: > Der Traffic der DSL-Anschlüsse landet in wenigen Verteilknoten. Es wäre > kein Problem den Verkehr vom Kunde bis dahin zu verschlüsseln. Ah, ein guter Punkt. Die entsprechenden Verteilknoten müssten dann natürlich auch leistungsfähig genug sein um alle Verbindungen zu ver- und entschlüsseln. Nehmen wir mal einen großen DSLAM für 2500 Teilnehmer, die alle mit 25 MBit/s online gehen. Macht im worst-case also 62.5 GBit/s die das Ding noch zusätzlich verarbeiten muss. "Kein Problem" sieht glaube ich anders aus. Abdul K. schrieb: > Es würde sogar reichen bis zum nächsten DSLAM zu verschlüsseln, denn das > darauf folgende Glasfaserkabel kann kaum jemand anzapfen. Das würde > sofort auffallen. Würde es das? Schonmal was von Man-in-the-middle gehört?
:
Bearbeitet durch User
> Ah, ein guter Punkt. Die entsprechenden Verteilknoten müssten dann > natürlich auch leistungsfähig genug sein um alle Verbindungen zu ver- > und entschlüsseln. Nehmen wir mal einen großen DSLAM für 2500 > Teilnehmer, die alle mit 25 MBit/s online gehen. Macht im worst-case > also 62.5 GBit/s die das Ding noch zusätzlich verarbeiten muss. "Kein > Problem" sieht glaube ich anders aus. > Das sind eh alles ASICs. Seh ich momentan kein Problem. Da wird ne Menge jetzt schon umcodiert in ATM-Zellen usw. Hier sind die BRAS genauer beschrieben: http://de.wikipedia.org/wiki/Breitband-Zugangsserver 2500 erscheint mir etwas viel als Zahl für einen DSLAM. Habe aber keine genauen Daten. Ein Outdoor-DSLAM hat jedenfalls deutlich weniger. > Abdul K. schrieb: >> Es würde sogar reichen bis zum nächsten DSLAM zu verschlüsseln, denn das >> darauf folgende Glasfaserkabel kann kaum jemand anzapfen. Das würde >> sofort auffallen. > > Würde es das? Schonmal was von Man-in-the-middle gehört? Schonmal bei der Montage des Glasfaserkabels dabei gewesen? Da müßte jemand schon Geheimdienstniveau mitbringen.
Abdul K. schrieb: > Das sind eh alles ASICs. Seh ich momentan kein Problem. Da wird ne Menge > jetzt schon umcodiert in ATM-Zellen usw. > Hier sind die BRAS genauer beschrieben: > http://de.wikipedia.org/wiki/Breitband-Zugangsserver Ok, aber das sind auch alles "zweckgebundene" Tätigkeiten, die sind notwendig um überhaupt DSL anbieten zu können. Eine Verschlüsselung wäre hingegen nur ein Feature, das dem DSL-Anbieter, außer zusätzlichen Kosten, nichts bringt. Bzw. würden diese Kosten natürlich direkt an den Endkunden weitergegeben. Dann lieber die Leistung einsetzen um noch breitbandigere Anschlüsse anbieten zu können, damit kann man den Profit noch steigern. Machen wir uns nichts vor, der DSL-Anbieter hat von einer Verschlüsselung keinen Nutzen, also hat er auch keinen Anreiz sowas (kostenlos) anzubieten. Abdul K. schrieb: > Schonmal bei der Montage des Glasfaserkabels dabei gewesen? Da müßte > jemand schon Geheimdienstniveau mitbringen. Ja, sicher. Aber da sind wir bei der Frage, vor wem man sich schützen möchte. Warum sollte sich jemand bei mir in den Keller hocken und meine Leitung anzapfen? Es ist ja nicht so, als wenn Lieschen Müller von nebenan dazu in der Lage wäre. Ganz davon ab, dass der-/diejenige auch ohne Verschlüsselung erstmal in meinen Keller kommen muss.
:
Bearbeitet durch User
Der Nutzen kann auch einfach aus Werbung bestehen. Da steckt man nie ganz drin. Händies bräuchte doch real auch kaum einer. SMS war ursprünglich ein rein technischer Dienst, der Gruppenmitteilungen nur in einer Richtung ermöglichen sollte. Und was wurde draus: Eine Cash-cow. Bei vielen Häusern kommt man direkt von außen an die Schnittstelle Hausverkabelung-Telekomkabel. Einfach nur Plastikhaube abziehen und anklemmen. Vielleicht ist es sogar verschlüsselt. Ich weiß es nicht konkret. Im Allgemeinen muß ich den Leuten hier im wirklichen Leben immer erklären, daß Knacken im Telefon ganz sicher nicht vom Abhören kommt.
:
Bearbeitet durch User
Abdul K. schrieb: > Der Nutzen kann auch einfach aus Werbung bestehen. Da steckt man nie > ganz drin. Händies bräuchte doch real auch kaum einer. SMS war > ursprünglich ein rein technischer Dienst, der Gruppenmitteilungen nur in > einer Richtung ermöglichen sollte. Und was wurde draus: Eine Cash-cow. Stimmt, aber da hat der Kunde auch tatsächlich was von. Von der Verschlüsselung kriegt der Kunde ja aktiv nicht wirklich etwas mit. Und aufgrund der heutigen "Ich habe ja nichts zu verbergen"-Mentalität bezweifle ich, dass sowas reißenden Absatz finden würde. Begrüßenswert wäre es aber alle mal. Abdul K. schrieb: > Bei vielen Häusern kommt man direkt von außen an die Schnittstelle > Hausverkabelung-Telekomkabel. Einfach nur Plastikhaube abziehen und > anklemmen. Ok, bei uns nicht, da kommt es im Keller rein, da müsste man außen zumindest die Straße aufbuddeln. Insgesamt bleibt aber immer noch die Frage, wer sowas machen würde. Um Zugangsdaten o.ä. abzugreifen gibt es sicherlich effizientere Methoden, wie beispielsweise untergejubelte Malware. Abdul K. schrieb: > Im > Allgemeinen muß ich den Leuten hier im wirklichen Leben immer erklären, > daß Knacken im Telefon ganz sicher nicht vom Abhören kommt. :D
Warten wir ab, ob die gegenwärtige Diskussion über NSA&Co. den Markt nicht neue Produkte beschert. Die Telekom versucht es ja gerade mit dem Produkt garantierte Verschlüsselung von emails.
Abdul K. schrieb: > Der Nutzen kann auch einfach aus Werbung bestehen. Da steckt man nie > ganz drin. Du glaubst nicht ernsthaft dass dafür ein Anbieter richtig Geld investiert? Solange die übliche wer-nichts-zu-verbergen-hat Denke vorherrscht zumindest. > Bei vielen Häusern kommt man direkt von außen an die Schnittstelle > Hausverkabelung-Telekomkabel. Einfach nur Plastikhaube abziehen und > anklemmen. Bwahahaha. Und warum genau würden die Schlapphüte sich die Mühe machen wenn die Deine Daten doch "en Gross" bei Deinem Provider abziehen können? G-10 Gesetz und so, lies mal nach. Und Dein böser Nachbar hat ziemlich sicher die Technik nicht, mit einfach anklemmen ist bei DSL nicht so viel zu reissen.
Abdul K. schrieb: > Warten wir ab, ob die gegenwärtige Diskussion über NSA&Co. den Markt > nicht neue Produkte beschert. Die Telekom versucht es ja gerade mit dem > Produkt garantierte Verschlüsselung von emails. Bullshit. Da ist nix garantiert, also nix was irgendwie konkret nützlich wäre (oder irgendwie überprüfbar...). Die Aktion ist im Wesentlichen eine reine Werbe-Geschichte. Und wer verschickt schon nur Mails an die Partner bei der Geschichte? Ach ja, weil es hier passt und immer wieder lustig ist: De-Mail. Muahahahaha ;-)
Meine Mutter schickt mir gerne emails ohne Betreffzeile. Da ist schon Kundschaft.
Abdul K. schrieb: > darauf folgende Glasfaserkabel kann kaum jemand anzapfen Das ist einfacher als Du denkst!
KabelBW-Kunde schrieb: > ..über das Kabelfernsehnetz.. ist/war teilweise grob fahrlässig aufgebaut. Wir saßen bei einem Bekannten und konnten uns alle freigegebenen Windows-Ordner im Wohnblock anschauen. Das waren ungefähr hundert. Sicherheit dürfte vom Betreiber abhängen.
Der Aufwand ist viel zu groß. Kleinkriminellen fehlen die Mittel und Fähigkeit und die Dienste leiten die Daten im Zugangsnetz aus. Eine Verschlüsselung wäre sinnlos.
Früher konnte man zumindest regelmäßig kostenlos telefonieren. Und für Abtrünnige im Wald lebende bot es die Möglichkeit das Handy kostenlos aufzuladen. Ok, ich höre schon auf.
LSD schrieb: > Der Aufwand ist viel zu groß. > Kleinkriminellen fehlen die Mittel und Fähigkeit und die Dienste leiten > die Daten im Zugangsnetz aus. > Eine Verschlüsselung wäre sinnlos. Sehe ich nicht so. Dazu muß man nicht mal kriminell sondern nur "neugiegig" sein. Eine Schnüffeleinrichtung dafür zu entwickeln ist meines Erachtens nicht schwierig und dürfte in "professionellen" Kreisen schon zur Standardausrüstung gehören. Es ist wohl nur eine Frage der Zeit bis sich selbst nicht fachkundige Personen sowas über eBay aus China betsellen können. Die TK-Unternehmen sollten ihre Kunden zumindest aufklären, daß der DSL Link ungeschützt ist. Ich bin sicher, daß sich die meisten Privatpersonen dessen nicht bewußt sind, und von einem ähnlichen Schutz wie z.B. bei privatem WLAN ausgehen...
Hans Müller schrieb: > Die TK-Unternehmen sollten ihre Kunden zumindest aufklären, daß der DSL > Link ungeschützt ist. Ich bin sicher, daß sich die meisten > Privatpersonen dessen nicht bewußt sind, und von einem ähnlichen Schutz > wie z.B. bei privatem WLAN ausgehen... ich denke das ist jedem bewusst. Aufwand und Nutzten für die Verschlüsslung von der letzen Meile stehen doch in keine sinnvollen Verhältnis das sich so etwas lohnen würde. Veschlüsslung bekommt man nicht "kostenlos" damit wird der Stromverbrauch steigen und die DSLAM sind jetzt schon im Sommer aktiv belüftet. Und wenn jemand die Leitung mitlesen will, bricht er in den DSLAM ein und liest sie nach der Entschlüssen mit. Jeden Telefonleitung ist auch ungeschützt kann einfach angezapft werden. Warum gibt es denn die Diskussion das wir jetzt alle Pop3,IMAP und CO verschlüsseln sollen, wenn die Leitungen verschlüsselt währen bräuchte man es ja nicht.
Abdul K. schrieb: > Der Traffic der DSL-Anschlüsse landet in wenigen Verteilknoten. Es wäre > kein Problem den Verkehr vom Kunde bis dahin zu verschlüsseln. Und du meinst das sind Kunden bereit zu bezahlen? Es ist ein kleiner Unterschied ob du Pakete routest und ISP spielst (pro Kunde) oder ob du ein paar Millionen Leuten ihren 100 Mbit Zugang verschlüsselst. Eben weil (generell) Netzwerkverbindungen nicht verschlüsselt sind, sind sie so performant. (Naja relativ). Es ist bedeutend sinnvoller nur selektiv den Teil des Datenstroms der sicherheitsrelevant (und damit verschlüsselungswürdig) ist zu verschlüsseln. Wird ja auch so gemacht.
Also 1. war ich nicht der der unbedingt verschlüsseln wollte, 2. klingst du so als würdest du eh kein Gegenargument akzeptieren. 3. sind die Outdoor-DSLAM mit einer Alarmanlage ausgerüstet, VSt sowieso. Klar, mit genug Aufwand kann man alles umgehen/knacken/einbrechen. Und ja, die Verschlüsselung halte ich für nicht sonderlich aufwändig. Kunden zahlen für alles, wenn sie überzeugt sind. Ein alter Spruch: "Denke nicht für deine Kunden!" Was macht ein Produktmanager den ganzen Tag? Neue Märkte/Absatzmöglichkeiten generieren. Ich bin auch der Meinung das die allermeisten Nichttechniker davon ausgehen, daß die Leitungen nicht im Klartext mitzulesen sind. Frag doch die Nachbarn. Nicht viel weniger Leute werden auch nicht wissen, daß 'Dienste' gesetzliche und ungesetzliche Möglichkeiten haben, alles mitzulesen. Gar sogar Fakes einzuspeisen! z.B. falsche abgehende Telefonnummer SS7 usw. Außerdem sollte ein Gleichgewicht zwischen Beute und Räuber bestehen. Wenn alles nur noch mit Schlössern zugemacht wird, ist Leben nicht mehr möglich. DAS vor allem verstehen viele gar nicht!
Abdul K. schrieb: > Und ja, die Verschlüsselung halte ich für nicht sonderlich aufwändig. das habe schon viele gedacht. siehe: SSL (Heartbleed) WPS, WEP HDMI(HDCP) DVD(CSS) MS-CHAP
Peter II schrieb: > Abdul K. schrieb: >> Und ja, die Verschlüsselung halte ich für nicht sonderlich aufwändig. > > das habe schon viele gedacht. > > siehe: > SSL (Heartbleed) > WPS, > WEP > HDMI(HDCP) > DVD(CSS) > MS-CHAP funktastaturen "sichere" usb-sticks "sichere" festplatten (hier was zum bitter lachen fürs WE: http://www.youtube.com/watch?v=IzE2SKVP-MQ )
Abgesehen von den vielen schon genannten Argumenten, die sehr deutlich gegen eine isolierte Verschlüsselung auf der letzten Meile sprechen, kommen auch noch weitere organisatorische Aufwände hinzu, die sich schnell als massivste Hürden erweisen können. Heutzutage sind DSL-Modems/Router/CPE/IAM auch im freien Handel erhältlich und werden nicht nur über die Netzbetreiber zur Verfügung gestellt. Folglich können für eine Aufrüstung auf Verschlüsselung nicht einfach die Netzbetreiber ein Softwareupdate einspielen und alles ist gut. Ferner ist der Betreiber des DSLAMs (überwiegend Telekom) auch nicht zwingend derjenige, der die nachgelagerte Infrastruktur betreibt, z.B. die sog. BRAS bzw. DSL-AC. Neben einigen großen (z.B. 1&1) gibt es viele reginale und lokale Internerprovider, die eigene BRAS/DSL-AC betreiben. Die PPP-Verbindungen zwischen Kunde(ngerät) und Provider werden nämlich nicht mit dem DSLAM ausgehandelt, sondern mit dem BRAS. Dadurch kann der Kunde seines Zugangsdaten auch für einen anderen DSL-Anschluss verwenden, so dass die ganze Verwaltung extrem schlank gehalten wird. Wollte man nun eine Verschlüsselung im DSLAM realisieren, würde man diese saubere Trennung zerstören. Der DSLAM müsste nun Authentifizierungsinformationen über den Kunden bzw. dessen DSL-Gerät erhalten. Diese Zuordnung würde in den meisten Fällen eine manuelle Zuordnung erfordern. Dass es hierbei zu noch viel größeren Problemen als bisher bei der Umstellung von DSL-Zugängen käme, wäre absehbar. Aus Marktsicht wäre das eine ziemlich Katastrophe, da dadurch die DSLAM-Betreiber eine noch viel größere Macht erhielten als bisher. Dies könnte in dem ohnehin sehr knapp kalkulierten DSL-Geschäft das sichere Aus für viele Provider bedeuten. Und letztendlich wäre der Sicherheitsgewinn nur absolut marginal. Ganz im Gegenteil befürchte ich dann sogar eine Reduzierung der gesamten Sicherheit, weil der Druck auf die Dienstanbieter, kryptografisch abgesicherte Verbindung anzubieten, sinkt. Statt großen Rechenaufwand für SSL/TLS bereitzustellen, würden sie sich darauf berufen, dass der Kunde lieber auf einen "sicheren" DSL-Zugang setzen solle.
Peter II schrieb: > das habe schon viele gedacht. Dass Kryptographie nicht aufwändig ist? Ist sie doch auch nicht, z.B. geht Verschlüsselung ganz einfach:
Die von dir genannten Schwachstellen haben fast alle gemeinsam, dass nicht die zugrunde liegende Kryptographie gebrochen sondern Schwächen bei der Umsetzung oder in der Implementierung attackiert wurden. Und wenn man sich die Schwächen anschaut sieht man, wie diletantisch gearbeitet wurde, und dass mit Sicherheit keine Experten um Rat gefragt wurden. > SSL (Heartbleed) Fehlerhafte Längenüberprüfung verbunden mit mangelhaftem Code-Review > WPS Fehlender Schutz gegen Brute-Force-Angriffe + Implementierungsfehler welcher die Länge der nötigen Pin reduziert > WEP IV zu kurz, CRC32 als MAC ungeeignet > HDMI(HDCP) Extraktion der nicht/schwer austauschbaren Master-Schlüssel > DVD(CSS) Schlüssellänge zu kurz + Implementierungsfehler in der Schlüsselgenerierung > MS-CHAP Verwendung veralteter Kryptoprimitive > funktastaturen > "sichere" usb-sticks > "sichere" festplatten (hier was zum bitter lachen fürs WE: Mehrere Ursachen, u.a. Verwendung veralteter Kryptoprimitive, Speicherung von Schlüsseln im Klartext usw. bis hin zu Vorspielen von Verschlüsselung, welche tatsächlich nur darin besteht Partitionen von "unsichtbar" auf "sichtbar" zu schalten
Daniel H. schrieb: > Die von dir genannten Schwachstellen haben fast alle gemeinsam, dass > nicht die zugrunde liegende Kryptographie gebrochen sondern Schwächen > bei der Umsetzung oder in der Implementierung attackiert wurden. Und > wenn man sich die Schwächen anschaut sieht man, wie diletantisch > gearbeitet wurde, und dass mit Sicherheit keine Experten um Rat gefragt > wurden. in nachhinein ist so etwas immer schön zu sagen. Da man aber jeden Verschlüsselung auch implemtieren muss kann man nicht die Verschlüsselung unabhängig von der Implementierung betrachten. Wie sollte man denn ein Man-in-the-Middle bei der DSL Leitung verhindern? Dann müsste man wieder mit Zertifikaten anfangen, und das bei viele Herstellern auf dem Markt.
Ich kann keinen wesentlichen Unterschied zu der Frage wie kommuniziere ich sicher mit meiner Bank, erkennen. Auch geht es ja nicht um felsenfeste Verschlüsselung, sondern es sollen 'Bastler' auf unserem Niveau wie auf µC.net anwesend, sicher verhindert werden. Also nicht jeder mit etwas 'Equipment' mitlesen kann. Die richtig harten Jungs, - sind entweder von staatswegen unterwegs mit entsprechender Ausrüstung und Geld - oder kommen von der dunklen Seite, wo Geld auch keine wesentliche Rolle spielt. Man wird sich in den nächsten Jahrzehnten noch auf viel krassere Betrügereien einstellen müssen. Technisch stehen wir doch erst am Anfang. Vielleicht in der Zeit vor dem ersten Fingerabdruck. Von DNA-Analyse wird gerade noch geträumt - sozusagen. Ich glaube, ich habe genug eingebracht. Diskutiert alleine weiter.
Abdul K. schrieb: > Auch geht es ja nicht um felsenfeste Verschlüsselung, sondern es sollen > 'Bastler' auf unserem Niveau wie auf µC.net anwesend, sicher verhindert > werden. Also nicht jeder mit etwas 'Equipment' mitlesen kann. es werden sich auch hier kaum Leute finden, die wirklich eine DSL Leitung mitlesen können. Einfach eine LA anschließen dürfte nicht funktionieren.
Peter II schrieb: > Wie sollte man denn ein Man-in-the-Middle bei der DSL Leitung > verhindern? Dann müsste man wieder mit Zertifikaten anfangen, und das > bei viele Herstellern auf dem Markt. Nichts anderes habe ich hier auch schon geschrieben: Beitrag "Re: Verschlüsselung von DSL / ADSL Links?" Ich hatte es so aufgefasst, dass du dich rein auf die Verschlüsselung bezogen hattest, und die ist nunmal nicht schwer umzusetzen. Das gesamte Protokol abzusichern, inklusive Unterstützung durch n Hersteller, hingegen schon, da gebe ich dir Recht.
Abdul K. schrieb: > Also 1. war ich nicht der der unbedingt verschlüsseln wollte, 2. klingst > du so als würdest du eh kein Gegenargument akzeptieren. 3. sind die > Outdoor-DSLAM mit einer Alarmanlage ausgerüstet, Nicht zwangsweise... > VSt sowieso. Klar, mit > genug Aufwand kann man alles umgehen/knacken/einbrechen. Warum so kompliziert? Einfach bei nem Subunternehmer der DTAG anfangen. Dem Geheimdienst ist die letzte Meile und DSLAMs sowieso egal, der zapft später ab. Hans Müller schrieb: > Die Telekom hat bei mir einen neuen Anschluß geschaltet. Der lief auch > sofort, trotzdem bestand der Techniker darauf den Anschluß nochmals > nachzumessen. Auf die Frage warum er denn das mache sagte er mir, daß es > machmal vorkomme, daß man das falsche Adernpaar erwischt und daß die > Verbindung dann in diesem Falle nur durch das Übersprechen / > Nebensprechen in den Kabelbündeln zustande käme. Hab ich bis jetzt noch nie was von gehört und würde mir darüber auch keine Gedanken machen. > Ergo: wenn jemand auf nicht benutzen Adern mit entsprechndem Equipment > lauscht kann er die Daten ausleiten und den Dateninhalt analysieren, > sofern eben genug überkoppelt. Da du im Kabel aber nicht der einzige Anschluss bist wird es schwer, genau deinen Verkehr auszuleiten... > Wer sich frech z.B. am Hauptverteiler > eine größeren Wohnhauses anklemmt kann auch mithören. Wenn du am Hauptverteiler deines Hauses bist kann die das Übersprechen auch egal sein, da kann man sich auch direkt auf deine Leitung klemmen und abhören, schlimmstenfalls mit eigener Technik Man in the Middle machen. Dürfte dann aber auffallen...
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.