News von Verschlüsselungsangriffen bis Kryptodiebstahl

Shownotes

Passwort-Podcast ohne PKI: unvorstellbar! Daher sprechen Sylvester und Christopher in der aktuellen FOlge auch über Kritik an der automatischen Zertifikatsvergabe per ACME-Protokoll. Außerdem staunen sie ob eines Milliardendiebstahls bei der Kryptobörse Bybit, ärgern sich über verschiedene staatliche Versuche, Verschlüsselung zu schwächen und ermutigen ihre Hörer, bei der Auswahl der Testdomain umsichtig vorzugehen.

Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Kommentare (2)

Sylvester

Danke für das Lob. Der Schlüssel fließt nicht über ACME nur ein Certificate Signing Request (CSR), das ist richtig. Aber wenn ein Angreifer dank MITM die ACME-Challenge beantworten kann, dann kann er sich selbst einen Schlüssel erstellen, per ACME um ein Zertifikat bitten, die Challenge bestätigen und bekommt ein Zertifikat für eine Domain ausgestellt, die er nicht kontrolliert. Dieses Zertifikat wirkt dann vollkommen valide. Es nutzt zwar einen anderen Schlüssel als das originale, aber das ist für Dritte weder relevant noch erkennbar.

Arne

Tolle Episode. Ich freue mich immer über PKI Themen. Ich frage mich trotzdem was ein MITM bei ACME bringen soll, denn der Privatschlüssel fliest doch nicht über ACME, oder? Zertifikat Inhalte sind nicht geheim. Ohne private key nütz das den Angreifern wenig. Oder sehe ich das falsch?

Neuer Kommentar

Dein Name oder Pseudonym (wird öffentlich angezeigt)
Mindestens 10 Zeichen
Durch das Abschicken des Formulars stimmst du zu, dass der Wert unter "Name oder Pseudonym" gespeichert wird und öffentlich angezeigt werden kann. Wir speichern keine IP-Adressen oder andere personenbezogene Daten. Die Nutzung deines echten Namens ist freiwillig.