sei laut
2013-10-13, 12:38:35
Heise hatte vor Monaten einen Artikel zu DHE und ich finde, wir müssen mal ganz dringend darüber reden, wer denn nun alles diese Technik einsetzt. Und wer nicht.
Doch kurz zur Erklärung, was bringt DHE?
DHE ist in der Lage, für jede Session ein eigenes Schlüsselpaar zu generieren, mit dem eine Kommunikation dann ver- und entschlüsselt wird.
Normalerweise hat der Webserver fest einen privaten Schlüssel hinterlegt und gibt den öffentlichen Schlüssel raus, damit die Daten dann schlussendlich verschlüsselt übertragen werden und mit dem privaten Schlüssel vom Webserver entschlüsselt werden können.
DHE ist in der Lage, aus dem vorhandenen Schlüsselpaar eine unbegrenzt große Anzahl an Schlüsselpaaren zu erzeugen. Somit wird, wenn DHE eingesetzt wird, jede Sitzung mit einem anderen Schlüsselpaar ver- und entschlüsselt.
Sollte also der private Schlüssel irgendwann einmal bekannt werden oder ist er schon bekannt, kann eine Sitzung für "außenstehende" trotzdem nicht entschlüsselt werden. Das kann in dem Monat nur der Webserver selbst.
DHE schützt damit nicht vor Man-in-the-middle Angriffen, aber es schützt eine Kommunikation gegen nachträgliches entschlüsseln, was ein großer Mehrgewinn gegenüber der normalen Technik darstellt, die immer den gleichen Schlüssel zum entschlüsseln nimmt.
Nun musste ich mit erschrecken feststellen, dass weder Google, noch Facebook oder Amazon DHE einsetzen. Aber auch nicht die Sparkasse, die Postbank, die Deutsche Bank oder die Ing DiBa. Und auch nicht die Deutsche Bahn. Nur mal ein paar Seiten, die ich gerade getestet habe.
a) Ich würde gerne Seiten auflisten, die DHE einsetzen, um diese positiv hervorzuheben. Wenn ihr also Seiten findet, dann immer her damit.
b) Ich werde Anleitungen veröffentlichen, wie man herausfindet, ob DHE aktiv ist. Dazu habe ich heute leider keine Zeit, also bitte etwas gedulden.
http://abload.de/img/dhe-chromeimol4.jpg (http://abload.de/image.php?img=dhe-chromeimol4.jpg)
http://abload.de/img/dhe-opera3rrax.jpg (http://abload.de/image.php?img=dhe-opera3rrax.jpg)
Firefox und Internet Explorer zeigen es nicht an - der Internet Explorer kann es auch nicht.
Ansonsten kann man eine Seite mit https://www.ssllabs.com/ssltest/index.html testen - Domainname eintippen, auf die jeweilige IP klicken, dann gelangt man zur Testübersicht - unten steht dann, ob der eigene Browser DHE nutzen würde.
Was unterstützt mein Browser?: https://cc.dcsec.uni-hannover.de/ (danke @ eViLsTieFel)
Doch kurz zur Erklärung, was bringt DHE?
DHE ist in der Lage, für jede Session ein eigenes Schlüsselpaar zu generieren, mit dem eine Kommunikation dann ver- und entschlüsselt wird.
Normalerweise hat der Webserver fest einen privaten Schlüssel hinterlegt und gibt den öffentlichen Schlüssel raus, damit die Daten dann schlussendlich verschlüsselt übertragen werden und mit dem privaten Schlüssel vom Webserver entschlüsselt werden können.
DHE ist in der Lage, aus dem vorhandenen Schlüsselpaar eine unbegrenzt große Anzahl an Schlüsselpaaren zu erzeugen. Somit wird, wenn DHE eingesetzt wird, jede Sitzung mit einem anderen Schlüsselpaar ver- und entschlüsselt.
Sollte also der private Schlüssel irgendwann einmal bekannt werden oder ist er schon bekannt, kann eine Sitzung für "außenstehende" trotzdem nicht entschlüsselt werden. Das kann in dem Monat nur der Webserver selbst.
DHE schützt damit nicht vor Man-in-the-middle Angriffen, aber es schützt eine Kommunikation gegen nachträgliches entschlüsseln, was ein großer Mehrgewinn gegenüber der normalen Technik darstellt, die immer den gleichen Schlüssel zum entschlüsseln nimmt.
Nun musste ich mit erschrecken feststellen, dass weder Google, noch Facebook oder Amazon DHE einsetzen. Aber auch nicht die Sparkasse, die Postbank, die Deutsche Bank oder die Ing DiBa. Und auch nicht die Deutsche Bahn. Nur mal ein paar Seiten, die ich gerade getestet habe.
a) Ich würde gerne Seiten auflisten, die DHE einsetzen, um diese positiv hervorzuheben. Wenn ihr also Seiten findet, dann immer her damit.
b) Ich werde Anleitungen veröffentlichen, wie man herausfindet, ob DHE aktiv ist. Dazu habe ich heute leider keine Zeit, also bitte etwas gedulden.
http://abload.de/img/dhe-chromeimol4.jpg (http://abload.de/image.php?img=dhe-chromeimol4.jpg)
http://abload.de/img/dhe-opera3rrax.jpg (http://abload.de/image.php?img=dhe-opera3rrax.jpg)
Firefox und Internet Explorer zeigen es nicht an - der Internet Explorer kann es auch nicht.
Ansonsten kann man eine Seite mit https://www.ssllabs.com/ssltest/index.html testen - Domainname eintippen, auf die jeweilige IP klicken, dann gelangt man zur Testübersicht - unten steht dann, ob der eigene Browser DHE nutzen würde.
Was unterstützt mein Browser?: https://cc.dcsec.uni-hannover.de/ (danke @ eViLsTieFel)