Vorsicht vor SSL-/TLS-Paranoia bei Apple und Microsoft

Alexander Trust, den 23. Februar 2015
Hacker
Hacker (Symbolbild), Bild: CC0

Ein Blogger aus Singapur hat nach dem Vorfall mit Lenovo Superfish Adware Lunte gerochen und sich Gedanken über SSL-Zertifikate auf Apple-Computern gemacht. Microsoft thematisiert er ebenfalls, lässt aber einige Dinge außer Acht, die seine Vorwürfe schon im Keim ersticken.

Lai Zit Seng behauptet, dass auf Apples Computern Zertifikate installiert seien von Regierungsorganisationen, die womöglich der NSA das Abhören der Computer erlauben. Darüber hinaus behauptet Zit Seng, dass Apple vielmehr Zertifikate installiert habe als Microsoft. Speziell 5 Zertifikate fallen ihm auf, die auf seinem Windows-Rechner nicht zu finden waren.

Mehr Zerifikate unter OS X als Windows?

Unter OS X gibt es den Schlüsselbund, eine zentrale Verwaltung von Logins, Passwörtern und Zertifikaten. Dort kann man sich alle Zertifikate an einer Stelle ansehen. Unter Windows gibt es ebenfalls einen Zertifikatmanager, den man starten kann, indem man certmgr.msc ins Suchfeld der Start-Button-Dialogfensters eingibt. Der bloße Vergleich zeigt, dass OS X mehr installierte Zertifikate aufweist als Windows. Warum ist das so? Microsoft liefert sein Betriebssystem in unterschiedlichen Varianten aus, die speziell auf Märkte zugeschnitten sind, Apple hingegen liefert überall die gleiche Software aus.

Der Blogger aus Singapur konnte unter seinem Windows 7 diverse Zertifikate nicht vorfinden und äußerte deshalb den Verdacht, dass Apple etwas manipulieren würde. Google hätte bereits dabei geholfen, festzustellen, dass die von ihm monierten Zertifikate, aber trotzdem auf Windows-Computern gefunden werden können, und zwar je nach Sprachraum, für die sie angepasst wurde.

Darüber hinaus ist Folgendes zu beobachten: Wer eine Webseite unter Windows ansurft, und einmal den Zertifikatmanager im Blick behält, stellt fest, dass sich die Liste der „Vertrauenswürdigen Stammzertifikate“ in manchen Fällen erweitert. Windows scheint diese bei Bedarf zu initiieren. Beim Öffnen der Webseite uzh.ch der Universität Zürich wurde bei uns das „QuoVadis Root CA 2“ hinzugefügt, das sich unter OS X bereits im Schlüsselbund findet, selbst wenn man die Seite nie vorher besucht hat.

Firefox hat ebenfalls eine eigene Zertifikat-Verwaltung und viele der im OS-X-Schlüsselbund vorhandenen Zertifikate sind identisch mit denen, die man im Firefox ebenfalls findet. Anbieter, die ihre Zertifikate installiert haben wollen, melden sich bei den Herausgebern von Browsern. Microsoft bietet zu diesem Zweck ebenfalls ein spezielles Partizipationsprogramm an.

Regierung oder Regierung?

Zit Seng fragt sich, ob manche Zertifikate den Angehörigen von Regierungsorganisationen das Erspähen der Rechner der Nutzer erlauben oder erleichtern. Dabei äußert er seinen Argwohn gegenüber Zertifikaten die Namen tragen wie „U.S. Government“ oder „Japanese Government“. Wohl auch weil er sprachlich nicht dazu in der Lage ist, kann er die Zertifikate „Staat der Nederlanden“ nicht in die gleiche Schublade stecken.

Wenn man sich die Geschichte der letzteren ansieht, dann gibt es sogar umfangreiche Lektüre dazu. Was heute als „Staat der Nederlanden“ ausgezeichnet wird, wurde vor einigen Jahren noch von dem Privatunternehmen „DigiNotar“ gekennzeichnet, das zum Beispiel Zertifikate für die niederländische Verkehrsregistrierung ausstellte. Nach einem Hack von DigiNotar übernahm die niederländische Regierung die Services, um sicherzustellen, dass unter anderem keine Manipulation durch falsche Zertifikate bei der Anmeldung von Autos geschieht. Nach dem Datenskandal meldete DigiNotar Konkurs an und nachdem mehr als 500 Fake-Zertifikate im Namen des Unternehmens ausgestellt worden waren, haben die Browserhersteller alle Zertifikate auf eine schwarze Liste gesetzt. Auf wessen Rechner die Zertifikate von „Staat der Nederlanden“ nicht installiert sind, der wird bei der Online-Anmeldung eines Fahrzeugs nicht ohne Weiteres fortfahren können, und der muss die Zertifikate dann von Hand nachinstallieren. Wie das funktioniert, erläutern die Webseiten des niederländischen Innenministeriums. Das ist allerdings nur eine von vielen Verwendungen, die den Zertifikaten zukommt.

Nun haben wir ein Beispiel aus einem unserer Nachbarländer gewählt, kommen wir zu einem, das Zit Seng bemängelt. Das „DoD Root CA 2“-Zertifikat (DoD steht für Department of Defense) wird ausgestellt von der US-Regierung und führt tatsächlich auch auf direktem Weg zur NSA. Denn beispielsweise wird es auf der Webseite des „Information Assurance Directorate“, einem Service-Zweig der National Security Agency. Wer beispielsweise versucht, die Unterseite zu kommenden Events des IAD aufzurufen, der wird darauf hingewiesen wie er das „DoD Root CA“-Zertifikat installieren kann, sollte sein Browser Fehlermeldungen abwerfen. Man soll es nicht glauben, aber die NSA ist nicht nur in aller Munde wegen der Bespitzelung von Bürgern, sondern bietet die Services zur Sicherung von Informationen an. Bei Mozilla wurde vor Jahren schon einmal diskutiert, die DoD-Zertifikate standardmäßig zu installieren, damit Firefox als Browser bei Mitarbeitern der US-Regierung mehr Vertrauen entgegen gebracht würde.

Genau dieses Argument kann man nutzen, um dem Blogger aus Singapur abermals etwas Wind aus den Segeln zu nehmen. Immerhin verkauft Apple sehr viel Hardware an Regierungs-Organisationen, weshalb die Installation entsprechender Zertifikate für Mitarbeiter sinnvoll ist.

Superfish?

Im Fall von Lenovo und Superfish gab es eine Software auf dem Rechner der Nutzer, die ein eigenes Zertifikat installierte und so eingerichtet war, dass sie sich in Internetverbindungen einklinken sollte. Die normale Kommunikation wurde dadurch nicht gestört. Die vorhandenen Zertifikate auf Apple-Rechnern oder solchen mit Microsoft-Betriebssystem bräuchten dann ebenfalls noch eine installierte Software, damit dieses Szenario „genauso“ funktionieren kann und man vom „Mittelsmann“-Szenario sprechen könnte. Weil nur vor Übertragung der Schlüssel beider kommunizierender Seiten (Client und Server) könnte die Software beiden Seiten einen Schlüssel vorgaukeln und damit die Daten unverschlüsselt abfangen. Ein Zertifikat alleine ist ohne zusätzliche Software (idR ein Browser) nicht relevant.

Theoretisch wäre es möglich, ohne zusätzliche Software auf dem Computer des Nutzers eine ebensolche Situation hervorzurufen. Am einfachste wäre es dann aber, wie bei Phishing-Versuchen, den Nutzer auf einen fremden Server mit gefälschtem Zertifikat zu locken, um seine Eingaben zu protokollieren. Wollte die NSA tatsächlich die Nutzereingaben per Echtzeit entschlüsseln ohne Software auf dem Client, wäre a) immer die aktuelle IP-Adresse des Auszuschnüffelnden notwendig und b) müsste man trotzdem eine Art Software zwischenschalten, wie einen Proxy, der die Eingaben des Nutzers interpretiert. Es hilft ja nichts, wenn die NSA nicht wüsste, wohin der Nutzer eigentlich surfen will, wenn man versucht ihm vorzugaukeln, dass er dorthin unterwegs zu sein scheint. Doch die Proxy-Software müsste ebenfalls irgendwo installiert sein und so könnte man nicht zweifelsfrei jeden Schritt vorwegnehmen, könnte also eher reagieren denn agieren.

Zertifikate sind nicht die Ursache

Grundsätzlich stellt sich aber bei der Denkweise von Lai Zit Seng ein Denkfehler gleich mit ein. Denn er vermutet die Ursache des Problems auf Seite der Zertifikate. Tatsächlich sollten diese die Kommunikation sicherer machen, haben in vielen Fällen aber so erst das „Man in the Middle“-Problem ausgelöst. Daneben gibt es aber ganz viel unverschlüsselte Kommunikation, die keinerlei Warnung ausgibt, und wie wir heute wissen, zuhauf von der NSA abgefangen wurde, um sie auszuwerten, weil man mit der Strategie die Nadel im Heuhaufen zu finden, einverstanden war/ist.


Ähnliche Nachrichten