Eigene installierte Zertifikate von anderen Programmen ausnutzbar Sicherheitslücke

Hallo Stefan,

Das verstehe ich nicht ganz. Wenn böse Software ein Zertifikat ausstellt, kann es doch gar nicht in der Root of Chain überprüft werden. Oder meinst du das stimmt so nicht? Ich dachte jedes Zertifikat wird überprüft bis hin zum Root, welches ja einmalig sein sollte.

Auch müsste so ja das böse Programm für tausende Webseiten Zertifikate ausstellen oder? Jedenfalls wenn es alle belauschen will, so wie Avast https scanning.

Ich glaube ich habe es schon mehr verstanden. Ist das so korrekt?

google.com wird aufgerufen

Die Firewall merkt das und sagt dem Browser: Hey, ich bin Google!

Browser sagt: Glaub ich nicht, zeig dein Zertifikat. Firewall sagt klar Mann! Hier: Und zeigt das Zertifikat das zum Root Zertifikat ,welches die Firewall vorher im Browser/Windows Zertifikatsspeicher installiert hat, passt (Hash und privater / Public Key passen).

Browser sagt: Passt zu dem Zertifikat was ich habe, eine nächst höhere CA gibt es auch nicht also bist du google!

Firewall lässt mich nun weiter zu dem echten Google kann aber parallel alles mitschneiden da sie auch Google ist.

Korrekt so? Das gleiche geht dann aber auch mit anderen Seiten und dem gleichen Root Zertifikat, also muss nur eins Installiert werden. Die Firewall muss allerdings für jede Webseite einfach den Namen der Seite ins Zertifikat eintragen.

Richtig?

Ok wenn das oben korrekt ist dann habe ich es verstanden. Bei mir kommt allerdings bei google.de kein GetTrust, sondern Avast Webshield Wenn ich mir das anschaue steht darunter google. Gutes Beispiel :=

Danke Dir schon mal! Wenn du Lust hast kannst du mal hier drüber lesen. Habe ich geschrieben um es mir zu merken. Falls das im groben korrekt ist sollte ich es verstanden haben:

Zertifikat kommt an. ist verschlüsselt mit dem privatem Key der CA. Kann also nur mit dem öffentlichem entschlüsselt werden. Kam ich es nicht ist es ein Hacker.
Denn nur die CA hat den privaten Key für das Zertifikat und ich den öffentlichen. Der Hacker kann keine passenden privaten der zu meinem öffentlichen passt erstellen.

Auch hier muss der öffentliche wieder stimmen (der kann ja gefälscht sein, wenn ein Hacker auf meinem Rechner ein Zertifikat mit gefälschten öffentlicherem unterschiebt als man in the middle. Ist er auf meinem PC kam er eh alles tun und auch Root Zertifikat erstellen, es geht nur um MitM).
Die nächst höhere CA verschlüsselt mit ihrem privaten Key wieder das Zertifikat welches das vorige Zertifikat, das auch den öffentlichen Key enthält zertifiziert. Auch hier kam man das Zertifikat wieder nur mit dem öffentlichem Key öffnen. Kam ich es öffnen stimmt das vorige Zertifikat mit dem dazugehörigen öffentlichem Key. Usw. Dem Root wird bedingungslos vertraut. Quasi der letzte Öffentliche ..


Die Inhalt eines Zertifikat kann zusätzlich geprüft werden durch den Hashwert:

Ein von einer CA signiertes Zertifikat kann jederzeit auf korrekte Integrität geprüft werden. Dabei wird ein Hashwert über die Payload des Zertifikats gebildet und dann die Digitale Signatur des Zertifikats mit dem öffentlichen Schlüssel der CA entschlüsselt. Anschließend wird der entschlüsselte Hashwert mit dem vorher berechneten verglichen – stimmen beide Werte überein, so ist die Integrität gewährleistet.

Hier wurde natürlich vorher die Chain of Trust geprüft und für gut befunden.

Wenn ein Hacker sein eigenes Zertifikat erstellt ist die Kette unterbrochen. Denn er kann nicht bis hin zum Root Fälschen. Hier Bundesnetzagentur.