Was ist passiert?
Du wurdest auf diese Seite automatisch umgeleitet. Im Zuge der Krypto-Kampagne wird das Internetangebot nur noch verschlüsselt übertragen. Mit dieser Seite wollen wir erklären, warum wir das machen und wie es geht.
What happened?
You have been warped to this page because we decided to encrypt all web traffic from our server. The reasons for the crypto campaign are mostly political and are explained on this page in German.
To summarize: We believe that strong cryptography is an important technology to make the Internet trustworthy. Even if using cryptography is inconvenient today, we need to widely deploy it before using cryptography can be outlawed.
Please follow the next link and accept the certificate, or proceed direcly to link 2 and accept our site cert for this session to view the desired content. Thanks.
If you are willing to accept a cookie, you may also click here to permanently suppress these instructions (and it works now).Für Eilige:
Hier findet Ihr das Cert unserer CA:CA der IKS-Jena
Und hier geht's weiter: ~
Bei allen Fragen, die nicht https betreffen bitte die FAQ lesen und erst dann eine Mail schicken!
Beschwerden und Sonstiges bitte an mich pluto@berlin.ccc.de. Wenn was nicht klappt, bitte Betriebsystem, Browser (Version) und Provider mit angeben!!!
Warum machen wir das?
Abhören und das Verhindern von Kommunikation war mit Papier basierter Kommunikation teuer und aufwendig. Das wird sich radikal ändern, wenn mehr und mehr des täglichen Gedankenaustausches in einer Form vorliegen, die automatisiert und kostensparend, kontrolliert und verhindert werden kann. Die politische Arbeit dies zu verhindern ist wichtig und funktioniert, siehe TkÜV, reicht allein aber nicht aus, denn solange es Gesetze gibt die Worte mit Strafe belegen, wird versucht werden die Verantwortlichen für diese Worte zur Rechenschaft zu ziehen und zu verhindern, daß andere diese Worte hören.
Das technische Probleme bis jetzt verhindert haben, bestimmte Angebote des Internet zu sperren, heißt nicht, das dies niemals gehen wird. Der erste mir bekannte automatische Newsscanner nach verbotenen Inhalten ist laut Zeitungsberichten am DE-CIX in Betrieb und einem Ausbau dieser Technik steht politisch nichts im Wege. Die NSA hört eh` alles und Bewertungssysteme für Inhalt à la Pics oder Cybernanny sind seit Jahren in Arbeit und es ist durchaus vorstellbar, daß es Provider geben wird, die ``sauberes', sprich gefiltertes Internet verkaufen. Was noch der angenehmste Fall wäre, den nach dem Urteil gegen Somm, könnte man sich auch Urteile gegen Provider vorstellen, die Dateien mit unerwünschten Bewertungen durchlassen. Die Gendatenbank läuft auch, es wird nicht grade besser mit der Freiheit in diesem Land. Als Begründung für diese Verschärfungen müssen Kinder herhalten, die eh` schon nichts zu lachen haben. In den USA sind's halt die Drogendealer, und anderswo ist es der dortige, derzeitige Staatsfeind Nummer Eins.
Es gilt also zu verhindern, daß Kommunikation beobachtet wird, denn erst aus dieser Beobachtung kann sich die Entscheidung, welche Inhalte gesperrt werden sollen, ergeben. Und genau aus diesem Grund ist es wichtig, daß nicht nur sensible Daten verschlüsselt werden, sondern der ganze Traffic. Nach Möglichkeit auch mit einer Verschleierung der Verbindungsdaten.
Das alte Argument, daß wenn nur einer verschlüsselt, dieser eine prophylaktisch verhaftet wird, gilt weiterhin. Und könnte im Zuge der EU Harmonisierung Realität werden.
Wie funktioniert es?
Secure Sockets Layer (SSL) oder auch TLS, ist ein offenes Protokoll zur verschlüsselung des Hyper Text Transfer Protokolls (http). Eine mit SSL gesicherte Verbindung erkennt man an folgender Protokollbezeichnung in der URL: "https://...".
Wie auch PGP basiert SSL auf der Public Key Kryptographie (PKC), d.h. es gibt einen Secret-Key und einen Public-Key. Diese werden bei SSL Zertifikate (Cert) genannt, denn es werden neben dem eigentlichen PKC Key noch weitere Informationen über den Inhaber abgespeichert.
Wenn der Browser sich mit einer https Site verbindet und er den Public dieser Site noch nicht hat, lädt er diesen und überprüft, ob er schon von einer ihm bekannten Certifying Authority (CA) unterschrieben ist. Wenn dies so ist, erfolgt der Verbindungsaufbau ohne weitere Nachfrage und wenn nicht, wird der Benutzer aufgefordert zu entscheiden, ob er diesen Key akzeptieren möchte.
Um kommerziellen Sites die Benutzung von SSL zur Kreditkartenübermittlung zu ermöglich, ohne daß der Benutzer mit Fragen genervt wird, haben Netscape und M$ mehrere sog. Root-CAs eingebaut. Diese CAs unterschreiben die Certs gegen Geld und einen Nachweis der Identität des Antragstellers. Neben diesen CAs gibt es noch weitere private und kommerzielle, deren Certs sich der Benutzer allerdings selbst in den Browser laden muß.
Wie wird verschlüsselt?
Nachdem geklärt ist, welches Cert benutzt wird, einigen sich Server und Browser auf einen Bulk Cypher aus der Liste der von beiden unterstützten Methoden. Der Browser schickt nun einen mit dem Public Key des Servers verschlüsselten Session Key zum Server und wartet, ob der Server in der Lage ist, diesen zu entschlüsseln. Wenn alles geklappt hat, schickt nun der Server die angeforderten Dateien mit dem Session Key verschlüsselt zum Browser und alle sind glücklich :-) Wenn der Server dies wünscht kann jetzt mit der gleichen Methode, bloß andersrum, der Browser mit einem Client Cert seine Identität nachweisen.
Ist eine SSL Verbindung 100% gegen Abhören geschützt?
Ob die Verbindung jetzt wirklich abhörsicher ist, hängt von der eingesetzten Software ab. Erstmal ist die Läge des verwendeten PKC Schlüssel Paars von der Version des Browsers abhängig. Der von uns verwendete 1024 Bit Schlüssel funktioniert mit jedem SSL fähigen Browser. Länger Schlüssel werden leider nur von Marktüblichen Browsern ab Version 4 oder freier Software wie z.B. SafePassage, Fortify, Cryptozilla oder anderen unterstützt.
Die Länge des Session Key ist zwar immer 128 Bit, allerdings werden bei den Exportversionen Amerikanischer Produkte 88 Bit nicht mit PKC verschlüsselt, sondern einfach im Klartext mitgeschickt. D.h. die 40 Bit sind für eine etwas besser ausgestattete interessierte Stelle einfach zu entschlüsseln und damit wieder abhörbar.
Selbst wenn alles prima verschlüsselt ist, solltet Ihr Euch bewußt sein, daß beobachtet werden kann, mit welcher Site Ihr Euch verbindet und wieviel Daten übertragen werden. Abhilfe würde nur eine Art Remailer für http schaffen. Ein per SSL verbundenes Proxy Array, z.B.
Wo ist das CA Cert des vom CCC benutzten Certs?
Wir haben unser Cert von der IKS-Jena unterschreiben lassen, die auch an der PGP CA des Individual Networks (IN) beteilig ist.
Das Cert findet Ihr hier. Wenn Ihr das Cert akzeptiert habt, könnt Ihr es, wie die schon eingebauten auch, Online überprüfen. Einfach im Sicherheitsdialog von Netscape das Cert der IKS anwählen und auf Verify / Überprüfen klicken.
Wenn das geschafft ist, gleich mal ausprobieren: ~
Jetzt auch hier mit Keksen
Wer sich nicht vor Cookies fürchtet, kann auch hier clicken, um die eigentlich gewünschte Seite angezeigt zu bekommen und diese Anleitung zukünftig zu unterdrücken (und jetzt funktioniert das tatsächlich).
Empfohlene Software:
SSLeay
Crytozilla
SafePassage von C2
Fortify
Netscape und andere mit voller Krypto
Sammlung von Software und RFCs
Recommended Readings:
CA des IN
CA der IKS-Jena
Linksliste zum Thema (Englisch)
Viel Spaß am Gerät!
CCC
Zurück
zur Chaos Computer Club Home Page