Hallo,
wenn ich mich in einem ungesicherten WLAN (Cafe, Flughafen)in Skype oder web.de einwaehle, fliegen meine Passwoerter dann "offen" durchs Netz oder sind die, da beide Dienste ja SSL Verschluesselung haben, doch sicher? Und wie ist es bei einem gesicherten WLAN wo ich ein Passwort brauche um mich einzuloggen?
Danke fuer die Antworten
K.
Hallo
wenn ich mich in einem ungesicherten WLAN (Cafe, Flughafen)in
Skype oder web.de einwaehle, fliegen meine Passwoerter dann
"offen" durchs Netz oder sind die, da beide Dienste ja SSL
Verschluesselung haben, doch sicher? Und wie ist es bei einem
gesicherten WLAN wo ich ein Passwort brauche um mich
einzuloggen?
Man unterscheide Zugangssicherheit und Schutz bei der Datenübertragung.
Wenn eine SSL-Übertragung vorhanden ist, werden die Daten verschlüsselt und nicht im Klartext übertragen.
Das "Einloggen mit Passwort" bedeutet dagegen, dass man überhaupt den WLAN-Zugang nur mit Zugangsdaten nutzen kann und hat erstmal nichts mit der verschlüsselten Übertragung zu tun.
Beatrix
wenn ich mich in einem ungesicherten WLAN (Cafe, Flughafen)in
Skype oder web.de einwaehle, fliegen meine Passwoerter dann
"offen" durchs Netz oder sind die, da beide Dienste ja SSL
Verschluesselung haben, doch sicher?
Die Passwörter werden verschlüsselt übertragen. Ob du mit dem echten web.de-Server verbunden bist, kannst du über das SSL-Zertifikat der Seite sehen.
Und wie ist es bei einem
gesicherten WLAN wo ich ein Passwort brauche um mich
einzuloggen?
Du meinst vermutlich ein WLAN mit WEP/WPA Verschlüsselung? Dann sind generell alle Übertragungen im WLAN verschlüsselt. Aber: Nur innerhalb des WLANs, eine HTTP-Verbindung ist im Internet dann trotzdem wieder unverschlüsselt. Außerdem könnte der Betreiber des WLANs alle Daten unverschlüsselt mitlesen. Sensible Daten solltest du daher auch dort nicht ohne eigene Verschlüsselung (SSL, etc) verschicken.
Hallo,
wenn ich mich in einem ungesicherten WLAN (Cafe, Flughafen)in
Skype oder web.de einwaehle, fliegen meine Passwoerter dann
"offen" durchs Netz oder sind die, da beide Dienste ja SSL
Verschluesselung haben, doch sicher?
Die Passwörter werden verschlüsselt übertragen. Ob du mit dem
echten web.de-Server verbunden bist, kannst du über das
SSL-Zertifikat der Seite sehen.
Soweit richtig. Allerdings ist das Sicherheitskonzept von skype nicht offengelegt (soweit ich weiss), es kann also kaum jemand unabhängiges beurteilen, wie sicher skype tatsächlich ist.
Und wie ist es bei einem
gesicherten WLAN wo ich ein Passwort brauche um mich
einzuloggen?
Du meinst vermutlich ein WLAN mit WEP/WPA Verschlüsselung?
Dann sind generell alle Übertragungen im WLAN verschlüsselt.
Wobei ich WEP nicht mehr als Verschlüsselung, sondern eher als Spielzeug betrachte. Mit einem guten Laptop kann man das inzwischen im Minutenbereich brechen, unter bestimmten Umständen auch im Sekundenbereich.
Grüße,
Moritz
Soweit richtig. Allerdings ist das Sicherheitskonzept von
skype nicht offengelegt (soweit ich weiss), es kann also kaum
jemand unabhängiges beurteilen, wie sicher skype tatsächlich
ist.
Skype verwendet RSA zur Authentifizierung/Schlüsselaustausch und AES-256 für die Verschlüsselung selbst. Ich denke daher, dass Skype in dieser Hinsicht ausreichend sicher ist. Die Skype-Betreiber selbst können zumindest aber technisch sicher alle Daten im Klartext mitlesen, wenn sie wollten. Was Skype IMO wesentlich gefährlicher macht, ist, dass man aufgrund der Verschlüsselung und des nicht-offenen Protokolls nicht sagen kann, was Skype an Daten sammelt und wer letztlich darauf Zugriff hat, da man ja gar nicht weiß, was Skype überträgt.
Wobei ich WEP nicht mehr als Verschlüsselung, sondern eher als
Spielzeug betrachte. Mit einem guten Laptop kann man das
inzwischen im Minutenbereich brechen, unter bestimmten
Umständen auch im Sekundenbereich.
WEP ist natürlich kein Schutz mehr. Es ging mir eigentlich mehr darum, dass die Verschlüsselung des WLANs bei einem offenen Accesspoint generell kein Grund ist, auf Verschlüsselung zu verzichten, da unverschlüsselte Verbindungen wie HTTP zwar im WLAN verschlüsselt, aber später z.B. im Internet unverschlüsselt übertragen werden. Und der Betreiber des WLANs kann eben theoretisch auch alles mitlesen. Das ist bei WPA eben auch so. Aber keine Frage: WEP ist als Verschlüsselung gebrochen und damit nicht mehr benutzbar.
Hallo,
Skype verwendet RSA zur Authentifizierung/Schlüsselaustausch
und AES-256 für die Verschlüsselung selbst.
Woher weißt Du das?
Fragt sich
Fritze
Skype verwendet RSA zur Authentifizierung/Schlüsselaustausch
und AES-256 für die Verschlüsselung selbst.
Woher weißt Du das?
http://www.skype.com/security/files/2005-031%20secur...
Wie immer gilt natürlich trotzdem bei Closed Source Software, dass man das so nicht nachprüfen kann. Dennoch denke ich, dass Tom Berson eine vertrauenswürdige Instanz für so eine Untersuchung ist. Es gibt ja auch nicht wirklich einen Grund, weshalb es nicht so sein sollte, wie in dem PDF geschildert.
Hallo,
Woher weißt Du das?
http://www.skype.com/security/files/2005-031%20secur...
Ja. Nett. Kannte ich noch nicht. Ich habe es mir mal angeschaut. Mir macht Punkt 3.4.5 Sorgen: "side channel attacks". Insbesondere im Zusammenhang mit der in einer älteren Version von Skype vorgefundenen Spyware: http://www.pagetable.com/?p=27
Damals hat Skype nach anfänglichem rumgeeier zugegeben, dass es sich um Spyware handelt. Allerdings für einen guten Zweck (DRM enforcement) und von einer "third party" implementiert, also außerhalb des von Dr. Berson auditierten Codes.
http://www.heise.de/newsticker/Skype-Extras-Manager-...
http://share.skype.com/sites/security/2007/02/skype_...
Na herzlichen Glückwunsch. Ich setze lieber auf verifizierbaren, offenen Code ohne irgendwelche DRM software von merkwürdigen "Partnerunternehmen". Insbesondere, wenn es um sichere, vertrauliche Kommunikation geht. Auch, wenn sich die Debian-Jungs bei der SSL einen dicken Patzer erlaubt haben.
Gruß
Fritze
Das hat aber nichts mit der Verschlüsselung von Skype zu tun. Dass Skype prinzipiell alle Daten mitlesen und auswerten kann und diese auch an Dritte weitergeben kann, hat ja damit nichts zu tun.
Das hat aber nichts mit der Verschlüsselung von Skype zu tun.
Dass Skype prinzipiell alle Daten mitlesen und auswerten kann
und diese auch an Dritte weitergeben kann, hat ja damit nichts
zu tun.
Doch. Es ist eine Ende-zu-Ende Verschlüsselung. Skype sollte also eben gerade nicht alle Daten mitlesen, auswerten und an Dritte weitergeben können.
Wenn man nun aber eine schöne side-channel Lücke nutzt, dann ist die Verschlüsselung für'n Eimer.
So in der Art stelle ich mir z.B. ein Abkommen zwischen skype und sagen wir mal einer größeren Behörde aus dem nachrichtendienstlichen Bereich vor.
Gruß
Fritze