dirmhirn
Goto Top

Client-SSL auf unsicherem Webserver - sicher?

Hi!

es soll ein kleiner Webserver werden der offline User authentifizieren kann. (d.h. keine Internetverbindung oder sonst ein zentraler Server)
hier besteht auch die Gefahr, dass der gesamte Server ausgebaut und ausgelesen wird (zb ein BeagleBone oder RPi).

daher die Idee: Client SSL-Zertifikate
http://it.toolbox.com/blogs/securitymonkey/howto-securing-a-website-wit ...

wenn ich das richtig verstanden habe, solange der CA-Root key nicht auf dem Server liegt, kann man mit den Daten keine weiteren Zertifikate erstellen oder weitere gleich aufgebaute Systeme angreifen.

die andere Idee wäre:
nur die Public Keys auf dem Server zu speichern, dann könnte ich auch beliebige Zertifikate nutzen - der User muss nur einmal den Public-Key angeben.
Bin mir aber nicht ganz sicher ob das so klappt.
ein paar Beiträge findet man dazu im Internet
http://serverfault.com/questions/381880/how-can-i-make-apache-request-a ...
http://serverfault.com/questions/497297/is-it-possible-to-allow-only-so ...

wozu das ganze:
zb bei einer Kaffeemaschine die einmal pro Tag mit Kaffee und ggf. den neuen Usern "befüllt" wird. Der User kann sein Zertifikat per Smartphone oder SmartCard mitbringen.
daher wäre es egal wenn ein Angreifer auf eine der Maschinen zugreifen könnte - er könnte diese zwar manipulieren, aber nicht großflächig auf alle anderen Zugreifen, indem er sich neue Client-Zertifikate erstellt.... o.ä.

hat hier jemand Erfahrung?
(ja, die Kaffeemaschine ist den Aufwand wert face-wink

sg Dirm

Content-Key: 217019

Url: https://administrator.de/contentid/217019

Ausgedruckt am: 29.03.2024 um 00:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 16.09.2013 aktualisiert um 10:47:39 Uhr
Goto Top
Zitat von @Dirmhirn:
wozu das ganze:
zb bei einer Kaffeemaschine die einmal pro Tag mit Kaffee und ggf. den neuen Usern "befüllt" wird. Der User kann
sein Zertifikat per Smartphone oder SmartCard mitbringen.
daher wäre es egal wenn ein Angreifer auf eine der Maschinen zugreifen könnte - er könnte diese zwar manipulieren,
aber nicht großflächig auf alle anderen Zugreifen, indem er sich neue Client-Zertifikate erstellt.... o.ä.

Solange auf dem Serevr nur die Public keys liegen, sollte man mit den client-zertifikaten keine Blödsinn anstellen können. Denn um sich zu authentifizieren, benötigt man den private-key.

Sinnvollerweise soltle sich aber die kaffemaschine sich ausweisen, d.h. einen eigenen private-key haben, mit dem sie sich gegenüebr den usern ausweist. Dieser kann dann natürlich mißbraufht werden, um die kaffemaschine zu faken, wenn man die daten klaut.


hat hier jemand Erfahrung?
(ja, die Kaffeemaschine ist den Aufwand wert face-wink

Wo bekomme ich die , was kostet die udn vor allem, was macht die so besonders, daß ich sie auch haben wollen sollte?

lks,

der ein koffeinjunkie ist (2l kaffee/d).

nachtrag: Macht die dann auch Quotas für kaffee? Dann wil ich sie doch lieber nicht. face-smile
Mitglied: Dirmhirn
Dirmhirn 16.09.2013 aktualisiert um 11:48:33 Uhr
Goto Top
Hi!

ok, danke dann hab ich das eh mal so richtig verstanden.

d.h. einen eigenen private-key haben, mit dem sie sich gegenüebr den usern ausweist. Dieser kann dann natürlich mißbraufht werden, um die kaffemaschine zu faken, wenn man die daten klaut.
ja das habe ich mir auch schon gedacht, finde ich aber nicht so kritisch, da der User keine Daten o.ä. bereitstellen soll. d.h. wenn er sich bei einer fake-Maschine anmeldet sollte das niemanden Schaden. Außer, dass er keinen Kaffee bekommt. Aber das wirst du ja wohl verstehen, dass sich dieses lokale Problem, dann "rasend" schnell löst ^^.

Wo bekomme ich die , was kostet die udn vor allem, was macht die so besonders, daß ich sie auch haben wollen sollte?
mal schaun ob es die mal gibt face-wink
Die Hauptidee ist eigentlich in Zeiten von Share-Your-Life, wie man etwas Sharen kann ohne gleich eine Internetleitung anzuhängen. Aber sie müssen halt regelmäßig "gewartet" werden oder fix installiert werden. Nicht dass jemand den Webserver/Controller ausbaut und das ganze Teil fladdert.
Fand die Kaffeemaschine als anschauliches Beispiel gut face-smile
Aber vll für den Rasenmäher, Haustor, Fahrrad (oder sogar Autos), Wäscheausgabe im Spital, ... alles wo keine Echtzeitüberwachung stattfinden muss oder kann.

Steht keine konkrete Geschäftsidee dahinter. Aber ich denk mir einfach es ist alles immer mehr online - aber in Wirklichkeit ist man gar nicht so überall online. In Österreich haben wir zwar eine relativ gute Abdeckung, was Handy Empfang betrifft, aber in Gebäuden ist's oft recht schlecht.
Ganz anders sieht es da zb in Afrika aus.

nachtrag: Macht die dann auch Quotas für kaffee? Dann wil ich sie doch lieber nicht.
naja zumindest nicht in Echtzeit, d.h. du musst bei der erst Programmierung als koffeinjunkie bekannt sein face-wink Aber sie kann dann natürlich deine persönlichen Einstellungen speichern, da sie weiß, dass du es bist.

sg Dirm