[DE] Das letzte Geheimnis

 Um die Kommunikation zwischen mehreren IT-Systemen zu sichern läuft man immer wieder in das Problem des letzten Geheimnisses.


Wir wollen eine Kommunikation aufbauen, die zum einen abhörsicher ist, zum anderen beide Seiten eindeutig identifizieren soll. Der erste Teil ist dank asynchroner Verschlüsselung nicht mehr schwer. Jede Seite hält einen öffentlichen Schlüssel der anderen Seite. Da niemand dazwischen, ohne den privaten Schlüssel die Daten lesen kann sind die Daten vor fremden 'Ohren' sicher.

Der zweite Teil wird gelöst, indem sich jede Seite durch ein Geheimnis, z.B. Passwort identifiziert. Auch hier kommen asynchrone Schlüssel zur Anwendung. Eine Zeichenfolge wird verschlüsselt und dem gegenüber geschickt. Kann dieser die Zeichen entschlüsseln, wurde er erfolgreich identifiziert.

Was aber, wenn ein System kompromittiert wird? Wenn ein Dritter Zugriff auf Datenbank oder Dateisystem bekommt, oder Programmcode auf dem gesicherten System ausführen kann. Er kann private Schlüssel und Passwörter abgreifen und sich über die gleichen Mechanismen wie das eigentlich freundliche System in die Kommunikation einschleichen.

Das letzte Geheimnis liegt also immer irgendwo auf einem System und kann dort abgegriffen werden. Es gibt kein Szenario, bei dem dieses letzte Problem der Sicherheit nicht von anderen gefunden und missbraucht werden kann. Das Abgreifen wird dem Angreifer nur erschwert. Zum Beispiel durch ein Dongle, eine externe Hardware, die sensible Daten schützt. Was hält den Angreifer ab, diese Hardware ebenfalls zu nutzen?

Ein erfolgsversprechendes Konzept ist ein Geheimnis, das immer beim Start des Programms manuell eingegeben werden muss. Abgesehen davon, dass es sehr unpraktisch ist, ist durch eine simplen 'core dump' das Geheimnis schon fast offengelegt. Dabei wird der Speicher eines Programms auf die Festplatte kopiert und kann eingesehen werden. Der motivierte Angreifer findet darin das Geheimnis.

Die gezeigten Verfahren sind allerdings vergleichsweise sicher, denn der Aufwand in einem core dump von mehreren Gigabytes ein 10 Zeichen Passwort zu finden muss ein attraktives Ziel rechtfertigen.

Aber auch das EC-Karten-Prinzip kann schon helfen, günstiger als ein Dongle und weniger aufwendig als ein manuelles Passwort. Dabei wird wie bei einer EC-Karte vorgegangen. Die Karte ist vergleichsweise einfach zu bekommen. Ein Griff in eine fremde Handtasche genügt. Für den geübten Taschendieb keine Herausforderung. Allerdings ist die Karte ohne PIN fast nutzlos. Doch dieser ist unerreichbar, da im  Kopf des Inhabers gespeichert.

Genauso können Geheimnisse leicht gesichert werden. Der private Schlüssel auf der Festplatte. Dieser mit einem einfachen Algorithmus gesichert. Der PIN dafür befindet sich im Programmcode, hier möglichst verschleiert durch obfuscation. Das kann einen Angreifer die Motivation nehmen oder auch seine Fähigkeiten übersteigen.



Comments

Post a Comment

Popular posts from this blog

Sonatype Nexus fails with random "peer not authenticated" errors behind ingress

 After installing nexus3 server in a kubernetes environment in the first view everything looks good. Server is running an accessible from the world. Users and roles are defined and working. But already in the first hours of working with the repository there are problems. The trick was retry the failed activity and everything went ok. It turned out that heavy activities failed a lot of times and a lot of retries have to be done to finish the tasks. Annoying if a release deploy failed. You need to increase the version number every time. There were a few support in the internet for the problems most of the time handling SSL problems between maven and nexus. But it did not fix the problem. It looks like maven and the used http library wagon have got problems with pooled connections if using ingress (a test with a standalone installation did not show the problem)  - The 'deep' reason is not really clear for me, need to invest more time for it. The solution is to deny wagon to use po
Read more

Creating a flux sync configuration referring a config map for substitution

 If you configure your k8s cluster with terraform one of the final steps is to install a fluxcd operator. The operator are responsible to manage the resources inside of the cluster. In this way a fully automatic creation process is possible. To install flux a terraform provider is available preparing a install and sync configuration which can be installed in k8s using the kubernetes/kubectl providers. In fluxcd itself it is possible to use substitution . This means you can use variables to prepare the k8s yaml files. This is useful for variable content like different cluster names and domain names for all stages. Or more specialised arn ids of created resources while creating the cluster in aws. To use substitution fluxcd offers to link the configuration to a config map. In the map a set of key values can be defined to replace variable values. The map can also be created with terraform and the kubectl provider. Do not store secrets in the config map. Try to use secrets instead. Applyi
Read more

[mhus lib] Reorg in generation 7 nearly finished

 The generation 7 shows massive reorganisations and reimplementations. After renaming repository names (moved the 'cherry' prefix to 'mhus') the reorg is finished and the sources are ready for a more stable generation 8. Generation 8 will add new features to work with none OSGi services in cloud environments. Actual changes: cherry-reactiive -> mhus-reactive cherry-vault -> mhus-vault cherry-web -> mhus-web mhus-osgi-cluster -> mhus-cluster
Read more