Firefox-Kryptoschlüssel

    Guten Abend,

    ich habe eine Frage zum Einrichten des Kyptoschlüssels. Ich habe den FIPS-140 eingerichtet, bin mir aber nicht sicher, ob die Verschlüsselung richtig funktioniert, da ich so etwas zum ersten mal benutze. Gibt es eine Möglichkeit die Verschlüsselung zu testen? Gibt es andere Kryptoschlüssel, die man frei herunterladen kann? Was bringt so eine Verschlüsselung an Sicherheit in der Praxis?

    Danke und viele Grüße

    Hallo KeinePeilung,

    FIPS (egal ob 140 oder höher) als Standard auf einem privaten System zu fahren, ist schon grenzwertig. Für einen Privatrechner genügt es in aller Regel völlig, wenn du dich von deinem Browser mit den verfügbaren https-Verbindungen versorgen lässt.

    FIPS ist auch kein Kryptoschlüssel, wie du schreibst. Das wäre z. B. eine 256-Bit AES-basierte Hardwareverschlüsselung, die ihrerseits FIPS-konform wäre. Aber selbst 256-Bit wäre für den Hausgebrauch übertrieben. Es sei denn man hat 20 Nebenfrauen, und man will unbedingt verhindern, dass die reiche Erbtante davon Wind bekommt, weil sie sonst den Geldhahn zudreht.

    Vielleicht sagst du ein paar Worte über das Nutzungsprofil des Systems. Dann wären gezieltere und vor allem praktikablere Tipps möglich.

    Wie ist das System ansonsten abgesichert?
    Und was hat dich überhaupt auf FIPS gebracht?

    gruß,
    docc

    Hallo KeinePeilung,

    und willkommen im Forum!

    vielleicht noch als kleine Ergänzung, was "FIPS" überhaupt bedeutet:
    Wenn ein Kommunikationsprogramm oder auch -Gerät für die Übertragung von Informationen mit staatlicher Einstufung ab einem bestimmten Vertraulichkeitsgrad benutzt werden soll, dann muss diese Soft- oder Hardware durch eine staatliche Einrichtung vor deren Nutzung gründlich überprüft (evaluiert und für diesen Vertraulichkeitsgrad zugelassen) werden.

    Bei uns in Deutschland macht dieses das Bundesamt für Sicherheit in der Informationstechnik (BSI). Ein derartiges Gerät besitzt dann also eine "BSI-Zulassung" bis VS-NfD oder meinetwegen GEHEIM. (Das trifft für die Mozilla-Programme nicht zu, denn es gibt dafür zum einen genügend andere zugelassene Soft- und Hardware, und eine Evaluierung ist sehr aufwändig und somit teuer! Auch müsste diese bei jeder neuen Version wiederholt oder zumindest ergänzt werden ... .)

    In den USA "kümmert" sich eine dortige Behörde um die Zulassung für die Nutzung im behördlichen Umfeld. Und die dazu erforderlichen Regeln werden eben in den Federal Information Processing Standard (FIPS) genannten Standards beschrieben.

    Aber wie der Docc schon völlig richtig sagte, ist FIPS weder ein Kryptoschlüssel noch für dich/uns als private Nutzer irgendwie relevant. Das standardmäßig aktivierte Kryptomodul im Fx und im TB reicht völlig aus.


    MfG WK

    Hallo zusammen,

    danke erst einmal für die schnelle Antwort. Ich bin absolut kein Experte, nur interessierter User (der aber nicht viel Ahnung von Browser und Sicherheitstechnologie hat). Ich habe den Begriff "Kryptoschlüssel" in Verbindung mit Fire-Fox einfach mal gegoogelt. Irgendwann bin ich dann mal auf eine Seite gelangt, die die Aktivierung von FIPS in FF beschrieben hat. Mein OS ist vista32 (mit allen verfügbaren Updates) FF 16.02 (mit zwei Addons Ghostery und Noscript). Sonst das Übliche: Virenscanner, Firewall (Hardware über Modem+ Windows), Spybot. Ich habe mir von der Installation des Kryptoschlüssels erhofft, weniger transparent im Netzt zu sein. Gerade in sozialen Netzwerken werden ja viele Informationen gerade über Browser-Daten an Dritte weitergegeben. Und das gefällt mir irgendwie nicht. Ich habe das FIPS jetzt aktiviert. Sollte ich es Eurer Meinung nach lieber wieder deaktivieren? Gibt es vielleicht noch eine andere Möglichkeit, nicht allzuviele Informationen über den Browser im Netz preiszugeben?

    Du versuchst das System abzusichern. Die Idee ist gut, aber der Weg, dies über Software erreichen zu wollen, ist eher suboptimal.

    Der Wunsch nach Datenschutz und Privatsphäre lässt sich nicht an eine Software delegieren, auch wenn das zu den Standard-Werbesprüchen sämtlicher Hersteller von Security Software gehört.

    Spybot Search & Destroy ist ein Anachronismus aus den frühen Windowstagen (Windows98 / Win2k). Auf modernen Windows-Betriebssystemen kann Spybot keinen nennenswerten Beitrag zur Systemsicherheit leisten. Zudem wird Spybot seit Jahren nicht mehr weiter entwickelt, was das Progrämmchen an sich schon zu einem latenten Sicherheitsrisiko macht. Obendrein wird Spybot viel zu selten mit neuen Erkennungsregeln versorgt, um überhaupt halbwegs wirksam arbeiten zu können.

    Ghostery stehe ich eher kritisch gegenüber, da es seit längerem als Datensammler im Dienst von Handel und Industrie stehen soll, wie einschlägige Blogs berichten. Falls sich das in nächster Zeit bewahrheiten sollte, wäre mit Ghostery der Bock zum Gärtner geworden:
    http://venturebeat.com/2012/07/31/gho…he-ad-industry/
    http://t3n.de/news/tracking-blocker-ghostery-405808/


    Der Wunsch nach Datenschutz und Privatsphäre und die Teilnahme am Social Networking (z. B. Facebook, Wer kennt wen etc.) sind de facto nicht unter einen Hut zu bringen. Daran ändern auch diverse Tools nichts, die einen weitreichenden Schutz sicherstellen wollen. Ob man sich dieser Datensammelei aussetzen will, muss jeder für sich selbst entscheiden.

    Welche Daten im Netz preisgegeben werden, bestimmt man letztlich selbst, indem man sie entweder öffentlich macht, oder sie schlichtweg unter der Decke hält. Was ich persönlich als die einfachste Lösung erachte. Um seine IP muss man sich jedenfalls keine Sorge machen, da sie lediglich als Adresse fungiert, die eine Kommunikation im Netz überhaupt möglich macht. Persönliche Daten sind mit einer IP ebenfalls nicht verknüpft. Eine Zuordnung der IP zum End-User ist allenfalls den Justizbehörden möglich, und dass auch nur in sehr eng gesteckten Grenzen. - Auch die Browser-ID lässt keine Zuordnung zum End-User zu. Also kann man auch deren Übertragung getrost durchgehen lassen.

    Vielleicht sagst du noch ein paar Worte über das Nutzungsprofil des Systems. Dann wären gezieltere und vor allem praktikablere Tipps möglich.

    Zitat von Boersenfeger

    // .. und das versteht jetzt der TO?

    Sollte er schon.

    Es gibt keine singuläre Kryptographie. Ein Partner verschlüsselt und der andere Partner entschlüsselt. Beide Partner müssen sich aber vorher über den zu benutzenden Schlüssel verständigt haben.

    Darum ja auch die anfängliche Frage des TO, auf die ich jedoch auch keine Antwort habe.

    Zitat

    Es gibt keine singuläre Kryptographie. Ein Partner verschlüsselt und der andere Partner entschlüsselt. Beide Partner müssen sich aber vorher über den zu benutzenden Schlüssel verständigt haben.

    Ich bin mir jetzt nicht ganz sicher, ob ich, wenn ich darauf antworte, unseren TE völlig überfahre.
    Also "keinePeilung" mach dir nix draus, das ist ein Thema, wo viele Leute so ihre Probleme haben. Du musst das auch nicht unbedingt gleich alles verstehen, und es geht auch über das, was dich eigentlich interessiert, hinaus. Mal davon "gehört zu haben" schadet aber keinesfalls. Ich bemühe mich auch um eine "volkstümliche Erklärung".

    Selbstverständlich trifft das, was .Hermes da geschrieben hat, zu.
    Nur es gibt eben große Unterschiede, ob es sich um eine für den Nutzer völlig transparent ablaufende "stinknormale" ssl-Verbindung handelt, oder wie bei einer verschlüsselten E-Mail oder auch beidseitigen Authentifizierung zw. Browser und Server um eine Verbindung, welche auch auf dem Client eine entsprechendes asymmetrisches Schlüsselpaar erfordert.

    Bei einer normalen ssl-Verbindung stößt der Server von sich aus einen gesicherten Schlüsselaustausch an und mit dem ausgetauschten symmetrischen Zufallsschlüssel wird dann die gesamte Verbindung verschlüsselt. Wie oben schon bemerkt, für den Nutzer völlig transparent und "unbemerkt". Durch den Schlüsselaustausch sind auf beiden Seiten "Schloss und Schlüssel" vorhanden. Die einzige Bedingung ist, dass der Client mit Hilfe der bei ihm hinterlegten Herausgeberzertifikate die Echtheit des Serverzertifikates überprüfen kann. Die Parter (Client und Server) haben sich über den anzuwendenden Schlüssel verständig, und der Nutzer sieht nur an der Anzeige in der Adresszeile, dass die Verbindung verschlüsselt ist. Und darauf sollte er aber auch bei kritischen Anwendungen (Banking) ein Augenmerk haben!
    Damit dürften wohl 99% aller kryptologischen Anwendungen am privaten Browser abgedeckt sein. Ohne allzu große Anforderungen an den Nutzer.

    Etwas anderes bzw. etwas weitergehendes ist es, wenn eine sichere Authentifizierung des Clients am Server gefordert bzw. erwünscht ist. Dazu werden dem Client ein eigenes asymmetrisches Schlüsselpaar (Zertifikat und privater Schlüssel) installiert und der öffentliche Schlüssel aller berechtigter Clients (die Zertifikate) müssen vor der ersten Verbindungsaufnahme ebenfalls auf dem Server installiert werden. Der Client meldet sich unter Zuhilfenahme seines privaten Schlüssels am Server an und dieser prüft mit Hilfe des dort hinterlegten Zertifikates die Berechtigung des Clients. Und dann erfolgt die normale ssl-Verschlüsselung. Hier ist aktives Handeln aller Beteiligten durch die Beschaffung und Installation der benötigten Schlüssel und Zertifikate gefragt. "Schloss und Schlüssel" werden also beidseits bewusst verteilt. Als "Belohnung" gehören dann aber die Anwendung von Benutzername und Passwort der Vergangenheit an. Sicherer als mit der gegenseitigen Authentifizierung durch asymm. Kryptologie geht es (zumindest gegenwärtig) nicht.
    Und aus diesem Grund trifft dieses ja auch fast ausschließlich für eng gefasste Nutzerkreise (Firmen, Organisationen und ambitionierte private Nutzer) zu. Der normale private Nutzer wird damit kaum in Berührung kommen - es sei denn, dass wirklich mal der nPA für so etwas zur Anwendung kommt. Eigentlich war das ja mal so gewollt ... .

    Fazit:
    Was die kryptologischen Anwendungen mit dem Browser betrifft, muss sich der normale private User eigentlich recht wenig Gedanken machen. Hauptsache er achtet auf die angezeigte ssl-Verschlüsselung in der Adresszeile des Browsers, auf die Korrektheit der angezeigten Adresse und er klickt vor allem nicht ohne Nachzudenken auf die Bestätigung von Ausnahmeregeln. Bei den Servern bzw. den Zertifikaten seriöser Einrichtungen (Banken usw.) dürfte es eigentlich nicht passieren, dass deren Serverzertifikate ohne rechtzeitigen Ersatz ablaufen oder aus anderen Gründen ungültig werden. Zumindest sollte der Nutzer dann sehr aufmerksam sein.

    Bei allem anderen, was die Sicherheits des Systems usw. angeht, da kann ich mich nur dem sehr guten Beitrag vom Docc anschließen!

    MfG WK