# Wie "app-misc/ca-certificates" blocken?  [gelöst]

## UTgamer

Hallo,

wie kann ich dieses Zertifikat blocken?

Einträge in der /etc/portage/package.mask werden ignoriert.

Bisher sind mir nur openssl und das intltool bekannt welches dieses Zertifikat nachziehen.

Ich will es aber auf teufelkomraus nicht auf meinem Rechner haben! 

Ich habe die letzte openssl Version ohne in Portageoverlay gelegt (ok, damit verzichte ich eben auf die Sicherheitsupdates), diese werde ich nun nicht mehr updaten. Heute sah ich das auch das intltool dieses haben will. Ich machte ein emerge mit --nodeps.

Wie kann ich nun ein (dieses) Paket auf Dauer ausschließen?

----------

## UncleOwen

 *UTgamer wrote:*   

> Nun dieses Zertifikat baut wen es aufgerufen wird eine
> 
> Verbindung mit einer amerikanischen Firma auf,

 

ROFL. Dir ist schon klar, dass Zertifikate keine Programme sind?

----------

## UTgamer

Ja das ist mir klar.

Mein Rechner identifiziert sich doch mit diesem Zertifikat der Gegenstelle oder etwa nicht.

Zudem sollte man ja in Portage auch jedes Paket blocken können, nun warum geht es mit diesem nicht?

----------

## UncleOwen

 *UTgamer wrote:*   

> Mein Rechner identifiziert sich doch mit diesem Zertifikat der Gegenstelle oder etwa nicht.

 

Nein.

----------

## c_m

 *UTgamer wrote:*   

> Ja das ist mir klar.
> 
> Mein Rechner identifiziert sich doch mit diesem Zertifikat der Gegenstelle oder etwa nicht.
> 
> Zudem sollte man ja in Portage auch jedes Paket blocken können, nun warum geht es mit diesem nicht?

 

Dann solltest du vllt. das Programm blocken, welches die Verbindung aufbaut? Alternativ kannst du natürlich auch die Daten unverschlüsselt über die Leitung schieben... Wers mag?!   :Very Happy: 

btw:

```
$ echo "app-misc/ca-certificates" >> /etc/portage/package.mask

$ emerge -av app-misc/ca-certificates

These are the packages that I would merge, in order:

Calculating dependencies   

!!! All ebuilds that could satisfy "ca-certificates" have been masked.

!!! One of the following masked packages is required to complete your request:

- app-misc/ca-certificates-20050804 (masked by: package.mask)

- app-misc/ca-certificates-20050518 (masked by: package.mask)

For more information, see MASKED PACKAGES section in the emerge man page or 

refer to the Gentoo Handbook.
```

Last edited by c_m on Tue Mar 14, 2006 8:41 pm; edited 1 time in total

----------

## misterjack

 *UTgamer wrote:*   

> (Sicher werden sich einige fragen warum. Nun dieses Zertifikat baut wen es aufgerufen wird eine
> 
> Verbindung mit einer amerikanischen Firma auf, welche mitlogt zu welcher Zeit und wie oft ich 
> 
> online bin und was ich wann haben möchte. Dies will ich nicht! 
> ...

 

ich bitte um erklärung, das ist ziemlich schwammig  :Wink: 

----------

## UTgamer

 *UncleOwen wrote:*   

>  *UTgamer wrote:*   Mein Rechner identifiziert sich doch mit diesem Zertifikat der Gegenstelle oder etwa nicht. 
> 
> Nein.

 

Ok, aber ich nutze keine komerz Distribution, also warum soll ich komerz installieren?

Da ist aber der Faktor das sich das Zertifikat sicher mit der MAC-Adresse der Netzwerkkarte zusammenfügt und sich damit beim Unternehmen identifiziert. Einerseits für den Herausgeber mit Name und Adresse, jedoch für den Anwender auch, allerdings nur anonüm, MAC-Adresse und Zeit werden wahrscheinlich gelogt.

 *c_m wrote:*   

>  *UTgamer wrote:*   Ja das ist mir klar.
> 
> Mein Rechner identifiziert sich doch mit diesem Zertifikat der Gegenstelle oder etwa nicht.
> 
> Zudem sollte man ja in Portage auch jedes Paket blocken können, nun warum geht es mit diesem nicht? 
> ...

 

Ups das muß ganz neu sein, ich hatte es tagelang in allen Versionen probiert, und es ging nicht - jetzt geht es.

[gelöst]

----------

## misterjack

```
*  app-misc/ca-certificates

      Latest version available: 20050804

      Latest version installed: 20050804

      Size of downloaded files: 91 kB

      Homepage:    http://www.cacert.org/

      Description: Common CA Certificates PEM files

      License:     freedist
```

CAcert.org ist eine Community-orientierte Certificate Authority (CA), die für jedermann kostenlose Zertifikate ausstellt.

wo ist das ne kommerzielle firma?

----------

## Genone

Sorry, aber wo hast du bitte diesen Mist aufgeschnappt? Weder werden hier MAC Adressen geloggt noch hat das irgend einen kommerziellen Hintergrund.

----------

## dmaus

http://de.wikipedia.org/wiki/Zertifikat_%28Informatik%29

----------

## m.b.j.

Die Zertificate sind die root Zertificate, die z.b von deinem Browser genutzt werden, um websites zu authentifizieren. Nur websites die von einem der Schlüssel eines der Zertificate signiert wurden, werden von deinem Browser als vertrauenswürdig eingestuft. Sie stammen von Zertifizierungsorganisationen wie OpenCA,VeriSign usw...

Ok ist eine etwas sehr allgemeine Erklährung.

Such mal nach dem Begriff PKI im zusammenhang mit SSL/TLS.

----------

## misterjack

das sind zertifikate von cacert.org. irgendwie lese ich hier nur wischiewaschie und keine zufriedenstellende erklärung auf die behauptung utgamer geschrieben hat

----------

## Genone

 *misterjack wrote:*   

> das sind zertifikate von cacert.org. irgendwie lese ich hier nur wischiewaschie und keine zufriedenstellende erklärung auf die behauptung utgamer geschrieben hat

 

Für was genau fehlt dir denn eine Erklärung hier bzw. welche Behauptung meinst du?

----------

## misterjack

 *misterjack wrote:*   

>  *UTgamer wrote:*   (Sicher werden sich einige fragen warum. Nun dieses Zertifikat baut wen es aufgerufen wird eine
> 
> Verbindung mit einer amerikanischen Firma auf, welche mitlogt zu welcher Zeit und wie oft ich 
> 
> online bin und was ich wann haben möchte. Dies will ich nicht! 
> ...

 

wer lesen kann ist klar im vorteil  :Wink: 

----------

## Genone

 *misterjack wrote:*   

>  *misterjack wrote:*    *UTgamer wrote:*   (Sicher werden sich einige fragen warum. Nun dieses Zertifikat baut wen es aufgerufen wird eine
> 
> Verbindung mit einer amerikanischen Firma auf, welche mitlogt zu welcher Zeit und wie oft ich 
> 
> online bin und was ich wann haben möchte. Dies will ich nicht! 
> ...

 

Das ist nicht schwammig, das ist schlichtweg Blödsinn.

----------

## Inte

Einen Moment lang wußte ich nicht, ob weinen oder lachen die richtige Reaktion ist ... gerade bin ich wieder auf die Beine gekommen. Mann tut mir der Bauch weh!  :Wink: 

Jetzt mal zur Sache.

CACert bietet als root-CA die Möglichkeit Server-Zertifikate auszustellen, um TLS/SSL-Verbindungen herzustellen, ohne jedes Mal (als User) die Authentizität des übermittelten Zertifikates überprüfen zu müssen.

Kleines Beispiel:

Stell Dir vor jede Bank stellt sich selbst Zertifikate aus und Du müßtest bei jedem öffnen eines Homebanking-Portals überprüfen, ob der Public-Key auch zu dem Unternehmen gehört oder nicht. Das wäre ganz schön umständlich! Oder willst Du jedes Mal, wenn es ein neues Zertifikat gibt bei der Bank anrufen und nach dem Fingerprint fragen?

Deswegen gibt es root-CAs wie VeriSign oder CACert. Es wird nur ein Haupt-Zertifikat installiert (z.B. im Browser eingerichtet) und du kannst alle Homebanking-Portale öffnen, ohne deren Schlüssel überprüfen zu müssen, denn diese sind von der root-CA signiert.

Keine root-CA protokolliert mit, welche Seiten du aufrufst! Höchstens der Betreiber des Servers, dessen Dienste du in Anspruch nimmst. Es wird nur die Verbindung verschlüsselt. Der Serverbetreiber bekommt deine Daten sowieso im Klartext.

Beste Grüße,

Inte.

PS.: Eins würde ich noch gerne wissen. Wo zum Teufel hast du diesen Mist aufgeschnappt?  :Rolling Eyes: 

----------

## think4urs11

 *Inte wrote:*   

> Einen Moment lang wußte ich nicht, ob weinen oder lachen die richtige Reaktion ist ... gerade bin ich wieder auf die Beine gekommen. Mann tut mir der Bauch weh! 
> 
> ...
> 
> Keine root-CA protokolliert mit, welche Seiten du aufrufst! Höchstens der Betreiber des Servers, dessen Dienste du in Anspruch nimmst. Es wird nur die Verbindung verschlüsselt. Der Serverbetreiber bekommt deine Daten sowieso im Klartext.

 

@Inte: Ich schließe mich deiner Einleitung vollumfänglich an.   :Wink: 

Ergänzung zu deiner (guten!) Erklärung:

Die jeweiligen Root-CA *können* ja auch gar nichts mitloggen.

Warum? Weil sie gar nichts von der Verbindung mitbekommen, müssen sie auch nicht, tun sie auch nicht.

(Läßt sich jederzeit mittels tcpdump überprüfen)

CAcert/Verisign/Commodo/usw. beglaubigen ja lediglich per digitaler Unterschrift das sie (mehr oder minder sinnvolle bzw. umfangreiche) Überprüfungen des Beantragers des Zertifikates *des Webservers mit dem die Verbindung aufgebaut wird* (also meinetwegen https://www.meinebank.de) durchgeführt haben - nicht mehr und nicht weniger!

Diese Unterschrift besagt erstmal exakt gar nichts - außer - jemand hat Geld dafür bezahlt das z.B. im Browser kein Warnfenster 'unbekanntes Zertifikat' erscheint. Die Sicherheit von gekauften, von CAcert-signierten und selbstgenerierten Zertifikaten ist technisch/faktisch gleich hoch.

Warum? Entweder vertraue ich dem (technischen Sachverstand des) Besitzer(s) des Zertifikates oder ich tue es nicht!

Genau aus diesem Grund sind CAcert-Zertifikate auch noch nicht so weit verbreitet wie die kommerziellen Varianten - weil nämlich praktisch alle aktuellen (not exactly sure) Browser die Root-Certs von cacert.org noch nicht enthalten. Dadurch können dann von cacert.org 'signed' certs nicht vom Browser auf Validität geprüft werden und verhalten sich für einen unbedarften User daher exakt gleich wie unsignierte/selfsigned Zertifikate.

Genaugenommen *muß* man - um sicherzugehen *wirklich* mit meinebank.de zu reden - *jedesmal* den Fingerprint des *für diese eine* Verbindung genutzten Zertifikates mit einer sicheren Referenz abgleichen.

Sichere Referenz ist in diesem Zusammenhang *auf keinen Fall* etwa ein auf der Website hinterlegter Fingerprint; den würde ein Blackhat als erstes anpassen an sein eigenes Zertifikat.

Als sicher könnte aber z.B. ein Fingerprint gelten der mir von meiner Bank per Briefpost zusammen mit meinen Zugangsdaten/TANs/etc. zugesandt wurde. Oder etwas allgemeiner gesprochen ich muß zum sicheren Prüfen einen Medienbruch durchführen.

Der Haken dabei neben dem hohen Aufwand für den Nutzer? Wer von euch hat diesen Fingerprint von seiner Bank per Briefpost bekommen?

Nur durch Prüfen via eines unabhängigen 'offline' Mediums kann ich einigermaßen sicher sein - der verbleibende Rest wäre dann personal paranoia...

----------

## Haldir

Kurze Ergänzung noch zur Hierachie:

root-CAs sind eine Instanz die man als Benützer künstlich als sicher einstuft (z.b. bei Windows sind die Bekannten vorinstalliert == "sicher").

Wenn diese Instanz dir sagt das Zertifikat von xyz (z.b. citibank) ist sicher, weil sie von ihnen als sicher eingestuft wird (signiert,ausgestellt usw.), ist die Hierachie logik hierbei, dass der Benützer das Zertifikat als sicher annimmt.

Das ganze geht dann z.b. automatisch ohne Nachfrage beim Benützer. Die Dateien die du installierst enthalten primär eine große Anzahl von Zahlenreihen, die mit cryptographischen Maßnahmen LOKAL überprüft werden können.

Kurze Ergänzung zu den Zertifikaten:

Die eigentliche Client-Server Verschlüsselung hat ansich nichts mit dem Zertifikat zu tun (also kein Key für Client<->Server im Zertifikat), diese Verschlüsselung wird nur zwischen Client und Server aufgebaut.

Das Zertifikat ist nur dafür da um zu wissen ob die Gegenstelle wirklich die "richtigen Jungs" sind.

Der Schwachpunkt an der Sache ist nur, dass man den root-CA nicht zwingend vertrauen kann, z.b. gabs für den üblichen Bank-Login-Phishing Schmarrn schon echte Zertifikate von namenhaften root-CAs.

Im Normalfall stellt dies jedoch kein Problem da.

U.U verwechselst du das ganze mit PGP und keyservern von PGP, aber das ist eine komplett andere Baustelle und hat nichts mit SSL/TLS zu tun.

----------

## UTgamer

 *Inte wrote:*   

> Einen Moment lang wußte ich nicht, ob weinen oder lachen die richtige Reaktion ist ... gerade bin ich wieder auf die Beine gekommen. Mann tut mir der Bauch weh! 
> 
> Jetzt mal zur Sache.
> 
> CACert bietet als root-CA die Möglichkeit Server-Zertifikate auszustellen, um TLS/SSL-Verbindungen herzustellen, ohne jedes Mal (als User) die Authentizität des übermittelten Zertifikates überprüfen zu müssen.
> ...

  Das ist ja soweit bekannt.

 *Inte wrote:*   

> 
> 
> ...
> 
> Keine root-CA protokolliert mit, welche Seiten du aufrufst! Höchstens der Betreiber des Servers, dessen Dienste du in Anspruch nimmst. Es wird nur die Verbindung verschlüsselt. Der Serverbetreiber bekommt deine Daten sowieso im Klartext.
> ...

 

Danke Jungs habe alles gelesen und zur Kenntnis genommen.

Inte dein Punkt "Keine root-CA protokolliert mit, welche Seiten du aufrufst!" war nirgends nachzulesen. Gibt es hierzu weitere Quellen?. 

Ich beschäftige mich gerade mit dem Thema Datenschutz in D und EU, und die Regierungen wollen zurzeit ja Zugriff auf alles. Und wenn ich Infos nicht finden kann, gehe ich mitlerweile als erstes davon aus, das hier etwas verschwiegen werden soll. 

Also zur Zeit liest sich dies bei mir ständig nur so:

Britische Regierung besorgt über Verschlüsselung in Windows Vista = eine unserer EU-Regierungen

E-Mail-Überwachung: Kostenloses Tool für kleine Provider = Unsere deutsche Regierung verlangt das!

Datenschützer beklagen Mängel beim Kontenabrufverfahren = Ämter treiben Schindluder mit den Daten

22C3: "Wir haben den Krieg verloren" = Aufklärung verboten.

Microsoft demonstriert Virtualisierungs-Rootkit = TCPA/TCPM/DRM - Industrie spioniert selbst.

Experte: Schleichender Verlust an Datenschutz = Aktuelle Realität

Nun fehlen mir selbst die nötigen Kenntnisse was Zertifikate angeht. 

Ich kann also davon ausgehen, das mein Rechner bei Aufruf dieses(r) Zertifikates nicht jedesmal eine am. Firma kontaktiert um die Gültigkeit des Zertifikates abzufragen?

Ich habe die Möglichkeit die Gültigkeit des Zertifikates selbst festzulegen, damit die ausstellende Firma nicht kontaktiert werden brauch?

Ich kann davon ausgehen, das die Firma die ich mit dem Zertifikat kontaktiere, nicht eine Software vom Zertifizierer laufen läßt die dem Aussteller mitteilt wann welcher Client den Host kontaktiert hat und welcher Datenabruf stattgefunden hat? (Irgendwomit will ja CACert sein Geld verdienen.)

Wenn die drei Fragen eindeutig mit Ja beantwortet werden können, mag ich selbst das Zertifikat installieren, und kann diese(s) auch weiterempfehlen.

Danke für euer Verständniss.

----------

## misterjack

 *UTgamer wrote:*   

> 
> 
> Ich kann also davon ausgehen, das mein Rechner bei Aufruf dieses(r) Zertifikates nicht jedesmal eine am. Firma kontaktiert um die Gültigkeit des Zertifikates abzufragen?
> 
> Ich habe die Möglichkeit die Gültigkeit des Zertifikates selbst festzulegen, damit die ausstellende Firma nicht kontaktiert werden brauch?
> ...

 

liest du hier

http://www.lexikon-definition.de/CAcert

http://www.lexikon-definition.de/Certification_Authority

http://www.lexikon-definition.de/Public-Key-Infrastruktur

http://www.lexikon-definition.de/Zertifikat_%28Informatik%29

...

wenn man zu faul zum googlen ist :-/

----------

## UTgamer

 *misterjack wrote:*   

>  *UTgamer wrote:*   
> 
> Ich kann also davon ausgehen, das mein Rechner bei Aufruf dieses(r) Zertifikates nicht jedesmal eine am. Firma kontaktiert um die Gültigkeit des Zertifikates abzufragen?
> 
> Ich habe die Möglichkeit die Gültigkeit des Zertifikates selbst festzulegen, damit die ausstellende Firma nicht kontaktiert werden brauch?
> ...

 

misterjack, nicht zu faul zum Googlen, die Fragen werden dort ebenfalls nicht beantwortet.

Wie wird beim Aufruf des Zertifikates welches Gentoo installieren möchte, die Gültigkeitsdauer überprüft? Bei jedem Aufruf, täglich, wöchentlich, monatlich, ... nie?

Mit welcher Software lege ich fest wann nachgeschaut werden kann ob das Zertifikat noch gültig ist, oder wird über emerge sync mir einfach nur ein neues übergeben? Und die anderen Fragen oben finde ich auch nirgends beantwortet.

----------

## Genone

Wirf mal einen Blick in /usr/share/doc/openssl-*/standards.txt.gz, viel Lesematerial dort. Insbesondere dürften dich wohl die Dokumente zu X.509 interessieren.

----------

## UTgamer

Wow Genome da wäre ich jetzt erstmal garnicht drauf gekommen. 

Nun muß ich nur noch entblocken, ein aktuelles ziehen und bin damit denke ich eine etwas längere Zeit beschäftigt.   :Wink: 

(Hoffentlich finde ich was ich suche).

Da müßte eigentlich alles drin zu finden sein.  :Wink: 

----------

