it-swarm.com.de

Warum sollte eine Schule Zertifikate auf Schüler-Laptops installieren müssen?

Diese Frage weist darauf hin, dass Eltern Laptops für eine Schule kaufen müssen, um Software und Zertifikate zu installieren. Ich versuche, die Gründe für die Installation von site certificates Zu verstehen:

  1. Warum sollten Standortzertifikate installiert werden?
  2. Was ist das Potenzial für Probleme mit der Praxis?

Ich versuche, sowohl legitime (konstruktive) Gründe für Zertifikate als auch das Potenzial für Missbrauch/Missbrauch zu verstehen. Aus dem Thread ist nicht ersichtlich, wie Schulen den Datenverkehr mit Zertifikaten irgendwie entschlüsseln könnten.

65
gatorback

Es gibt zwei verschiedene Arten von Zertifikaten, die Sie auf einem Computer installieren können:

  1. Der erste Zertifikatstyp ist die Stammzertifizierungsstelle. Ein Stammzertifikat enthält nur einen öffentlichen Schlüssel der Zertifizierungsstelle. Ein Stammzertifikat ist ein Vertrauensanker, der auf Ihrem Computer installiert ist, damit Ihr Computer "vertrauenswürdige" Sites identifizieren kann, zu denen eine Verbindung hergestellt werden soll. Eine Zertifizierungsstelle kann einen Anspruch in Form eines Serverzertifikats ausstellen, dass "X Eigentümer der Domäne Y ist". und weil Ihr Computer der Stammzertifizierungsstelle vertraut, vertraut er diesem Anspruch. Wenn die Schule/Firma ein Stammzertifikat auf Ihrem Computer installiert, vertraut Ihr Computer allen Verbindungen, die mit dem Server der Schule/Firma hergestellt wurden, und hält dies für legitim. Wenn Sie ein Stammzertifikat installieren, die Schule/Firma kann alle SSL/TLS-Verbindungen abfangen, die von Ihrem Computer hergestellt wurden, der über das Netzwerk ausgeführt wird, ohne Fehler/Warnungen des Browserzertifikats auszulösen.

  2. Der zweite Zertifikatstyp ist das Clientzertifikat. Ein Client-Zertifikat enthält einen privaten Schlüssel, der für Sie eindeutig ist, und ein Zertifikat, das von der Zertifizierungsstelle der Schule/des Unternehmens signiert wurde. Ein Client-Zertifikat wird für Ihren Computer verwendet, um sich bei der Infrastruktur der Schule zu authentifizieren und zu beweisen, dass Sie die Verbindung herstellen. Ein Client-Zertifikat wird als wesentlich bessere Lösung für Authentifizierungsdaten verwendet, als sich Kennwörter merken zu müssen. Ein Client-Zertifikat kann von der Schule/Firma nicht verwendet werden, um Verbindungen Ihres Computers zu Servern zu belauschen, die nicht der Schule/Firma gehören.

Die Installation eines Client-Zertifikats ist in Ordnung und sollte keine Sicherheitsbedenken hervorrufen. Seien Sie im Gegensatz dazu sehr vorsichtig bei der Installation eines Stammzertifikats, da dies Anlass zur Sorge gibt, da das Stammzertifikat leicht missbraucht werden kann.

112
Lie Ryan

Nun, es gibt zumindest einen legitimen Anwendungsfall. Große Organisationen und Universitäten betreiben häufig eine private PKI. Das bedeutet, dass sie über ein (gesichertes) Stammzertifikat verfügen, mit dem (mit herkömmlichen Unterbehörden) verschiedene Zertifikate signiert werden.

Außerdem wird diese private PKI häufig zum Signieren von HTTPS-Servern verwendet, die nicht öffentlich verwendet werden sollen. Die einzige Voraussetzung ist, dass alle (internen) Clients das private Stammzertifikat deklarieren.

Das Risiko ist ein MITM-Angriff auf HTTPS-Verbindungen. Tatsächlich wird es häufig von Sicherheitsadministratoren als Feature dargestellt. Viele von ihnen würden niemals HTTPS-Verbindungen aus einer gesicherten Umgebung zulassen, wenn sie nicht gründlich überprüft werden könnten (*). Das bedeutet tatsächlich, dass beim HTTPS vom internen Netzwerk über den dedizierten Proxy alles protokolliert werden kann. Die einzige Regel ist, dass Benutzer darüber gewarnt werden sollen. Wenn etwas wirklich privat ist, sollte es einfach nicht über das interne Netzwerk erfolgen.


Es ist üblich, in großen Organisationen eine starke periphere Sicherheit durch Filtern von Proxys zu verwenden. Diese Proxys analysieren den Peer nd die Art des Datenverkehrs, um verschiedene Angriffe und Infektionen zu verhindern. Da HTTPS jedoch verschlüsselt ist, kann der Proxy nur dann wissen, was tatsächlich ausgetauscht wird, wenn der MITM-Angriff aktiv ist.

22
Serge Ballesta

Wenn der Browser des Schülersystems ein Schulzertifikat im vertrauenswürdigen Stammverzeichnis der Zertifikatsinstallation hat (je nach Browser muss dieses Zertifikat möglicherweise das Zertifikatspaket des Systems oder des Browsers sein), wird der Datenverkehr über einen abfangenden Proxy geleitet (z Über das WLAN der Schule kann die Schule den Datenverkehr mit dem privaten Schlüssel entschlüsseln. Verbindungen zu den Websites sind daher nicht durchgängig sicher, aber der Proxy kann eine sichere Verbindung zur Website selbst wiederherstellen und die Daten zumindest während der Übertragung sicher aufbewahren. Diese Geräte sind auch als SSL-Entschlüsseler bekannt (obwohl es sich tatsächlich um TLS/SSL handelt), und fast jede Organisation, mit der ich zusammengearbeitet habe, verwendet diese in gewisser Weise (ich bin ein Penetrationstester, ich arbeite in vielen Banken).

Es gibt eine Reihe von Gründen, warum Sie dies tun möchten, aber die meisten Installationen beschränken sich auf Unternehmen, die Benutzer aufspüren möchten, um potenzielle Sicherheitsvorfälle (Malware auf dem Kabel) leichter zu erkennen oder nur eine missbräuchliche Verwendung zu erkennen.

Ich war anderthalb Jahre lang ein Schulkind. Was ich an diesen Computern gemacht habe, war überhaupt keine Schularbeit. Wenn Schulen herausfinden können, wie sie das Problem lösen können, dass Kinder Systeme (sogar ihre eigenen) für unzulässige Aufgaben verwenden, ist das eine gute Sache mein Buch. Ich bin ein großer Befürworter der Privatsphäre, aber die Schule verfügt nur dann über diese Entschlüsselungsbefugnisse, wenn Sie über ihren Proxy mit dem Internet verbunden sind. Wenn Sie also mit einem Netzwerk verbunden sind, dem Sie nicht vertrauen und das Sie nicht besitzen, spielen Sie auf einem System, das Sie nicht selbst bereitgestellt haben, nach den Regeln eines anderen (und stimmen diesen zu).

9
hiburn8

Es gibt zwei Gründe:

Der harmlose Grund ist, dass die Schulen eine zertifikatbasierte Authentifizierung implementieren und über eine eigene PKI verfügen. Die Clients benötigen das PKI-Stammzertifikat, um die angezeigten Serverzertifikate zu überprüfen.

Der böswillige Grund ist das Abfangen von SSL. Wenn ein Stammzertifikat installiert ist, können Browser zu einem Proxy umgeleitet werden, wo SSL abgefangen und der Inhalt überprüft wird, bevor er erneut verschlüsselt und an den tatsächlichen Server gesendet wird (oder umgekehrt).

Leider kann man eins nicht ohne das andere bekommen. Ein Stammzertifikat ist ein Stammzertifikat. Ihre Gegenmaßnahme besteht darin, diesen Computer nicht für sensible Dinge wie Online-Banking oder Private Messaging zu verwenden.

6
Tom

Dies hängt davon ab, was Sie unter "Site-Zertifikat" verstehen. Diese Antwort gilt jedoch für den Fall einer Stammzertifizierungsstelle:

Die meisten Schulen - zumindest in Großbritannien -, die ich nicht über andere Länder kenne, verwenden irgendeine Form der Webfilterung. Hierbei handelt es sich normalerweise um eine Firewall/einen Proxy, die den Webverkehr abfängt und den Inhalt der Seite überprüft.

HTTPs bieten jedoch eine End-to-End-Verschlüsselung zwischen dem Computer des Benutzers und der Website. Wenn eine Verbindung zu einer HTTPs-Website hergestellt wird, kann der Proxy lediglich die Ziel-IP-Adresse sehen, jedoch keine Informationen zum Inhalt der Webseite .

Es wäre nicht praktisch, einfach den gesamten HTTP-Verkehr zu blockieren. Um das Filtersystem aufrechtzuerhalten, muss die Schule das End-to-End-Verschlüsselungsmodell aufheben, indem die Verschlüsselung an der Firewall/dem Proxy beendet wird. Anschließend wird die Verbindung an den Benutzer weitergeleitet, es muss jedoch ein eigenes Zertifikat verwendet werden. Dieses Setup ermöglicht es ihnen, die gesamte Kommunikation zwischen dem Computer des Benutzers und der Website zu lesen. (Ein Mann in der Mitte Angriff)

HTTP-Zertifikate werden verwendet, um zu verhindern, dass dies böswillig auftritt. Da das vorgelegte Zertifikat von der Firewall/dem Proxy der Schule signiert wurde (und nicht von einer vertrauenswürdigen Zertifizierungsstelle, z. B. Verisign), vertraut die Software des Laptops der Verbindung nicht (es wird eine Sicherheitswarnung/ein Sicherheitsfehler angezeigt) Nachricht in Ihrem Browser). Wenn Sie jedoch das Schulzertifikat als vertrauenswürdige Stammbehörde installieren, wird die Verbindung stattdessen als vertrauenswürdig eingestuft und Ihr Browser funktioniert dann wie gewohnt.

Dies hat zur Folge, dass jede HTTPS-Kommunikation von Ihrem Laptop von der Schule abgefangen und gelesen werden kann (obwohl sie im Browser als gesichert angezeigt wird).

Im Allgemeinen kann jeder, der Zugriff auf das Schulzertifikat und den privaten Schlüssel hatte und auch physischen Zugriff hatte, um den Internetverkehr Ihres Laptops abzufangen, Ihre SSL/TLS-Kommunikation lesen.

Schauen Sie sich diesen Anbieter zum Beispiel an: https://www.rm.com/products/online-safety-tools/rm-safetynet/ssl-interception

Um dies zu vermeiden, installieren Sie ihre Zertifikate nicht und verwenden Sie stattdessen eine OpenVPN-Verbindung über einen Port, den sie nicht blockieren (versuchen Sie es mit 53, 80, 8080, 443 usw.).

6
jacob_pro

(Dies als Antwort auf Anfrage zu posten und auch, da der ursprüngliche Kommentar anscheinend gut aufgenommen wurde und ich nicht möchte, dass er bei einer Kommentarbereinigung gelöscht wird.)

Als Antwort auf Lie Ryan, der feststellte, dass es zwei grundlegende Arten von Zertifikaten gibt, Stammzertifikate und Clientzertifikate, und dass Clientzertifikate in Ordnung sind, sollten Sie sich jedoch vor benutzerdefinierten Stammzertifikaten in Acht nehmen, da diese möglicherweise missbraucht werden können, fügte ich hinzu:

Ich würde diese letzte Zeile etwas stärker formulieren: Ein Stammzertifikat, das unter der Kontrolle derselben Personen steht, denen das Netzwerk gehört, mit dem eine Verbindung zum Internet hergestellt wurde , sollte als Spyware betrachtet werden. Es sollte nach Möglichkeit vermieden werden, und wenn dies nicht möglich ist, sollte die Maschine als kompromittiert behandelt und so wenig wie möglich verwendet werden. Es gibt keinen legitimen Grund, von Ihnen zu verlangen, dass Sie einen auf Ihr persönliches Eigentum setzen. Wenn die Schule das will, können sie die Laptops selbst liefern.

Ein anderer Kommentator fragte, was der Zusammenhang zwischen Spionagepotential und dem Betreiber des Netzwerks sei. Also einige weitere Erklärungen:

Ein Stammzertifikat bedeutet, dass der Zertifikatsinhaber nicht nur bestätigt, dass seine Site legitim ist, sondern auch befugt ist, andere Zertifikate auszustellen. So funktionieren Zertifizierungsstellen und die gesamte Zertifikatinfrastruktur: Durch die Installation des Stammzertifikats geben Sie an, dass Sie dem Urteil der Zertifizierungsstelle vertrauen, und die Zertifizierungsstelle bestätigt dann, dass normale Websites legitim sind, was Sie akzeptieren, weil eine vertrauenswürdige Zertifizierungsstelle dies gesagt hat.

Die Sache ist, dass es nirgendwo in diesem Prozess technische Anforderungen gibt, die Eingaben des Eigentümers der Site beinhalten. Hier kommt der Vertrauensbereich ins Spiel. Wir akzeptieren im Glauben, dass sie die Site authentifiziert haben, bevor sie ein Zertifikat dafür ausgestellt haben, und die wenigen Male, wenn eine Zertifizierungsstelle dabei erwischt wurde, war die Vergeltung aus dem Internet Swift und Entscheidend, Konsequenzen für die CA, die ihr Geschäft aufgibt, um das Vertrauen im Wesentlichen der ganzen Welt zu verraten.

Wenn Ihr Hauptgeschäft jedoch keine Zertifizierungsstelle ist, ändert dies den Kalkül. Wenn Sie ein Netzwerk betreiben und auf den Computern Ihrer Clients eine unerwünschte Stammzertifizierungsstelle ausstellen können, können Sie einen Man-in-the-Middle-Angriff ausführen. Es funktioniert so:

  • Der Client navigiert zu https://security.stackexchange.com
  • Das Netzwerk-MITM-System gibt vor, ein Client zu sein, und entschlüsselt den Inhalt
  • Netzwerk MITM verschlüsselt den Inhalt erneut mit seinem eigenen betrügerischen StackExchange-Zertifikat, das von der Stammzertifizierungsstelle des Netzwerks ausgestellt wird
  • Der Browser des Clients empfängt die Daten, überprüft die Verschlüsselung, stellt fest, dass ein von einer vertrauenswürdigen Stammzertifizierungsstelle signiertes Zertifikat verwendet wird, sagt "An dieser Verbindung ist nichts falsch" und zeigt sie dem Benutzer an
  • Dem Benutzer ist nicht bekannt, dass das Netzwerk möglicherweise in der Lage ist, seinen HTTPS-Verkehr zu lesen und zu ändern

Dies funktioniert nur im Netzwerk des Zertifikatsinhabers, da in anderen Netzwerken, in denen kein Stammzertifikat auf Ihrem Computer installiert ist, keine falschen Standortzertifikate bereitgestellt werden.

4
Mason Wheeler

Sie können eine Parallele zu einem Unternehmen herstellen. Warum muss ein Unternehmen Zertifikate auf Mitarbeiter-Laptops (oder persönlichen Geräten) installieren?

Es kommt zu Authentifizierung. Ein Zertifikat kann als Berechtigungsnachweis für den Zugriff auf eine sichere Ressource (Schul-/Unternehmensportal) verwendet werden, ohne dass ein Kennwort angegeben werden muss. Wir alle kennen die Nachteile der Verwendung von Passwörtern. Daher wird jedem Schüler ein Zertifikat (oder ein anderer Berechtigungsnachweis) ausgestellt, mit dem er/sie beim Zugriff auf Schulwebanwendungen (meistens) identifiziert wird.

In dem Unternehmen, für das ich arbeite, wurde vor der Umstellung unserer Authentifizierungsinfrastruktur auf SAML 2.0 ein Unternehmenszertifikat auf dem Gerät installiert, wenn wir (aus praktischen Gründen) mit unseren persönlichen Mobilgeräten auf unternehmensbezogene Webanwendungen zugreifen möchten.

4