Page Index Toggle Pages: 1 Send TopicPrint
Normal Topic Certificate Pinning in PhonerLight (Read 4581 times)
robocop
YaBB Newbies
*
Offline


Phoner is great!

Posts: 8
Joined: 19. Jun 2012
Certificate Pinning in PhonerLight
27. Mar 2013 at 18:13
Print Post  
Hallo,

wäre es möglich, "Certificate Pinning" in PhonerLight zu implementieren, um MITM-Attacken auf SSL/TLS auszuschließen (unabhängig von Gültigkeit eines Zertifikats)?

D.h., dass PhonerLight sich merken müsste, welches Zertifikat es für einen VoIP-Server verwendet. Und eine Meldung anzeigt, falls ein abweichender Zertifikat gesendet wird. (Wobei der Benutzer dann entscheiden darf, ob er die Verbindung ablehnt, oder das neue Zert das alte ersetzen soll. (Evtl. könnte man auch mehrere Zerts für den selben Server zulassen (d.h. eine Liste der Zerts), da es Anbieter gibt (zumindest in HTTPS-Bereich), die mehrere Zerts für selbe Adressen verwenden - z.B. Google.)

Beispiel: "Certificate Patrol"-Erweiterung für Firefox. (Es muss aber nicht so umfangreich sein, da ja nicht viele (VoIP)-Adressen aufgerufen werden. Wie oben beschrieben reicht aus. (Ähnlich wie die "Server"-Konfiguration im Zertifikatmanager-Fenster von Thunderbird. Bei TB kann man "Certificate Pinning" konfigurieren, indem man einfach sämtliche Zertifizierungsstellen entfernt, und dann (bei ersten Anmeldung an einen E-Mailserver in der angezeigten Zertifikatwarnung eine Ausnahme dauerhaft speichert. Die erscheint dann unter "Server".))

Danke und Grüße
  
Back to top
 
IP Logged
 
Phoner Admin
YaBB Administrator
*****
Offline



Posts: 11527
Location: Germany
Joined: 12. Oct 2003
Gender: Male
Re: Certificate Pinning in PhonerLight
Reply #1 - 02. Apr 2013 at 10:22
Print Post  
Sorry, aber das geht mir zu weit. Die Zeit dafür habe ich nicht. Wenn du solche spezielle Sicherheitsmaßnahmen benötigst, musst du dich nach einer anderen Lösung umschauen. Für mich ist das nur ein Hobby-Projekt.
  
Back to top
WWW  
IP Logged
 
robocop
YaBB Newbies
*
Offline


Phoner is great!

Posts: 8
Joined: 19. Jun 2012
Re: Certificate Pinning in PhonerLight
Reply #2 - 02. Apr 2013 at 18:40
Print Post  
Vielen Dank für Ihre Antwort und kein Problem. Das sehe ich absolut ein.

Kleinerer Alternativvorschlag: Wie wäre es, wenn mehr Zertifikatdetails ins Debug-Tab ausgegeben würden. Dann könnte der Sicherheitsbewusste zumindest vor Passworteingabe (wenn er das Passwort nicht speichert, sodass es bei jeder Verbindung abgefragt wird) im Debug-Fenster nachsehen, ob das Zertifikat stimmt.

Momentan wird in Debug nur "Issuer", "Not After" und "Subject" ausgegeben, was aber fälschbar bzw. mehrdeutig ist und daher unzureichend. Folgende Daten wären sinnvoll, um eine informierte Entscheidung treffen zu können, ob ein Zertifikat noch dasselbe ist, oder ob sein Ersetzen (evtl. wegen Ablauf, etc.) begründet ist:
- Zertifikathierarchie (Zertifizierungsstellenhierarchie)

- Zertifikatdetails:
-- Name (CN)
-- Organisation (O)
-- Abteilung (OU)
-- MD5-Fingerabdruck
-- SHA1-Fingerabdruck
-- Ausstellungsdatum
-- Gültigkeit bis

- Daten der ausstellenden Zertifizierungsstelle:
-- Name (CN)
-- Organisation (O)
-- Abteilung (OU)
-- MD5-Fingerabdruck
-- SHA1-Fingerabdruck

Das wären dieselben Infos, die die "Certificate Patrol"-Erweiterung von Firefox bei einem Zertifikatwechsel anzeigt.

Danke und Grüße
  
Back to top
 
IP Logged
 
Phoner Admin
YaBB Administrator
*****
Offline



Posts: 11527
Location: Germany
Joined: 12. Oct 2003
Gender: Male
Re: Certificate Pinning in PhonerLight
Reply #3 - 03. Apr 2013 at 15:07
Print Post  
Ich fürchte mal, dass du dich nach einer anderen Lösung umschauen musst. Ich kann das jedenfalls nicht leisten. Ich entwickle PhonerLite für mich und baue Dinge ein, die ich selber nutze. Ich gebe lediglich diese Software frei weiter. Für solche speziellen Anpassungen habe ich einfach keine Zeit.
  
Back to top
WWW  
IP Logged
 
Page Index Toggle Pages: 1
Send TopicPrint