Informationen zum Logjam-Angriff

PP Daniel

Staff member
Sicherheitsforscher haben mehrere Schwachstellen in der Implementierung vom Diffie-Hellman-Schlüsselaustausch gefunden, der in vielen Protokollen wie HTTPS, SSH, IPsec, SMTPS und TLS eingesetzt wird.

Diese Schwachstellen haben einige Implikationen für VPN-Nutzer. Die folgenden Informationen dienen als Zusammenfassung, um Ihren Rechner und Ihre Verbindungen so sicher wie möglich zu halten.

OpenVPN: OpenVPN-Verbindungen mit Perfect Privacy sind nicht betroffen, da wir grundsätzlich 4096-Bit-Schlüssel für die Verschlüsselung einsetzen, die immer noch als hinreichend sicher gelten.

IPSec: Laut des Papers sind IPSec-Verbindungen für den Angriff anfällig, wenn das IKEv1-Protokoll eingesetzt wird. Das kann der Fall sein, wenn Sie mobile Geräte mit iOS oder Android einsetzen. Der Perfect Privacy VPN Manager unter Windows verwendet IKEv2 und ist deshalb nicht von dem Angriff betroffen. Das Problem können wir nicht von unserer Seite aus beheben, da es von der IPSec-Implementierung des Betriebssystems abhängt. Wir empfehlen, stattdessen auf OpenVPN-Verbindungen umzusteigen, bei denen starke Verschlüsselung garantiert ist.

SSH: Aktuelle SSH-Clients wie Putty oder ssh für linux benutzen standardmäßig ECDHE (Elliptic-Curve Diffie-Hellman) für den Schlüsselaustausch, was nicht von dem Problem betroffen ist. Wenn Sie allerdings Serverschlüssel mit älteren SSH-Clients importiert haben sollten, wird möglicherweise Diffie-Hellman eingesetzt. Wenn Sie im Zweifel sind, können Sie die Serverschlüssel löschen und mit einem aktuellen SSH-Client neu importieren.

Webserver: Wir haben unsere Webserver aktualisiert, so dass alle 2048-bit-Schlüssel verwenden. Sie können das auf der Server-Testseite von weakdh.org überprüfen. Beachten Sie, dass checkip.perfect-privacy.com derzeit noch nicht aktualisiert ist, das wird in nächster Zeit ebenfalls erfolgen.

Browser: Aktuelle Browser können für den Logjam-Angriff anfällig sein, sie können Ihren Browser auf https://weakdh.org/ überprüfen. Allerdings werden alle Browser-Hersteller in der nächsten Zeit updates bereitstellen, die dieses Problem automatisch beheben sollten.

Mit freundlichen Grüssen,

Euer Perfect Privacy Team
 

Salat

Active Member
Um mich mal kurz in den Thread zu hängen...
Ihr macht richtig gute Arbeit! Die Ankündigung hier zeigt, dass ihr von dem was ihr macht Ahnung habt und den Schutz der Privatsphäre ernst nehmt. Es sind solche "Kleinigkeiten" wie diese Ankündigung hier, die PP zu einem der wenigen ernstzunehmenden VPN-Anbieter machen. Vielen Dank.
 

Ghost

Active Member
Firefox sicher gegen Logjam Angriffe:

“DHE”-Ciphers deaktivieren (von true auf false)

ximg.php
 

JackCarver

Well-known Member
DHE ist nicht das Problem, sondern DHE_EXPORT. DHE bedeutet einfach Diffie Hellman Exchange und ECDHE Elliptic Curve Diffie Hellman Exchange.
DHE zusammen mit DH-Groups mit 2048 Bit, wie sie nun PP auf deren Webserver verwendet, ist nach wie vor als sicher einzustufen. ECDHE vermeidet das Problem wohl komplett, du sperrst deinen Browser aber damit von Seiten aus, die ECDHE nicht verwenden.

Bei DHE_EXPORT (Server/Client) ergibt sich allerdings das Problem, dass es passieren kann, dass DH Gruppen mit 512 Bit verwendet werden was zu schwach mittlerweile ist.
 

Ghost

Active Member
@JackCarver
Sehr interessant, aber wenn ich die oben erwähnte Daten ändere, bekome ich auf der Seite https://weakdh.org/ die Meldung, dass kein Logjam Leak vorhanden ist.
Ohne den Änderungen ist das Logjam Leak vorhanden.

Verstehe ich da was falsch?
 

JackCarver

Well-known Member
Du verstehst es nicht falsch, ECDHE vermeidet das Problem, DHE ist aber nicht das grundlegende Problem. Sofern du mit Servern kommunizierst, die nicht DHE_EXPORT verwenden und ordentliche DH Groups, so wie PP ist alles Safe. Möchtest du das zum jetzigen Zeitpunkt allein Browserseitig fixen, ist das ne Möglichkeit. Allerdings kommst du dann auf keine Seite mehr, die ECDHE nicht anbietet, sondern nur DHE. Ich vermute, dass da demnächst auch Browserseitig Updates kommen um das zu fixen.
 

speedylein

Active Member
@Ghost
Bei mir sind da alle Einträge auf Standard: true ( Cyberfox )
Bekomme trotzdem die Meldung: Good News! Your browser is safe against the Logjam attack.
 

speedylein

Active Member
Basiert auf Firefox.Gleiche Funktionen.Addons genau wie bei
Firefox.Aber halt 64bit.FF startete bei mir immer langsamer.
Dann bekam ich den Tip mit Cyberfox.Der startet auch mit
allen Addons schnell.
Auch Profile lassen sich wunderbar sichern mit Firesave.Schöne
bei Firesave ist,das man die Firesave.ini anpassen kann.Backup Ordner.
Konnte somit mein Profil mit allem drum und drann vom Desktop
ohne Probs auf den Läppi übertragen.
Nachteil von CF: Kein Automatisches Update,noch nicht.Man muß auf
Hilfe>über CF gehen.Dann sagt er,ob's nen update gibt.Nach einem
Update muß man auch die Sprache Updaten.Geht aber über den Sprach-
Manager relativ einfach,nur sekundensache.Wenn FF Updates hat,hat
CF die ne kurze Zeit später auch...

http://cyberfox.8pecxstudios.com/cyberfox-intel-version-x64/
 

Ghost

Active Member
Hört sich gut an speedy, thx für die Info :)
Habe ich gleich getestet, leider ist das Ergebnis ein anderes.

Cyberfox Grundinstallation, ohne etwas geändert zu haben.

Warning! Your web browser is vulnerable to Logjam and can be tricked into using weak encryption. You should update your browser.

PS: 64 bit Browser ist schon eine coole Sache, Cyberfox werde ich mir mal näher anschauen.
 

speedylein

Active Member
Hört sich gut an speedy, thx für die Info :)
Habe ich gleich getestet, leider ist das Ergebnis ein anderes.

Cyberfox Grundinstallation, ohne etwas geändert zu haben.

Warning! Your web browser is vulnerable to Logjam and can be tricked into using weak encryption. You should update your browser.

PS: 64 bit Browser ist schon eine coole Sache, Cyberfox werde ich mir mal näher anschauen.

Mag daran liegen,das ich Massenhaft anderer Sachen schon beim FF in about: config geändert habe,auf
false,gesetzt.Und das ganze,komplette Profil,schon nach dem ersten Start von CF eingespielt habe.
Ausserdem die ganzen Addons.An irgendeiner Einstellung wird es schon liegen.
CF Version letzte: 38.01
 

Ghost

Active Member
@speedylein
Du machst dein Eindruck, dass du dich mit Firefox gut auskennst.
Speziell, was die Sicherheitseinstellungen betrifft.

Wäre eine coole Sache, wenn du deine Sicherheitseinstellungen hier im Forum uns allen zur Verfügung stellen könntest.
Vielleicht bei "Anleitungen";)
 

speedylein

Active Member
Ja,das Addon kenne ich,komischerweise brauch ich's nicht.
So sieht das bei mir aus.

accessibility.typeaheadfind.flashBar=0
beacon.enabled=false
browser.cache.disk.enable=false
browser.safebrowsing.downloads.enabled=false
dom.battery.enabled=false
dom.gamepad.enabled=false
dom.indexedDB.enabled=false
geo.enabled=false
geo.wifi.uri>>>hier den String löschen
gfx.direct3d.last_used_feature_level_idx=0
gfx.direct2d.disabled=true
webgl.disabled=true
webgl.disable-extensions=true
loop.enabled=false
media.video_stats.enabled=false
layers.acceleration.disabled=true
browser.selfsupport.url>> hier den String löschen
extensions.getAddons.cache.enabled=false

Addons:
Canvas Blocker,Facebookblocker,HTTPS Everywhere,Long URL Please,No Google analytics,
No Script,Privacy Badger (Blocking spying Adds,invisible Trackers ) ,Referrer Control
Self-Destructing Cookies,µBlock,ähnlich Addblock oder sowas,nur ohne Nachgeschmack.Hier
kann man alle möglichen Filter zufügen.

Meiste hab ich von hier:https://www.privacy-handbuch.de/handbuch_21.htm
 

JackCarver

Well-known Member
Nochmal wegen der Logjam Sache: Ich warte da auf Updates der Hersteller, es ist zum einen eine Lücke, bei der auch der Server mitspielen muss. Allein der Browser macht nicht das Problem. Zum anderen sperrt man sich mit dem FF Workaround von Seiten aus, die kein ECDHE anbieten.
 
Top