[Denner]

Warum ist eigentlich dieses us regierungszertifikat auf den iphones installiert?

Certificate: Data: Version: 3 (0x2) Serial Number: 5 (0x5) Signature Algorithm: sha1WithRSAEncryption Issuer: C=US, O=U.S. Government, OU=DoD, OU=PKI, CN=DoD Root CA 2 Validity Not Before: Dec 13 15�10 2004 GMT Not After : Dec 5 15�10 2029 GMT Subject: C=US, O=U.S. Government, OU=DoD, OU=PKI, CN=DoD Root CA 2 Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) X509v3 extensions: X509v3 Subject Key Identifier: 49JBB:0C:5E:BA:7A:FE54:EF:7B:A0:C6_C6 80F96 X509v3 Key Usage: Digital Signature, Certificate Sign, CRL Sign X509v3 Basic Constraints: critical CA:TRUE

[Philipo13]

Das ist bestimmt "böse".

[Stefan]

Dann frag Apple, wer soll Dir hier helfen???

[KycoZ]

@auerberger Apple liest doch hier mit ?

[Denner]

@Olli Deine Antwort ist ernst aber ungenügend, denn Zertifikate braucht man nur für Zertifikats Verschlüsselte Seiten.

Ich verschlüssele meine Mails auf dem iPhone auch mit eigenen Class 3 Zertifikaten, daher weiß ich schon, von was ich spreche.

[Olli]

dann übersteigt das wohl meinen Horizont - ich bin raus

[Kimbleb]

@Denner Respekt, denn so lange wie ich hier bereits unterwegs bin, habe ich so einen Hinweis noch nicht gelesen. Warum fragst nichtmal die bekannten Nerds auf Twitter ? btw. wenn ich mit dem iOS nicht gerade Firmen technisch unterwegs bin, habe ich keine Probleme wer da was mit bekommen könnte. Ich denke keiner interessiert sich dafür, ob ich Uschi ne Mail geschickt habe, mit der Bitte Holzkohle zum Grillen mitzubringen... Oder ob ich per VISA gerade ein Gurkenersatz bei Beate Uhse bestellt habe.

[gado]

Das ganze Zertifikats System ist marode und längst kaputt. Man traut bestimmten Leuten immer, obwohl man diesen gar nicht trauen kann.

Sagen wir Seite A kauft sich ein SSL Zertifikat um https anbieten zu können. Der User vertraut da dem Betreiber der Seite. Jetzt kann jemand das System angreifen und einfach das Zertifikat durch sein eigenes ersetzen, was er auf diese Seite hat ausstellen lassen. So vertrauenswürdig sind diese Firmen der trusted Rootzertifikate nämlich auch nicht. Man müsste normalerweise vorlegen, dass man Betreiber der Seite ist. In der Vergangenheit wurde aber von solchen Root Zertifikatbesitzer Zertifikate an Leuten ausgegeben, die sich nicht verifizieren mussten.

Man müsste also immer checken, welches Zertifikat genutzt wird. Der Betreiber müsste genau angeben, welches immer das trusted ist. Was er wie macht? Ein gehacktes System lässt alle Modifikationen zu. Ähnlich wie Checksummen, die oft aus Sicherheit zu Downloads angegeben werden, damit man den Download verifizieren kann, die sind nicht nur zum checken der Vollständigkeit vorhanden. Was bringt es mir, wenn ich die Checksumme ändere?

Worauf ich hinaus will. Du müsstest jedes mal wenn du auf irgendeiner verschlüsselten Seite bist, checken, welches Zertifikat du da gerade nutzt. Welches nun das korrekte ist, müsste der dir der Betreiber über einen weiteren Weg zukommen lassen. Deine Bedenken gehen jetzt wohl in die Richtung, dass die Regierung zu Betreiber x geht und ihm das Zertifikat auf zwängen, damit sie mithorchen können. Aber wenn du sowieso so paranoid bist, müsstest du das bei jeder Abfrage im Netz machen. Ist also völlig egal, ob da ein US Gouvernement Zertifikat immer vertraut wird. Ist in dem Fall völlig irrelevant, da das System sowieso hin ist.

Nur weil ich ein Auto besitze, heißt es nicht, dass ich Ahnung von Autos habe, diese Analogie von dir erschließt sich mir nicht.

[KycoZ]

@Kimbleb ???????

[Denner]

@Kimbleb Mir geht es ja garnicht um meine Daten, da ist nichts dabei was die nicht auch so raus bekommen könnten.

Ich habe mich nur gewundert, was ein Root Zertifikat vom amerikanischen Verteidigungsministerium auf meinem iPhone ist.

Dieses Zertifikat wird ja über "Vertrauenswürdiger Store" installiert.

Wäre das für Militärangehörige würde das ja über die Firmenpolicy mitinstalliert, so wie ich das mit meinen Zertifikaten auch bei meinem iPhone mache. Das kann also nicht der Grund sein.

Daher wundere ich mich. Kann mir gut vorstellen, das im Cyberfall Apple Zertifikate gegen das DoD Root getauscht werden und dann kann die USA entweder alle iOS Geräte als Wanze nutzen, sie deaktivieren oder sonst was machen, so was in der Art stelle ich mir vor.

@Kimbleb Bin kein Twitterer und Facebooker, daher kenne ich keine Iphone Nerds an die ich mich wenden kann.

Werde mal bei iFun nachfragen, vielleicht haben die ne Idee.

[gado]

Was für ein Cyberfall? Die US Regierung ist einfach vertrauenswürdig, ähnlich wie die Telekom als Rootzertifikat Aussteller vertrauenswürdig ist. Wenn sie die Geräte fernsteuern würden, brauchten sie den Quatsch mit den Zertifikaten nicht machen, die klopfen einfach bei Apple.

[Tessa]

@Denner: Wo hast du das denn überhaupt gefunden/gesehen
Sowas ist mir bei normaler Verwendung meines Iphones noch nie vor Augen gekommen.

[Denner]

@Tessa einstellungen - info ganz unten auf den Link klicken der unter vertrauenswürdiger Store steht.


@gado Bin jetzt kein Kryptoexperte und kein Kriegsszenario Experte.

Aber falls die USA in Defcon 2 oder 1 gehen, kann ich mir vorstellen, das die so einen Ding abziehen würden.

[Hulk Holger]

Also ich hab letztens mal gelesen, dass dieses US Regierungszertifikat auf den iPhones ist, weil im Falle von Defcon 1 MÜSSEN sich alle applegeräte Nutzer den USA anschließen. Stand so in den Nutzungsbedingungen denen wir am Anfang alle zugestimmt haben.

[JarvisRoot]

Bin vielleicht noch nicht lange genug im Forum bzw. habe noch nicht so viele Fragen des Erstelles gelesen jedoch ist eine Frage doch legitim. In welcher Form und in welchem Zusammenhang nun Defcon steht sei mal einfach dahingestellt.

Ich denke nach den letzten Meldungen und News zum Thema "Ich höre da einfach mal mit" - kann man sich Gedanken machen - auch hier denke ich aber - was ist denn mit den anderen Ausstellern von Root-Zertifikaten - wärst Du entspannter wenn es eine US Firma wäre, und dieses Root Zertifikat auf deinem iPhone wäre? Wir wissen ja - dass das abhören nichts mit dem Zertifikat zu tun hat - selbst wenn es eine technische Möglichkeit wäre - das Abhören erfolgt ja auch auf anderen Geräte - via Leitung - und nicht via Root-Zertifikat.

[Denner]

Das war ja nur eine Idee. Mich stört nicht, das es eine regierungsbehörde ist, sondern ausgerechnet DIE Superbehörde Amerikas. Das DoD ist auch die übergeordnete Behörde ua der NSA und der Darpa (die entwickeln fiese Spielzeuge) und untersteht nur dem Präsident und dem Verteidigungsminister.

Die Darpa arbeitet über Sun mit Proximity Communication zusammen, die z.bsp. an der Möglichkeit Arbeiten einfache Chips zu einem super Cluster - Supercomputer zusammenarbeiten zu lassen. Und wenn jetzt 800 Mio iOS Geräte zusammen mit allen Mac ( dort ist das Zertifikat auch drauf) benutzt werden kommt schon was zusammen.

Deren Verteidigungsminister ist kein Freund von Krieg mit Waffen und ist für nukleare Abrüstung, aber ein Republikaner und Freund von unblutigen Techniken wie cyberwar, Financial Take down ganzer Staaten USW.

Wir in Deutschland haben so eine Behörde nicht aber es würde doch auch seltsam sein, wenn ein Root Zertifikat vom BND auf dem iPhone wäre, oder?

Und das Zertifikate nicht so lächerlich sind, sieht man ja am China jailbreak, der keine Lücke im os nutzt sondern ein Apple Zertifikat um das iPhone zu verändern.

[KKunze1959]

@all
ich habe jetz mal in meinem iphone 3gs geschaut. da finde ich diese Hinweise nicht. habe da die 6.1.3 drauf.
dann hab ich im iphone 5s geschaut unter den Vertauenwürdigen zertifikaten , dann unter iOS 5 und 6 geschaut, da habe ich das dann aber auch nicht gefunden.
da steht dieses zertifikat nicht so.
kann es sein das dieses erst seit iOS7.... so eingetragen ist?

[Hulk Holger]

@Denner wo steht den überhaupt das es das Verteidigungsministerium ist? Ich lese nur U.S. government.

Edit: grad gesehen DoD und was ist PIK?

[Denner]

@KKunze1959 schau mal den Link in Beitrag 3, dort kannst du dir die in iOS eingebauten Zertifikate anschauen. Aufgeteilt nach iOS Version. Auf dem Handy findest du die nicht, weil die im Source Code stecken.

@Hulk Holger

Issuer: C=US
Organisation =U.S. Government, OrganisationUser=DoD
OU=PKI (Public Key Infrastruktur)
CertificateName=DoD Root CA 2

[KioTronic]

Kann man das nicht irgendwie löschen ??