8.5.4 protocol error BuildClientKeyExchange

  • @mse Danke. Da hab’ ich was dazu gelernt.

    @stefan Ach herrje, da ist ja eine Checkbox. Die hab ich jahrelang nicht gesehen. Wie peinlich.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • Kein Problem. Das ist ja auch nicht unbedingt intuitiv, dass da ein Doppelklick den Status umschaltet.
    Stefan soll mal testen, ob er mit Doppelklick den Status umschalten kann. Dass der Button "Thema bearbeiten" Nutzern ausgeblendet ist, liegt wohl daran, dass dahinter eher moderative Aufgaben stehen, wie Umbenennen oder Verschieben.

  • Dass der Button "Thema bearbeiten" Nutzern ausgeblendet ist, liegt wohl daran, dass dahinter eher moderative Aufgaben stehen, wie Umbenennen oder Verschieben.

    Denke ich auch, aber sowas kann ich ja nicht testen. Und ich kenne WBB auch zu wenig als dass ich wüsste was für wen sichtbar ist.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • Ach … Doppelklick! Yo, ist erledigt :)

    Das Kästchen finde ich schon intuitiv. Das impliziert schon sowas wie "hier anhaken". Da fehlt halt eindeutig ein "pointer" bei mausüber.

    Schönen Sonntag noch.

  • Siehe da, wurde gefixt → The Bat! 8.5.6.2 (BETA)

    Zitat

    [-] In case of a Diffie-Hellman ephemeral key agreement on TLS, if the server has provided a "p" parameter which is not a safe prime, The Bat! no longer terminates the connection with the "protocol error BuildClientKeyExchange" error code.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • Zwei Fragen:

    1. Ich würde jetzt gerne die Beta ausprobieren. Kann ich die über die stable installieren und dann wenn die stable erschienen ist die wiederum drüberinstallieren?

    2. Bedeutet "The Bat! no longer terminates the connection", dass halt auf den Abbruch verzichtet wird, aber die gewünschte Verschlüsselung wegen der "unsicheren Primzahl" eben nicht etabliert werden konnte?

  • 1. Ich würde jetzt gerne die Beta ausprobieren. Kann ich die über die stable installieren und dann wenn die stable erschienen ist die wiederum drüberinstallieren?

    Die Final-exe in einem Extra-Verzeichnis sichern.
    Die Beta entpacken
    Die Beta-exe dann ins Programmverzeichnis verschieben.

    Zitat

    2. Bedeutet "The Bat! no longer terminates the connection", dass halt auf den Abbruch verzichtet wird, aber die gewünschte Verschlüsselung wegen der "unsicheren Primzahl" eben nicht etabliert werden konnte?

    Ich nehme an, unsichere Verschlüsselungen werden verworfen und die nächst-sichere verwendet. Aber da musst du eher mal Ritlabs fragen.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • Zitat von ritlabs

    When the server presents a Diffie-Hellman ephemeral key which on the consideration that The Bat! considers "unsafe", now The Bat! just continues with that weak key. However, The Bat! checks the digital signature of this ephemeral key. So, an attacker cannot inject a bad key. It is the server that generated this bad key. So The Bat! will just continue, because it is the server in the end that set ups his key.


    Der Mailserver liefert einen schwachen Schlüssel weil er davon ausgeht, dass TheBat eine unsichere Anwendung sei und theBat wiederum lässt sich (nun ohne Ausnahmefehler anzuzeigen) auf diesen schwächeren Schlüssel ein. [TheBat prüft aber dennoch "irgendwas" um das Einschleusen eines Abhörerschlüssels? zu verhindern?]

    Es liegt letztlich am Mailserver, der mit einem schwachen Schlüssel einsteigt während TheBat sein Bestes gibt um das auszugleichen?

    Interpretiere ich das richtig bzw. was genau schreibt der da?

  • Der Mailserver kann das Programm nicht unsicher ansehen, sowas gibt es technisch nicht bei Mailservern.

    Ich verstehe Ritlabs Aussage so:
    Der Mailserver bietet Verschlüsselungen mit verschiedenen Chiffren an. Bei Forward Secrecy wird für jede Verbindung ein extra Schlüssel verwendet (DIffie-Hellman ephermerical key). Wenn jetzt der SSL-Verkehr ausgehandelt wird und dabei ein schwächer DH-Schlüssel verwendet wird, bricht The Bat! nicht ab sondern verwendet den Schlüssel, prüft aber die Signatur des Schlüssels sodass kein anderer als der gesendet eingeschleust werden kann.

    Allgemein sollte ein gut konfigurierter Mailerver die Reihenfolge der zu verwendeten starken Verschlüsselungen erzwingen und der Mailclient sucht sich den stärksten aus, mit dem seine SSL-Implementation arbeiten kann.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.