3. NSA hat Verschlüsselnungen (SSL...) geknackt

NSA hat Verschlüsselnungen (SSL...) geknackt

  • C

    Sowjetische Röhrencomputer Unterstützung ist meines Wissens nach nicht geplant für PrettyOS, das wird also nichts. 😉
    Allerdings scheint es doch unwahrscheinlich dass die in den ganzen Betriebssystemen Lücken eingebaut haben, wozu sollten sie dann dauernd Daten von Skype/Microsoft erfragen? Und in den ganzen Routern müssten ja dann auch noch Hintertüren kleben, damit das Ganze erst nützlich wird.

    0
  • Mod

    cooky451 schrieb:

    Allerdings scheint es doch unwahrscheinlich dass die in den ganzen Betriebssystemen Lücken eingebaut haben, wozu sollten sie dann dauernd Daten von Skype/Microsoft erfragen?

    Weil MS ein bekanntes Betriebssystem herstellt und es einfacher ist, bei Skype direkt zu fragen, als den Rechner auf dem Skype läuft zu belauschen.

    Und in den ganzen Routern müssten ja dann auch noch Hintertüren kleben, damit das Ganze erst nützlich wird.

    Aber genau das ist doch passiert!

    Bezüglich OpenBSD: Hmm, geprüft von in den USA beheimateten Leuten, die dafür kaum bezahlt werden. Wie groß war noch einmal das NSA-Budget für Einschüchterung und Bestechung?

    0
  • C

    SeppJ schrieb:

    Weil MS ein bekanntes Betriebssystem herstellt und es einfacher ist, bei Skype direkt zu fragen, als den Rechner auf dem Skype läuft zu belauschen.

    Und das ist jetzt ein Argument für wen?^^

    SeppJ schrieb:

    Aber genau das ist doch passiert!

    Oh was, Router haben Hintertüren eingebaut? Das wäre mir in der tat neu. Gibt's da was zu lesen?

    Der Punkt ist, wenn die NSA wirklich die Möglichkeit hätte zu einer gegebenen IP einfach durch den Router in den jeweiligen PC zu rennen, vorausgesetzt sie nutzen Standardhardware + Windows oÄ, dann hilft auch kein Verschlüsseln mehr dagegen. Die können ja alles direkt am Rechner mit lesen. Aber eben genau weil sie dauernd bei Firmen anklopfen und spezifische Abhörmöglichkeiten wollen, gehe ich eben nicht davon aus, dass sie das können.

    0
  • S

    @cookie451: Laut Blog von Schneier ist das schlichtweg auffälliger und wird deshalb nur in Ausnahmefällen durchgeführt, heißt aber nicht, dass die Möglichkeiten nicht bestehen!

    MfG SideWinder

    0
  • C

    Was wäre auffällig daran einfach den Rechner zu kapern? Ich glaube den Satz verstehe ich nicht so ganz.^^
    Edit: Ja, okay, das Terrornetzwerk das seit 20 Jahren irgendwelche Angriffe plant merkt das vielleicht, aber die werden vermutlich auch kein Skype nutzen.

    0
  • C

    Was ist mit AES? schrieb:

    Ich verwende trotzdem lieber Kaskaden, am besten AES-Serpent-Twofish. Maximale Sicherheit. Sollte AES geknacht werden können, bleiben noch die beiden anderen Algorithmen übrig.

    Vielleicht wird auch die Kaskade AES-Serpent-Twofish geknackt lange bevor AES einzeln geknackt wird, weil durch den mehrfach verwendeten Key eine Schwachstelle entsteht, die vorher nicht da war. Du benutzt effektiv nur einen anderen Algorithmus, der viel schlechter erforscht ist als AES.

    0
  • ?

    Christoph schrieb:

    Was ist mit AES? schrieb:

    Ich verwende trotzdem lieber Kaskaden, am besten AES-Serpent-Twofish. Maximale Sicherheit. Sollte AES geknacht werden können, bleiben noch die beiden anderen Algorithmen übrig.

    Vielleicht wird auch die Kaskade AES-Serpent-Twofish geknackt lange bevor AES einzeln geknackt wird, weil durch den mehrfach verwendeten Key eine Schwachstelle entsteht, die vorher nicht da war. Du benutzt effektiv nur einen anderen Algorithmus, der viel schlechter erforscht ist als AES.

    TrueCrypt verwendet aber *nicht* mehrfach den selben Key 🤡

    0
  • ?

    Was ist mit AES? schrieb:

    TrueCrypt verwendet aber *nicht* mehrfach den selben Key 🤡

    Aber TrueCrypt hat dafür eingebaute Backdoors.
    http://www.c-plusplus.net/forum/318975

    0
  • ?

    Was ist mit AES? schrieb:

    Legt nicht OpenBSD besonders wert auf die sicherheit von Quellcode? Müssen die Quellcodes bei denen nicht x-Mal abgesegnet werden, bis sie in die Distribution kommen?

    Vielleicht ist aktuell OpenBSD die sicherste Lösung?

    Es ist eigentlich auch schade, dass die BSD-Betriebssysteme immer so im Schatten stehen.

    Wer sagt denn, dass die NSA da keine Mitarbeiter hat, die darauf abgestellt sind OpenBSD zu entwickeln und damit zu werben, dass dieses OS sehr sicher sei, weil man auf Sicherheit Wert lege, mit dem Hintergedanken genau die Terroristen in die Falle zu locken, die genau so ein OS suchen.

    OpenBSD = Honeypot, das ist ein durchaus plausibles Szenario.

    Mit OpenBSD ist man hier sogar schlechter dran, weil der prozentuale Anteil an NSA Mitarbeiter höher ist als bei Linux, wenn bei beiden OS gleich viele NSA Mitarbeiter mitarbeiten.
    Die OpenBSD Entwickler bestehen nur aus einem kleinen Haufen, bei Linux gucken wenigstens noch ein paar Hundert Entwickler rein, die wird die NSA nicht alle finanzieren.

    Bsp:

    Anzahl an NSA Infiltratoren (die Zahlen greife ich mal für das Beispiel aus der Luft):
    OpenBSD 5
    Linux 5

    Anzahl an gesamten Entwicklern:
    OpenBSD 20
    Linux 100

    Das macht also
    OpenBSD 15
    Linux 95
    Entwickler, die nicht zur NSA gehören.

    Prozentual betrachtet ist die Sicherheit bei Linux also höher.

    0
  • ?

    nicht schrieb:

    Was ist mit AES? schrieb:

    TrueCrypt verwendet aber *nicht* mehrfach den selben Key 🤡

    Aber TrueCrypt hat dafür eingebaute Backdoors.
    http://www.c-plusplus.net/forum/318975

    Und woher willst du wissen, dass die nicht schon längst die Linux crypto-sachen infiltriert haben? dm-crypt oder luks usw.?

    0
  • C

    Was ist mit AES? schrieb:

    nicht schrieb:

    Was ist mit AES? schrieb:

    TrueCrypt verwendet aber *nicht* mehrfach den selben Key 🤡

    Aber TrueCrypt hat dafür eingebaute Backdoors.
    http://www.c-plusplus.net/forum/318975

    Und woher willst du wissen, dass die nicht schon längst die Linux crypto-sachen infiltriert haben? dm-crypt oder luks usw.?

    Dann müssten sie ihre Backdoor-Patches an Linus Torvalds vorbeibringen. Das dürfte ausgesprochen schwer werden.

    Bei Truecrypt hingegen gibt es nur die Code-Differenz zwischen zwei offiziellen Versionen, die gewaltig ist. Es gibt keine Erklärungen für die Differenzen und keine Aufschlüsselung in einzelne Commits, und niemanden, der sich die Unterschiede im Detail angeschaut hat (zumindest meines Wissens nach).

    0
  • C

    Christoph schrieb:

    Dann müssten sie ihre Backdoor-Patches an Linus Torvalds vorbeibringen. Das dürfte ausgesprochen schwer werden.

    Nicht wirklich. Linus hat keine Zeit sich die ganzen Änderungen im Detail anzuschauen, er hat einfach ein paar core Maintainer denen er vertraut, und die haben wieder ein paar Leute denen sie vertrauen usw.

    0
  • C

    cooky451 schrieb:

    Christoph schrieb:

    Dann müssten sie ihre Backdoor-Patches an Linus Torvalds vorbeibringen. Das dürfte ausgesprochen schwer werden.

    Nicht wirklich. Linus hat keine Zeit sich die ganzen Änderungen im Detail anzuschauen, er hat einfach ein paar core Maintainer denen er vertraut, und die haben wieder ein paar Leute denen sie vertrauen usw.

    Von dem, was ich gelesen habe, ist es allerdings ausgesprochen schwierig, das Vertrauen von Linus zu erhalten. Ein Maintainer, dem Linus direkt vertraut, wird man nicht so einfach.

    Commits im Krypto-System wird der Maintainer bestimmt auch besonders ausgiebig begutachten und nicht einfach blind irgendeinem Sub-Maintainer vertrauen.

    0
  • ?

    http://www.golem.de/news/verschluesselung-was-noch-sicher-ist-1309-101457.html

    Das ist genau der Artikel, auf den ich gewartet hatte.

    Und leider wird mein Verdacht leicht bestätigt: AES scheint eben doch nicht so sicher zu sein, wie immer gesagt wird.

    Im Artikel wird empfohlen, eher einen der anderen AES-Finalisten zu verwenden, also Twofish oder Serpent.

    Ich habe im Internet gelesen, dass Serpent der sicherste, aber auch der langsamste ist, ob das stimmt, weiß ich aber nicht. Weiß da jemand genaueres?

    0
  • ?

    SeppJ schrieb:

    B4ndit schrieb:

    Es sein denn man nutzt Windows, OSX, iOS oder Android. Da kann man sich nie sicher sein was die NSA dort für Hintertürchen hat einbauen lassen.

    Und die Binaries deiner Linuxdistribution hast du alle selbst compiliert? Und den Quellcode überprüft? Kannst du dem Compiler vertrauen? Der Hardware auf der der Compiler läuft? Ist ja sehr löblich, dass du den offensichtlich mit Hintertüren versehenen Programmen nicht traust, aber es gibt keine echten Alternativen. Irgendwo gibt es immer eine Instanz, bei der entweder direkt eine US-Firma oder indirekt eine Firma, die von der NSA erpresst werden kann, die Finger im Spiel. Und dann ist es schon nicht mehr paranoid anzunehmen, dass das System kompromittiert ist. Das ursprüngliche Ziel der NSA war schließlich mal nicht großflächige Überwachung, sondern wirklich konkretes Jagen nach den USA feindlichen Aktivitäten. Da lässt man doch keinen so einfachen Ausweg für diese Feinde, wenn es so einfach wäre, diesen ebenfalls zu kompromittieren.
    Was bleibt denn da noch? PrettyOS auf einem sowjetischen Röhrencomputer?

    😃 👍

    0
  • ?

    cooky451 schrieb:

    Christoph schrieb:

    Dann müssten sie ihre Backdoor-Patches an Linus Torvalds vorbeibringen. Das dürfte ausgesprochen schwer werden.

    Nicht wirklich. Linus hat keine Zeit sich die ganzen Änderungen im Detail anzuschauen, er hat einfach ein paar core Maintainer denen er vertraut, und die haben wieder ein paar Leute denen sie vertrauen usw.

    Wie das Ganze mehr oder weniger abläuft: http://snarkypenguin.wordpress.com/2013/07/10/the-nsa-is-tracking-you/

    0
  • C

    Christoph schrieb:

    Ein Maintainer, dem Linus direkt vertraut, wird man nicht so einfach.

    Schon klar.

    Christoph schrieb:

    Commits im Krypto-System wird der Maintainer bestimmt auch besonders ausgiebig begutachten und nicht einfach blind irgendeinem Sub-Maintainer vertrauen.

    Wen interessiert denn bitte noch das Krypto-System, wenn man einfach auf den Rechner zugreifen kann? Der Code dafür kann letztlich an jeder Stelle stehen. Aber das ist auch überhaupt nicht der Punkt, ich wollte nur klar stellen dass Linus sich da nicht jede Zeile anguckt und das Hauptproblem sicher nicht ist den Code an Linus vorbei zu bekommen. Wenn man also Linux vertraut, muss mehr mehr Leuten vertrauen als Linus.

    @KasF LOL, lies mal alle Beiträge von mir in diesem Thread.

    0
  • ?

    cooky451 schrieb:

    @KasF LOL, lies mal alle Beiträge von mir in diesem Thread.

    Hab ich und nun? War nicht viel relevantes dabei.

    0
  • C

    Du schickst jemandem der nicht daran glaubt dass Betriebssysteme von der NSA infiltriert sind einen Link zu einem langen Artikel in dem jemand erklärt warum er nicht daran glaub dass Betriebssysteme von der NSA infiltriert sind. Seems legit.

    0
Anmelden zum Antworten