|
|
|
GAS GAS GAS
|
- Hier werden Nachrichten gepostet, die für aktuell und interessant gehalten werden.
- Achtung: Falls ein Thema großen Diskussionsbedarf hat, nutzt das bitte um einen eigenen Thread zum Thema zu entkoppeln!
- Der Alte
Aktuelles
----
Wie die NSA Verschlüsselungen knackt
| Derzeit kann niemand mit Gewissheit sagen, welche SSL-Standards ausspioniert werden können und welche nicht. Wären etwa die Server von Microsoft betroffen, was nicht erwiesen ist, dann läge der Umfang bei 20 Prozent des weltweiten Datenverkehrs. Damit ist die Sicherheit von E-Commerce und Onlinebanking generell in Frage gestellt – und Nutzer können sich nur auf Nummer sicher gehen, in dem sie Mails verschlüsselt schicken | |
Abgesehen von dem Satzbaufail - praktikables S/MIME wäre damit auch unsicher, und wer garantiert, dass Web of Trust Clients nicht auch kompromittiert sind.
Datenbank PX: CIA und deutsche Dienste betrieben jahrelang Geheimprojekt
| Für die Einheit "Projekt 6" mieteten die drei Geheimdienste ab 2005 Räumlichkeiten in der Innenstadt von Neuss an. Später zog die Gruppe in die Zentrale des Bundesamts für Verfassungsschutz in Köln um. Der BND bestätigte die Existenz der Einheit "Projekt 6" sowie der Datenbank mit dem Namen "PX", die Kooperation sei jedoch 2010 beendet worden. Das Bundesamt für Verfassungsschutz lehnte ein Stellungnahme zu Einzelfällen der internationalen Zusammenarbeit ab, versicherte aber, "ausschließlich auf Grundlage der deutschen Rechtsbestimmungen" tätig geworden zu sein. | |
|
|
|
|
|
|
|
Geheimdienste arbeiten zusammen und kooperieren? Big fucking deal!
|
|
|
|
|
|
|
| Zitat von TheRealHawk
Abgesehen von dem Satzbaufail - praktikables S/MIME wäre damit auch unsicher, und wer garantiert, dass Web of Trust Clients nicht auch kompromittiert sind.
| |
Solange Dein privater Schlüssel nicht kompromittiert ist.
|
|
|
|
|
|
|
Das nützt dir gar nichts wenn die Implementierung eine Backdoor hat (wie bei SSL).
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von TheRealHawk am 08.09.2013 13:59]
|
|
|
|
|
|
Wie Du das da rausgelesen hast, ist mir schleierhaft.
|
|
|
|
|
|
|
| Zitat von Suppengrün
Geheimdienste arbeiten zusammen und kooperieren? Big fucking deal!
| |
Es geht uns (mir zumindest) dabei darum, dass westliche Geheimdienste kooperieren um letzlich über Bande die eigenen Bürger die totale Überwachung zukommen zu lassen.
Darüber hinaus finde ich aggressive (d.h. nicht auf Spionageabwehr beschränkte) Geheimdienste per se gefährlich, aber diese Argumentationen sind allgemein bekannt und werde ich daher hier nicht wiederholen.
|
|
|
|
|
|
|
| Zitat von csde_rats
Darüber hinaus finde ich aggressive (d.h. nicht auf Spionageabwehr beschränkte) Geheimdienste per se gefährlich, aber diese Argumentationen sind allgemein bekannt und werde ich daher hier nicht wiederholen.
| |
Ja, aber.... Wenn alle so denken würden, dann müßten die armen Jungs sich ja alle furchtbar langweilen!
|
|
|
|
|
|
|
| Zitat von Bombur
Wie Du das da rausgelesen hast, ist mir schleierhaft.
| |
Es ist mir schleierhaft, was du da rausliest. Die Verschlüsselungsalgorithmen an sich sind nicht geknackt, also kann man sie nur durch die Hintertür umgehen. Und das heißt, dass dein privater Schlüssel wertlos ist. Ein Hochsicherheitsschloss an der Haustür nützt dir nichts wenn die Terrassentür offen steht.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von TheRealHawk am 08.09.2013 14:54]
|
|
|
|
|
|
| Zitat von TheRealHawk
| Zitat von Bombur
Wie Du das da rausgelesen hast, ist mir schleierhaft.
| |
Es ist mir schleierhaft, was du da rausliest. Die Verschlüsselungsalgorithmen an sich sind nicht geknackt, also kann man sie nur durch die Hintertür umgehen. Und das heißt, dass dein privater Schlüssel wertlos ist. Ein Hochsicherheitsschloss an der Haustür nützt dir nichts wenn die Terrassentür offen steht.
| |
Dazu müsste meine Mail also vor dem Verschlüsseln abgegriffen werden oder meine Implementation des Algorythmus kompromittiert sein? Die Möglichkeit besteht, ist aber sehr gering.
|
|
|
|
|
|
|
| Zitat von Suppengrün
Geheimdienste arbeiten zusammen und kooperieren? Big fucking deal!
| |
Verbrecherbanden arbeiten zusammen und kooperieren? Big fucking deal!
|
|
|
|
|
|
|
|
|
|
|
Anscheinend hatten da wohl einige kein Bock auf Muttis Kriegsrhetorik und ham beim Blatt des Vertrauens angerufen. Erinenrt iwie an Pentagon Wars.
|
|
|
|
|
|
|
| Zitat von Bombur
| Zitat von TheRealHawk
Abgesehen von dem Satzbaufail - praktikables S/MIME wäre damit auch unsicher, und wer garantiert, dass Web of Trust Clients nicht auch kompromittiert sind.
| |
Solange Dein privater Schlüssel nicht kompromittiert ist.
| |
Das ist schlichtweg nicht wahr und ein gefährlicher Irrglauben.
| Zitat von Bombur
...meine Implementation des Algorythmus kompromittiert sein? Die Möglichkeit besteht, ist aber sehr gering.
| |
Vielleicht ist dir bekannt, dass es vor einiger Zeit ein unglaubliches Debakel um SSL-Keys gab, die in einem bestimmten Zeitraum von einer bestimmten OpenSSL-Version erzeugt wurden. Da wurde der Zufallsgenerator quasi nicht initialisiert, weil ein Entwickler ne Codezeile auskommentiert hatte. Hups. Entweder war der Mann da besoffen oder hat jetzt einige Dollar mehr aus fraglicher Herkunft. Aber so oder so waren die besagten Schlüssel allesamt Schrott. Ob weitere schwere Lücken bei der Generierung bestehen oder ob die schwachen Schlüssel alle ausgetauscht sind, weiß kein Mensch.
Auch der Aluhutblogger zitiert just heute Berichte, dass die NSA seit jeher direkt und indirekt verbandelte Leute auf internationale Konferenzen schickt um Protokollspezifikationen löchrig zu machen. Durch vorgeschobene Argumente ("wir sollten auch eine keine-Verschlüsselung-Option einbauen, damit es schneller ist") oder einfach nur durch Lügen ("die Exportgesetze verbieten das"). Daraus geht dann auch hervor, wieso in vielen Protokollen durchaus "safemode"-Schalter eingebaut sind, die aber lustigerweise nicht standardmäßig gedrückt sind. (Cipher-Suiten mit PFS finden alle erst super, seit ein Typ mit Brille auf Russlandbesuch ist.)
Und ein drittes spontanes Beispiel wäre Lotus Notes, das seit gut 10 Jahren eine Backdoor in seinen privaten Schlüsseln hat, weil diese nur zu etwa zwei Dritteln vom Nutzer generiert werden. Wer das andere Drittel kennt, und damit einen um Faktor Fuckthisshit gesenkten Aufwand zum brechen hat, kann man sich selbst als Amateur-Aluhut denken.
Also hör bitte bitte auf, solche Statements wie da oben zu verbreiten. Am Ende führt das dazu, dass sich ein fachfremder Zuhörer sicher fühlt. Das wollen wir doch nicht.
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von Rufus am 08.09.2013 15:27]
|
|
|
|
|
|
Das responsive Layout der Tagesschau ist ja der Shit schlechthin. Größer kleiner größer kleiner größer kleiner... ich bin dann mal den Rest des Tages beschäftigt \o/
|
|
|
|
|
|
|
| Zitat von Rufus
Also hör bitte bitte auf, solche Statements wie da oben zu verbreiten. Am Ende führt das dazu, dass sich ein fachfremder Zuhörer sicher fühlt. Das wollen wir doch nicht.
| |
SSL? Was interessiert mich SSL bei der Verschlüsselung meiner Mails? Wer glaubt, daß eine Mail, die nicht von mir selbst lokal verschlüsselt meinen Rechner verläßt, um ausschließlich vom Empfänger lokal entschlüsselt zu werden, sicher ist, der hat sie nicht alle. Selbst wenn seine Kommunikation zum Mailserver noch so gut gesichert wäre.
|
|
|
|
|
|
|
Bei der aktuellen Diskussion geht es aber um genau solche Dinge wie SSL/TLS. Transportsicherungen eben.
|
|
|
|
|
|
|
http://www.taz.de/NSA-Technik-in-Deutschland/!123257/
| Mit einer Luftaufnahme aus einem Hubschrauber überprüfte der Bundesverfassungsschutz in der vergangenen Woche, ob das US-amerikanische Generalkonsulat in Frankfurt am Main Mittel zur Spionage einsetzt. Das berichtete die Frankfurter Allgemeine Zeitung (FAZ) in ihrer Freitagsausgabe. Mit dem Hubschrauberflug wollte der Verfassungsschutz Klarheit über mögliche Abhöranlagen auf dem Gebäude gewinnen. | |
Das ist WTF auf einem beeindruckend hohem Niveau
|
|
|
|
|
|
|
AHAHAHAHAHAHA!
Das ist Comedy pur.
|
|
|
|
|
|
|
sie schaffen es echt sich mit jeder aktion noch selber zu toppen
|
|
|
|
|
|
|
| Zitat von Bombur
| Zitat von Rufus
Also hör bitte bitte auf, solche Statements wie da oben zu verbreiten. Am Ende führt das dazu, dass sich ein fachfremder Zuhörer sicher fühlt. Das wollen wir doch nicht.
| |
SSL? Was interessiert mich SSL bei der Verschlüsselung meiner Mails?
| |
Okay, nochmal kurz aufgemalt:
SSL implementiert (für Übetragungen): RSA, AES, etc. etc.
Dein PGP (oder whatever) implementiert (für Mailtext): RSA, AES, etc. etc.
Kritisch zu betrachten sind die Algorithmen, die überall gleichermaßen unter der Haube laufen wie: RSA, AES, etc. etc.
|
|
|
|
|
|
|
| Zitat von jonny
sie schaffen es echt sich mit jeder aktion noch selber zu toppen
| |
vielleicht gibts n kombo bonus oder die wollen ins guinness buch
|
|
|
|
|
|
|
|
|
|
|
| Zitat von Bombur
Dazu müsste meine Mail also vor dem Verschlüsseln abgegriffen werden oder meine Implementation des Algorythmus kompromittiert sein? Die Möglichkeit besteht, ist aber sehr gering.
| |
Dass das immer wieder vorkommt war schon bekannt bevor Snowden seinen großen Auftritt hatte. Was Rufus schon sagte z.B., nachdem die Key Escrow Initiative in den 90ern gescheitert ist (Clipper Chip / Capstone) musste die NSA einfach andere Wege beschreiten.
/e: als nächstes würde ich mir mal SELinux ansehen, das kommt ja quasi direkt von der NSA. Die Konfiguration ist schon so kompliziert dass es kaum einer versteht, von Kernel- und Systemerweiterungen ganz zu schweigen.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von TheRealHawk am 08.09.2013 19:21]
|
|
|
|
|
|
|
|
|
|
|
|
|
|
poste sowas doch nicht. nachher sieht das noch irgendein relevanter politiker
|
|
|
|
|
|
|
Es gibt relevante Politiker?
|
|
|
|
|
|
|
ersetze relevant durch [an der macht]
|
|
|
|
|
|
|
Führend heißt jetzt Richtungsweisend, sonst ändert sich nix.
|
|
|
|
|
|
|
Die Bundeswehr hat natürlich kein Bock auf einen ernsten Einsatz, da kommen dann plötzlich auch solche "Feststellungen".
|
|
|
|
|
|
Thema: pOT News ( GAS GAS GAS ) |