[Netzwelt] SSL möglicherweise nicht mehr sicher

Malfunctioning Eddie · 6 Sep. 2013

The files, from both the NSA and GCHQ, were obtained by the Guardian, and the details are being published today in partnership with the New York Times and ProPublica. They reveal:

• A 10-year NSA program against encryption technologies made a breakthrough in 2010 which made "vast amounts" of data collected through internet cable taps newly "exploitable".

• The NSA spends $250m a year on a program which, among other goals, works with technology companies to "covertly influence" their product designs.

• The secrecy of their capabilities against encryption is closely guarded, with analysts warned: "Do not ask about or speculate on sources or methods."

• The NSA describes strong decryption programs as the "price of admission for the US to maintain unrestricted access to and use of cyberspace".

• A GCHQ team has been working to develop ways into encrypted traffic on the "big four" service providers, named as Hotmail, Google, Yahoo and Facebook.

Quell: Guardian

Sigint - how the NSA collaborates with technology companies

NSA Laughs at PCs, Prefers Hacking Routers and Switches

Kenobi van Gin · 6 Sep. 2013

Stimmt, da habe ich vor na halben Stunde einen kurzen Beitrag auf irgend sonem bayerischen Radiosender gehört. Es ging das ausdrücklich auch um verschlüsselte E-Mails (was du ja auch schreibst). Man weiß wirklich nicht, wo man noch sicher sein kann.

Blöderweise weiß man ja auch nicht, was von den Aussagen Snowdens wirklich stimmt. (Also ich hab jedenfalls keine Möglichkeit das zu überprüfen.)

saddy · 6 Sep. 2013

Das betrifft aber "nur" die Inhalte oder? Wenn ich per SSL eine PGP verschlüsselte Mail verschicke, bringts doch keinem irgendwas mitzulesen (vorrausgesetzt PGP oder irgendwas ist "noch" sicher)

Kenobi van Gin · 6 Sep. 2013

@saddy: Ich war nach dem Beitrag im Radio davon ausgegangen, dass die die Verschlüsselung von Mails meinten. Aber in der Tat ist in dem Artikel dazu nichts konkretes gefunden. Vielleicht war es schwammig formuliert, weil die Leute, die solche Artikel schreiben, eh keine Ahnung haben.
Wobei doch längst klar ist, dass Mails, die unverschlüsselt verschickt werden, keineswegs sicher sind. Schon deshalb nicht, weil die meist so gut wie ungeschützt auf den Servern der Mail-Provider rumliegen :unknown:

TheOnly1 · 6 Sep. 2013

Gibts irgendwo mehr technische Hintergründe dazu?

saddy · 6 Sep. 2013

Ich hab auch die Golem und Zeit Berichte überflogen, ich glaube hier gehts nur um entweder die SSL Verbindung zur Weboberfläche oder POP/IMAP im Client per SSL.
Also ändert sich ja doch nichts am Statusquo, SSL hab ich persönlich immer nur wegen lokalen Sniffern an. Private Daten dann wie gehabt vorher verschlüsseln. Und davon ausgehen, dass die Verschlüsselung sicher ist

TRON2 · 6 Sep. 2013

In einem Fall sorge die NSA dafür, dass ein Hardwarehersteller eine Hintertür in seinen Computer einbaute, nachdem die NSA erfahren hatte, dass eine Regierung neue Hardware bestellt hatte

Solche Firmen kotzen mich echt an.

saddy · 6 Sep. 2013

Die sind gesetzlich mit Sicherheit dazu verpflichtet. Und hätten die sich ohne den Hype wie Lavabit gewehrt wär deren Existenz am Arsch gewesen. Von Lavabit wissen jetzt zumindest viele.
Was würd eigentlich passieren wenn einer von den Big Playern, bspw Google die Kooperation verweigert? Wird so ein gewaltiges Unternehmen dann verstaatlicht?

Malfunctioning Eddie · 6 Sep. 2013

@TRON2:

war bestimmt "freiwillig"

Die britische Zeitung „The Guardian“ ist nach eigenen Angaben wegen der geheimen Dokumente des früheren NSA-Mitarbeiters Edward Snowden von der Regierung massiv unter Druck gesetzt worden. Chefredakteur Alan Rusbridger schrieb am späten Montagabend, das Blatt sei zur Zerstörung oder Herausgabe des Snowden-Materials aufgefordert worden. Die Regierung habe gedroht, juristisch gegen die Zeitung vorzugehen.

Chefredakteur Rusbridger schrieb weiter, zwei Mitarbeiter des britischen Geheimdienstes GCHQ hätten im Gebäude der Zeitung die Zerstörung von Festplatten überwacht.(...) Quelle

TRON2 · 6 Sep. 2013

Ich glaube nicht, dass sowas noch gesetzlich ist. Das ist für mich kriminell.

Hat doch gerade erst die Diskusion um Windows 8 und der Bundesprüfstelle gegen. Das sie wieder zurückgerudert sind, zeigt für mich, dass sie darüber bescheit wussten.

Kanser · 6 Sep. 2013

Es ist übrigens scheiß egal ob so was gesetzlich ist oder nicht. Nur weil irgendwo steht das die USA/NSA scheiße bauen darf heißt das noch lange nicht dass die Menschheit sich sowas gefallen lassen muss.

KidZler · 6 Sep. 2013

Sieht man mal was diese Faschisten Bande aus der USA wieder für einfluss auf die Medien haben.

Die dürfen ja noch nichtmal schreiben was geknackt wurde !

Soviel zur Presse Freiheit!

Die Faschisten Brut soll sich ja nochmal über russland und Co aufregen kein Deut besser !

accC · 6 Sep. 2013

saddy schrieb:
Die sind gesetzlich mit Sicherheit dazu verpflichtet. Und hätten die sich ohne den Hype wie Lavabit gewehrt wär deren Existenz am Arsch gewesen. Von Lavabit wissen jetzt zumindest viele.
Was würd eigentlich passieren wenn einer von den Big Playern, bspw Google die Kooperation verweigert? Wird so ein gewaltiges Unternehmen dann verstaatlicht?

Ich glaube gerade solche Milliardenkonzerne, die mit ihrem Geld auch einiges an Macht haben ("Wir ziehen aus den US ab, wenn ihr uns zu irgendwas zwingt") sich auch der Politik in gewisser Weise zu widersetzen.
Dass der kleine Tante Emma Laden um die Ecke dazu nicht die nötigen Mittel hat, ist klar, aber es wäre zumindest ein Stich ins eigene Herz, wenn man mal eben die Top 10 der führenden Wirtschaftsunternehmen im eigenen Land absägen würde.

@KidZler: Ich bitte darum, dass, zumindest bis es Alternativen gibt, Sicherheitsschwachstellen in bspw SSL nicht publik werden.
Was glaubst du, was passiert, wenn eine eklatante Sicherheitslücke im (aktuellen) SSL bekannt wird. Dann ist die Kacke echt am dampfen.
Mein Gedanke ist dabei nicht "oh mimimi totale Sicherheit" oder so, sondern den geringst möglichen Schaden und dass das NSA SSL-Verschlüsselung knacken kann wäre bei weitem das kleinste Problem, das wir haben.
Es gibt wesentlich schlimmere Szenarien, die man sich vorstellen kann.
Wobei es von da an natürlich nur noch eine Frage der Zeit ist, bis auch andere den Schwachstellen auf die Spur kommen und über Mittel verfügen sie auszunutzen.

saddy · 6 Sep. 2013

Oh ich seh grad die US Army das Silicon Valley stürmen :coffee:

Ekliger Gedanke. Wie rechtfertigt die Regierung dass dann vor den Mitarbeitern wenn die Firma "auswandert" und die ihren Job verlieren?
Ich fänds echt mal gut wenn wenigstens irgendwas passiert, dann merken die Leute endlich dass die Richtung total falsch ist.

Bobby · 6 Sep. 2013

Warum die Aufregung, es ist alles halb so schlimm:

"Für das Bundesinnenministerium ist das laut Sprecher Jens Teschke trotzdem kein Grund zur Aufregung: "Wir haben keine Anhaltspunkte dafür, dass die Behauptungen von Herrn Snowden zutreffend sind. Von daher raten wir weiterhin zur Verschlüsselung." Qualle: Tagesschau

Wer ist Edward Snowden? Wir haben Jens Teschke.

accC · 6 Sep. 2013

Wie rechtfertigt die Regierung dass dann vor den Mitarbeitern wenn die Firma "auswandert" und die ihren Job verlieren?

Wenn es soweit kommen würde, wäre das tatsächlich ein Problem. Allerdings ist ja auch bekannt, dass das nur eine Frage der Propaganda-Maschinerie ist.
Im Moment ist es ja eher so, dass man sich gegenseitig den Arsch auf Kosten der "einfachen zivilen Bevölkerung" küsst. Da heißt es nicht nur "du scheißt mir nicht ans Bein, dafür scheiß ich dir nicht ans Bein", sondern man liebkost sich sogar gegenseitig.

saddy schrieb:
Ich fänds echt mal gut wenn wenigstens irgendwas passiert, dann merken die Leute endlich dass die Richtung total falsch ist.

Ehrlich, ich glaube nicht, dass da irgendwas passieren wird. Zwischen Politik und Privatwirtschaft wird doch sinnbildlich herum gehurt, dagegen ist die Reeperbahn das reinste Frauenkloster.

Cybercat · 6 Sep. 2013

Wenn man mal überlegt was heute ein DurchschnittsPC in sachen Bruteforce schafft der zur Hilfename der GPUs rechnet und dann überlegt was der "Tianhe 2" in China mit seinen 33.86 Petaflops schafft.
Und der Rekord wird sicherlich nächstes Jahr wider verdoppelt.
Da wird irgendwann ein Punkt erlangt sein das die Länge eines Keys nicht mehr in BIT angegeben wird sondern in Kilobytes.

Darkcloud · 6 Sep. 2013

TRON2 schrieb:
Ich glaube nicht, dass sowas noch gesetzlich ist. Das ist für mich kriminell.

Das ist soweit ich weiß sogar teil des Patriot Acts, dass gewissen US-Behörden zugang gewährt werden muss. Von daher zumindest bei kommerziellen Produkten von US-Firmen keine große Überraschung.
Nur wird mancherorts ja auch gesagt, dass beispielsweise True Crypt betroffen ist. Das würde aber bedeuten, dass sich da keiner den Source Code wirklich angeschaut hat oder dass das schlicht und einfach über Brute Force geschar.

accC · 6 Sep. 2013

Was bei einem gebrochenen System nicht unbedingt helfen wird.
Die Frage ist also, wo die Unsicherheit verborgen liegt.

Bei korrupten Zertifizierungsstellen, private key Weitergabe von Unternehmen oder ob es eine tatsächliche Schwachstelle im "Konzept" von SSL ist.
Da man bei den Medien nicht unbedingt Crypto-Fachkenntnisse voraus setzen kann, zumal wenn es für die breite Masse zugeschnittene News sein sollen und auch ganz offen nur geschnitten darüber berichtet wird, kann man nicht unbedingt beurteilen, wo das Problem liegt und daher auch nicht, wie schlimm es tatsächlich ist.

[Netzwelt] SSL möglicherweise nicht mehr sicher

Malfunctioning Eddie

life is a roofie circle

Kenobi van Gin

Brillenschlange

saddy

Bekannter NGBler

Kenobi van Gin

Brillenschlange

TheOnly1

RBTV | ngb | BMG

saddy

Bekannter NGBler

TRON2

Aktiver NGBler

saddy

Bekannter NGBler

Malfunctioning Eddie

life is a roofie circle

TRON2

Aktiver NGBler

Kanser

͊͐̋͊́̀̈́̽̈́̓͑͑

KidZler

gesperrt

accC

gesperrt

saddy

Bekannter NGBler

Bobby

c7:c5

accC

gesperrt

Cybercat

Board Kater

Darkcloud

Sheltem the Dark

accC

gesperrt