[Netzwelt] SSL möglicherweise nicht mehr sicher

Dokumente des Whistleblowers Edward Snowden legen nahe, dass die meisten heute im Internet verwendeten Verschlüsselungen nicht mehr sicher sind. Es gibt Hinweise, dass E-Mails, Chats, Online-Banking, Transaktionen, HTTPS, Voice-over-IP oder SSL keine Geheimnisse mehr darstellen. Nach Angaben des "Guardian", "New York Times" und "ProPublica" wurden die Medien gebeten, ganz bestimmte Fakten aus ihren Texten zu entfernen.

You do not have permission to view link please Anmelden or Registrieren

 

[TRON2]

Nur wird mancherorts ja auch gesagt, dass beispielsweise True Crypt betroffen ist. Das würde aber bedeuten, dass sich da keiner den Source Code wirklich angeschaut hat oder dass das schlicht und einfach über Brute Force geschar.

Wenn die Hartware auf der es läuft nicht mehr spezifizierte Sicherheit bereitstellt, ist Software von nachrangiger Bedeutung.

 

[Kenobi van Gin]

Wobei es von da an natürlich nur noch eine Frage der Zeit ist, bis auch andere den Schwachstellen auf die Spur kommen und über Mittel verfügen sie auszunutzen.

und dann überlegt was der "Tianhe 2" in China mit seinen 33.86 Petaflops schafft

Ich glaube, dass dort das Problem liegt. Zwar hütet sich natürlich die NSA, ihre Tricks preiszugeben. Trotzdem glaube ich - ohne jetzt tiefgreifende Kenntnisse der Materie zu haben - dass die NSA einfach ihre technischen Möglichkeiten nutzt.
Immerhin ist ja inzwischen auch bekannt: was die NSA nicht entschlüsseln kann, wird eben so lange vorgehalten, bis sie es kann. Eigentlich ist es also auch völlig egal, wie wir verschlüsseln. Denn irgendwann kommt die NSA doch dahinter.
Ob die gewonnenen Infos für die dann noch von Interesse sind steht ja auf einem anderen Blatt. Fakt ist, dass sie sich von fehlenden technischen Möglichkeiten nicht abschrecken lassen. Da sitzen die einfach, zumindest im Augenblick, am längeren Hebel.

 

[datroubler]

Die sollen ja auch VPN geknackt haben... trifft das nur auf Firmen zu die mit denn kooperieren oder ist VPN "allgemein" gefallen?

 

[nik]

Das hängt von der Konfiguration ab:

You do not have permission to view link please Anmelden or Registrieren

 

[saddy]

Als ob ein PPTP Server von Microsoft sicher vor der NSA ist ^^ Also das ist schon das KO Kriterium

 

[Malfunctioning Eddie]

(...)
Wer ist Edward Snowden? Wir haben Jens Teschke.

Tja man wird natürlich versuchen bis zur Wahl zu dem Thema so wenig Meinung wie möglich zu haben und wenn die Wahl dann durch ist wird die nächste Sau (z.B 250 Milliarden EURO die allein in Deutschland die in den Pensionskassen der Beamten fehlen) durchs Dorf getrieben und man hofft die Leute haben es vergessen, so wurde in diesem LAad seit nun 30 Jahren jede Krise zuverlässig ausgesessen

Aber keien Sorge ende des Monats darf jeder Schlandbürger wieder sein Kreuz machen und sich toll und demokratisch fühlen weil man ja was geändert hat und so^^

 

[widarr]

Solche Meldungen kommen doch am laufenden Band rein und jesesmal bleiben sie einem die technischen Details schuldig.
Dass SSL x509 (nicht jedoch WoT SSL) Sicherheitsprobleme hat ist doch schon lange klar (vor allem wenn der angreifende Faschist das Root zertifikat vom CA geklaut hat)
Solange keine Meldung kommt alla "AES gebrochen" ist das alles für mich nix neues und soll wahrscheinlich nur dazu dienen den Leuten
das Verschlüsseln zu verleiden.

 

[alter_Bekannter]

Die sind gesetzlich mit Sicherheit dazu verpflichtet. Und hätten die sich ohne den Hype wie Lavabit gewehrt wär deren Existenz am Arsch gewesen. Von Lavabit wissen jetzt zumindest viele.
Was würd eigentlich passieren wenn einer von den Big Playern, bspw Google die Kooperation verweigert? Wird so ein gewaltiges Unternehmen dann verstaatlicht?

Psychologie, sowas wird nicht passieren wer soweit gekommen ist muss bereits über Leichen gegangen sein und dem ist entsprechend dann auch egal das weiterhin zu tun. Es gibt da eine gewisse ziemlich niedrige Wohlstandgrenze die du mit "normgerechter"* Ethik nicht überschreiten kannst, nicht über einen längeren Zeitraum. So jemand würde das Unternehmen eher zu seinem persönlichen Vergnügen volles Rohr gegen die Wand fahren und Tausende von Leuten auf die Straße setzen. Warum? Ganz einfach: Eitelkeit = persönliches Interesse, das andere hingegen ihre Existenzgrundlage behalten = völlig belanglos.

Durch eigene Arbeit wird keiner Reich und ehrlich sein funktioniert so lange bis jemand der weniger ehrlich ist einem alles wegnimmt. Alles mehrfach dokumentiert, bei Apple zum Beispiel, Microsoft das selbe Spiel und vor allem die Interaktionen diese Firmen untereinander und mit anderen.

*Die Ethik die dafür gesorgt hat das wir uns noch nicht selbst ausgerottet haben. Hier ist weder mehr noch weniger gemeint, sondern nur die blanke Tatsache das die Menschheit noch existiert.

 

[KidZler]

@KidZler: Ich bitte darum, dass, zumindest bis es Alternativen gibt, Sicherheitsschwachstellen in bspw SSL nicht publik werden.
Was glaubst du, was passiert, wenn eine eklatante Sicherheitslücke im (aktuellen) SSL bekannt wird. Dann ist die Kacke echt am dampfen.
Mein Gedanke ist dabei nicht "oh mimimi totale Sicherheit" oder so, sondern den geringst möglichen Schaden und dass das NSA SSL-Verschlüsselung knacken kann wäre bei weitem das kleinste Problem, das wir haben.
Es gibt wesentlich schlimmere Szenarien, die man sich vorstellen kann.
Wobei es von da an natürlich nur noch eine Frage der Zeit ist, bis auch andere den Schwachstellen auf die Spur kommen und über Mittel verfügen sie auszunutzen.

Das schlimmste was ich mit vorstellen kann ist das die NSA die Verschlüsselungen Knackt und uns in Deutschland das Know How klaut

Also sollten die Firmen in Deutschland schon doch wissen wie sie was verschicken können.

Das die Amis Wirtschaftspionage betreiben steht ja wohl auser Frage

Brenzlig ist es auch für Jornalisten , Menschrechtorganisationen, Usw.

Ist die Lücke nicht bekannt hatt man den Gröstmöglichen Schaden. Ansonsten kann man sich Alternativen suchen.

 

[saddy]

Bevor nur die NSA die Lücke hat und keiner von ihrer Existenz weiß ist das imho angenehmer.

 

[KidZler]

Warum ist es angenehmer ?

 

[saddy]

Dann wiegst du dich nicht in falscher Sicherheit, dass meine ich. Wenn etwas unsicher ist möchte ich das auch wissen um mich dementsprechend verhalten zu können.

 

[Malfunctioning Eddie]

In a statement issued on Friday, the office of the director of national intelligence (ODNI), which oversees the US's intelligence agencies, suggested the stories, simultaneously published on the front pages of the New York Times and Guardian, were "not news", but nonetheless provided a "road map … to our adversaries".

You do not have permission to view link please Anmelden or Registrieren

 

[Kugelfisch]

Da sich leider zwei Threads zu demselben Thema ergeben haben, sich in https://ngb.to/threads/2532-NSA-knackt-systematisch-Verschlüsselung-im-Internet allerdings noch zusätzliche technische Informationen finden, schliesse ich diesen Thread und bitte darum, die Diskussion nebenan fortzusetzen. Zwei parallele Threads sind schliesslich wenig sinnvoll.