Abo
  1. Foren
  2. Kommentare
  3. Applikationen
  4. Alle Kommentare zum Artikel
  5. › DUHK-Angriff: Vermurkster…

CYA Security

  1. Thema

Neues Thema Ansicht wechseln


  1. CYA Security

    Autor: chris101 24.10.17 - 11:00

    CYA == Cover Your Ass

    Es geht bei Zertifizierungen nicht darum, dass ein Produkt in irgendeiner Weise gut ist, es geht darum, dass derjenige, der es anschafft die Verantwortung im Fehlerfall dafuer abwaelzen kann.

  2. Re: CYA Security

    Autor: My1 24.10.17 - 11:39

    aber wäre nicht dann ggf die zertifizierungsstelle dranzukriegen, denn dienste nutzen zertifizierte krypto um verantwortung abzuwenden, aber die zertifizierer müssen dann doch die verantwortung tragen, wer sonst?

    Asperger inside(tm)

  3. Re: CYA Security

    Autor: chris101 24.10.17 - 13:16

    Das waere wuenschenswert.

  4. Re: CYA Security

    Autor: My1 24.10.17 - 13:23

    und wie ist die realität? wie wollen stellen wie BSI die verantwortung abwenden wenn nur wegen deren Zertifizierungen so n Haufen sülze genutzt wird, vor allem wenn experten wie Schneier schon vor knapp 20 Jahren davor gewarnt haben.

    wobei ja hier das problem weniger der zufallsgenerator der n haufen sülze ist ist, sondern dass der selbe key überall genutzt wird anstelle dass bspw jedes gerät einen anderen bekommt, was das brechen dieses algorithmus so einfach macht.

    klar n TRNG ist immer besser, aber was gabs damals da so alles was man dafür hätte nutzen können?

    Asperger inside(tm)

  5. Re: CYA Security

    Autor: Kein Kostverächter 24.10.17 - 14:33

    Zertifizierungen sind nur zum Verkaufen des Produktes gut: Man muss sie haben wenn sie gesetzlich gefordert sind, denn ohne sie kann man dann gar nicht verkaufen. Ansonsten kann man sie haben, wenn sie ein lohnendes Verkaufsargument sind, also der zu erwartende Zusatzgewinn die Zertifizierungskosten uebersteigt.
    Desweiteren sind alle Zertifizierungen Lizenzen zum Gelddrucken fuer die Zertifizierungsstellen, die eigentlich immer in ihren Vertraegen eine Klausel haben, welche die letztliche Verantwortung immer an den Hersteller des zertifizierten Produkts zurueckgibt.
    Ein Zertifikat sagt nur aus, dass der Zertifizierer nicht feststellen konnte, dass das Produkt den Vorgaben nicht entspricht (anders herum ist es ja auch gar nicht moeglich). Daher gilt auch hier: Marketingeffekte haben Zertifikate von Ausstellern, denen vertraut wird. Ein Zertifizierer, der schlecht prueft, verliert Vertrauen und damit Kunden, wenn es Probleme gibt.

    Bis die Tage,

    KK

    ----------------------------------------------------------
    Mach dir deine eigenen Götter, und unterlasse es, dich mit einer schnöden Religion zu beflecken.
    (Epikur, griech. Phil., 341-270 v.Chr.)
    ----------------------------------------------------------
    We provide AI Blockchain Cloud (ABC) enabled applications bringing Enterprise level synergies to vertically integrated business processes.

  6. Re: CYA Security

    Autor: nicoledos 24.10.17 - 14:45

    Dann musst du nur die Bedingungen zur Zertifizierung lesen. Dann wirst du feststellen, dass nur die Prinzipien in genau Definierten Umgebungen nach mathematischen Verfahren getestet wurde. Die Umsetzung im Detail wurde nie geprüft und ist auch nicht Teil des Zertifikats.

  7. Re: CYA Security

    Autor: bombinho 25.10.17 - 10:44

    My1 schrieb:
    --------------------------------------------------------------------------------
    > wobei ja hier das problem weniger der zufallsgenerator der n haufen sülze
    > ist ist, sondern dass der selbe key überall genutzt wird anstelle dass bspw
    > jedes gerät einen anderen bekommt, was das brechen dieses algorithmus so
    > einfach macht.

    Wenn du dir ein RSA16384 zertifizieren laesst und dann die Primzahl 2 fuer den privaten Schluessel verwendest, wird sich die austellende Stelle vermutlich weigern, bei Problemen mit der Sicherheit irgendwelche Haftung zu akzeptieren.

    Wenn du allerdings ein kompliziertes mechanisches Geraet baust, welches Schluessel ausgibt und dieses dann via Falltueralgorithmus etwas unscharf berechnest, dann hat die Zertifizierungsstelle keine Moeglichkeit zu ueberpruefen, ob ein solches Geraet existiert oder nicht. Wenn der Algorithmus an sich nicht angreifbar ist, dann ist es auch ohne die Kenntnis der Existenz eines solchen Geraetes nicht moeglich, absolut sicher ueber die Erratbarkeit des Zustandes des Algorithmus zu urteilen.
    Eine Zertifizierung wird erteilt werden, Alle fuehlen sich sicher und nur der Besitzer des Geraetes ist in der Lage, den Schluessel in kurzer Zeit zu raten.

  8. Re: CYA Security

    Autor: My1 25.10.17 - 11:30

    bombinho schrieb:
    --------------------------------------------------------------------------------
    > My1 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > wobei ja hier das problem weniger der zufallsgenerator der n haufen
    > sülze
    > > ist ist, sondern dass der selbe key überall genutzt wird anstelle dass
    > bspw
    > > jedes gerät einen anderen bekommt, was das brechen dieses algorithmus so
    > > einfach macht.


    > Wenn du dir ein RSA16384 zertifizieren laesst und dann die Primzahl 2 fuer
    > den privaten Schluessel verwendest, wird sich die austellende Stelle
    > vermutlich weigern, bei Problemen mit der Sicherheit irgendwelche Haftung
    > zu akzeptieren.

    ich glaube das ist dann ein klarer fall von schuld in der implementation, da kann die certstelle nix und der anwendungsmacher darf mMn wegen fahrlässigkeit haften.

    > Wenn du allerdings ein kompliziertes mechanisches Geraet baust, welches
    > Schluessel ausgibt und dieses dann via Falltueralgorithmus etwas unscharf
    > berechnest, dann hat die Zertifizierungsstelle keine Moeglichkeit zu
    > ueberpruefen, ob ein solches Geraet existiert oder nicht. Wenn der
    > Algorithmus an sich nicht angreifbar ist, dann ist es auch ohne die
    > Kenntnis der Existenz eines solchen Geraetes nicht moeglich, absolut sicher
    > ueber die Erratbarkeit des Zustandes des Algorithmus zu urteilen.
    > Eine Zertifizierung wird erteilt werden, Alle fuehlen sich sicher und nur
    > der Besitzer des Geraetes ist in der Lage, den Schluessel in kurzer Zeit zu
    > raten.

    wenn die implementierung so schief ist dass es nix wird dann ist der Zertifizierer auch raus. einziges problem ist natürlich wenn der zertifizierer die Implementierung Zertifiziert hat,

    Asperger inside(tm)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Dataport, Hamburg
  2. BavariaDirekt, München
  3. OEDIV KG, Oldenburg
  4. Universität der Bundeswehr München, Neubiberg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. MSI GeForce RTX 2080 Aero 8G für 549€ statt über 620€ im Vergleich und ASUS Phoenix...
  2. (u. a. Seagate Backup Plus Hub 8 TB für 149€, Toshiba 240-GB-SSD für 29€ und Sandisk Extreme...
  3. (u. a. Kingston A400 480 GB für 41,90€ statt 50,10€ im Vergleich, Fractal Design Define R6 USB...
  4. (heute u. a. mit Serienboxen)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Smarte Wecker im Test: Unter den Blinden ist der Einäugige König
Smarte Wecker im Test
Unter den Blinden ist der Einäugige König

Einen guten smarten Wecker zu bauen, ist offenbar gar nicht so einfach. Bei Amazons Echo Show 5 und Lenovos Smart Clock fehlen uns viele Basisfunktionen. Dafür ist einer der beiden ein besonders preisgünstiges und leistungsfähiges smartes Display.
Ein Test von Ingo Pakalski

  1. Nest Hub im Test Google vermasselt es 1A

Mobile Payment: Mit QR-Code-Kooperation zum europäischen Standard
Mobile Payment
Mit QR-Code-Kooperation zum europäischen Standard

Die Mobile Wallet Collaboration will ein einheitliches QR-Format als technische Grundlage für ein vereinfachtes Handling etablieren. Die Allianz aus sechs europäischen Bezahldiensten und Alipay aus China ist eine ernstzunehmende Konkurrenz für Google, Apple, Facebook, Amazon.
Von Sabine T. Ruh


    10th Gen Core: Intel verwirrt mit 1000er- und 10000er-Prozessoren
    10th Gen Core
    Intel verwirrt mit 1000er- und 10000er-Prozessoren

    Ifa 2019 Wer nicht genau hinschaut, erhält statt eines vierkernigen 10-nm-Chips mit schneller Grafikeinheit einen Dualcore mit 14++-Technik und lahmer iGPU: Intels Namensschema für Ice Lake und Comet Lake alias der 10th Gen macht das CPU-Portfolio wenig transparent.
    Von Marc Sauter

    1. Neuromorphic Computing Intel simuliert 8 Millionen Neuronen mit 64 Loihi-Chips
    2. EMIB trifft Foveros Intel kombiniert 3D- mit 2.5D-Stacking
    3. Nervana NNP-I Intels 10-nm-Inferencing-Chip nutzt Ice-Lake-Kerne

    1. Apple: Mitarbeiter hörten bis zu 1.000 Siri-Schnipsel am Tag
      Apple
      Mitarbeiter hörten bis zu 1.000 Siri-Schnipsel am Tag

      Bevor Apple die Auswertung von Siri-Sprachdateien gestoppt hat, mussten Mitarbeiter in Irland teilweise bis zu 1.000 Audio-Schnipsel pro Schicht auswerten. Meist handelte es sich nur um Sprachkommandos, manchmal waren aber auch persönliche Informationen darunter.

    2. ISS: Sojus-Kapsel mit Roboter an Bord bricht Andockmanöver ab
      ISS
      Sojus-Kapsel mit Roboter an Bord bricht Andockmanöver ab

      Eine Sojus-Kapsel mit dem russischen Testroboter Fedor an Bord konnte nicht wie geplant an die ISS andocken - wegen eines Problems des automatisierten Andocksystems des Stationsmoduls. Ein zweiter Versuch ist bereits geplant.

    3. Raumfahrt: Nasa untersucht möglicherweise erstes Verbrechen im Weltraum
      Raumfahrt
      Nasa untersucht möglicherweise erstes Verbrechen im Weltraum

      Ein Scheidungskrieg scheint sich bis auf die ISS ausgeweitet zu haben: Die Astronautin Anne McClain hat von einem Computer der Raumstation auf das Onlinekonto ihrer Ex-Frau zugegriffen und deren Finanzen kontrolliert. Die Nasa untersucht das mutmaßlich erste Verbrechen im Weltraum.


    1. 14:15

    2. 13:19

    3. 12:43

    4. 13:13

    5. 12:34

    6. 11:35

    7. 10:51

    8. 10:27