1. Foren
  2. Kommentare
  3. Applikationen
  4. Alle Kommentare zum Artikel
  5. › DUHK-Angriff: Vermurkster…

CYA Security

  1. Thema

Neues Thema Ansicht wechseln


  1. CYA Security

    Autor: chris101 24.10.17 - 11:00

    CYA == Cover Your Ass

    Es geht bei Zertifizierungen nicht darum, dass ein Produkt in irgendeiner Weise gut ist, es geht darum, dass derjenige, der es anschafft die Verantwortung im Fehlerfall dafuer abwaelzen kann.

  2. Re: CYA Security

    Autor: My1 24.10.17 - 11:39

    aber wäre nicht dann ggf die zertifizierungsstelle dranzukriegen, denn dienste nutzen zertifizierte krypto um verantwortung abzuwenden, aber die zertifizierer müssen dann doch die verantwortung tragen, wer sonst?

    Asperger inside(tm)

  3. Re: CYA Security

    Autor: chris101 24.10.17 - 13:16

    Das waere wuenschenswert.

  4. Re: CYA Security

    Autor: My1 24.10.17 - 13:23

    und wie ist die realität? wie wollen stellen wie BSI die verantwortung abwenden wenn nur wegen deren Zertifizierungen so n Haufen sülze genutzt wird, vor allem wenn experten wie Schneier schon vor knapp 20 Jahren davor gewarnt haben.

    wobei ja hier das problem weniger der zufallsgenerator der n haufen sülze ist ist, sondern dass der selbe key überall genutzt wird anstelle dass bspw jedes gerät einen anderen bekommt, was das brechen dieses algorithmus so einfach macht.

    klar n TRNG ist immer besser, aber was gabs damals da so alles was man dafür hätte nutzen können?

    Asperger inside(tm)

  5. Re: CYA Security

    Autor: Kein Kostverächter 24.10.17 - 14:33

    Zertifizierungen sind nur zum Verkaufen des Produktes gut: Man muss sie haben wenn sie gesetzlich gefordert sind, denn ohne sie kann man dann gar nicht verkaufen. Ansonsten kann man sie haben, wenn sie ein lohnendes Verkaufsargument sind, also der zu erwartende Zusatzgewinn die Zertifizierungskosten uebersteigt.
    Desweiteren sind alle Zertifizierungen Lizenzen zum Gelddrucken fuer die Zertifizierungsstellen, die eigentlich immer in ihren Vertraegen eine Klausel haben, welche die letztliche Verantwortung immer an den Hersteller des zertifizierten Produkts zurueckgibt.
    Ein Zertifikat sagt nur aus, dass der Zertifizierer nicht feststellen konnte, dass das Produkt den Vorgaben nicht entspricht (anders herum ist es ja auch gar nicht moeglich). Daher gilt auch hier: Marketingeffekte haben Zertifikate von Ausstellern, denen vertraut wird. Ein Zertifizierer, der schlecht prueft, verliert Vertrauen und damit Kunden, wenn es Probleme gibt.

    Bis die Tage,

    KK

    ----------------------------------------------------------
    Mach dir deine eigenen Götter, und unterlasse es, dich mit einer schnöden Religion zu beflecken.
    (Epikur, griech. Phil., 341-270 v.Chr.)
    ----------------------------------------------------------
    We provide AI Blockchain Cloud (ABC) enabled applications bringing Enterprise level synergies to vertically integrated business processes.

  6. Re: CYA Security

    Autor: nicoledos 24.10.17 - 14:45

    Dann musst du nur die Bedingungen zur Zertifizierung lesen. Dann wirst du feststellen, dass nur die Prinzipien in genau Definierten Umgebungen nach mathematischen Verfahren getestet wurde. Die Umsetzung im Detail wurde nie geprüft und ist auch nicht Teil des Zertifikats.

  7. Re: CYA Security

    Autor: bombinho 25.10.17 - 10:44

    My1 schrieb:
    --------------------------------------------------------------------------------
    > wobei ja hier das problem weniger der zufallsgenerator der n haufen sülze
    > ist ist, sondern dass der selbe key überall genutzt wird anstelle dass bspw
    > jedes gerät einen anderen bekommt, was das brechen dieses algorithmus so
    > einfach macht.

    Wenn du dir ein RSA16384 zertifizieren laesst und dann die Primzahl 2 fuer den privaten Schluessel verwendest, wird sich die austellende Stelle vermutlich weigern, bei Problemen mit der Sicherheit irgendwelche Haftung zu akzeptieren.

    Wenn du allerdings ein kompliziertes mechanisches Geraet baust, welches Schluessel ausgibt und dieses dann via Falltueralgorithmus etwas unscharf berechnest, dann hat die Zertifizierungsstelle keine Moeglichkeit zu ueberpruefen, ob ein solches Geraet existiert oder nicht. Wenn der Algorithmus an sich nicht angreifbar ist, dann ist es auch ohne die Kenntnis der Existenz eines solchen Geraetes nicht moeglich, absolut sicher ueber die Erratbarkeit des Zustandes des Algorithmus zu urteilen.
    Eine Zertifizierung wird erteilt werden, Alle fuehlen sich sicher und nur der Besitzer des Geraetes ist in der Lage, den Schluessel in kurzer Zeit zu raten.

  8. Re: CYA Security

    Autor: My1 25.10.17 - 11:30

    bombinho schrieb:
    --------------------------------------------------------------------------------
    > My1 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > wobei ja hier das problem weniger der zufallsgenerator der n haufen
    > sülze
    > > ist ist, sondern dass der selbe key überall genutzt wird anstelle dass
    > bspw
    > > jedes gerät einen anderen bekommt, was das brechen dieses algorithmus so
    > > einfach macht.


    > Wenn du dir ein RSA16384 zertifizieren laesst und dann die Primzahl 2 fuer
    > den privaten Schluessel verwendest, wird sich die austellende Stelle
    > vermutlich weigern, bei Problemen mit der Sicherheit irgendwelche Haftung
    > zu akzeptieren.

    ich glaube das ist dann ein klarer fall von schuld in der implementation, da kann die certstelle nix und der anwendungsmacher darf mMn wegen fahrlässigkeit haften.

    > Wenn du allerdings ein kompliziertes mechanisches Geraet baust, welches
    > Schluessel ausgibt und dieses dann via Falltueralgorithmus etwas unscharf
    > berechnest, dann hat die Zertifizierungsstelle keine Moeglichkeit zu
    > ueberpruefen, ob ein solches Geraet existiert oder nicht. Wenn der
    > Algorithmus an sich nicht angreifbar ist, dann ist es auch ohne die
    > Kenntnis der Existenz eines solchen Geraetes nicht moeglich, absolut sicher
    > ueber die Erratbarkeit des Zustandes des Algorithmus zu urteilen.
    > Eine Zertifizierung wird erteilt werden, Alle fuehlen sich sicher und nur
    > der Besitzer des Geraetes ist in der Lage, den Schluessel in kurzer Zeit zu
    > raten.

    wenn die implementierung so schief ist dass es nix wird dann ist der Zertifizierer auch raus. einziges problem ist natürlich wenn der zertifizierer die Implementierung Zertifiziert hat,

    Asperger inside(tm)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. ABUS Security Center GmbH & Co. KG, Affing (bei Augsburg)
  2. ARD ZDF Deutschlandradio Beitragsservice, Köln
  3. über duerenhoff GmbH, Raum Stuttgart
  4. EDAG Engineering GmbH, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 8,99€
  2. 11,85€
  3. (-77%) 3,50€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Galaxy Book S im Test: ARM richtig gemacht
Galaxy Book S im Test
ARM richtig gemacht

Dank enormer Akkulaufzeit und flottem Snapdragon samt LTE finden wir dieses Notebook richtig gelungen - bis auf ein Detail.
Ein Test von Marc Sauter

  1. Smartphone Samsung präsentiert 50-Megapixel-Sensor mit schnellem Fokus
  2. Samsung Galaxy A21s kommt mit Vierfachkamera für 210 Euro
  3. Samsung und Xiaomi Preiswerte Geräte dominieren Top 6 der Android-Smartphones

Cyberhilfswerk: Sandsäcke stapeln im Internet
Cyberhilfswerk
Sandsäcke stapeln im Internet

Wie ein Technisches Hilfswerk für IT-Vorfälle stellen sich Aktivisten ein Cyberhilfswerk vor. Es soll eingreifen, wenn es zum Ernstfall kommt. Die Initiatoren sehen sich als Mittler zwischen Nerds und Behörden.
Von Anna Biselli

  1. Rubber Ducky Vom Hacken und Absichern der USB-Ports

Luftfahrt: Erstflug für superelastische Tragflächen
Luftfahrt
Erstflug für superelastische Tragflächen

Zu leichte Tragflächen geraten schnell ins Flattern, was gefährlich werden kann. Deutsche Wissenschaftler verleihen dem Flugzeug neue Flügel.
Ein Bericht von Friedrich List

  1. Boeing 747 KLM und Qantas legen den Jumbo still
  2. US-Militär Logistiksystem der F-35 kostet 16 Milliarden US-Dollar mehr
  3. Breezer Aircraft Kleinflugzeuge bekommen Elektroantrieb