1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Bundesverwaltungsgericht: BND…

Veschlüsseln ...

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Veschlüsseln ...

    Autor: phade 31.05.18 - 14:06

    Tja, dann sollten die Peeringpartner wohl auf ihren Routern einfach mal End-zu-end-verschlüsseln (vielleicht tun das einige ja schon).

    Dann kann der BND da ganz viel verschlüsselten Traffic mithören oder ...

    ... nehmen wir einen Peering-Partner A an, dessen Traffic mitgehört werden soll (weil da jemand in dessen Netzwerk vielleicht was illegales plant oder macht). Entweder weiss der BND dann schon zu welchem Peeringspartner B das läeuft oder muss den public-key bei allen Peering-Partnern von A erfragen. Mit richterlichem Beschluss bei so 2000 Ports (wieviele Partner sind das ? 500 im offenen Peering ?) stelle ich mir das schön aufwändig vor. Wenn man etwas nicht verhindern kann, kann man es ja unpraktikabel machen :o)

    Und wenn schon. Dank DSVGO wird immer mehr verschlüsselt, eMail, Webseiten, Messenger, Tor etc.
    Am DECIX ist davon sowieso schon lange nichts mehr abzuhören.



    2 mal bearbeitet, zuletzt am 31.05.18 14:07 durch phade.

  2. Re: Veschlüsseln ...

    Autor: bombinho 31.05.18 - 16:44

    Scherzkeks, hast Du dir mal Gedanken ueber Authentifikation gemacht?

  3. Re: Veschlüsseln ...

    Autor: wonoscho 31.05.18 - 17:20

    Wo ist das Problem?
    Oder meinst du die Authentifikation läuft unverschlüsselt?
    Klar, dann kann Man jede Verschlüsselung vergessen.



    1 mal bearbeitet, zuletzt am 31.05.18 17:38 durch wonoscho.

  4. Re: Veschlüsseln ...

    Autor: elmcrest 31.05.18 - 17:59

    Warum sollte die unverschlüsselt ablaufen?
    Dunkel mein ich nur dass ja TLS 1.2 noch ne Schwachstelle hat, die aber wohl mit 1.3 geschichte ist?

  5. Re: Veschlüsseln ...

    Autor: bombinho 01.06.18 - 00:03

    wonoscho schrieb:
    --------------------------------------------------------------------------------
    > Wo ist das Problem?
    > Oder meinst du die Authentifikation läuft unverschlüsselt?
    > Klar, dann kann Man jede Verschlüsselung vergessen.

    Wie weisst Du, dass das Gegenueber auch genau das Gegenueber ist, welches es behauptet, zu sein?

  6. Re: Veschlüsseln ...

    Autor: phade 01.06.18 - 12:26

    Hi,
    es geht doch jetzt um keine Verifikation einer jeglichen Verbindung über den DECIX, sondern nur darum, dass höchstwahrscheinlich schon sehr viel Traffic am DECIX verschlüsselt ist.

    Ok. der BND kann dann noch sehen, welche IPs mit welcher gerade Daten austauscht, vielleicht reicht das ja schon aus, um notwendige Fahndungen zu unterstützen.

    Das aber nun jeder Traffic von Unbeteiligten vom BND am DECIX mitgelesen kann, halte ich für ein Gerücht.

  7. Re: Veschlüsseln ...

    Autor: bombinho 01.06.18 - 15:44

    phade schrieb:
    --------------------------------------------------------------------------------
    > Hi,
    > es geht doch jetzt um keine Verifikation einer jeglichen Verbindung über
    > den DECIX, sondern nur darum, dass höchstwahrscheinlich schon sehr viel
    > Traffic am DECIX verschlüsselt ist.
    >
    > Ok. der BND kann dann noch sehen, welche IPs mit welcher gerade Daten
    > austauscht, vielleicht reicht das ja schon aus, um notwendige Fahndungen zu
    > unterstützen.
    >
    > Das aber nun jeder Traffic von Unbeteiligten vom BND am DECIX mitgelesen
    > kann, halte ich für ein Gerücht.

    Ah, okay, ich war immer davon ausgegangen, dass der BND im Zweifelsfall auch Zugriff auf z.B. Zertifikate bekommen koennte.

  8. Re: Veschlüsseln ...

    Autor: phade 01.06.18 - 16:14

    Ach wer weiss das schon.

    Die NSA hat ja vielleicht die root-keys von den wichtigsten Vergabestellen und vielleicht sind der BND und NSA ja echte "buddies" oder der BND hat gerne mal keys einiger Providern nebenbei "eingesammelt".

    Aber von allem und jedem ? Unwahrscheinlich.

    Vielleicht nutzen die ja auch mittlerweile die GPU-Monster der NSA, um die Verschluesselung in speziellen Faellen einfach auszurechnen ...

    Deshalb würde ich ja als DECIX-Mitglied nur noch private peerings nutzen und mit jedem Partner public-keys tauschen und noch einen Verschlüsselung-Layer drauflegen, viel Spass dann ;o)

  9. Re: Veschlüsseln ...

    Autor: bombinho 01.06.18 - 17:20

    phade schrieb:
    --------------------------------------------------------------------------------
    > Deshalb würde ich ja als DECIX-Mitglied nur noch private peerings nutzen
    > und mit jedem Partner public-keys tauschen und noch einen
    > Verschlüsselung-Layer drauflegen, viel Spass dann ;o)

    Ja, aber der Grossteil der Kommunikation beruht auch vorlaeufig bauf den bekannten Kommunikationswegen und der Rest wird in diese Richtung geschoben.

  10. Re: Veschlüsseln ...

    Autor: phade 01.06.18 - 17:49

    bombinho schrieb:
    --------------------------------------------------------------------------------
    > phade schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Deshalb würde ich ja als DECIX-Mitglied nur noch private peerings nutzen
    > > und mit jedem Partner public-keys tauschen und noch einen
    > > Verschlüsselung-Layer drauflegen, viel Spass dann ;o)
    >
    > Ja, aber der Grossteil der Kommunikation beruht auch vorlaeufig bauf den
    > bekannten Kommunikationswegen und der Rest wird in diese Richtung
    > geschoben.
    Äh, wie jetzt du meinen ?

    Wenn die peering-Partner auf den Routern, mit denen die am DECIX angeschlossen sind, erneut verschlüsseln und zwar immer mit dem public-key des Peeringpartners, dann laufen durch den DECIX nur noch IP-Header und ... (erneut) verschlüsselte Datenblöcke.
    Jede Cisco oder Huawei-Router kann das out-of-the-box. Public key mit dem Partner tauschen, 3 Zeilen in den Router und dann sieht der BND nur noch ein "von-wo-an-wo", aber keinerlei Klartext mehr, die ganze Leitung ist dann doch verschlüsselt, egal ob da schon eine verschlüsselte Verbindung lief, alles wird einfach nochmal von den Peering-Partnern verschlüsselt.



    1 mal bearbeitet, zuletzt am 01.06.18 17:51 durch phade.

  11. Re: Veschlüsseln ...

    Autor: bombinho 01.06.18 - 17:59

    phade schrieb:
    --------------------------------------------------------------------------------
    > Jede Cisco oder Huawei-Router kann das out-of-the-box. Public key mit dem
    > Partner tauschen, 3 Zeilen in den Router und dann sieht der BND nur noch
    > ein "von-wo-an-wo", aber keinerlei Klartext mehr, die ganze Leitung ist
    > dann doch verschlüsselt.

    Ja, aber ein Grossteil des Verkehrs geht von Webservern aus, deren Inhalte nun einmal mehr oder weniger irgendwo auch im Klartext vorliegen. Es macht wenig Sinn, wenn ich dir jetzt den Satz "Total geheimes Zeug" noch in super verschluesselter Form beilege.

    Es gibt mittlerweile sehr wenig Webtraffic, dessen Inhalt nicht spaetestens bei einem Kommunikationspartner ausgegeben werden kann oder muss. Da ist Verschluesselung nur ein Hindernis fuer die Putzfrau. Eventuell.

    Es gibt schlicht immer weniger Webanwendungen, die P2P kommunizieren, ohne den Inhalt im Klartext auf Drittrechnern zwischenzulagern. Das ist dann als ob du ein 5000¤ Schloss mit Tesaband am offenen Tuerrahmen befestigst, zur Zugangsbeschraenkung.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Informatiker (w/m/d) für elektronische Formularverarbeitung
    Stadt Erlangen, Erlangen
  2. Domänenarchitekt (w/m/d) Komposit
    W&W Informatik GmbH, Ludwigsburg
  3. Consultant (m/w/d) MES
    J.M. Voith SE & Co. KG, Heidenheim an der Brenz
  4. Systemingenieur (m/w/d) IT Systeme
    Scheidt & Bachmann System Technik GmbH, Kiel

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de


Merck: Von der Apotheke zum zweitbesten IT-Arbeitgeber
Merck
Von der Apotheke zum zweitbesten IT-Arbeitgeber

Das Pharmaunternehmen Merck ist auf Platz 2 der Top-IT-Arbeitgeber Deutschlands gelandet - wir wollten von den Mitarbeitern wissen, wieso.
Von Tobias Költzsch


    Koalitionsvertrag: Was bedeuten die Ampel-Pläne für die Elektromobilität?
    Koalitionsvertrag
    Was bedeuten die Ampel-Pläne für die Elektromobilität?

    Nach dem Willen der Ampelkoalition sollen 15 Millionen Elektroautos bis 2030 auf deutschen Straßen unterwegs sein. Wir haben uns angeschaut, wie das genau umgesetzt werden soll.
    Eine Analyse von Friedhelm Greis

    1. Ranger XP Kinetic Polaris bringt Elektro-Buggy mit 82 kW
    2. Elektroauto Mercedes EQS 350 als Basisversion mit 90-kWh-Akku bestellbar
    3. Elektro-Kombi Mercedes-Benz startet Verkauf von Siebensitzer EQB

    Resident Evil - Welcome to Raccoon City: Ein holpriger Neuanfang
    Resident Evil - Welcome to Raccoon City
    Ein holpriger Neuanfang

    Nach sechs Filmen mit Milla Jovovich wagt Constantin einen Neuanfang von Resident Evil: Er führt zurück ins Jahr 1998.
    Von Peter Osteried

    1. Capcom Update korrigiert Kopierschutz von Resident Evil Village
    2. Resident Evil: Infinite Darkness Mehr ein Film als eine Serie
    3. Resident Evil 8 Village Mod manipuliert den Hut des Horrors