1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Bundesverwaltungsgericht: BND…

Veschlüsseln ...

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Veschlüsseln ...

    Autor: phade 31.05.18 - 14:06

    Tja, dann sollten die Peeringpartner wohl auf ihren Routern einfach mal End-zu-end-verschlüsseln (vielleicht tun das einige ja schon).

    Dann kann der BND da ganz viel verschlüsselten Traffic mithören oder ...

    ... nehmen wir einen Peering-Partner A an, dessen Traffic mitgehört werden soll (weil da jemand in dessen Netzwerk vielleicht was illegales plant oder macht). Entweder weiss der BND dann schon zu welchem Peeringspartner B das läeuft oder muss den public-key bei allen Peering-Partnern von A erfragen. Mit richterlichem Beschluss bei so 2000 Ports (wieviele Partner sind das ? 500 im offenen Peering ?) stelle ich mir das schön aufwändig vor. Wenn man etwas nicht verhindern kann, kann man es ja unpraktikabel machen :o)

    Und wenn schon. Dank DSVGO wird immer mehr verschlüsselt, eMail, Webseiten, Messenger, Tor etc.
    Am DECIX ist davon sowieso schon lange nichts mehr abzuhören.



    2 mal bearbeitet, zuletzt am 31.05.18 14:07 durch phade.

  2. Re: Veschlüsseln ...

    Autor: bombinho 31.05.18 - 16:44

    Scherzkeks, hast Du dir mal Gedanken ueber Authentifikation gemacht?

  3. Re: Veschlüsseln ...

    Autor: wonoscho 31.05.18 - 17:20

    Wo ist das Problem?
    Oder meinst du die Authentifikation läuft unverschlüsselt?
    Klar, dann kann Man jede Verschlüsselung vergessen.



    1 mal bearbeitet, zuletzt am 31.05.18 17:38 durch wonoscho.

  4. Re: Veschlüsseln ...

    Autor: elmcrest 31.05.18 - 17:59

    Warum sollte die unverschlüsselt ablaufen?
    Dunkel mein ich nur dass ja TLS 1.2 noch ne Schwachstelle hat, die aber wohl mit 1.3 geschichte ist?

  5. Re: Veschlüsseln ...

    Autor: bombinho 01.06.18 - 00:03

    wonoscho schrieb:
    --------------------------------------------------------------------------------
    > Wo ist das Problem?
    > Oder meinst du die Authentifikation läuft unverschlüsselt?
    > Klar, dann kann Man jede Verschlüsselung vergessen.

    Wie weisst Du, dass das Gegenueber auch genau das Gegenueber ist, welches es behauptet, zu sein?

  6. Re: Veschlüsseln ...

    Autor: phade 01.06.18 - 12:26

    Hi,
    es geht doch jetzt um keine Verifikation einer jeglichen Verbindung über den DECIX, sondern nur darum, dass höchstwahrscheinlich schon sehr viel Traffic am DECIX verschlüsselt ist.

    Ok. der BND kann dann noch sehen, welche IPs mit welcher gerade Daten austauscht, vielleicht reicht das ja schon aus, um notwendige Fahndungen zu unterstützen.

    Das aber nun jeder Traffic von Unbeteiligten vom BND am DECIX mitgelesen kann, halte ich für ein Gerücht.

  7. Re: Veschlüsseln ...

    Autor: bombinho 01.06.18 - 15:44

    phade schrieb:
    --------------------------------------------------------------------------------
    > Hi,
    > es geht doch jetzt um keine Verifikation einer jeglichen Verbindung über
    > den DECIX, sondern nur darum, dass höchstwahrscheinlich schon sehr viel
    > Traffic am DECIX verschlüsselt ist.
    >
    > Ok. der BND kann dann noch sehen, welche IPs mit welcher gerade Daten
    > austauscht, vielleicht reicht das ja schon aus, um notwendige Fahndungen zu
    > unterstützen.
    >
    > Das aber nun jeder Traffic von Unbeteiligten vom BND am DECIX mitgelesen
    > kann, halte ich für ein Gerücht.

    Ah, okay, ich war immer davon ausgegangen, dass der BND im Zweifelsfall auch Zugriff auf z.B. Zertifikate bekommen koennte.

  8. Re: Veschlüsseln ...

    Autor: phade 01.06.18 - 16:14

    Ach wer weiss das schon.

    Die NSA hat ja vielleicht die root-keys von den wichtigsten Vergabestellen und vielleicht sind der BND und NSA ja echte "buddies" oder der BND hat gerne mal keys einiger Providern nebenbei "eingesammelt".

    Aber von allem und jedem ? Unwahrscheinlich.

    Vielleicht nutzen die ja auch mittlerweile die GPU-Monster der NSA, um die Verschluesselung in speziellen Faellen einfach auszurechnen ...

    Deshalb würde ich ja als DECIX-Mitglied nur noch private peerings nutzen und mit jedem Partner public-keys tauschen und noch einen Verschlüsselung-Layer drauflegen, viel Spass dann ;o)

  9. Re: Veschlüsseln ...

    Autor: bombinho 01.06.18 - 17:20

    phade schrieb:
    --------------------------------------------------------------------------------
    > Deshalb würde ich ja als DECIX-Mitglied nur noch private peerings nutzen
    > und mit jedem Partner public-keys tauschen und noch einen
    > Verschlüsselung-Layer drauflegen, viel Spass dann ;o)

    Ja, aber der Grossteil der Kommunikation beruht auch vorlaeufig bauf den bekannten Kommunikationswegen und der Rest wird in diese Richtung geschoben.

  10. Re: Veschlüsseln ...

    Autor: phade 01.06.18 - 17:49

    bombinho schrieb:
    --------------------------------------------------------------------------------
    > phade schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Deshalb würde ich ja als DECIX-Mitglied nur noch private peerings nutzen
    > > und mit jedem Partner public-keys tauschen und noch einen
    > > Verschlüsselung-Layer drauflegen, viel Spass dann ;o)
    >
    > Ja, aber der Grossteil der Kommunikation beruht auch vorlaeufig bauf den
    > bekannten Kommunikationswegen und der Rest wird in diese Richtung
    > geschoben.
    Äh, wie jetzt du meinen ?

    Wenn die peering-Partner auf den Routern, mit denen die am DECIX angeschlossen sind, erneut verschlüsseln und zwar immer mit dem public-key des Peeringpartners, dann laufen durch den DECIX nur noch IP-Header und ... (erneut) verschlüsselte Datenblöcke.
    Jede Cisco oder Huawei-Router kann das out-of-the-box. Public key mit dem Partner tauschen, 3 Zeilen in den Router und dann sieht der BND nur noch ein "von-wo-an-wo", aber keinerlei Klartext mehr, die ganze Leitung ist dann doch verschlüsselt, egal ob da schon eine verschlüsselte Verbindung lief, alles wird einfach nochmal von den Peering-Partnern verschlüsselt.



    1 mal bearbeitet, zuletzt am 01.06.18 17:51 durch phade.

  11. Re: Veschlüsseln ...

    Autor: bombinho 01.06.18 - 17:59

    phade schrieb:
    --------------------------------------------------------------------------------
    > Jede Cisco oder Huawei-Router kann das out-of-the-box. Public key mit dem
    > Partner tauschen, 3 Zeilen in den Router und dann sieht der BND nur noch
    > ein "von-wo-an-wo", aber keinerlei Klartext mehr, die ganze Leitung ist
    > dann doch verschlüsselt.

    Ja, aber ein Grossteil des Verkehrs geht von Webservern aus, deren Inhalte nun einmal mehr oder weniger irgendwo auch im Klartext vorliegen. Es macht wenig Sinn, wenn ich dir jetzt den Satz "Total geheimes Zeug" noch in super verschluesselter Form beilege.

    Es gibt mittlerweile sehr wenig Webtraffic, dessen Inhalt nicht spaetestens bei einem Kommunikationspartner ausgegeben werden kann oder muss. Da ist Verschluesselung nur ein Hindernis fuer die Putzfrau. Eventuell.

    Es gibt schlicht immer weniger Webanwendungen, die P2P kommunizieren, ohne den Inhalt im Klartext auf Drittrechnern zwischenzulagern. Das ist dann als ob du ein 5000¤ Schloss mit Tesaband am offenen Tuerrahmen befestigst, zur Zugangsbeschraenkung.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Support Specialist (w/m/d)
    profiforms gmbh, Zwickau, Leonberg
  2. Data Analyst (m/w/d)
    Waschbär GmbH, Freiburg (Home-Office)
  3. IT-Systemadministrator (m/w/d)
    TransPak AG, Solms
  4. Leiter IT Produktion & Logistik (m/w/d)
    Hays AG, München

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 33,49€
  2. 12,49€
  3. 30,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


  1. Hohe Nachfrage: BMW plant Sonderschichten für den neuen i4
    Hohe Nachfrage
    BMW plant Sonderschichten für den neuen i4

    Das neue Elektroauto ist begehrt: Die Wartezeiten für den BMW i4 könnten ohne zusätzliche Produktion auf bis zu ein Jahr steigen.

  2. Wirtschaftsministerium Niedersachsen: "Bisher gelten noch 56 KBit/s als Breitband"
    Wirtschaftsministerium Niedersachsen
    "Bisher gelten noch 56 KBit/s als Breitband"

    Das Recht auf schnelles Internet und Universaldienstverpflichtung sind im neuen Telekommuniktionsgesetz (TKG) noch nicht bestimmt. Bisher gilt eigentlich ein absurder Wert aus der Vergangenheit.

  3. Cloud-Ausfall: Eine AWS-Region als Single Point of Failure
    Cloud-Ausfall
    Eine AWS-Region als Single Point of Failure

    Ein stundenlanger Ausfall der AWS-Cloud legte zentrale Dienste und sogar Amazon selbst teilweise lahm. Das zeigt die Grenzen der Cloud-Versprechen.


  1. 16:45

  2. 16:30

  3. 16:10

  4. 16:04

  5. 15:46

  6. 15:29

  7. 14:43

  8. 14:05