Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Crypto Wars: Seehofer will Messenger…

https://signal.org/de/

  1. Thema

Neues Thema Ansicht wechseln


  1. https://signal.org/de/

    Autor: zenker_bln 25.05.19 - 17:01

    https://signal.org/de/

  2. Re: https://signal.org/de/

    Autor: ruben_harkley 25.05.19 - 20:55

    Der Messenger, bei dem die „Entschlüssellung“ nicht gehen kann ist „Signal“.

    Grund: Signal ist Open Source und damit auch die Sicherheit.
    Würde man also eine „Lücke“ einbauen, dann wäre man zumindest verpflichtet diesen Code zu aktualisieren.

    Wie soll das mit einer absichtlichen Sicherheitslücke bitte gehen?
    Würde man das nicht veröffentlichen, dann wäre dies eine Verletzung der Lizenz.

    Tja... dieses Dilemma kann man so nicht lösen.

  3. Re: https://signal.org/de/

    Autor: unbuntu 25.05.19 - 22:09

    ruben_harkley schrieb:
    --------------------------------------------------------------------------------
    > Grund: Signal ist Open Source und damit auch die Sicherheit.
    > Würde man also eine „Lücke“ einbauen, dann wäre man zumindest
    > verpflichtet diesen Code zu aktualisieren.

    Nicht unbedingt. Worüber viele nie nachdenken ist, dass nur der unkompilierte OpenSource-Code wirklich OpenSource ist. Die fertig kompilierten Pakete, die sich alle installieren, sind das aber nicht. Da kann was anderes drin stehen und keiner merkts.

    "Linux ist das beste Betriebssystem, das ich jemals gesehen habe." - Albert Einstein

  4. Re: https://signal.org/de/

    Autor: Eheran 25.05.19 - 23:17

    >Da kann was anderes drin stehen und keiner merkts.
    Gäbe es doch nur irgendeine Möglichkeit, den "richtigen" kompilierten Code von einem ggf. manipulierten zu unterscheiden... dass daran noch keiner gedacht hat! Das ist doch so ein offensichtliches Problem.

    Aber zum Glück gibt es noch Hashes.

  5. Re: https://signal.org/de/

    Autor: sofries 26.05.19 - 03:54

    Ihr unterschätzt massiv wie leicht es für Profis ist Sicherheitslücken oder Backdoors einzubauen, ohne dass es im Code klar ersichtlich ist. Obfuscation ist bei sowas immer eher Effekt und im Zweifelsfall hat man plausible deniability wenn das gut läuft.

  6. Re: https://signal.org/de/

    Autor: Eheran 26.05.19 - 10:24

    Dann kannst du ja sicherlich Beispiele zitieren, wo sowas passiert ist?

  7. Re: https://signal.org/de/

    Autor: Walchy 26.05.19 - 10:36

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Dann kannst du ja sicherlich Beispiele zitieren, wo sowas passiert ist?

    https://en.m.wikipedia.org/wiki/Dual_EC_DRBG

    “According to the New York Times story, the NSA spends $250 million per year to insert backdoors in software and hardware as part of the Bullrun program.[10]”

    Grüsse,

    Walchy

  8. Re: https://signal.org/de/

    Autor: Eheran 26.05.19 - 10:47

    >Despite wide public criticism, including a potential backdoor, for seven years it was one of the four (now three) CSPRNGs standardized in NIST SP 800-90A as originally published circa June 2006, until it was withdrawn in 2014.

    Jup, nur weil eine US-Institution etwas legitimiert, heißt das nicht, dass es sicher ist. Darauf sollte man auch selbst kommen können.
    Ich würde mich weiterhin über Beispiele freuen, wo Backdors in irgendwelche Software gepackt wurden. Also etwa in Linux oder sowas, womit man sehr viele wichtige Ziele kompromitieren könnte.



    1 mal bearbeitet, zuletzt am 26.05.19 10:48 durch Eheran.

  9. Re: https://signal.org/de/

    Autor: async 26.05.19 - 16:30

    Hier waere schonmal einer:

    https://www.zdnet.com/article/linux-mint-website-hacked-malicious-backdoor-version/

    Ich erinnere mich an ein oder zwei weitere aber ich weiss die Produkte nicht mehr.
    In dem Fall sind das die, die tatsaechlich entdeckt wurden und auch publiziert wurden. Die Dunkelziffer ist dementsprechend eher unbekannt.

    Verhaeltnismaessig oft hat man das dann bei Adwareherstellern, die modifizierte Installer auf Drittseiten hochladen (sourceforge hat das auch mal gemacht),

    Wenn der Hash auf der Downloadseite auch modifiziert wird, bringt es natuerlich nichts. Debian versucht das ueber reproducible Builds zu loesen. D.h. das was auf deren Servern gebaut wird, kann auch genauso lokal gebaut werden. Das ist allerdings ein komplexeres Problem als es klingt.

  10. Re: https://signal.org/de/

    Autor: FreiGeistler 27.05.19 - 07:41

    async schrieb:
    --------------------------------------------------------------------------------
    > Hier waere schonmal einer:
    >
    > www.zdnet.com
    >
    > Ich erinnere mich an ein oder zwei weitere aber ich weiss die Produkte
    > nicht mehr.
    > In dem Fall sind das die, die tatsaechlich entdeckt wurden und auch
    > publiziert wurden. Die Dunkelziffer ist dementsprechend eher unbekannt.

    So ein Hack für Malware, der nach ein paar Tagen auffällt, ist ja wohl eine andere Kategorie als ein stabiles Backdoor.

    > Verhaeltnismaessig oft hat man das dann bei Adwareherstellern, die
    > modifizierte Installer auf Drittseiten hochladen (sourceforge hat das auch
    > mal gemacht),

    > Wenn der Hash auf der Downloadseite auch modifiziert wird, bringt es
    > natuerlich nichts. Debian versucht das ueber reproducible Builds zu loesen.
    > D.h. das was auf deren Servern gebaut wird, kann auch genauso lokal gebaut
    > werden. Das ist allerdings ein komplexeres Problem als es klingt.

    Reproducible Builds sind schwierig.
    Aber was du beschreibst ist mit git clone und make erledigt.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Technische Universität Dresden, Dresden
  2. Stadtwerke München GmbH, München
  3. SV Informatik GmbH, Stuttgart
  4. Bayerische Versorgungskammer, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 2,99€
  2. 0,49€
  3. 3,99€
  4. 4,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Timex Data Link im Retro-Test: Bill Gates' Astronauten-Smartwatch
Timex Data Link im Retro-Test
Bill Gates' Astronauten-Smartwatch

Mit der Data Link haben Timex und Microsoft bereits vor 25 Jahren die erste richtige Smartwatch vorgestellt. Sie hat es sogar bis in den Weltraum geschafft. Das Highlight ist die drahtlose Datenübertragung per flackerndem Röhrenmonitor - was wir natürlich ausprobieren mussten.
Ein Test von Tobias Költzsch

  1. Smart Watch Swatch fordert wegen kopierter Zifferblätter von Samsung Geld
  2. Wearable EU warnt vor deutscher Kinder-Smartwatch
  3. Sportuhr Fossil stellt Smartwatch mit Snapdragon 3100 vor

Ocean Discovery X Prize: Autonome Fraunhofer-Roboter erforschen die Tiefsee
Ocean Discovery X Prize
Autonome Fraunhofer-Roboter erforschen die Tiefsee

Öffentliche Vergaberichtlinien und agile Arbeitsweise: Die Teilnahme am Ocean Discovery X Prize war nicht einfach für die Forscher des Fraunhofer Instituts IOSB. Deren autonome Tauchroboter zur Tiefseekartierung schafften es unter die besten fünf weltweit.
Ein Bericht von Werner Pluta

  1. JAB Code Bunter Barcode gegen Fälschungen

Wolfenstein Youngblood angespielt: Warum wurden diese dämlichen Mädchen nicht aufgehalten!?
Wolfenstein Youngblood angespielt
"Warum wurden diese dämlichen Mädchen nicht aufgehalten!?"

E3 2019 Der erste Kill ist der schwerste: In Wolfenstein Youngblood kämpfen die beiden Töchter von B.J. Blazkowicz gegen Nazis. Golem.de hat sich mit Jess und Soph durch einen Zeppelin über dem belagerten Paris gekämpft.
Von Peter Steinlechner


    1. Fortnite: Epic Games streicht Unterstützung für DirectX-9
      Fortnite
      Epic Games streicht Unterstützung für DirectX-9

      Ab Season 10 läuft Fortnite endgültig nicht mehr mit DirectX-9, stattdessen muss die Grafikkarte mit DirectX-11 kompatibel sein. Von der Änderung dürften vor allem Spieler mit älteren Laptops betroffen sein.

    2. Microsoft: Neues Windows Terminal als Vorschau verfügbar
      Microsoft
      Neues Windows Terminal als Vorschau verfügbar

      Microsoft hat eine erste Vorschau auf das neue Windows Terminal für Windows 10 veröffentlicht. Die Open-Source-Anwendung bietet viele moderne Funktionen und eine einheitliche Oberfläche für mehrere Shells.

    3. Bose Frames im Test: Sonnenbrille mit Musik
      Bose Frames im Test
      Sonnenbrille mit Musik

      Bose bringt seine Sonnenbrille Frames pünktlich zum Sommeranfang auf den Markt: Sie hat eingebaute Lautsprecher, die überraschend gut klingen, für Musikgenuss ist sie dennoch nur eingeschränkt nutzbar. Interessant sind auch einige der Audio-AR-Apps.


    1. 10:42

    2. 09:56

    3. 09:30

    4. 08:50

    5. 08:37

    6. 08:00

    7. 12:22

    8. 11:49