1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenschutz: Innenministerium bremst…

Bzgl. „Bislang warnen Experten jedoch…“

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Bzgl. „Bislang warnen Experten jedoch…“

    Autor: s4b 23.06.14 - 17:26

    > Bislang warnen Experten jedoch vor einer Javascript-Krypto-Lösung
    > http://matasano.com/articles/javascript-cryptography/

    Dem gegenübergestellt ein Posting vom 18. Juni 2014:

    vnhacker: Why Javascript Crypto Is Useful
    http://vnhacker.blogspot.de/2014/06/why-javascript-crypto-is-useful.html



    1 mal bearbeitet, zuletzt am 23.06.14 17:28 durch s4b.

  2. Re: Bzgl. „Bislang warnen Experten jedoch…“

    Autor: SelfEsteem 24.06.14 - 02:27

    s4b schrieb:
    --------------------------------------------------------------------------------
    > > Bislang warnen Experten jedoch vor einer Javascript-Krypto-Lösung
    > > matasano.com
    >
    > Dem gegenübergestellt ein Posting vom 18. Juni 2014:
    >
    > vnhacker: Why Javascript Crypto Is Useful
    > vnhacker.blogspot.de

    Aeehm
    Er geht auf die Implementierung von Cryptographie in JS ein und hat damit sicher recht (oder auch nicht und dann wieder doch - das kann ich nicht beurteilen, aber sagen wir einfach, dass er recht hat).

    Das Problem der Schluessel-Uebertragung ist damit aber noch immer nicht geloest. Fuer End2End-Crypto brauchst du einen public- und einen private-key.
    Kann man sich alles generieren - easy going. Man kann auch ein lokales Key-Storage definieren, wie es der W3C wohl in seiner Crypto-API vorhat (wenn ich das richtig verstanden habe). Und dann?

    Wie der Public-Key aber von A (meine Oma) zu B (die Schulfreundin meiner Oma, die eine E-Mail schreiben moechte) kommt, ist noch lange nicht geklaert.
    Ebenfalls ist nicht geklaert, wie meine Oma den Private-Key ohne jegliche IT-Kenntnisse sichern kann.

    Klar - man kann auch beide Schluessel bequem auf einem Server speichern und die Webpage bekommt die beim Aufruf halt mit - in diesem Fall koennen wir uns dann aber die Verschluesselung sparen, weil der PrivateKey bereits aus der Hand gegeben wurde. Sicherheitsgewinn = 0.

    Es ist bislang leider noch niemand auf eine Idee gekommen, wie man das gesamte Key-Handling Dau-tauglich machen kann.
    Als Faustregel kannst du jedenfalls hernehmen: Wenn deine Idee zur Loesung der Private-Key-Aufbewahung das Wort "Server" beinhaltet, dann verwirf sie sofort.

    Sieh dir allein die Threads hier an. Der eine Vergleicht SSL-Verschluesselung, die ihre Keys dank bestehender Verbindung natuerlich live aushandeln kann mit End2End-Verschluesselung und hat dabei wahrscheinlich beides nicht verstanden. Der naechste moechte meine Oma zum Schluessel-Signieren zum Rathaus schicken, ohne das meine Oma auch nur den Dunst einer Ahnung haette, was das ueberhaupt sein soll.


    Das tragische an der gesamten Thematik ist leider: Der E-Perso koennte hier echt helfen, weil man den Leuten auf diesem Weg immerhin Keys fuer die Behoerdenkommunikation mitgeben koennte. Es koennte ein Schritt zur Dau-Tauglichkeit sein, nur ... vertraue ich einem Private-Key, der durch zig Systeme gejagt und evtl. nach dem pressen des Persos nicht wieder vernichtet wurde?


    An dem Thema beissen sich leider deutlich hellere Koepfe, als wir es sind, die Zaehnen aus - und das schon seit Jahrzehnten.



    1 mal bearbeitet, zuletzt am 24.06.14 02:30 durch SelfEsteem.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. (Junior) DevOps Engineer (m/w/d)
    DRK-Blutspendedienst Baden-Württemberg - Hessen gem. GmbH, Frankfurt
  2. Projektmanager (m/w/d) Schwerpunkt Digitalisierungsprojekte
    FES Frankfurter Entsorgungs- und Service GmbH, Frankfurt am Main
  3. (Junior) Consultant (m/w/d) im Bereich HR
    Binder Consulting Unternehmensberatung GmbH, München, Frankfurt
  4. SAP-Inhouse-ABAP-Entwickler (Logistik) (m/w/d)
    Hays AG, München

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Asus PCIe-WLAN-Adapter bis 733 MBit/s für 24,90€, Black+Decker Akku-Handsauger für 94...
  2. (u. a. Hearts of Iron IV Cadet Edition für 9,50€, Steel Division II für 11€, Anno 1404...
  3. (u. a. MSI Vigor GK30 Combo Tastatur&Maus-Set Mecha-Membran für 58,99€, MSI Clutch GM50 RGB...
  4. (mit Ryzen 5 3600 + Geforce RTX 3060 für 999€ statt 1.293€) + Tastatur inklusive


Haben wir etwas übersehen?

E-Mail an news@golem.de