-
etwas OT
Autor: Anonymer Nutzer 05.04.14 - 13:16
ich möchte ja ungern das NSA-Fass wieder aufmachen, aber, wie vertrauenswürdig ist Sicherheitstechnologie aus den USA überhaupt noch?
Dass man dort den Geheimdiensten eine Hintertür "lassen" muss ist keine reine Verschwörungstheorie sondern einfach Fakt.
Und ja, mir ist bewusst, dass andere Länder auch ihre Geheimdienste haben. Mir ist auch bewusst, dass wir hier bestimmt auch von russischen, chinesischen, iranischen - was auch immer - Geheimdiensten ausspioniert werden. Aber, diese "Anderen" geben wenigstens nicht vor unsere "Freunde" zu sein. Und diese "Anderen" kontrollieren auch nicht das gesamte Internet. -
Re: etwas OT
Autor: bstea 05.04.14 - 13:21
Mein Dozent hat immer gesagt, wenn der Geheimdienst hinter dir her ist, nützt dir Kryptographie recht wenig. Man fragt einfach die entsprechenden Firmen an oder installiert Überwachungstechnik. Letztendlich kannst du es denen vielleicht etwas umständlicher als gewohnt machen, gefeit bist du dagegen nicht.
--
Erst wenn der letzte Baum gefällt, der letzte Fluss gestaut und der letzte Fisch gefangen ist, werdet ihr feststellen, dass man Biber nicht essen kann! -
Re: etwas OT
Autor: Stummi 05.04.14 - 13:24
Mich wundert ja, dass US-Behörden immer noch unter ihrem Namen an sowas teilnehmen. Denen sollte ja klar sein, dass dann besonders genau drauf geschaut wird. Es wäre ja sicher kein Aufwand, so eine Einreichung auch unter dem Namen einer Privatperson zu machen.
-
"Die US-Behörde Nist"
Autor: Anonymer Nutzer 05.04.14 - 13:28
Und ich hab den Artikel nicht weiter gelesen
-
Re: "Die US-Behörde Nist"
Autor: dit 05.04.14 - 13:49
HerrMannelig schrieb:
--------------------------------------------------------------------------------
> Und ich hab den Artikel nicht weiter gelesen
+1 -
Re: etwas OT
Autor: hab (Golem.de) 05.04.14 - 14:34
Also zur Vertrauenswürdigkeit von Nist-Standards lässt sich sicher einiges sagen, aber ich versuch es mal in Kürze: Es kommt drauf an, wie der Standard entstanden ist.
Bei SHA-3 (und ebenso bei AES) hat das Nist einen Wettbewerb veranstaltet, zahlreiche Kryptographen aus aller Welt haben an der Diskussion teilgenommen und praktisch alle waren sich einig: Der Prozess war sehr offen und fair. In beiden Fällen hat im übrigen ein belgisches Team gewonnen (teilweise die selben Leute), insofern kann man sich streiten ob das "US-Technologie" ist.
Es gibt andere Standards, die auf fragwürdigere Weise entstanden sind. Die hat einfach irgendjemand verfasst und das Nist hat sie dann zum Standard erklärt. "Berüchtigt" ist ja inzwischen Dual EC DRBG, aber auch bei den elliptischen Kurven gibt es offene Fragen (gab jeweils schon ausführliche Artikel dazu).
Und im übrigen: Ich hätte "europäischen" Standards auch nicht vertrauen wenn sie intransparent entstehen. Es sollte völlig egal sein, wo ein Standard entwickelt wurde, bzw. welche Institution ihn veröffentlicht hat. Wichtig ist der Prozess, der zu diesem Standard geführt hat. Und da kann man bei SHA-3 nicht meckern. Es wurde offen diskutiert, es gab viele Vorschläge, auch einige der "Verlierer" (Schneier z.B.) haben gesagt dass Keccak eine gute Wahl war und auf Kritikpunkte wurde eingegangen (Änderung der Sicherheitsparameter zurückgenommen). Ich sehe keinen Grund SHA-3 nicht zu vertrauen. -
Re: etwas OT
Autor: Nephtys 05.04.14 - 16:42
azeu schrieb:
--------------------------------------------------------------------------------
> ich möchte ja ungern das NSA-Fass wieder aufmachen, aber, wie
> vertrauenswürdig ist Sicherheitstechnologie aus den USA überhaupt noch?
>
> Dass man dort den Geheimdiensten eine Hintertür "lassen" muss ist keine
> reine Verschwörungstheorie sondern einfach Fakt.
>
> Und ja, mir ist bewusst, dass andere Länder auch ihre Geheimdienste haben.
> Mir ist auch bewusst, dass wir hier bestimmt auch von russischen,
> chinesischen, iranischen - was auch immer - Geheimdiensten ausspioniert
> werden. Aber, diese "Anderen" geben wenigstens nicht vor unsere "Freunde"
> zu sein. Und diese "Anderen" kontrollieren auch nicht das gesamte Internet.
Das Problem ist: Niemand ist gegen solche Manipulation sicher. Egal wo das Zeug her kommt.
Wenn eine Behörde oder ein Unternehmen Zeit und Geld in das Bekämpfen von Kryptografie steckt, dann gewinnt sie am Ende immer. Temporär natürlich. Aber so ist es nunmal gedacht: Beide Seiten rüsten immer weiter auf.
Die NSA sind genauso interessiert, dass es sichere Hashfunktionen und ähnliche Kryptografie gibt. Man darf nicht vergessen: Die NSA sind nicht nur für Spionage, sondern auch für Counter-Intelligence / Spionage-Abwehr zuständig. Unsichere Standards helfen zwar beim einen, verhindern aber das andere. Und jeder der bei der NSA einen Job bekommen hat weiß es besser. -
Re: etwas OT
Autor: Anonymer Nutzer 05.04.14 - 16:53
Wäre die NSA eine zivile Behörde könnte ich Dir voll und ganz zustimmen. Da sie aber militärischer Natur ist und somit nie mit offenen Karten spielen wird, spielen kann, relativiert sich Dein Argument somit. Oder glaubst Du ernsthaft, dass das Militär mit exakt denselben Waffen kämpft der dem zivilen Teil ebenfalls zur Verfügung steht?
-
Re: etwas OT
Autor: Anonymer Nutzer 05.04.14 - 16:55
Da hast Du Recht, pauschalisieren sollte man nie, auch bei den USA nicht. Nur, bis jetzt habe ich keine Spur von "Reue" o.ä. im Verhalten der US-Regierung gesehen. Deswegen auch meine Bedenken in dieser Richtung.
-
Re: etwas OT
Autor: Schnarchnase 05.04.14 - 22:37
Es ist sicher richtig, dass man differenzieren sollte, aber war es nicht gerade bei AES der schwächste Algorythmus für den man sich letztendlich entschieden hat? An Rijndael gab es soweit ich weiß mehr Kritik als bei Serpent und Twofish. Transparent war die Entscheidung für mich jedenfalls nicht, erst recht nicht nachvollziehbar.
-
Re: etwas OT
Autor: Nerd_vom_Dienst 06.04.14 - 05:43
Schnarchnase schrieb:
--------------------------------------------------------------------------------
> Es ist sicher richtig, dass man differenzieren sollte, aber war es nicht
> gerade bei AES der schwächste Algorythmus für den man sich letztendlich
> entschieden hat? An Rijndael gab es soweit ich weiß mehr Kritik als bei
> Serpent und Twofish. Transparent war die Entscheidung für mich jedenfalls
> nicht, erst recht nicht nachvollziehbar.
In der Tat ist daran etwas dran, obgleich Rijndael ein nicht unerhebliches Problem darstellt beim brechen, ist der Algorithmus dennoch laut Analysen mit entsprechender Rechenpower zu bewältigen. Diese liegt jedoch noch ausserhalb unserer Möglichkeiten, aber sehr lange wird es auch nicht mehr dauern bis man AES gefährlich nahe kommt.
Twofish war Designtechnisch deutlich ausgefeilter, als direkte Weiterentwicklung des noch heute sicheren Blowfish-448 Algorithmus, von Schneier.
Serpent kann man als Schwergewicht betrachten wenn man wirklich etwas endgültig verschliessen will, einerseits zu langsam für schnelle Einsatzzecke, wenig flexibel doch hier steht Sicherheit im Fokus und bislang gibts keine Angriffe die rechentechnisch im Bereich des möglichen liegen.



