1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Kryptobibliotheken: Die geheime…

Das stinkt und zwar gewaltig!

  1. Thema

Neues Thema Ansicht wechseln


  1. Das stinkt und zwar gewaltig!

    Autor: derdiedas 27.03.18 - 12:17

    Hackmanit als unabhängiger Pentester kann ich ohne Probleme nachvollziehen. Aber Rhode und Schwarz als eigenständiger Hersteller für Verschlüsselungsprodukte ist extrem fragwürdig.

    Das BSI definiert am Ende was eingesetzt werden darf (etwa eIdas, oder Brainpool curves in einer ganz speziellen Ausprägung). Wenn das BSI nun offene API's evaluiert und aktive eine einzelne (ist ja nicht das erste mal das sie Botan unterstützen) fördern ist dies weit - und zwar sehr weit - außerhalb ihrer Kompetenzen.

    Und Rhode und Schwarz weiss weit vor allen Konkurrenten das sie mit der Implementierung von Botan eine höhere Wahrscheinlichkeit hat öffentliche Ausschreibungen zu gewinnen. Und die anderen OpenSource Api's stehen "dumm" da weil sie evaluiert werden, davon aber nichts wissen, und evtl. sogar Schwachstellen bewusst nicht gemeldet werden. Genauso wie alle auf diesen API's basierenden Kommerziellen Produkten und OpenSource Lösungen.

    Kurz und knapp - das ganze Vorgehen ist mit fragwürdig noch wohlwollend beschreiben, und es wäre sehr schön wenn Golem diesen Punkten mal investigativ nachgehen würde.

    Gruß ddd

  2. Re: Das stinkt und zwar gewaltig!

    Autor: Cok3.Zer0 27.03.18 - 14:34

    Es sieht ja eher so aus, als wolle man von Seiten des BSI weiter auf Botan setzen, da dies für den ePass bereits 2007 modifiziert wurde:
    Man liest sich mal das hier durch:
    https://www.bsi.bund.de/DE/Themen/Kryptografie_Kryptotechnologie/Kryptografie/Kryptobibliothek/kryptobibliothek_node.html
    "Ziel des Projekts ist die Bereitstellung einer quelloffenen, sicheren, übersichtlichen, kontrollierbaren und gut dokumentierten Kryptobibliothek, die für möglichst viele Einsatzszenarien geeignet ist und auch in Anwendungen mit erhöhtem Sicherheitsbedarf eingesetzt werden kann."
    "Dafür wurde zunächst eine Sichtung und Analyse bestehender Open Source Kryptobibliotheken durchgeführt, um einen geeigneten Kandidaten für eine Weiterentwicklung zu identifizieren."
    "In der zweiten Phase des Projekts wurde Botan tiefergehend kryptographisch untersucht und bestehende Mängel wurden behoben. Fehlende Kryptoprimitive und Standards wurden gemäß den Technischen Richtlinien des BSI nachimplementiert, die Testsuite wurde verbessert und eine Testspezifikation erstellt. Außerdem wurde die Resistenz gegen Seitenkanalangriffe durch geeignete Software-Gegenmaßnahmen verbessert und die Möglichkeit zur Einbindung von kryptographischer Spezialhardware geschaffen. Die Dokumentation wurde verbessert und erweitert."

  3. Re: Das stinkt und zwar gewaltig!

    Autor: AllDayPiano 27.03.18 - 14:56

    R&S hat ein ganz verständliches und nachvollziehbares Interesse. Sie bauen hochpreisige Messhardware, und setzten auch - wie viele andere Hersteller - auf das "Eine Hardware, Rest Software"-Prinzip. Bei Messgeräten, die gerne mal so viel kosten, wie eine Eigentumswohnung in strukturschwacher Gegend, bei denen jede Software-Teil-Lizenz so viel kostet, wie ein Kleinwagen, will man sich als Hersteller ganz verständlicherweise gegen geistigen Diebstahl schützen.

    Ansonsten geht es ihnen so wie Salea mit ihrem Logic Analyzer. Kostenlose Software (die sehr viel kann) bei kopierter, und gecrackter Hardware.

  4. Re: Das stinkt und zwar gewaltig!

    Autor: derdiedas 27.03.18 - 16:20

    Du kennst Rhode und Schwarz scheinbar nur als Messgerätehersteller.

    Rhode und Schwarz stellt wie auch Gemalto, Thales, Genua IT Security Lösungen wie eta HSM (Hardware Security Module) her.

    Das BSI hat also einen Hersteller für Verschlüsselungslösungen OpenSource API's untersuchen lassen, und kommt oh Wunder auf den absoluten Außenseiter als Empfehlung. Denn den hat die Konkurrenz bestimmt nicht implementiert.

    Wenn das nicht "stinkt" dann weiss ich auch nicht weiter...

    Gruß H.

  5. Re: Das stinkt und zwar gewaltig!

    Autor: Lasse Bierstrom 31.03.18 - 12:54

    derdiedas schrieb:
    -------------------------------------------------------------------------------
    >
    > Das BSI hat also einen Hersteller für Verschlüsselungslösungen OpenSource
    > API's untersuchen lassen, und kommt oh Wunder auf den absoluten Außenseiter
    > als Empfehlung. Denn den hat die Konkurrenz bestimmt nicht implementiert.
    >
    > Wenn das nicht "stinkt" dann weiss ich auch nicht weiter...
    >
    > Gruß H.

    JEDER der auf diesem Gebiet spezialisiert ist, wird bei einer Firma arbeiten, welche genau für diese Branche Produkte vertreibt.
    Oder soll das BSI irgendwelche open source Hacker anstellen, weil es dann neutraler wäre? Wer könnte denn das sein? Wäre noch blöder (es melden sich Agenten anderer Sicherheitsdienste?).

    Stinken würde es immer. Jedoch riskieren größere Firmen ihren Ruf, wenn sie hier bewusst Ergebnisse manipulieren würden, und könnten massiv wirtschaftliche Probleme bekommen, sollte das BSI wegen solcher Dinge ermitteln.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt am Main
  2. Nord-Micro GmbH & Co. OHG a part of Collins Aerospace, Frankfurt am Main
  3. über duerenhoff GmbH, Raum Würzburg
  4. awinia gmbh, Freiburg im Breisgau

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 555,55€ (zzgl. Versandkosten)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Autonomes Fahren: Wenn der Wagen das Volk nicht versteht
Autonomes Fahren
Wenn der Wagen das Volk nicht versteht

VW testet in Hamburg das vollautonome Fahren in der Stadt - und das recht erfolgreich, wie eine Probefahrt zeigt. Als größtes Problem erweist sich ausgerechnet die Höflichkeit der Fußgänger.
Ein Bericht von Werner Pluta

  1. Volkswagen ID. Space Vizzion als Elektrokombi vorgestellt
  2. Elektroauto von VW Es hat sich bald ausgegolft
  3. ID.3 kommt Volkswagen verkauft den E-Golf zum Schnäppchenpreis

In eigener Sache: Aktiv werden für Golem.de
In eigener Sache
Aktiv werden für Golem.de

Keine Werbung, kein unerwünschtes Tracking - kein Problem! Wer Golem.de-Inhalte pur nutzen möchte, hat neben dem Abo Golem pur jetzt eine weitere Möglichkeit, Golem.de zu unterstützen.

  1. Golem Akademie Von wegen rechtsfreier Raum!
  2. In eigener Sache Wie sich Unternehmen und Behörden für ITler attraktiv machen
  3. In eigener Sache Unser Kubernetes-Workshop kommt auf Touren

Kognitive Produktionssteuerung: Auf der Suche nach dem Universalroboter
Kognitive Produktionssteuerung
Auf der Suche nach dem Universalroboter

Roboter erledigen am Band jetzt schon viele Arbeiten. Allerdings müssen sie oft noch von Menschen kontrolliert und ihre Fehler ausgebessert werden. Wissenschaftler arbeiten daran, dass das in Zukunft nicht mehr so ist. Ziel ist ein selbstständig lernender Roboter für die Automobilindustrie.
Ein Bericht von Friedrich List

  1. Ocean Discovery X Prize Autonome Fraunhofer-Roboter erforschen die Tiefsee

  1. Top-Level-Domains: Wem gehören .amazon, .ostsee und .angkorwat?
    Top-Level-Domains
    Wem gehören .amazon, .ostsee und .angkorwat?

    Südamerikanische Regierungen streiten sich seit Jahren mit Amazon um die Top-Level-Domain .amazon. Bislang stehen die Regierungen als Verlierer da. Ein anderer Verlierer ist jedoch die Icann, die es nicht schafft, das öffentliche Interesse an solch einer Domain ausreichend zu berücksichtigen.

  2. Firmeneigenes 5G: 5G-Netze für die Industrie starten in den nächsten Tagen
    Firmeneigenes 5G
    5G-Netze für die Industrie starten in den nächsten Tagen

    Die Vergabe von lokalen Frequenzen für firmeneigene 5G-Netze beginnt. Auch die Preise für den Betrieb werden nun klarer.

  3. Pocket PC: Linux-Minirechner soll "Hacker-Konsole zum Mitnehmen" sein
    Pocket PC
    Linux-Minirechner soll "Hacker-Konsole zum Mitnehmen" sein

    Mit Debian als Betriebssystem und frei programmierbarer Tastatur: Der Pocket PC richtet sich an Entwickler und Bastler, die ein Linux-System für unterwegs brauchen. Nicht nur das ist ungewöhnlich, sondern auch das optionale Lora-Modem und vergleichsweise viele USB-Anschlüsse.


  1. 12:05

  2. 11:58

  3. 11:52

  4. 11:35

  5. 11:21

  6. 10:58

  7. 10:20

  8. 10:11