1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Kryptobibliotheken: Die geheime…

Das stinkt und zwar gewaltig!

Expertentalk zu DDR5-Arbeitsspeicher am 7.7.2020 Am 7. Juli 2020 von 15:30 bis 17:00 Uhr wird Hardware-Redakteur Marc Sauter eure Fragen zu DDR5 beantworten.
  1. Thema

Neues Thema Ansicht wechseln


  1. Das stinkt und zwar gewaltig!

    Autor: derdiedas 27.03.18 - 12:17

    Hackmanit als unabhängiger Pentester kann ich ohne Probleme nachvollziehen. Aber Rhode und Schwarz als eigenständiger Hersteller für Verschlüsselungsprodukte ist extrem fragwürdig.

    Das BSI definiert am Ende was eingesetzt werden darf (etwa eIdas, oder Brainpool curves in einer ganz speziellen Ausprägung). Wenn das BSI nun offene API's evaluiert und aktive eine einzelne (ist ja nicht das erste mal das sie Botan unterstützen) fördern ist dies weit - und zwar sehr weit - außerhalb ihrer Kompetenzen.

    Und Rhode und Schwarz weiss weit vor allen Konkurrenten das sie mit der Implementierung von Botan eine höhere Wahrscheinlichkeit hat öffentliche Ausschreibungen zu gewinnen. Und die anderen OpenSource Api's stehen "dumm" da weil sie evaluiert werden, davon aber nichts wissen, und evtl. sogar Schwachstellen bewusst nicht gemeldet werden. Genauso wie alle auf diesen API's basierenden Kommerziellen Produkten und OpenSource Lösungen.

    Kurz und knapp - das ganze Vorgehen ist mit fragwürdig noch wohlwollend beschreiben, und es wäre sehr schön wenn Golem diesen Punkten mal investigativ nachgehen würde.

    Gruß ddd

  2. Re: Das stinkt und zwar gewaltig!

    Autor: Cok3.Zer0 27.03.18 - 14:34

    Es sieht ja eher so aus, als wolle man von Seiten des BSI weiter auf Botan setzen, da dies für den ePass bereits 2007 modifiziert wurde:
    Man liest sich mal das hier durch:
    https://www.bsi.bund.de/DE/Themen/Kryptografie_Kryptotechnologie/Kryptografie/Kryptobibliothek/kryptobibliothek_node.html
    "Ziel des Projekts ist die Bereitstellung einer quelloffenen, sicheren, übersichtlichen, kontrollierbaren und gut dokumentierten Kryptobibliothek, die für möglichst viele Einsatzszenarien geeignet ist und auch in Anwendungen mit erhöhtem Sicherheitsbedarf eingesetzt werden kann."
    "Dafür wurde zunächst eine Sichtung und Analyse bestehender Open Source Kryptobibliotheken durchgeführt, um einen geeigneten Kandidaten für eine Weiterentwicklung zu identifizieren."
    "In der zweiten Phase des Projekts wurde Botan tiefergehend kryptographisch untersucht und bestehende Mängel wurden behoben. Fehlende Kryptoprimitive und Standards wurden gemäß den Technischen Richtlinien des BSI nachimplementiert, die Testsuite wurde verbessert und eine Testspezifikation erstellt. Außerdem wurde die Resistenz gegen Seitenkanalangriffe durch geeignete Software-Gegenmaßnahmen verbessert und die Möglichkeit zur Einbindung von kryptographischer Spezialhardware geschaffen. Die Dokumentation wurde verbessert und erweitert."

  3. Re: Das stinkt und zwar gewaltig!

    Autor: AllDayPiano 27.03.18 - 14:56

    R&S hat ein ganz verständliches und nachvollziehbares Interesse. Sie bauen hochpreisige Messhardware, und setzten auch - wie viele andere Hersteller - auf das "Eine Hardware, Rest Software"-Prinzip. Bei Messgeräten, die gerne mal so viel kosten, wie eine Eigentumswohnung in strukturschwacher Gegend, bei denen jede Software-Teil-Lizenz so viel kostet, wie ein Kleinwagen, will man sich als Hersteller ganz verständlicherweise gegen geistigen Diebstahl schützen.

    Ansonsten geht es ihnen so wie Salea mit ihrem Logic Analyzer. Kostenlose Software (die sehr viel kann) bei kopierter, und gecrackter Hardware.

  4. Re: Das stinkt und zwar gewaltig!

    Autor: derdiedas 27.03.18 - 16:20

    Du kennst Rhode und Schwarz scheinbar nur als Messgerätehersteller.

    Rhode und Schwarz stellt wie auch Gemalto, Thales, Genua IT Security Lösungen wie eta HSM (Hardware Security Module) her.

    Das BSI hat also einen Hersteller für Verschlüsselungslösungen OpenSource API's untersuchen lassen, und kommt oh Wunder auf den absoluten Außenseiter als Empfehlung. Denn den hat die Konkurrenz bestimmt nicht implementiert.

    Wenn das nicht "stinkt" dann weiss ich auch nicht weiter...

    Gruß H.

  5. Re: Das stinkt und zwar gewaltig!

    Autor: Lasse Bierstrom 31.03.18 - 12:54

    derdiedas schrieb:
    -------------------------------------------------------------------------------
    >
    > Das BSI hat also einen Hersteller für Verschlüsselungslösungen OpenSource
    > API's untersuchen lassen, und kommt oh Wunder auf den absoluten Außenseiter
    > als Empfehlung. Denn den hat die Konkurrenz bestimmt nicht implementiert.
    >
    > Wenn das nicht "stinkt" dann weiss ich auch nicht weiter...
    >
    > Gruß H.

    JEDER der auf diesem Gebiet spezialisiert ist, wird bei einer Firma arbeiten, welche genau für diese Branche Produkte vertreibt.
    Oder soll das BSI irgendwelche open source Hacker anstellen, weil es dann neutraler wäre? Wer könnte denn das sein? Wäre noch blöder (es melden sich Agenten anderer Sicherheitsdienste?).

    Stinken würde es immer. Jedoch riskieren größere Firmen ihren Ruf, wenn sie hier bewusst Ergebnisse manipulieren würden, und könnten massiv wirtschaftliche Probleme bekommen, sollte das BSI wegen solcher Dinge ermitteln.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. AKKA, Ingolstadt
  2. ACS PharmaProtect GmbH über RAVEN51 AG, Berlin
  3. Universitätsklinikum Münster, Münster
  4. CompuGroup Medical SE & Co. KGaA, Osnabrück

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de