1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Messenger: Matrix.org-Server gehackt

unverschlüsselte nachrichten in datenbanken?

  1. Thema

Neues Thema Ansicht wechseln


  1. unverschlüsselte nachrichten in datenbanken?

    Autor: jake 12.04.19 - 13:36

    bin ich im falschen jahrhundert!? wird zeit, dass sowas endlich strafbar wird, genauso wie das zulassen schwacher passwörter und das fehlen von 2fa o.ä.!

  2. Re: unverschlüsselte nachrichten in datenbanken?

    Autor: EaglePsyX 12.04.19 - 13:39

    End-zu-End-Verschlüsselung.
    Das Ende ist der Server; dort liegen die in der Regel oft unverschlüsselt, wie auf jedem Endgerät (Handy etc.). Das wird bei Google, WhatsApp und Co. auch nicht anders sein. Selbst wenn die verschlüsselt sind, muss der Schlüssel zugänglich für den Server sein --> wenn man im System ist, hat man auch den.

    Verschlüsselte SQL-Datenbanken bzw. Datensätze gibt es, sind mir aber noch nie produktiv unter die Lupe gekommen ( https://dev.mysql.com/doc/refman/5.5/en/encryption-functions.html ).

    Ich arbeite aus Spaß schon länger konzeptionell an eine Finanzsoftware die ausschließlich über verschlüsselte Tabellen läuft. Der Schlüssel stammt vom User bzw. wird generiert (und verschlüsselt). Aber ohne Kennwort des Benutzer sind die Daten unlesbar. "Kennwort vergessen"-Felder gibt es da nicht mehr :-D Einmal weg, immer weg.



    3 mal bearbeitet, zuletzt am 12.04.19 13:44 durch EaglePsyX.

  3. Re: unverschlüsselte nachrichten in datenbanken?

    Autor: HiddenX 12.04.19 - 14:25

    EaglePsyX schrieb:
    --------------------------------------------------------------------------------
    > Selbst wenn die verschlüsselt sind, muss der
    > Schlüssel zugänglich für den Server sein --> wenn man im System ist, hat
    > man auch den.
    Mit einem HSM nicht. Wie viel der Angreifer da entschlüsselt bekommt hängt dann davon ab wann man merkt, dass er im System ist. Ansonsten ist es aber im allgemeinen auch schwieriger den Schlüssel zu finden als eine Datenbank zu klauen.

    Ganz allgemein halte ich es aber für unwahrscheinlich, dass irgend ein Chatanbieter alle Nachrichten tatsächlich in der DB verschlüsselt speichert. Das Kosten-Nutzen-Verhältnis ist vermutlich recht bescheiden.



    1 mal bearbeitet, zuletzt am 12.04.19 14:26 durch HiddenX.

  4. Re: unverschlüsselte nachrichten in datenbanken?

    Autor: 73496587346 12.04.19 - 14:51

    EaglePsyX schrieb:
    --------------------------------------------------------------------------------
    > End-zu-End-Verschlüsselung.
    > Das Ende ist der Server; dort liegen die in der Regel oft unverschlüsselt,
    > wie auf jedem Endgerät (Handy etc.). Das wird bei Google, WhatsApp und Co.
    > auch nicht anders sein. Selbst wenn die verschlüsselt sind, muss der
    > Schlüssel zugänglich für den Server sein --> wenn man im System ist, hat
    > man auch den.

    Bei synapse, der matrix.org Server Referenzimplementierung, ist End-zu-End-Verschlüsselung (noch) optional, bzw. by default aus.
    Im zukünftigen, nicht Beta-Release, soll dies anders sein (Genauere Details zum Switch sind mir nicht bekannt)
    Deshalb werden die meisten Nachrichten noch im Klartext auf dem Server liegen.

    Bis vor einer Weile (genaue Server/Client Version habe ich nicht im Kopf) waren die Verschlüssenungs Keys NICHT auf der Serverseite gespeichert.
    Inzwischen wird aber eine Serverseitiges "Key Backup" Funktion angeboten (In der dem User offen kommuniziert wird was passiert, wenn er diese nutzt). Dieses Key Backup ist aber nochmal durch ein User Password verschlüsselt.

    Ob, das jetzt gut oder meh ist, will und kann ich nicht bewerten, aber was EaglePsyX suggeriert oder mutmaßt ist Mumpitz.
    Ich wage auch zu bezweifeln das es bei WhatsApp und Co heißt: "End-zu-End-Verschlüsselung? Wir speichern in Klartext und nennen es nur so" oder "wir MÜSSEN serverseitig den decryptKey lesen können". Auf was stützt EaglePsyX diese Aussagen?

  5. Re: unverschlüsselte nachrichten in datenbanken?

    Autor: EaglePsyX 12.04.19 - 16:09

    73496587346 schrieb:
    --------------------------------------------------------------------------------
    > "End-zu-End-Verschlüsselung? Wir speichern in Klartext und nennen es nur
    > so" oder "wir MÜSSEN serverseitig den decryptKey lesen können". Auf was
    > stützt EaglePsyX diese Aussagen?

    Ich sehe gerade, dass ich mich vertan habe. Daher ist diese Aussage jetzt wohl leider nichtig. Richtig, wenn beide Enden ein "Handy" sein sollen; sollte im besten Fall nur dort entschlüsselt werden. Im Allgemeinen bin ich da immer sehr skeptisch. Nicht zuletzt, da WhatsApp Geld eintreiben muss.

    "End-zu-End-Verschlüsselung? Wir speichern in Klartext und nennen es nur so" na ja, jetzt wird es lustig mit den Ausmaßen davon. Auf meinen Handy sehe ich die Nachrichten innerhalb WhatsApp unverschlüsselt: im Klartext. Wer sagt mir, dass dies dann nicht ausgewertet wird? Letztlich will WhatsApp (personalisierte?) Werbung schalten oder muss Daten verkaufen. An welcher Stelle man diese abgreift ist irrelevant.

    Peer-to-peer encryption wäre das Ziel. So muss der Server Nachrichten lokal (un)verschlüsselt "zwischenspeichern". XMPP im meiner Umgebung kann z.B. keine Nachrichten zustellen, wenn das andere Gerät deaktiviert ist bzw. kein Empfang hat.



    2 mal bearbeitet, zuletzt am 12.04.19 16:15 durch EaglePsyX.

  6. Matrix passt schon

    Autor: Neuro-Chef 12.04.19 - 16:12

    73496587346 schrieb:
    > Bei synapse, der matrix.org Server Referenzimplementierung, ist
    > End-zu-End-Verschlüsselung (noch) optional, bzw. by default aus.
    Kann aber in Riot sehr einfach pro Chatroom eingeschaltet werden und bleibt dann auch an.

    > Deshalb werden die meisten Nachrichten noch im Klartext auf dem Server liegen.
    Was z.B. beim öffentlichen Community-Chats als Mailingslisten-Äquivalent keinen Schaden bedeutet, weil dort sowieso jeder teilnehmen kann. Allzu viele technisch unbedarfte Nutzer wird Matrix aktuelle aber noch nicht haben.

    > Bis vor einer Weile (genaue Server/Client Version habe ich nicht im Kopf)
    > waren die Verschlüssenungs Keys NICHT auf der Serverseite gespeichert.
    > Inzwischen wird aber eine Serverseitiges "Key Backup" Funktion angeboten
    > (In der dem User offen kommuniziert wird was passiert, wenn er diese
    > nutzt). Dieses Key Backup ist aber nochmal durch ein User Password
    > verschlüsselt.
    Passphrase, wenn man's genau nimmt. Ich habe mich gestern zunächst nur gewundert, dass matrix.org nicht erreichbar ist und nach Lesen dieser News erfolgreich meine verschlüsselten Chats mit eben dieser Passphrase wiederhergestellt :)

    > Ob, das jetzt gut oder meh ist, will und kann ich nicht bewerten, aber was
    > EaglePsyX suggeriert oder mutmaßt ist Mumpitz.
    Korrekt. Solche mit Blick auf Verschlüsselung entworfenen Kommunikationsdienste sind ne andere Hausnummer als das, was man als Admin in den meisten Unternehmen so vorfindet. Kenne jemanden im ÖD, die arbeiten da tatsächlich immer noch mit MS Access :D

    -> Heul' doch! ¯\_(ツ)_/¯

    » Niemand ist vollkommen, aber irre sind ganz sicher viele. « – Vollkommen Irrer ಠ_ಠ

    Verifizierter Top 500 Poster!



    1 mal bearbeitet, zuletzt am 12.04.19 16:40 durch sfe (Golem.de).

  7. Re: unverschlüsselte nachrichten in datenbanken?

    Autor: Neuro-Chef 12.04.19 - 16:22

    EaglePsyX schrieb:
    > "End-zu-End-Verschlüsselung? Wir speichern in Klartext und nennen es nur
    > so" na ja, jetzt wird es lustig mit der Interpretation davon. Auf meinen
    > Handy sehe ich die Nachrichten *innerhalb* der WhatsApp-Anwendung
    > unverschlüsselt: im Klartext. Wer sagt mir, dass dies dann nicht
    > ausgewertet wird? Letztlich will WhatsApp (personalisierte?) Werbung
    > schalten oder muss Daten verkaufen.
    Natürlich kannst du das nicht wirklich kontrollieren und könnte Facebook die E2E-Verschlüsselung jederzeit per Update rauspatchen, ohne dass dies offensichtlich wäre. Genau darum ist es ja so wichtig, dass mit dem Matrix-Protokoll an einer offenen Alternative gearbeitet wird.
    Mit matrix.org als zuverlässigstem und größten Server und Riot vom gleichen Team als nutzbarster Referenzimplementierung ist das ganze zwar noch etwas wackelig, aber zumindest gibt es für Android und Linux einige unabhängige Package Maintainer des Clients.

    Sobald das Protokoll aber stabil ist und mehr funktionierende unabhängige Implementierungen entstehen, wäre ein bösartiger Server, der die Verschlüselung aufbrechen will, wohl schlicht nich mehr kompatibel mit den Clients.

    -> Heul' doch! ¯\_(ツ)_/¯

    » Niemand ist vollkommen, aber irre sind ganz sicher viele. « – Vollkommen Irrer ಠ_ಠ

    Verifizierter Top 500 Poster!

  8. Re: unverschlüsselte nachrichten in datenbanken?

    Autor: 0110101111010001 12.04.19 - 22:50

    Was fürn mist erzählst du hier?

  9. Re: unverschlüsselte nachrichten in datenbanken?

    Autor: Jesper 14.04.19 - 01:42

    End-To-End heißt Sender und Empfänger, der Server soll hier nichts unverschlüsseltes haben.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Universitätsklinikum Frankfurt, Frankfurt
  2. Allianz Deutschland AG, Stuttgart
  3. Deloitte, Düsseldorf, Stuttgart, Hamburg, München, Frankfurt
  4. INIT Group, Karlsruhe

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-79%) 5,99€
  2. 18,99€
  3. 4,32€
  4. 2,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mobile-Games-Auslese: Märchen-Diablo für Mobile-Geräte
Mobile-Games-Auslese
Märchen-Diablo für Mobile-Geräte

"Einarmiger Schmied" als Klasse? Diablo bietet das nicht - das wunderschöne Yaga schon. Auch sonst finden sich in der neuen Mobile-Games-Auslese viele spannende und originelle Perlen.
Von Rainer Sigl

  1. Mobile-Games-Auslese Fantasypixel und Verkehrsplanung für unterwegs
  2. Mobile-Games-Auslese Superheld und Schlapphutträger zu Besuch im Smartphone
  3. Mobile-Games-Auslese Verdrehte Räume und verrückte Zombies für unterwegs

Smarter Akku-Lautsprecher im Praxistest: Bose zeigt Sonos, wie es geht
Smarter Akku-Lautsprecher im Praxistest
Bose zeigt Sonos, wie es geht

Der Portable Home Speaker ist Boses erster smarter Lautsprecher mit Akkubetrieb. Aus dem kompakten Gehäuse wird ein toller Klang und eine lange Akkulaufzeit geholt. Er kann anders als der Sonos Move sinnvoll als smarter Lautsprecher verwendet werden. Ganz ohne Schwächen ist er aber nicht.
Ein Praxistest von Ingo Pakalski

  1. ANC-Kopfhörer Bose macht die Noise Cancelling Headphones 700 besser
  2. Anti-Schnarch-Kopfhörer Bose stellt Sleepbuds wegen Qualitätsmängeln ein
  3. Noise Cancelling Headphones 700 im Test Boses bester ANC-Kopfhörer sticht Sony vielfach aus

Männer und Frauen in der IT: Gibt es wirklich Chancengleichheit in Deutschland?
Männer und Frauen in der IT
Gibt es wirklich Chancengleichheit in Deutschland?

Der Mann arbeitet, die Frau macht den Haushalt und zieht die Kinder groß - ein Bild aus längst vergangenen westdeutschen Zeiten? Nein, zeigen uns die aktuellen Zahlen. Nach wie vor sind die Rollenbilder stark, und das hat auch Auswirkungen auf den Anteil von Frauen in der IT-Branche.
Von Valerie Lux

  1. HR-Analytics Weshalb Mitarbeiter kündigen
  2. Frauen in der IT Ist Logik von Natur aus Männersache?
  3. IT-Jobs Gibt es den Fachkräftemangel wirklich?

  1. Snapdragon XR2: Qualcomm hat ersten XR-Chip mit 5G-Option
    Snapdragon XR2
    Qualcomm hat ersten XR-Chip mit 5G-Option

    Egal ob Brille oder Headset: Mit dem Snapdragon XR2 sollen AR-, MR- und VR-Geräte deutlich besser werden. Der Chip ist eine Version des Snapdragon 865, er unterstützt Augen-, Gesichts- und Hand-Tracking.

  2. Snapdragon 8c/7c: Zwei Chips für Chromebooks und Win10 on ARM
    Snapdragon 8c/7c
    Zwei Chips für Chromebooks und Win10 on ARM

    Qualcomm stellt sich breiter auf: Der Snapdragon 8c folgt auf den Snapdragon 8cx und ist für günstigere Notebooks mit Windows 10 on ARM gedacht, der Snapdragon 7c wird in Chromebooks stecken.

  3. Bundeskartellamt: Telekom und Ewe dürfen zusammen Glasfaser ausbauen
    Bundeskartellamt
    Telekom und Ewe dürfen zusammen Glasfaser ausbauen

    Mit hohen Auflagen hat das Bundeskartellamt wesentliche Teile der Glasfaser-Kooperation zwischen Telekom und Ewe genehmigt. Die Partner haben sich noch nicht dazu geäußert.


  1. 01:12

  2. 21:30

  3. 16:40

  4. 16:12

  5. 15:50

  6. 15:28

  7. 15:11

  8. 14:45