Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Messenger: Sicherheitslücken in…

Wieso bei Amazon S3 gehostet?

  1. Thema

Neues Thema Ansicht wechseln


  1. Wieso bei Amazon S3 gehostet?

    Autor: lumpsum 16.09.16 - 08:43

    Fehler machen ist menschlich und auch der "heilige" Moxie ist nicht perfekt.

    Viel mehr stört mich aber, dass Signal offenbar auf virtuellen Amazon-Servern gehostet ist. Da kann man eigentlich mit 100%iger Sicherheit davon ausgehen, dass der Feind (NSA) mithört und alles schön mitloggt.

    Wenn das Protokoll perfekt wäre, wär das ja alles nicht weiter schlimm, aber die Signal-Protokolle gibt's ja noch nicht so lange. Könnte es nicht sein, dass eines Tages grundlegende Fehler/Lücken im Design des Protokolls auftauchen würden (die dem NSA natürlich schon lange bekannt sind)?

    Wie sieht das mit anderen Protokollen und Technologien wie NaCl/Box Model aus, die schon länger auf dem Markt sind? Können diese prinzipiell als sicherer betrachtet werden, weil schon mehr Leute drübergeschaut haben?

  2. Re: Wieso bei Amazon S3 gehostet?

    Autor: timistcool 16.09.16 - 09:00

    Das Axolotl-Protokoll (mittlerweile langweilig nur noch "Signal"-Protokoll) verwendet Perfect Forward Secrecy um genau das zu verhindern was du beschreibst. D.h. dir NSA kann loggen so viel sie will, sollte ein Schlüssel mal bekannt werden (wie auch immer..) ist immer nur die letzte gesendete Nachricht angreifbar.

    Bei moderner Krypto geht man übrigens immer davon aus, dass der Kanal unsicher ist und jemand mitliest. Dass muss das Protokoll abkönnen ;)

    Gehostet wird das bei Amazon weil man für einen Messenger eben besondere Anforderungen an Verfügbarkeit und Latenz hat. Übrigens verwendet Signal auch Google Cloud Messaging, also noch eine Stelle an der die NSA mitliest.

  3. Re: Wieso bei Amazon S3 gehostet?

    Autor: lumpsum 16.09.16 - 09:10

    timistcool schrieb:
    --------------------------------------------------------------------------------
    > dir NSA kann loggen so viel sie will, sollte ein
    > Schlüssel mal bekannt werden (wie auch immer..) ist immer nur die letzte
    > gesendete Nachricht angreifbar.

    Dazu muss das Protokoll allerdings wasserdicht sein. Und das Signal-Protokoll hat den Test der Zeit erst noch zu bestehen. Hoffen wir mal, dass da nicht noch eine böse Lücke drin schlummert.

  4. Re: Wieso bei Amazon S3 gehostet?

    Autor: minecrawlerx 16.09.16 - 09:23

    Witzig. Du redest so, als ob die Daten nicht über NSA-kontrollierte Netze geroutet würden...

  5. Re: Wieso bei Amazon S3 gehostet?

    Autor: Enter the Nexus 16.09.16 - 14:25

    lumpsum schrieb:
    --------------------------------------------------------------------------------
    > timistcool schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > dir NSA kann loggen so viel sie will, sollte ein
    > > Schlüssel mal bekannt werden (wie auch immer..) ist immer nur die letzte
    > > gesendete Nachricht angreifbar.
    >
    > Dazu muss das Protokoll allerdings wasserdicht sein. Und das
    > Signal-Protokoll hat den Test der Zeit erst noch zu bestehen. Hoffen wir
    > mal, dass da nicht noch eine böse Lücke drin schlummert.

    Wenn ich eh davon ausgehe, dass die Verschlüsselung nicht sicher ist, dann kann ich ja auch gleich unverschlüsselt verschicken. Was macht das dann für einen Unterschied?

  6. Re: Wieso bei Amazon S3 gehostet?

    Autor: Enter the Nexus 16.09.16 - 14:27

    lumpsum schrieb:
    --------------------------------------------------------------------------------
    > Viel mehr stört mich aber, dass Signal offenbar auf virtuellen
    > Amazon-Servern gehostet ist. Da kann man eigentlich mit 100%iger Sicherheit
    > davon ausgehen, dass der Feind (NSA) mithört und alles schön mitloggt.

    Die NSA hört sicher weltweit an genügend Internetknoten mit. Da ist es egal, wo du den Kram hostest.

    > Wie sieht das mit anderen Protokollen und Technologien wie NaCl/Box Model
    > aus, die schon länger auf dem Markt sind? Können diese prinzipiell als
    > sicherer betrachtet werden, weil schon mehr Leute drübergeschaut haben?

    Jedes Protokoll gilt so lange als sicher, bis das Gegenteil bewiesen ist. Das eine ist also nicht sicherer als das andere, nur weil es älter ist.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Paul Henke GmbH & Co. KG, Löhne
  2. Höchstleistungsrechenzentrum Universität Stuttgart HLRS, Stuttgart
  3. GELSENWASSER AG, Gelsenkirchen
  4. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 4,99€
  2. 12,99€
  3. (-12%) 52,99€
  4. 0,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mädchen und IT: Fehler im System
Mädchen und IT
Fehler im System

Bis zu einem gewissen Alter sind Jungen und Mädchen gleichermaßen an Technik interessiert. Wenn es dann aber um die Berufswahl geht, entscheiden sich immer noch viel mehr junge Männer als Frauen für die IT. Ein wichtiger Grund dafür ist in der Schule zu suchen.
Von Valerie Lux

  1. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  2. 5G Milliardenlücke beim Digitalpakt Schule droht
  3. Medienkompetenz Was, Ihr Kind kann nicht programmieren?

Funkstandards: Womit funkt das smarte Heim?
Funkstandards
Womit funkt das smarte Heim?

Ob Wohnung oder Haus: Smart soll es bitte sein. Und wenn das nicht von Anfang an klappt, soll die Nachrüstung zum Smart Home so wenig aufwendig wie möglich sein. Dafür kommen vor allem Funklösungen infrage, wir stellen die gebräuchlichsten vor.
Von Jan Rähm

  1. Local Home SDK Google bietet SDK für Smarthomesteuerung im lokalen Netzwerk
  2. GE Smarte Lampe mit 11- bis 13-stufigem Resetverfahren
  3. IoT Smart Homes ohne Internet, geht das? Ja!

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

  1. E-Scooter: Leih-Tretroller sollen auch im Winter in Berlin fahren
    E-Scooter
    Leih-Tretroller sollen auch im Winter in Berlin fahren

    Seit Juni 2019 sind E-Scooter auf deutschen Straßen erlaubt, seitdem sind in einer Reihe von Städten Leihangebote gestartet. Nun geht es für die Anbieter in die erste Wintersaison: In Berlin wollen sie das Angebot fortsetzen - doch Einschränkungen behalten sie sich vor.

  2. Mark Zuckerberg: Freiheit ist immer die Freiheit von Facebook
    Mark Zuckerberg
    Freiheit ist immer die Freiheit von Facebook

    Facebook-Chef Mark Zuckerberg hat sich in einer Rede als Hüter der Meinungsfreiheit aufgespielt. Darunter versteht er vor allem den eigenen Vorteil.

  3. Proteste in Hongkong: Hochrangige US-Politiker schreiben an Activision und Apple
    Proteste in Hongkong
    Hochrangige US-Politiker schreiben an Activision und Apple

    Alexandria Ocasio-Cortez, Marco Rubio und weitere Politiker der großen US-Parteien haben offene Briefe an die Chefs von Activision Blizzard und Apple geschrieben. Sie fordern darin, dass die Firmen nicht mehr die chinesische Regierung in deren Kampf gegen die Proteste in Hongkong unterstützen.


  1. 12:56

  2. 11:20

  3. 14:43

  4. 13:45

  5. 12:49

  6. 11:35

  7. 18:18

  8. 18:00