1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Telegram: Der wertlose Krypto-Contest
  6. The…

Schmutzkampagne?

  1. Thema
  1. 1
  2. 2
  3. 3

Neues Thema Ansicht wechseln


  1. Re: Schmutzkampagne?

    Autor: monkeybrain 03.03.14 - 20:40

    DerGoldeneReiter schrieb:
    --------------------------------------------------------------------------------
    > monkeybrain schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Lass es mich mal versuchen:
    > >
    > > Wie bewertest du die Überschrift "Telegram - der wertlose Cryptocontest"?
    >
    > >

    > Die Überschrift ist logischerweise alles andere als neutral, ist ein
    > Aufhänger auf Klickfang. Trotzdem finde ich den alten Wettbewerb nutzlos.
    > So weit ich weiß, hat keiner diesen Wettbewerb gewonnen.

    Es wurden Probleme gefunden und beseitigt, die ohne den Wettbewerb wahrscheinlich immer noch bestanden hätten. Damit wurde die Sicherheit erhöht und auch wenn es keinen Hauptgewinner für den Preis gab, mehr Sicherheit für alle Nutzer sehe ich jetzt nicht als wertlos. Oder war das Ziel etwa nicht die Sicherheit, sondern Geld verdienen? War das einfach nur ein Gewinnspiel?

    > > Und dann frag dich mal, warum Golem zwar den Wettbewerb anspricht,
    > jedoch
    > > nicht die Ergebnisse. Wie du auch hier nachlesen kannst:
    > > telegram.org
    > > Haben nicht nur einer, sondern fünf namentlich bekannte User einen
    > Beitrag
    > > zur Sicherheit geleistet, zumindest bei x7mz bin ich mir sicher, das er
    > mit
    > > $100,000 entlohnt wurde (und das im Dezember 2013). Das hat sich für die
    > > Mitmacher genauso gelohnt, wie für Telegram, und damit hat sich mehr
    > > Sicherheit für alle Telegramuser ergeben.
    > Ich kenne jetzt nur den 100.000USD Fall, und das hatte nichts mit dem
    > Wetbewerb zu tun sondern mit dem Mangel an kryptographischer Erfahrung der
    > Entwickler und einer eigenwilligen Modifikation eines etablierten
    > Algorithmus.

    Das siehst du falsch. Auslöser für die Suche war der Wettbewerb. Die Suche war erfolgreich, auch wenn nicht das komplette Protokoll entschlüsselt wurde, so wurden doch mögliche Schwachstellen entdeckt (nonce an der Stelle hätte zum MitM genutzt werden können, das wurde schlichtweg übersehen und wirde innerhalb von Tagen korrigiert).
    Neue Implementierungen können immer solche Überraschungen bieten (z.B. falsches Speichermanagement weil die Hardware anders arbeitet, als erwartet), genau deshalb erwarte ich eine genaue Prüfung der Software. Daher halte ich das Konzept des OpenSource kombiniert mit einem Motivator (Contest) für eine exzellente Methode um die Sicherheit zu erhöhen.

    Man braucht von Kryptografie nicht mal viel Ahnung zu haben um sicher zu verschlüsseln. Nutz zum Beispiel die Einwegverschlüsselung, die lässt sich nicht via bruteforce knacken, wärend AES angreifbar ist. Am Anfang brauchte man glaub ich 2^254 Schritte, wärend inzwischen "nur noch" 2^99,5 nötig sind. Das dauert zwar immer noch zig Jahre, aber die NSA würde nicht ein ganzes Datencenter nur für AES reservieren, wenn sie die Chancen zu schlecht sehen. Das ist auch der Grund, warum man mehrere Verfahren kombiniert, und warum durch die Kombination plötzlich Protokolle entstehen, welche so vorher noch nie benutzt wurden. Damit macht man die bestehenden Angriffsmöglichkeiten, jene die den Aufwand so deutlich reduzieren, wieder zunichte, ohne die Rechenzeit fürs verschlüsseln unnötig lang zu machen.

    Was hast du Beispielsweise gegen IGE in der Kombination, wie sie eingesetzt wird? TextSecure nutzt statt dessen AGM, der Grund für beide Anpassungen ist jedoch genau der Gleiche, auch wenn die Umsetzung anders ist.

  2. Re: Schmutzkampagne?

    Autor: migerh 03.03.14 - 21:31

    monkeybrain schrieb:
    --------------------------------------------------------------------------------
    > Man braucht von Kryptografie nicht mal viel Ahnung zu haben um sicher zu
    > verschlüsseln. Nutz zum Beispiel die Einwegverschlüsselung, die lässt sich
    > nicht via bruteforce knacken, wärend AES angreifbar ist. Am Anfang brauchte
    > man glaub ich 2^254 Schritte, wärend inzwischen "nur noch" 2^99,5 nötig
    > sind. Das dauert zwar immer noch zig Jahre, aber die NSA würde nicht ein
    > ganzes Datencenter nur für AES reservieren, wenn sie die Chancen zu
    > schlecht sehen.
    Wenn man am Ende etwas sicheres haben will, sollte man sich zumindest etwas damit beschaeftigen. Einwegverschluesselung und AES sind auch schwerlich vergleichbar. Inwiefern ist Einwegverschluesselung nicht mit Brute-Force "knackbar"?

    Der 2^99.5er Angriff auf AES betrifft nur AES-256. Nimm AES-192, da bist mit 2^176 noch gut dabei.

    > Das ist auch der Grund, warum man mehrere Verfahren
    > kombiniert, und warum durch die Kombination plötzlich Protokolle entstehen,
    > welche so vorher noch nie benutzt wurden. Damit macht man die bestehenden
    > Angriffsmöglichkeiten, jene die den Aufwand so deutlich reduzieren, wieder
    > zunichte, ohne die Rechenzeit fürs verschlüsseln unnötig lang zu machen.
    > Was hast du Beispielsweise gegen IGE in der Kombination, wie sie eingesetzt
    > wird? TextSecure nutzt statt dessen AGM, der Grund für beide Anpassungen
    > ist jedoch genau der Gleiche, auch wenn die Umsetzung anders ist.
    Nein, der Grund, warum man verschiedene Verfahren zu Protokollen kombiniert, ist, dass die einzelnen Bausteine jeder einen anderen Zweck erfuellen. AES alleine bietet keine Sicherheit, wenn die Nachricht groesser als ein AES Block ist. ECB sollte man hier tunlichst vermeiden (google image suche nach "ECB tux", ist ein bekanntes beispiel), weil es Informationen ueber die Message leaked. Also sucht man sich Verfahren, bei denen die einzelnen Bloecke von anderen abhaengen, z.B. CBC oder CTR mode. Die helfen aber nur gegen passive Angreifer, aktive Angriffe, bei denen cipher text manipuliert wird sind immer noch moeglich. Also braucht man authenticated encryption. Bis es da brauchbare authentication encryption modes gab murkste jeder sein eigenes Sueppchen zusammen, mac-then-encrypt, mac-and-encrypt, encrypt-then-mac. Mittlerweile gibt es aber auch hier brauchbare modes: CCM, EAX und GCM. IGE ist aber kein authenticated mode, das haben sich die Telegram Macher mit SHA-1 hingebastelt mit einer Art mac-and-encrypt (wie zu der Zeit, als es noch keine authenticated encryption modes gab).

    Ich kenne weder AGM, noch hatte ich die Gelegenheit mich mit der Krypto in TextSecure auseinanderzusetzen, aber das klingt auf den ersten Blick spannend... Wenn TextSecure aber nach wie vor verschluesselte SMS anbietet, dann haben die ganz andere Nebenbedingungen als Telegram indem sie sich an bestimmte Groessenbeschraenkungen halten muessen.

  3. Re: Schmutzkampagne?

    Autor: DerGoldeneReiter 03.03.14 - 22:13

    monkeybrain schrieb:
    --------------------------------------------------------------------------------
    > DerGoldeneReiter schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > monkeybrain schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Lass es mich mal versuchen:
    > > >
    > > > Wie bewertest du die Überschrift "Telegram - der wertlose
    > Cryptocontest"?
    > >
    > > >
    >
    > > Die Überschrift ist logischerweise alles andere als neutral, ist ein
    > > Aufhänger auf Klickfang. Trotzdem finde ich den alten Wettbewerb
    > nutzlos.
    > > So weit ich weiß, hat keiner diesen Wettbewerb gewonnen.
    >
    > Es wurden Probleme gefunden und beseitigt, die ohne den Wettbewerb
    > wahrscheinlich immer noch bestanden hätten. Damit wurde die Sicherheit
    > erhöht und auch wenn es keinen Hauptgewinner für den Preis gab, mehr
    > Sicherheit für alle Nutzer sehe ich jetzt nicht als wertlos. Oder war das
    > Ziel etwa nicht die Sicherheit, sondern Geld verdienen? War das einfach nur
    > ein Gewinnspiel?
    Ich meinte der Wettbewerb in sich geschlossen war nutzlos, dabei bleibe ich. Ich sehe nutzen des eigentlichen Wettbewerbs etwas verkapselter. Du hast natürlich vollkommen Recht, dass durch den Wettbewerb als 'Nebenwirkung' andere wichtige Lücken gefunden wurden. Im gesamtheitlichen Sinne war das sicher äußerst nützlich.

    > > > Und dann frag dich mal, warum Golem zwar den Wettbewerb anspricht,
    > > jedoch
    > > > nicht die Ergebnisse. Wie du auch hier nachlesen kannst:
    > > > telegram.org
    > > > Haben nicht nur einer, sondern fünf namentlich bekannte User einen
    > > Beitrag
    > > > zur Sicherheit geleistet, zumindest bei x7mz bin ich mir sicher, das
    > er
    > > mit
    > > > $100,000 entlohnt wurde (und das im Dezember 2013). Das hat sich für
    > die
    > > > Mitmacher genauso gelohnt, wie für Telegram, und damit hat sich mehr
    > > > Sicherheit für alle Telegramuser ergeben.
    > > Ich kenne jetzt nur den 100.000USD Fall, und das hatte nichts mit dem
    > > Wetbewerb zu tun sondern mit dem Mangel an kryptographischer Erfahrung
    > der
    > > Entwickler und einer eigenwilligen Modifikation eines etablierten
    > > Algorithmus.
    >
    > Das siehst du falsch. Auslöser für die Suche war der Wettbewerb. Die Suche
    > war erfolgreich, auch wenn nicht das komplette Protokoll entschlüsselt
    > wurde, so wurden doch mögliche Schwachstellen entdeckt (nonce an der Stelle
    > hätte zum MitM genutzt werden können, das wurde schlichtweg übersehen und
    > wirde innerhalb von Tagen korrigiert).
    > Neue Implementierungen können immer solche Überraschungen bieten (z.B.
    > falsches Speichermanagement weil die Hardware anders arbeitet, als
    > erwartet), genau deshalb erwarte ich eine genaue Prüfung der Software.
    > Daher halte ich das Konzept des OpenSource kombiniert mit einem Motivator
    > (Contest) für eine exzellente Methode um die Sicherheit zu erhöhen.
    Siehe oben.

    > Man braucht von Kryptografie nicht mal viel Ahnung zu haben um sicher zu
    > verschlüsseln. Nutz zum Beispiel die Einwegverschlüsselung, die lässt sich
    > nicht via bruteforce knacken, wärend AES angreifbar ist. Am Anfang brauchte
    > man glaub ich 2^254 Schritte, wärend inzwischen "nur noch" 2^99,5 nötig
    > sind. Das dauert zwar immer noch zig Jahre, aber die NSA würde nicht ein
    > ganzes Datencenter nur für AES reservieren, wenn sie die Chancen zu
    > schlecht sehen. Das ist auch der Grund, warum man mehrere Verfahren
    > kombiniert, und warum durch die Kombination plötzlich Protokolle entstehen,
    > welche so vorher noch nie benutzt wurden. Damit macht man die bestehenden
    > Angriffsmöglichkeiten, jene die den Aufwand so deutlich reduzieren, wieder
    > zunichte, ohne die Rechenzeit fürs verschlüsseln unnötig lang zu machen.
    Klingt vernünftig.

    > Was hast du Beispielsweise gegen IGE in der Kombination, wie sie eingesetzt
    > wird? TextSecure nutzt statt dessen AGM, der Grund für beide Anpassungen
    > ist jedoch genau der Gleiche, auch wenn die Umsetzung anders ist.

    Es ging mir in erster Linie, das der Artikel als "Schmutzkampagne" betitelt wird, darum geht es ja in diesem Thread, oder nicht? Ich habe nichts dagegen wie Telegram etwas macht oder was es einsetzt um die eigene Verschlüsselung zu realisieren. Wenn man ungewöhnliche, eigene Wege geht, ist es aus Erfahrung höchstwahrscheinlich das man grobe Fehler macht was auch passiert ist (DH Modigfikation). Niemand ist als Meister geboren worden und in den Anfängen von Telegram Können sich größere Lücken auftun. Das MTProto ist noch nicht lange in der Existenz und muss sich beweisen, was Zeit braucht, wie du ja schon richtig erwähnt hast. Der Artikel sagt nicht das Telegram unsicher ist aber Telegram muss noch reifen bis Tücken und Kanten geebnet haben. Darin sehe ich keine "Schmutzkampagne".

    Naja, eigentlich habe ich doch ein bisschen was dagegen, wie Telegram etwas macht. Wäre schön, wenn E2E-Verschlüsselung standardmäßig aktiviert wäre, auch in Gruppenchats. :)

  4. Re: Schmutzkampagne?

    Autor: monkeybrain 03.03.14 - 22:23

    Sorry, ich meinte die Einzelverschlüsselung, zu Englisch "one time pad". Keine Ahnung wie ich auf die Einwegübersetzung kam.

    Das Verfahren kann nicht durch ausprobieren/durchprobieren geknackt werden, da es immer mehr als eine mögliche "Lösung" gibt, einzig das Ausspähen des Schlüssels oder die falsche Benutzung (zum Beispiel Mehrmals der gleiche Schlüssel) bietet Angriffsfläche.

    Der Grund, warum sich sowas nicht in aktuellen Messengern findet ist schlichtweg Zeit bzw. nötige Datenmenge.

    Telegram nutzt, wenn ich das richtig verstehe, mac-and-encrypt mit dem sha-1 um Schlüssel und iv vom Hash abhängig zu machen.
    IGE ist genauso sicher gegen nicht-adaptives CPA wie CBC. Der Schwachpunkt von IGE ist blockadaptives CPA, wobei im Telegramprotokoll dies nicht passieren kann, da jede Nachricht einen anderen Schlüssel verwendet (daher das Süppchen mit sha-1). Vieleicht ein Umweg, der meinem zugegeben laienhaften Verständnis trotzdem genau jeden Part absichert, den IGE angreifbar machen würde. Was spricht also gegen eine IGE Umsetzung, wenn sich daraus keine Angriffsfläche ergibt?

  5. Re: Schmutzkampagne?

    Autor: DerGoldeneReiter 03.03.14 - 22:35

    monkeybrain schrieb:
    --------------------------------------------------------------------------------
    > Sorry, ich meinte die Einzelverschlüsselung, zu Englisch "one time pad".
    > Keine Ahnung wie ich auf die Einwegübersetzung kam.

    Huch, da habe ich wohl drüber gelesen. :D

  6. Re: Schmutzkampagne?

    Autor: migerh 04.03.14 - 07:12

    monkeybrain schrieb:
    --------------------------------------------------------------------------------
    > Telegram nutzt, wenn ich das richtig verstehe, mac-and-encrypt mit dem
    > sha-1 um Schlüssel und iv vom Hash abhängig zu machen.
    > IGE ist genauso sicher gegen nicht-adaptives CPA wie CBC. Der Schwachpunkt
    > von IGE ist blockadaptives CPA, wobei im Telegramprotokoll dies nicht
    > passieren kann, da jede Nachricht einen anderen Schlüssel verwendet (daher
    > das Süppchen mit sha-1). Vieleicht ein Umweg, der meinem zugegeben
    > laienhaften Verständnis trotzdem genau jeden Part absichert, den IGE
    > angreifbar machen würde. Was spricht also gegen eine IGE Umsetzung, wenn
    > sich daraus keine Angriffsfläche ergibt?
    Weil genau das nicht erwiesen ist. Ausserdem ist das ein lange geloestes Problem: Du willst Vertraulichkeit und Integritaet? Nimm einen authenticated encryption mode. Fertig. Wozu Zeit und Geld in die Entwicklung von etwas Neuem investieren, wenn es bereits fertige Loesungen gibt? Noch dazu mit IGE und SHA-1, beide - fuer sich allein gesehen - sind unsicher. Daraus folgt natuerlich nicht, dass die Kombination auch unsicher sein muss (siehe HMAC und SHA-1, auch wenn heute auch bei HMAC SHA-256 oder SHA-512 genutzt wird), aber eben auch nicht automatisch, dass sie sicher ist.

    Als Begruendung finde ich nur die Behauptung, dass die etwas brauchten, "was schneller ist". Allerdings finde ich nirgendwo Benchmarks. Ueber Links dazu wuerde ich mich freuen.

    Der (mittlerweile abgelaufene) Wettbewerb aendert auch nichts an den Zweifeln, weil er nicht geeignet ist, das Protokoll selbst anzugreifen. Es wird sich zeigen, ob der neue Wettbewerb besser wird.

  7. Re: Schmutzkampagne?

    Autor: frostbitten king 04.03.14 - 12:57

    Danke, endlich einer der es schafft sachlich zu erklären. Ich bin da schon längst drüber. Ich kann das nicht mehr ohne dass ich sauer werd, weil hier immer halbware Anschuldigungen durch die Gegend geworfen werden.
    Kurz gesagt: Kryptographen sind konservative Menschen, wenn man so wie in diesem Fall was nicht erprobtes verwendet, sollten da bei jedem die Alarmglocken schrillen.

  1. Thema
  1. 1
  2. 2
  3. 3

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. notebooksbilliger.de AG, Hannover / Sarstedt
  2. operational services GmbH & Co. KG, Berlin
  3. TenneT TSO GmbH, Bayreuth, Lehrte, Arnheim (Niederlande)
  4. STRABAG BRVZ GMBH, Spittal an der Drau, Wien (Österreich)

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Samsung Portable SSD T5 500 GB für 69,21€, Seagate Expansion Portable SSD 2 TB für 56...
  2. (u. a. Samsung 55 Zoll TV Crystal UHD für 515,67€, HP 17-Zoll-Notebook für 449,00€, Huawei...
  3. 169,99€ (Bestpreis!)
  4. 77,01€ (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Battery Day: Wie Tesla die Akkukosten halbieren will
Battery Day
Wie Tesla die Akkukosten halbieren will

Größer, billiger und vor allem viel viel mehr. Tesla konzentriert sich besonders auf bessere und schnellere Akku-Herstellung.
Ein Bericht von Frank Wunderlich-Pfeiffer

  1. Elektromobilität Tesla will zehn Prozent an LGs Akkusparte übernehmen
  2. Drei Motoren Tesla Model S Plaid kommt in 2 Sekunden auf 100 km/h
  3. Grünheide Tesla und Gigafactory-Kritiker treffen aufeinander

Golem on Edge: Ein Sekt auf Glasfiber!
Golem on Edge
Ein Sekt auf Glasfiber!

Meine Datsche bekommt bald FTTH, darauf muss angestoßen werden! Das Verständnis für Glasfaser fehlt leider bei Nachbarn wie bei Kollegen.
Eine Kolumne von Sebastian Grüner

  1. EU-Kommission Glasfaser darf auch in Vectoringgebieten gefördert werden
  2. DNS:NET Cottbus bekommt Glasfaser
  3. Deutsche Telekom Gewerbegebiete bekommen bis zu 100 GBit/s

Computer: Gebrauchsanleitung des Zuse Z4 gefunden
Computer
Gebrauchsanleitung des Zuse Z4 gefunden

Die Anleitung für den Zuse Z4 galt lange als verschollen, bis sie an einer ehemaligen Wirkungsstätte des Supercomputers der 40er und 50er Jahre entdeckt worden ist.