Keine Ahnung was schlimmer ist

Ich weiß ja nicht was mich an dieser Meldung mehr schockiert:

Die Tatsache, dass Blackberry den globalen Verschlüsselungskey wirklich an die Polizei heraus gegeben hat oder die Tatsache, dass es überhaupt so etwas wie einen globalen Verschlüsselungskey gibt?

Ich meine, WTF bitte ist ein globaler Verschlüsselungskey? Warum gibt es den? Wozu braucht man den? Und wie kann es sein, dass der Rest der Welt sichere Verschlüsselung anbieten kann, ganz ohne dass überhaupt so ein Key existiert?

/Mecki

/mecki78 schrieb:
--------------------------------------------------------------------------------
> Ich meine, WTF bitte ist ein globaler Verschlüsselungskey? Warum gibt es
> den? Wozu braucht man den?
Zum Entschlüsseln aller verschlüsselten Nachrichte, aber das weißt du sicherlich.
>Und wie kann es sein, dass der Rest der Welt
> sichere Verschlüsselung anbieten kann, ganz ohne dass überhaupt so ein Key
> existiert?

Weil so ein key zu keiner sicheren Verschlüsselung gehört. Die Verschlüsselung von Blackberry würde ich nicht als sicher erachten.

> Die Tatsache, dass Blackberry den globalen Verschlüsselungskey wirklich an die Polizei heraus gegeben hat oder die Tatsache, dass es überhaupt so etwas wie einen globalen Verschlüsselungskey gibt?

Das ist doch seit Jahren dokumentiert bei BlackBerry das es so etwas gibt.
BlackBerry bietet doch nicht ohne Grund für Geld BBM Protected an, dass als Hauptfeature End-zu-Ende Verschlüsselung verspricht.
Spätestens da hätte man doch als unerfahrender Nutzer wissen müssen, achso das was ich habe macht das also nicht.

Das einzige, was mich immer wieder schockiert, sind Leute, die Blackberry bisher immer felsenfest verteidigt haben, gleichwohl diese Firma ihren Sitz in einem Five-Eyes-Land hat.

Ich glaube fives eye Land an sich ist kein Kriterium zum bewerten von kryptographischen Verfahren.

Ich verteidige nur, wenn es sich auch lohnt und ich sehe das hier jemandem Unrecht getan wird.

Blackberry ist eben nicht Facebook oder Microsoft, sondern gilt als cool, weil Aussenseiter, daher vertrauen viele Schafe solchen Firmen automatisch.

Linux ist das beste Betriebssystem, das ich jemals gesehen habe.
- Albert Einstein

Vertrauen musst du im Leben immer irgendwem oder irgendwas.

Das Problem ist nicht das vertrauen. Das Problem sind Leute die zu dumm sind zum lesen.

Wahrheitssager schrieb:
--------------------------------------------------------------------------------
> Vertrauen musst du im Leben immer irgendwem oder irgendwas.
>
> Das Problem ist nicht das vertrauen. Das Problem sind Leute die zu dumm
> sind zum lesen.

Also gänzlich unabhängig dieser öffentlichen Informationen, sagen diese nur aus das wahrscheinlich keine Ende-zu-Ende Verschlüsselung existiert. Und es besteht ein enormer Unterschied, ob lediglich der Betreiber die Kommunikation lesen kann, was dann noch realitiv vertretbar ist im Rahmen, oder ob ein Generalschlüssel dafür verteilt wird. Wenn man es genau nimmt ist es schlichtweg widerlich, Geld dafür zu verlangen das sicher verschlüsselt wird. Also für etwas zu bezahlen was sich technisch nur minimal unterscheidet. Würde bei so einem Verhalten die Ende-zu-Ende Verschlüsselung ebenso anzweifeln.



2 mal bearbeitet, zuletzt am 15.04.16 19:08 durch Wallbreaker.

> Und es besteht ein enormer Unterschied, ob lediglich der Betreiber die Kommunikation lesen kann, was dann noch realitiv vertretbar ist im Rahmen, oder ob ein Generalschlüssel dafür verteilt wird.

Wer sagt denn das dieser Schlüssel irgendwo verteilt wird ?
Woher weißt du dass BlackBerry den Schlüssel direkt an die Strafverfolger geliefert hat ?

>Wenn man es genau nimmt ist es schlichtweg widerlich, Geld dafür zu verlangen das sicher verschlüsselt wird.

Ja ich bin auch der Ansicht, dass dies zum Standard bei Messengern heutzutage gehören sollte.
Die Frage ist nur was heißt sicher verschlüsseln ?
2010 war BlackBerrys Ansatz eines, wenn nicht gar das sicherste was man damals auf den Markt bekommen konnte.
Heutzutage sieht das natürlich anders aus.
BlackBerry hat sich dabei auf andere "Sicherheitsbereiche" wie Zurückziehbare Nachrichten, Zeitbombennachrichten oder Privacy Nachrichten (Nachrichten ohne Kontaktdaten und Historie) konzentriert und für die Allgemeinheit kostenlos zur Verfügung gestellt.
Ich bin mir relativ sicher, dass End-zu-Ende Verschlüsselung wohl auch bald kommen muss.

Wahrheitssager schrieb:
--------------------------------------------------------------------------------
> Wer sagt denn das dieser Schlüssel irgendwo verteilt wird ?

Ist ein Schlüssel einmal bei einer Behörde, dann ist er auch bei etlichen anderen.
So war es bislang immer und so bleibt es wohl auch. Es wäre naiv zu glauben ein derart essentieller Schlüssel würde hoch-sensibel verwahrt und natürlich nur für die Polizei genutzt werden.

> Woher weißt du dass BlackBerry den Schlüssel direkt an die Strafverfolger
> geliefert hat ?

Erstens weil sie in einen Five Eyes Staat ansässig sind. Und zweitens ist ihr Statement Kriminielle nicht zu decken, ein überaus deutliches Zeichen gegen Sicherheit. Bin schlichtweg nicht naiv genug um hier anzunehmen, ihnen wurde der Schlüssel einfach so entwendet.

> Die Frage ist nur was heißt sicher verschlüsseln ?

So etwas wie OTR oder die Signal Verschlüsselung wäre sozusagen optimal. Denn es darf niemals möglich sein mit einem Schlüssel alles entschlüsseln zu können, ganz gleich wann eine Kommunikation statt fand. Und sichere Verschlüssung würde schon aus Prinzip Open-Source vorraussetzen, und kein uneinsehbares Konstrukt von Blackberry.

> 2010 war BlackBerrys Ansatz eines, wenn nicht gar das sicherste was man
> damals auf den Markt bekommen konnte.

Nur hier wurde offenbar bewusst etwas Unsicheres gewählt, sonst könnte man wohl kaum einen Generalschlüssel bei Bedarf herumreichen. Hier geht es um Kontrolle und nicht darum das hier wasserdicht verschlüsselt wird. Auch zur damaligen Zeit gab es schon sicherere Verfahren, kann eigentlich nur Absicht sein etwas Anderes zu nutzen. Wer wirklich korrekt verschlüsseln will tut das auch, der Rest tut einfach nur so als ob.

> Ich bin mir relativ sicher, dass End-zu-Ende Verschlüsselung wohl auch bald
> kommen muss.

Bei Blackberry? Die haben wohl ihr Schicksal nun besiegelt. Woanders gibt es Ende-zu-Ende Verschlüsselung schon länger.

> Nur hier wurde offenbar bewusst etwas Unsicheres gewählt, sonst könnte man wohl kaum einen Generalschlüssel bei Bedarf herumreichen.

Triple-DES war damals State of the Art.
Es gab damals keinen End-zu-Ende Verschlüsselungsmessenger für Smartphones. Die Hardware war schlichtweg auch noch nicht Leistungsfähig genug um solche Schlüssel überhaupt zu brechnen ohne negativ aufzufallen.

> Bei Blackberry? Die haben wohl ihr Schicksal nun besiegelt. Woanders gibt es Ende-zu-Ende Verschlüsselung schon länger.

Genau dass ist ja auch der Grund weswegen sie nachziehen müssen.

> Erstens weil sie in einen Five Eyes Staat ansässig sind. Und zweitens ist ihr Statement Kriminielle nicht zu decken, ein überaus deutliches Zeichen gegen Sicherheit. Bin schlichtweg nicht naiv genug um hier anzunehmen, ihnen wurde der Schlüssel einfach so entwendet.

Das sagt ja niemand. Es kann durchaus sein, dass der Schlüssel der des zentralen BIS Servers eines großen Carriers in Kanada war und dieser den Schlüssel den Behörden gab.

> Ist ein Schlüssel einmal bei einer Behörde, dann ist er auch bei etlichen anderen.
So war es bislang immer und so bleibt es wohl auch. Es wäre naiv zu glauben ein derart essentieller Schlüssel würde hoch-sensibel verwahrt und natürlich nur für die Polizei genutzt werden.

Ich bezweifle es dass kriminelle den Schlüssel in die Hände bekommen haben.

Wahrheitssager schrieb:
--------------------------------------------------------------------------------
> > Die Tatsache, dass Blackberry den globalen Verschlüsselungskey wirklich
> an die Polizei heraus gegeben hat oder die Tatsache, dass es überhaupt so
> etwas wie einen globalen Verschlüsselungskey gibt?
>
> Das ist doch seit Jahren dokumentiert bei BlackBerry das es so etwas gibt.
>
> BlackBerry bietet doch nicht ohne Grund für Geld BBM Protected an, dass als
> Hauptfeature End-zu-Ende Verschlüsselung verspricht.
> Spätestens da hätte man doch als unerfahrender Nutzer wissen müssen, achso
> das was ich habe macht das also nicht.

Es ist doch nicht das Problem das BB einen Masterkey hat, das Problem ist das der Key bei der Polizei ist.

Ich muss hier an die Sowjetische Doomsday Device aus Dr Strangelove denken...

Naja - BB zielt(e) ja auf Unternehmen, denen die Datensicherheit auf den Clients besonders wichtig ist. Und das Szenario "habe mein BB im Zug liegen lassen und da war alles drauf" sollte eben mit möglichst geringem administrativem Aufwand abgedeckt werden.
Das ist der Grund, warum so viele Firmen immer noch auf eine PKI verzichten. "Passwort vergessen, Schlüssel weg, aber ich brauche meine Nachrichten wieder", hört da der Support im Minutentakt. Und daher braucht es bei solchen serverbasierten Systemen eben einen Master-Key.

Wer sein BB mit einem von BB bereitgestellten Server (also cloud basiert) nutzt, muss halt wissen, dass BB dann eben den Master-Key hat.

Interessant finde ich, dass es hier eben öffentlich geworden ist, dass der Key bei den Behörden ist.

Jetzt müsste man sich die Frage stellen, welcher andere Anbieter ebenso seinen Master-Key bei den Behörden hinterlegen musste, es nur nicht kommuniziert...

Wahrheitssager schrieb:
--------------------------------------------------------------------------------
> Vertrauen musst du im Leben immer irgendwem oder irgendwas.

Ja und viele vertrauen eben Firmen aus nicht nachvollziehbaren Gründen. Oft einfach nur weil sie nicht Mainstream sind und deshalb irgendwie vertrauensvoller sind als der Marktführer.

Linux ist das beste Betriebssystem, das ich jemals gesehen habe.
- Albert Einstein

Wahrheitssager schrieb:
--------------------------------------------------------------------------------
> Ich glaube fives eye Land an sich ist kein Kriterium zum bewerten von
> kryptographischen Verfahren.

Es geht nicht um kryptografische Verfahren, sondern darum, an welche gesetzlichen Vorschriften sich die Firmen dieser Länder halten müssen.

whitbread schrieb:
--------------------------------------------------------------------------------
> Naja - BB zielt(e) ja auf Unternehmen, denen die Datensicherheit auf den
> Clients besonders wichtig ist. Und das Szenario "habe mein BB im Zug liegen
> lassen und da war alles drauf" sollte eben mit möglichst geringem
> administrativem Aufwand abgedeckt werden.
> Das ist der Grund, warum so viele Firmen immer noch auf eine PKI
> verzichten. "Passwort vergessen, Schlüssel weg, aber ich brauche meine
> Nachrichten wieder", hört da der Support im Minutentakt. Und daher braucht
> es bei solchen serverbasierten Systemen eben einen Master-Key.
>
> Wer sein BB mit einem von BB bereitgestellten Server (also cloud basiert)
> nutzt, muss halt wissen, dass BB dann eben den Master-Key hat.
>
> Interessant finde ich, dass es hier eben öffentlich geworden ist, dass der
> Key bei den Behörden ist.
>
> Jetzt müsste man sich die Frage stellen, welcher andere Anbieter ebenso
> seinen Master-Key bei den Behörden hinterlegen musste, es nur nicht
> kommuniziert...

Im Grunde sogar anders herum, es wird kommuniziert, dass sich Behörden angeblich an einem bestimmten System die Zähne ausbeißen. Das ist echt die Härte, wer so etwas glaubt.....

>Im Grunde sogar anders herum, es wird kommuniziert, dass sich Behörden angeblich an einem bestimmten System die Zähne ausbeißen. Das ist echt die Härte, wer so etwas glaubt.....

Das "bestimmte System" setzt ja auch auf symmetrische Verschlüsselung, und da gibt's keine "Masterkeys". Und wer die technischen Details hinter deren Sicherheitssystem kennt, und die NSA Papiere aus Snowdens Leak zu diesem Thema überflogen hat, der "glaubt auch sowas". Aber das befriedigt natürlich die Lust auf Sensationen und Skandale nicht so sehr, wie gewisse Verschwörungstheorien.

>Es geht nicht um kryptografische Verfahren, sondern darum, an welche gesetzlichen Vorschriften sich die Firmen dieser Länder halten müssen.

Müssen sie aber gar nicht. Das ist wieder eine von diesen "modernen Web-Legenden". Apple ist auch mit einem symmetrischen Verfahren, bei dem solche "Masterkeys" nicht möglich sind, und das mit dezentralen Schlüsseln auskommt, durchgekommen.

> symmetrischen Verfahren

Wieso symmetrisch ? Symmetrisch ist BBs Ansatz auch.
Was du meinst ist asymmetrisch.