Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Verschlüsselung: Five-Eyes fordern…

Open-Source-Verschlüsselung per OTP

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Open-Source-Verschlüsselung per OTP

    Autor: Izmir Übel 04.09.18 - 16:51

    Kostenlose und vertrauenswürdige Lösung mit Python für Linux und BSD-Systeme:

    http://www.cyanbyte.de/

    Quellcode-Größe unter 6 Kilobyte.
    Da können sich die Schlapphüte gerne die Zähne dran ausbeißen...

    PRIVACY IS NOT A CRIME.



    1 mal bearbeitet, zuletzt am 04.09.18 16:55 durch Izmir Übel.

  2. Re: Open-Source-Verschlüsselung per OTP

    Autor: M.P. 04.09.18 - 17:34

    Bei einem OTP braucht man eine sichere Übertragung des Schlüssels zwischen Nachrichtenquelle und Nachrichtensenke.
    Daneben muss die Schlüssellänge mindestens genauso lang sein, wie die Nachricht.

    Wenn man also einen 32 GByte Schlüssel vorab persönlich in Form eines USB-Sticks übergeben hat, kann man genau 32 GByte an Nachrichtendaten verschicken. Ist das aufgebraucht, muss man sich wieder persönlich mit dem Nachrichtenempfänger treffen, um einen weiteren USB-Stick auszutauschen ...

  3. Re: Open-Source-Verschlüsselung per OTP

    Autor: PerilOS 04.09.18 - 17:48

    Da krieg ich ja direkt nen Heart bleed.
    Selbstverständlich ließt jeder den Code gegen und Open-Source Software ist die beste.
    Entspricht zwar nicht der Realität, aber man kann ja weiter dran glauben.

  4. Re: Open-Source-Verschlüsselung per OTP

    Autor: Anonymer Nutzer 04.09.18 - 17:55

    PerilOS schrieb:
    --------------------------------------------------------------------------------
    > Da krieg ich ja direkt nen Heart bleed.
    > Selbstverständlich ließt jeder den Code gegen und Open-Source Software ist
    > die beste.
    > Entspricht zwar nicht der Realität, aber man kann ja weiter dran glauben.


    OTP sind jetzt keine Magie, zudem ist die länge des Quelltexts aus dem Link oben vertretbar um ihn als User tatsächlich mal anschauen zu können.


    Zum Kommentar darüber:
    Das ist halt die Schattenseite eines OTP.
    Aber du musst nicht zwingend die ganzen 32GB auf einmal nutzen, mir als User erschließt sich zumindest kein Grund dazu.
    Du hast 32GB Schlüsseldaten für OTPs. Jemand schickt dir 20MB, welche damit verschlüsselt wurden. Dann streichen beide Seiten einfach diese 20 MB weg. Der Rest des Schlüssels ist davon ja unberührt und nie benutzt gewesen.



    1 mal bearbeitet, zuletzt am 04.09.18 17:57 durch Snowi.

  5. Re: Open-Source-Verschlüsselung per OTP

    Autor: Izmir Übel 04.09.18 - 18:34

    Danke für die Erklärung, Snowi! Exakt so funktioniert ja auch die verlinkte Software.
    Es wird vom OTP nur genau soviel genutzt, wie für die jeweilige Nachricht benötigt wird.
    Man kann damit einzelne Files (Typ beliebig) oder auch ganze Verzeichnisse verschlüsseln.

  6. Re: Open-Source-Verschlüsselung per OTP

    Autor: bark 04.09.18 - 18:44

    Und trotzen kein garant das es keine Fehler gibt. Bei closed source schauen auch mehrere Menschen drüber. Dieser haben meist auch noch Ahnung.


    Snowi schrieb:
    --------------------------------------------------------------------------------
    > PerilOS schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Da krieg ich ja direkt nen Heart bleed.
    > > Selbstverständlich ließt jeder den Code gegen und Open-Source Software
    > ist
    > > die beste.
    > > Entspricht zwar nicht der Realität, aber man kann ja weiter dran
    > glauben.
    >
    > OTP sind jetzt keine Magie, zudem ist die länge des Quelltexts aus dem Link
    > oben vertretbar um ihn als User tatsächlich mal anschauen zu können.
    >
    > Zum Kommentar darüber:
    > Das ist halt die Schattenseite eines OTP.
    > Aber du musst nicht zwingend die ganzen 32GB auf einmal nutzen, mir als
    > User erschließt sich zumindest kein Grund dazu.
    > Du hast 32GB Schlüsseldaten für OTPs. Jemand schickt dir 20MB, welche damit
    > verschlüsselt wurden. Dann streichen beide Seiten einfach diese 20 MB weg.
    > Der Rest des Schlüssels ist davon ja unberührt und nie benutzt gewesen.

  7. Re: Open-Source-Verschlüsselung per OTP

    Autor: Izmir Übel 04.09.18 - 18:49

    Du mußt den Quellcode ja gar nicht lesen! Entspricht dann quasi deinem Ideal von Closed-Source.
    Und bezahlen kannst Du dafür auch, unten auf der Seite ist eine XMR-Adresse... ;-)

    Wer im obigen Beitrag Ironie findet, darf gern das Ironie-Räumkommando anfordern.
    Wir legen uns dann solange flach auf den Boden und warten ab, bis Hilfe eintrifft.

  8. Re: Open-Source-Verschlüsselung per OTP

    Autor: ahja 04.09.18 - 19:29

    Habe den Quellcode gelesen und auf Anhieb zu 80% den Programmablauf verstanden, ohne Python oder Linux zu verstehen bzw. zu kennen.
    Geht also.

    Nerds messen ihre Freundschaft/Relevanz ihrer Beziehung zukünftig also in der Größe der OTP Datei?
    Flüchtige Bekanntschaft: 128 MB
    .
    .
    Guter Kumpel/enge Arbeitskollegen/in: 1GB
    .
    .
    .
    Lebens-/Ehepartner: 128GB

    So on...



    1 mal bearbeitet, zuletzt am 04.09.18 19:30 durch ahja.

  9. Re: Open-Source-Verschlüsselung per OTP

    Autor: robinx999 04.09.18 - 20:34

    Snowi schrieb:
    --------------------------------------------------------------------------------
    > PerilOS schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Da krieg ich ja direkt nen Heart bleed.
    > > Selbstverständlich ließt jeder den Code gegen und Open-Source Software
    > ist
    > > die beste.
    > > Entspricht zwar nicht der Realität, aber man kann ja weiter dran
    > glauben.
    >
    > OTP sind jetzt keine Magie, zudem ist die länge des Quelltexts aus dem Link
    > oben vertretbar um ihn als User tatsächlich mal anschauen zu können.
    >
    >
    Kurz drauf geschaut und schon eine Frage die die Sicherheit potentiell betrifft
    ---
    call(["dd","if=/dev/urandom","of=./keys/a2b.key",\
    "bs=1M","count="+str(size),"status=none"])
    call(["dd","if=/dev/urandom","of=./keys/b2a.key",\
    "bs=1M","count="+str(size),"status=none"])
    ---
    Und der Verweis auf diesen Eintrag https://crypto.stackexchange.com/questions/35031/if-i-am-about-to-generate-one-time-pad-where-should-i-generate-my-pads-from
    Eigentlich dürfte man für ein One Time Pad nicht /dev/urandom nutzen sondern nur /dev/random, dieses ist allerdings sehr langsam. Und wer bereit ist den schlechteren Zufall von /dev/urandom in kauf zu nehmen der könnte eigentlich auch gleich auf AES oder ähnliches setzen.
    > Zum Kommentar darüber:
    > Das ist halt die Schattenseite eines OTP.
    > Aber du musst nicht zwingend die ganzen 32GB auf einmal nutzen, mir als
    > User erschließt sich zumindest kein Grund dazu.
    > Du hast 32GB Schlüsseldaten für OTPs. Jemand schickt dir 20MB, welche damit
    > verschlüsselt wurden. Dann streichen beide Seiten einfach diese 20 MB weg.
    > Der Rest des Schlüssels ist davon ja unberührt und nie benutzt gewesen.

    Stimmt die Übergabe wird aber trotzdem noch irgendwie gefordert und natürlich wie weiter oben angesprochen ist die Frage wie man wirklich zufällige Bytes erzeugt, da das OTP ja nur als sicher bewiesen wurde wenn man dort von einem zufällig generierten ausgeht und ob die Zufallszahlgeneratoren so sicher sind ist eine andere Frage und sobald ich deren Quellcode noch mit einschließe wird es schon wesentlich mehr und das dürften nicht mehr so viele Leute verstehen

  10. Re: Open-Source-Verschlüsselung per OTP

    Autor: matok 04.09.18 - 20:40

    PerilOS schrieb:
    --------------------------------------------------------------------------------
    > Da krieg ich ja direkt nen Heart bleed.
    > Selbstverständlich ließt jeder den Code gegen und Open-Source Software ist
    > die beste.
    > Entspricht zwar nicht der Realität, aber man kann ja weiter dran glauben.

    Oder man denkt wie du schwarz/weiss. Dann ist eh alles Wurscht. Man kann eh nichts machen. Alles gleich und einerlei. Das ist zwar die bequemste aller Haltungen, aber sicherlich nicht die intelligenteste.

  11. Re: Open-Source-Verschlüsselung per OTP

    Autor: redmord 04.09.18 - 21:11

    .
    .
    .
    .
    Pornoseite: 256 TB ;-)

  12. Re: Open-Source-Verschlüsselung per OTP

    Autor: User_x 04.09.18 - 21:47

    bark schrieb:
    --------------------------------------------------------------------------------
    > Und trotzen kein garant das es keine Fehler gibt. Bei closed source schauen
    > auch mehrere Menschen drüber. Dieser haben meist auch noch Ahnung.
    >
    Und Dank der Ahnung kann man dann sogar Vorsatz unterstellen. Denn man muss ja erst alles beweisen, sonst geht man immer als panischer Aluhutträger durch. Alltagsrassismus, -sexismus und -mobbing kann man da gleichstrllen, denn offiziell existiert sowas eben nicht, da nirgends dokumentiert.

    Aber die Diskussion ist ja nicht neu.

  13. Re: Open-Source-Verschlüsselung per OTP

    Autor: Izmir Übel 04.09.18 - 21:57

    https://youtu.be/0DV8WnqhH2Y?t=1525

  14. Re: Open-Source-Verschlüsselung per OTP

    Autor: divStar 04.09.18 - 23:17

    Wer nicht will, muss es nicht nutzen. Kannst ja zu Closed-Source greifen, wenn du einem Unternehmen, welches durch geheime Gerichte usw. zu allem möglichen Schund gezwungen werden kann ohne es sogar demjenigen mitteilen zu dürfen, mehr traust - hindert dich keiner daran.

    Da aber für jeden Staat ein jeder ein potentieller Terrorist ist, empfinde ich potentiell jeden Staat als Feind. Ergo traue ich Firmen, die durch diese zu etwas verpflichtet werden können, nicht über den Weg und würde echte Geheimnisse idealerweise unter Ausschluss jeglicher Closed-Source-Software speichern (was nicht heißt, dass Open-Source sicherer ist - aber wie viele Heart-Bleed-ähnliche Lücken wird es in Closed-Source-Software wohl geben, die WIR nicht kennen und die nicht als Bug an die Firmen weitergeleitet werden weil man diese 0-Day-Lücken lieber an Firmen verkauft oder selbst benutzt? Da gibt es garantiert so einige).

    Der Staat ist der Diener des Volkes. In letzter Zeit habe ich - auch in Deutschland - das Gefühl, dass Politiker es anders sehen. Aber ist ja auch klar: Könige, Kaiser und Diktatoren waren seltenst "Diener des Volkes", sondern Tyrannen. Das kann ein Staat nur mit einer absoluten Transparenz in allem, wofür Geld ausgegeben wird, widerlegen. Aber das traut sich - zurecht - kein Staat.

    Ergo sind wir nicht besser als China, denn in China weiß man wenigstens um die Repressalien.

  15. Re: Open-Source-Verschlüsselung per OTP

    Autor: FreiGeistler 05.09.18 - 08:10

    PerilOS schrieb:
    --------------------------------------------------------------------------------
    > Da krieg ich ja direkt nen Heart bleed.
    > Selbstverständlich ließt jeder den Code gegen und Open-Source Software ist
    > die beste.
    > Entspricht zwar nicht der Realität, aber man kann ja weiter dran glauben.

    Während man bei anderen Lizenzen die Fehler gar nicht erst hätte finden dürfen...
    Siehst du das Problem dejner Argumentation selbst?



    1 mal bearbeitet, zuletzt am 05.09.18 08:11 durch FreiGeistler.

  16. Re: Open-Source-Verschlüsselung per OTP

    Autor: FreiGeistler 05.09.18 - 08:30

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > Kurz drauf geschaut und schon eine Frage die die Sicherheit potentiell
    > betrifft
    > ---
    > call(["dd","if=/dev/urandom","of=./keys/a2b.key",\
    > "bs=1M","count="+str(size),"status=none"])
    > call(["dd","if=/dev/urandom","of=./keys/b2a.key",\
    > "bs=1M","count="+str(size),"status=none"])
    > ---
    > Und der Verweis auf diesen Eintrag crypto.stackexchange.com
    > Eigentlich dürfte man für ein One Time Pad nicht /dev/urandom nutzen
    > sondern nur /dev/random, dieses ist allerdings sehr langsam. Und wer bereit
    > ist den schlechteren Zufall von /dev/urandom in kauf zu nehmen der könnte
    > eigentlich auch gleich auf AES oder ähnliches setzen.

    Verbesserungsvorschläge Willkommen!
    Aber bitte auf der entsprechenden Seite.

    > > Zum Kommentar darüber:
    > > Das ist halt die Schattenseite eines OTP.
    > > Aber du musst nicht zwingend die ganzen 32GB auf einmal nutzen, mir als
    > > User erschließt sich zumindest kein Grund dazu.
    > > Du hast 32GB Schlüsseldaten für OTPs. Jemand schickt dir 20MB, welche
    > damit
    > > verschlüsselt wurden. Dann streichen beide Seiten einfach diese 20 MB
    > weg.
    > > Der Rest des Schlüssels ist davon ja unberührt und nie benutzt gewesen.
    >
    > Stimmt die Übergabe wird aber trotzdem noch irgendwie gefordert und
    > natürlich wie weiter oben angesprochen ist die Frage wie man wirklich
    > zufällige Bytes erzeugt, da das OTP ja nur als sicher bewiesen wurde wenn
    > man dort von einem zufällig generierten ausgeht und ob die
    > Zufallszahlgeneratoren so sicher sind ist eine andere Frage und sobald ich
    > deren Quellcode noch mit einschließe wird es schon wesentlich mehr und das
    > dürften nicht mehr so viele Leute verstehen

  17. Re: Open-Source-Verschlüsselung per OTP

    Autor: bombinho 05.09.18 - 13:09

    Wie witzig, ein paar kB Code in einer Highlevelsprache als unmanipulierbar anzusehen, wenn ein potentieller Angreifer dutzende und hunderte MB Code an Libs zur Verfuegung hat, das Snippet zu unterminieren. Die Diskussion um Hardware scheint da voellig dem Gedaechtnis entschwunden zu sein?

    Ich erinnere mich noch an ein kleines Projekt, fuer dass ich einen Open Source Compiler genutzt hatte und die offizielle Lib fuer den Pseudozufallsgenerator. Ich musste einen anderen Zufallsgenerator zweckentfremden, damit sich in der Demo zu Zufall und Verteilung nicht zu ueber 80% voraussagen liess, wie das Ergebnis ausfaellt, wenn man sich die erste "zufaellige" Entscheidung gemerkt hatte.
    Dabei hatte dieser Generator auf diversen (Intel)Prozessoren auch Initialisierungsprobleme, aber die traten erst weit in den Nachkommastellen auf.

    Nachtrag: Wenn schon OTP, dann wuerde ich das auch klassisch wuerfeln wollen oder ein anderes Ereignis mit vorher ueberprueften (Verteilung) Mitteln. Den Rest kann man ja mit (pseudo)zufaelligen Zahlen auffuellen.



    1 mal bearbeitet, zuletzt am 05.09.18 13:14 durch bombinho.

  18. Re: Open-Source-Verschlüsselung per OTP

    Autor: robinx999 05.09.18 - 19:34

    FreiGeistler schrieb:
    --------------------------------------------------------------------------------
    > robinx999 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Kurz drauf geschaut und schon eine Frage die die Sicherheit potentiell
    > > betrifft
    > > ---
    > > call(["dd","if=/dev/urandom","of=./keys/a2b.key",\
    > > "bs=1M","count="+str(size),"status=none"])
    > > call(["dd","if=/dev/urandom","of=./keys/b2a.key",\
    > > "bs=1M","count="+str(size),"status=none"])
    > > ---
    > > Und der Verweis auf diesen Eintrag crypto.stackexchange.com
    > > Eigentlich dürfte man für ein One Time Pad nicht /dev/urandom nutzen
    > > sondern nur /dev/random, dieses ist allerdings sehr langsam. Und wer
    > bereit
    > > ist den schlechteren Zufall von /dev/urandom in kauf zu nehmen der
    > könnte
    > > eigentlich auch gleich auf AES oder ähnliches setzen.
    >
    > Verbesserungsvorschläge Willkommen!
    > Aber bitte auf der entsprechenden Seite.
    >
    /dev/random dürfte in der Praxis keine Option sein da das generieren dann zu lange dauert
    Außerdem gibt es auf der Seite kein Forum, keine Kontakt Adresse. Nur eine Adresse wo man Monero hin spenden kann
    In dem Paket selber ist nur bei der Licence.txt eine Person benannt. und da ist ein Copyright von 2004 genannt, ob die Person noch interesse an dem Programm hat?

  19. Re: Open-Source-Verschlüsselung per OTP

    Autor: robinx999 05.09.18 - 19:37

    Izmir Übel schrieb:
    --------------------------------------------------------------------------------
    > youtu.be


    Zwei Personen zwei Meinungen, aus dem anderen Link wird gerade von /dev/urandom abgeraten insbesondere wenn man große Menge an Zufallszahlen generiert, wie man sie ja für ein One Time Pad benötigt, mag anders aussehen wenn man keine derartigen Mengen an Zufallszahlen benötigt. Aber gerade bei so einem One Time Pad könnte es auch mal sein dass man eine 4 TB Festplatte füllen will die dann persönlich übergibt so dass man dann sich kommunizieren kann und wenn diese 4TB dann nicht so zufällig sind weil der Zufallszahlengenerator angreifbar ist, könnte man ein Problem haben

  20. Re: Open-Source-Verschlüsselung per OTP

    Autor: Izmir Übel 05.09.18 - 19:47

    robinx999,

    so wie ich das verstehe, bezieht sich das Copyright lediglich auf die Lizenz (WTFPL). Die Software ist komplett frei. Der WTFPL-Lizenzinhaber ist damit ganz offensichtlich *NICHT* der Autor des Python-Programms.

    Übrigens steht auf der Website sehr wohl eine Kontaktadresse (die Bitmessage-Adresse).

    Just my two cents... HTH!



    1 mal bearbeitet, zuletzt am 05.09.18 19:49 durch Izmir Übel.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. DATA MODUL AG, München
  2. BAS Kundenservice GmbH & Co. KG, Berlin
  3. BWI GmbH, Bonn, Meckenheim
  4. Weischer.Solutions GmbH, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-80%) 5,99€
  2. (-55%) 44,99€
  3. 3,40€
  4. 22,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Change-Management: Die Zeiten, sie, äh, ändern sich
Change-Management
Die Zeiten, sie, äh, ändern sich

Einen Change zu wollen, gehört heute zum guten Ton in der Unternehmensführung. Doch ein erzwungener Wandel in der Firmenkultur löst oft keine Probleme und schafft sogar neue.
Ein Erfahrungsbericht von Marvin Engel

  1. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  2. MINT Werden Frauen überfördert?
  3. Recruiting Wenn das eigene Wachstum zur Herausforderung wird

Gemini Man: Überflüssiges Klonexperiment
Gemini Man
Überflüssiges Klonexperiment

Am 3. Oktober kommt mit Gemini Man ein ambitioniertes Projekt in die deutschen Kinos: Mit HFR-Projektion in 60 Bildern pro Sekunde und Will Smith, der gegen sein digital verjüngtes Ebenbild kämpft, betreibt der Actionfilm technisch viel Aufwand. Das Seherlebnis ist jedoch bestenfalls komisch.
Von Daniel Pook

  1. Filmkritik Apollo 11 Echte Mondlandung als packende Kinozeitreise

Mädchen und IT: Fehler im System
Mädchen und IT
Fehler im System

Bis zu einem gewissen Alter sind Jungen und Mädchen gleichermaßen an Technik interessiert. Wenn es dann aber um die Berufswahl geht, entscheiden sich immer noch viel mehr junge Männer als Frauen für die IT. Ein wichtiger Grund dafür ist in der Schule zu suchen.
Von Valerie Lux

  1. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  2. 5G Milliardenlücke beim Digitalpakt Schule droht
  3. Medienkompetenz Was, Ihr Kind kann nicht programmieren?

  1. BSI-Präsident: "Emotet ist der König der Schadsoftware"
    BSI-Präsident
    "Emotet ist der König der Schadsoftware"

    Das BSI sieht eine weiterhin steigende Bedrohung durch Gefahren im Internet, vor allem setzt demnach die Schadsoftware Emotet der Wirtschaft zu. BSI-Präsident und Bundesinneminister betonen ihre Hilfsbereitschaft in Sachen Cybersicherheit, appellieren aber auch an die Verantwortung von Verbrauchern und Unternehmen.

  2. Flip 2: Samsungs digitales Flipchart wird größer und kann Office 365
    Flip 2
    Samsungs digitales Flipchart wird größer und kann Office 365

    Das Samsung Flip 2 ist im Kern wieder ein Flipchart, an welchem Teams ihre Ideen zu digitalem Papier bringen können. Ein Unterschied: Es wird auch eine 65-Zoll-Version geben. Außerdem kann es in Verbindung mit Office 365 genutzt werden.

  3. Star Wars Jedi Fallen Order angespielt: Die Rückkehr der Sternenkriegersolospiele
    Star Wars Jedi Fallen Order angespielt
    Die Rückkehr der Sternenkriegersolospiele

    Seit dem 2003 veröffentlichten Jedi Academy warten Star-Wars-Fans auf ein mächtig gutes neues Actionspiel auf Basis von Star Wars. Demnächst könnte es wieder soweit sein: Beim Anspielen hat Jedi Fallen Order jedenfalls viel Spaß gemacht - trotz oder wegen Anleihen bei Tomb Raider.


  1. 19:25

  2. 17:18

  3. 17:01

  4. 16:51

  5. 15:27

  6. 14:37

  7. 14:07

  8. 13:24