Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Verschlüsselung: Niemand hat die…

Back to the 90s

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Back to the 90s

    Autor: co 13.10.17 - 10:56

    Wenn das durchgeht, kann man auch einfach alles wieder aufmachen.

  2. Re: Back to the 90s

    Autor: BangerzZ 13.10.17 - 11:03

    Naja die Verschlüsselung wird dadurch ja nicht schlechter, kann halt nur im nachhinein entschlüsselt werden, wenn jemand in den besitzt der schlüssel kommt. Deshalb ist das "nur" ein problem für PFS.

    Ich frage mich nur ob man solche Verbindungen einfach ablehnen könnte. Wenn man als client beim DHKE zwei mal den gleichen schlüssel benutzt und zwei mal das gleiche schlüssel paar rauskommt, müsste man statische schlüssel erkennen können.



    1 mal bearbeitet, zuletzt am 13.10.17 11:04 durch BangerzZ.

  3. Re: Back to the 90s

    Autor: h4z4rd 13.10.17 - 11:26

    Auf dem Client wäre es einfach zu erkennen, es könnte dann ja beim Start der Session kein DHKE mehr passieren. Denn selbst wenn der Server die selben Werte für g und p verwendet, würde der Client mit an Sicherheit grenzender Wahrscheinlichkeit ein anderes Secret erzeugen. Das Problem ist aber letztlich, dass die Server die Schlüssel dann offensichtlich über einen längeren Zeitraum speichern. Was natürlich die Sicherheit der Schlüssel im allgemeinen untergräbt. Wenn jemand Zugriff auf den Key-Server erhält, kann er auch jede mit geschnittene Kommunikation nachträglich entschlüsseln. Quasi der feuchte Traum eines jeden NSA / BND Agenten.

  4. Re: Back to the 90s

    Autor: foho 13.10.17 - 11:26

    > Ich frage mich nur ob man solche Verbindungen einfach ablehnen könnte. Wenn
    > man als client beim DHKE zwei mal den gleichen schlüssel benutzt und zwei
    > mal das gleiche schlüssel paar rauskommt, müsste man statische schlüssel
    > erkennen können.

    naja dann müsste man aber die alten keys speichern, ich glaube nicht das das im interesser der kunden ist, zumal du dann immer gegen alle bisher verwendeten checken musst. wie das performancetechnisch ausschaut.... da kenn ich mich leider zu wenig aus.

  5. Re: Back to the 90s

    Autor: BangerzZ 13.10.17 - 11:32

    foho schrieb:
    --------------------------------------------------------------------------------
    > naja dann müsste man aber die alten keys speichern, ich glaube nicht das
    > das im interesser der kunden ist, zumal du dann immer gegen alle bisher
    > verwendeten checken musst. wie das performancetechnisch ausschaut.... da
    > kenn ich mich leider zu wenig aus.

    Man müsste ja nur bei der ersten Verbindung zwei mal mit dem gleich schlüssel verbinden. Danach kann man davon ausgehen das die Verbindung entweder statische oder dynamische schlüssel nutzt.

    Also ein pre flight check, nach dem alles normal abläuft.

    Wenn sich rausstellt das statische Schlüssel benutzt werden, könnten Browser Hersteller die Verbindung ablehnen und so den zwang durch die Hintertür durchsetzten, so wie es auch schon beim tls zwang für http2 passiert ist.



    1 mal bearbeitet, zuletzt am 13.10.17 11:34 durch BangerzZ.

  6. Re: Back to the 90s

    Autor: Noren 13.10.17 - 11:36

    Wäre es nicht sogar möglich, das Secret mithilfe von mehreren Verbindungen nach einer gewissen Zeit errechnen/erraten zu können?

  7. Re: Back to the 90s

    Autor: Noren 13.10.17 - 11:38

    Was für eine wunderbare Idee für ein Addon.

  8. Re: Back to the 90s

    Autor: My1 13.10.17 - 11:41

    Noren schrieb:
    --------------------------------------------------------------------------------
    > Was für eine wunderbare Idee für ein Addon.

    geht as überhaupt als addon? in alten FF versionen vlt abe rmit dem webextension zeug, wo ja auf den browser selbst kaum noch einfluss genommen werden kann...

    Asperger inside(tm)

  9. Re: Back to the 90s

    Autor: Noren 13.10.17 - 12:03

    Eine Rohe TCP Verbindung scheint nicht möglich zu sein. Man könnte aber sicher ein separates Tool dazu bauen, welches solche Checks per Webservice einem Addon zur Verfügung stellt.

  10. Re: Back to the 90s

    Autor: My1 13.10.17 - 12:14

    aber diesem webservice müsste man vertrauen und wenn der service offline geht dann is doof.

    Asperger inside(tm)

  11. Re: Back to the 90s

    Autor: MAD_onna 13.10.17 - 12:33

    Einfach alles wieder aufmachen erscheint mir auch der einzig gangbare Weg.
    Das würde viele Dinge vereinfachen, Energiekosten würden auch leicht gesenkt und die Freiheit wäre plötzlich wieder da. Kein Mißtrauen käme mehr auf und die letzten Arschkröten, die dann immer noch verschlüsseln, könnte man sehr einfach identifizieren. Nochwas fällt mir ein: Es gäbe wieder eine Form der Sicherheit und Vertrauen, von dem uns die Politiker immer vorschwafeln, nachdem sie in einer Sitzung unter Ausschluß der Öffentlichkeit den Fahrplan für die nächsten x Jahre verabschiedet haben.
    Machen wir das!

  12. Re: Back to the 90s

    Autor: bombinho 13.10.17 - 12:53

    Smilie vergessen!

    Die Verschiebung auf eine Seite ist definiv nicht das, was Du im Sinn hattest.

  13. Re: Back to the 90s

    Autor: Noren 13.10.17 - 13:16

    Ein von Webbrowser unabhängiges Tool welches einen Webservice hat. Addons könnten über HTTP/jsonrpc eine Anfrage für ein Check stellen, welches von dem unabhängige Tool durchgeführt wird.

  14. Re: Back to the 90s

    Autor: My1 13.10.17 - 13:59

    aso dass man dafür erst ne anwendung installieren darf oder so? na sowas nenne ich mal nervig. ist der sinn von browseraddons nicht gewesen dass man nicht für alles ne extra software installieren braucht, ich mein es gibt für den alten Firefox ja auch vollwertige downloadmanager wie Downthemall oder sogar n torrent downloader (ganz nett wenn man mal ne Linux ISO etwas schneller haben will)

    Asperger inside(tm)

  15. Re: Back to the 90s

    Autor: BangerzZ 13.10.17 - 14:28

    Man könnte eine Websocket/TCP bridge benutzen. Wäre halt auch wieder ein Server dem man vertrauen müsste, hätte aber den Vorteil, dass die Authentizität der Endstelle im Browser überprüft werden könnte.

  16. Re: Back to the 90s

    Autor: bombinho 13.10.17 - 14:33

    Hat so ein bisschen etwas Masochistisches im Stil, dass du dir immer wieder ein Bein brechen laesst, damit du ausprobieren kannst, mit welchen Cremes der Juckreiz am besten zu kontrollieren ist. ;)

  17. Re: Back to the 90s

    Autor: MarioWario 13.10.17 - 18:03

    Im Endeffekt ist das mit Zertifikaten eh Bullshit und alle unmöglichen Google-Gesellen wollen einem 2-Factor aufquatschen - warum wohl.

    Wir behalten nur ein freies Web, wenn auch Seiten ohne https angesurft werden können - es ist eh alles so kaputt: Intel ME, iCloud, Android-App-Pixeltracking.

    Electronic Banking funktioniert nur der 'Großzügigkeit' der Banken bei Schäden - nicht weil alles so toll abgesichert ist - Beispiel: onVista fragt beim ersten Login nach der Steuer-ID und läßt den Login-Prozeß bis zum TimeOut offen - ohne Abbruchmöglichkeit (ohne EU-Banken-Deregulierung hätte man die von Rechts wegen längst des Platzes verwiesen) - anyway.



    1 mal bearbeitet, zuletzt am 13.10.17 18:05 durch MarioWario.

  18. Re: Back to the 90s

    Autor: bombinho 13.10.17 - 21:07

    MarioWario schrieb:
    --------------------------------------------------------------------------------
    > Wir behalten nur ein freies Web, wenn auch Seiten ohne https angesurft
    > werden können - es ist eh alles so kaputt: Intel ME, iCloud,
    > Android-App-Pixeltracking.

    Da ist etwas dran, das Einzige was mit Verschluesselung mit sehr hoher Wahrscheinlichkeit gegeben ist, ist eine halbwegs sichere Identifizierung der Gegenstelle. Wozu das z.B. bei einem Abruf eines oeffentlichen Videostreams notwendig ist, das weiss nur der Erfinder.

  19. Re: Back to the 90s

    Autor: crypt0 13.10.17 - 22:20

    z.b dass dir dein Provider keine Ads in dem stream packen kann...
    oder keine malware...
    just saying

  20. Re: Back to the 90s

    Autor: bombinho 14.10.17 - 00:05

    Dafuer gibt es bereits DRM ;)

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Landeshauptstadt München, München
  2. Robert Bosch GmbH, Leonberg
  3. üstra Hannoversche Verkehrsbetriebe AG, Hannover
  4. Alfred Kärcher GmbH & Co. KG, Winnenden bei Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. 29,00€
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  3. 29,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Amazon Video auf Apple TV im Hands on: Genau das fehlt auf dem Fire TV
Amazon Video auf Apple TV im Hands on
Genau das fehlt auf dem Fire TV
  1. Amazon Verkaufsbann für Apple TV bleibt bestehen
  2. Smartphone-Speicherkapazität Wie groß der Speicher eines iPhones sein sollte
  3. Mate 10 Pro im Test Starkes Smartphone mit noch unauffälliger KI

Twitch, Youtube Gaming und Mixer: Weltweites Aufmerksamkeitsdefizit
Twitch, Youtube Gaming und Mixer
Weltweites Aufmerksamkeitsdefizit
  1. Kiyo und Seiren X Razer bringt Ringlicht-Webcam für Streamer
  2. Roboter Megabots kündigt Video vom Roboterkampf an
  3. Free to Play World of Tanks bringt pro Nutzer und Monat 3,30 Dollar ein

Umrüstung: Wie der Elektromotor in den Diesel-Lkw kommt
Umrüstung
Wie der Elektromotor in den Diesel-Lkw kommt
  1. LEVC London bekommt Elektrotaxis mit Range Extender
  2. Vehicle-to-Grid Honda macht Elektroautos zu Stromnetz-Puffern
  3. National Electric Vehicle Sweden Der Saab 9-3 ist zurück als Elektroauto

  1. Private Division: Rockstar-Games-Firma gründet Ableger für AAA-Indiegames
    Private Division
    Rockstar-Games-Firma gründet Ableger für AAA-Indiegames

    Die Spielentwickler Patrice Désilets (Assassin's Creed), Ben Cousins (Battlefield) und Marcus Letho (Halo) produzieren ihr nächstes Werk zusammen mit einem neuen Ableger von Take 2 - der Firma hinter Rockstar und 2K Games. Private Division soll sich auf hochkarätige Indiegames konzentrieren.

  2. Klage erfolgreich: BND darf deutsche Metadaten nicht beliebig sammeln
    Klage erfolgreich
    BND darf deutsche Metadaten nicht beliebig sammeln

    Der Bundesnachrichtendienst muss seine Metadaten-Sammlung einschränken. Selbst in anonymisierter Form gebe es dafür keine gesetzliche Grundlage, entschied das Bundesverwaltungsgericht.

  3. Neuer Bericht: US-Behörden sollen kommerzielle Cloud-Dienste nutzen
    Neuer Bericht
    US-Behörden sollen kommerzielle Cloud-Dienste nutzen

    Ein Beratergremium der US-Regierung empfiehlt ihren Bundesbehörden, eigene IT-Lösungen aufzugeben und stattdessen stärker auf kommerzielle Cloud-Dienste zu setzen. Damit würden nicht nur Kosten gespart, die Cloud sei auch sicherer.


  1. 16:10

  2. 15:30

  3. 15:19

  4. 14:50

  5. 14:44

  6. 14:43

  7. 14:05

  8. 12:55