1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Whatsapp-Alternative: Warum es okay…

Backdoor in open source Software?

Für Konsolen-Talk gibt es natürlich auch einen Raum ohne nerviges Gedöns oder Flamewar im Freiraum!
  1. Thema

Neues Thema Ansicht wechseln


  1. Backdoor in open source Software?

    Autor: Pearl 29.01.21 - 12:36

    Wenn Messenger verpflichtet sind (werden), Schwachstellen in der End-zu-End-Verschlüsselung einzubauen, dann kann ja jeder diese Schwachstelle verwenden oder?

  2. Re: Backdoor in open source Software?

    Autor: wittiko 29.01.21 - 12:50

    Pull request "Backdoor integrated"

    Ja sicher wer soll das bitte zulassen?

  3. Re: Backdoor in open source Software?

    Autor: unbuntu 29.01.21 - 13:25

    Es sei denn sie sollen die nur in die vorkompilierte Version einbauen, da eh 99,999% aller Nutzer genau diese installieren. Dann hat man die Masse schön unter Kontrolle. Und die Terroristen mit selber kompilierten Versionen sind dann halt tragische Einzelfälle falls was passiert.

    "Linux ist das beste Betriebssystem, das ich jemals gesehen habe." - Albert Einstein

  4. Re: Backdoor in open source Software?

    Autor: Steven Lake 29.01.21 - 13:50

    unbuntu schrieb:
    --------------------------------------------------------------------------------
    > Es sei denn sie sollen die nur in die vorkompilierte Version einbauen, da
    > eh 99,999% aller Nutzer genau diese installieren. Dann hat man die Masse
    > schön unter Kontrolle. Und die Terroristen mit selber kompilierten
    > Versionen sind dann halt tragische Einzelfälle falls was passiert.

    Weil das auffällt. Eigentlich müsste der Hash ja gleich bleiben, wenn genau gleich kompiliert wird. Es dürfte sehr warscheinlich Bots geben, die bei einem Update dies automatisch prüfen.
    Und wie sieht es mit FDroid aus? Kompilieren die nicht selber? Da kann man immerhin auch andere Repos nutzen, wenn man denen mehr traut.

    Selber kompilieren tue ich auch nicht. Einfache Updates sind mir lieber. Ich vertraue darauf, dass andere ein Auge darauf haben, die mehr Ahnung haben. Natürlich ist vertrauen gut, Kontrolle ist besser. Sowieso, man kann auch einfach etwas in den Quellcode einbauen. Mit der Sudo Lücke hat es ja 10 Jahre gedauert, bis das einem aufgefallen ist.

  5. Re: Backdoor in open source Software?

    Autor: unbuntu 29.01.21 - 14:23

    Steven Lake schrieb:
    --------------------------------------------------------------------------------
    > Weil das auffällt.

    Aber eben nur wenn das einer prüft. Und zwar nach jedem Update erneut. Und selbst wenn es einer geprüft hat wird nichts passieren, da er ja nicht weiß was der Unterschied ist und diese Backdoor ja in jedem IM eingebaut werden müsste.

    "Linux ist das beste Betriebssystem, das ich jemals gesehen habe." - Albert Einstein

  6. Re: Backdoor in open source Software?

    Autor: wittiko 29.01.21 - 14:37

    Die Builds werden durch Commits im SCM angestoßen.
    Wenn man sich die Commits anschaut wird man das auch sehen.
    Bei OpenSource ist nichts mit verstecken.

    Ich kann mir echt nicht vorstellen bei einem Messanger wie Signal dass dies niemanden auffallen würde.

    Schlimmstenfalls würde man vor dem Commit einen Fork machen und fertig - das ist eben genau der Vorteil von OS.

    Die Cryptowars hat es schon einmal gegeben - wie sie ausgegangen sind sollte bekannt sein.

    Signal muss ja nicht in den USA sein da gibt es auch andere Länder wo man den Sitz des Vereins machen kann.

  7. Re: Backdoor in open source Software?

    Autor: Keep The Focus 30.01.21 - 09:37

    bestimmt wird Moxie dann aus den USA auswandern - genau.

    Ich vermute, dass es gar nicht so schlimm ist, und die meisten Leute so oder so dort bleiben.
    Immerhin hat man dort jetzt alle Kontakte und Chats, sodass der Netzwerkeffekt seine Wirkung entfalten kann

  8. Re: Backdoor in open source Software?

    Autor: violator 30.01.21 - 10:09

    Naja es reicht nicht aus, wenn Leute wechseln, sie müssen auch da bleiben. Bei den paar Telegram-Kontakten bei mir sind viele schon wieder gelöscht oder lange offline. Und da ja jeder nen anderen IM empfiehlt hat man bei jedem halt immer nur ne Teilmenge an Kontakten und keiner ist wirklich glücklich.

  9. Re: Backdoor in open source Software?

    Autor: Keep The Focus 30.01.21 - 13:26

    naja, bei dem Ansturm gehe ich davon aus, dass viele weg von WhatsApp sind und nun bevorzugt Signal nutzen.

    Wird schwierig dann wieder wegzukommen? Zurück zu WhatsApp verbessert nichts, und ansonsten hat man wieder eine Auswahl wo sich keiner Entscheiden kann und letztendlich einfach nichts gemacht wird...

  10. Re: Backdoor in open source Software?

    Autor: chefin 01.02.21 - 11:19

    Pearl schrieb:
    --------------------------------------------------------------------------------
    > Wenn Messenger verpflichtet sind (werden), Schwachstellen in der
    > End-zu-End-Verschlüsselung einzubauen, dann kann ja jeder diese
    > Schwachstelle verwenden oder?


    Was bedeutet Schwachstelle?

    Nehmen wir mal an, die machen es clever. Dann werden alle Schlüssel die erstellt werden auf einem Masterschlüssel basieren. Den dazugehörigen Publickey darf jeder wisssen. Damit erstellt man einen Schlüssel, den der Privatemasterkey IMMER entschlüsseln kann, der jeweilige Client aber immer nur seine eigenen Nachrichten.

    Das würde man zwar im Quellcode sehen, aber solange keiner den Masterkey hat kann er nichts damit anfangen. Er könnte lediglich einen Fork der Software machen und seinen eigenen Publickey einbringen.

    Eine andere, etwas weniger sichtbare Möglichkeit ist, den effektive Key zu schwächen indem man die Entrophie reduziert. Und zwar so, das er etwas leichter rauszufinden ist. Von sagen wir mal statt 2^120 Möglichkeiten nur noch 2^70 Möglichkeiten. Damit ist die benötigte Rechenleistung extrem hoch, aber nicht unmöglich hoch. Es gibt einige wenige die es knacken können. Und wenn man es geschickt macht merkt es keiner. So wurde das damals bei RSA Verschlüsselung gemacht. Die zugrunde liegenden Primzahlen waren reduziert worden ohne das es bemerkt wurde. Kam Jahre später raus, das NSA da die Finger mit drin hatte.

    Sowas ist dann nahezu nicht sichtbar, reduziert aber die Rechenleistung die nötig ist. Reduziere ich die zu stark, können zuviele es entschlüsseln und es wird bekannt werden. Reduziere ich zu wenig, steigt mein Aufwand derart an, das ich das nur sehr sehr sporadisch einsetzen kann. Und ich muss es nahzu jährlich neu bewerten wieviel Rechenleistung so zur Verfügung steht bei anderen.

    Unmöglich ist es also nicht. Auch nicht bei OpenSource und trotzdem unsichtbar. Aber halt auch immer mit einem kleinen Restrisiko.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Stadt Erlangen, Erlangen
  2. PHOENIX Pharmahandel GmbH & Co KG, Mannheim
  3. über duerenhoff GmbH, Raum Berlin, Hannover, Münster, Schweinfurt, bundesweit
  4. PROBAT Bau AG, Feldkirchen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. Sniper Ghost Warrior 3 - Season Pass Edition für 4,99€, Sherlock Holmes: The Devil's...
  2. 4,19€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme