Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Zifra: Startup will Fotos auf…

Bullshitalarm

  1. Thema

Neues Thema Ansicht wechseln


  1. Bullshitalarm

    Autor: superkek 27.02.18 - 12:23

    Was theoretisch geht: die Karte verschlüsselt die Datein "on-the-fly" mit einem Publickey, die Daten liegen nach dem Schreiben also nur noch verschlüsselt auf der Karte. Zum anschauen/entschlüsseln benötigt man dann etwa eine Software auf dem Laptop welche den dazugehörigen Privatekey kennt. Soweit so gut.

    Aber im Artikel steht, Zitat:

    "Die Bilder werden sofort verschlüsselt abgelegt, doch Fotografen können weiterhin überprüfen, ob die aktuell geschossenen Bilder gelungen sind. "Beim Starten der Kamera wird ein Session-Key auf der Speicherkarte erzeugt, damit können die aktuell gemachten Bilder angeschaut werden", sagt Waldenström. Wird die Kamera ausgeschaltet, sind die eben gemachten Bilder erst am heimischen Computer wieder sichtbar."

    Das ist technisch unmöglich bzw. kann nur unsicher umgesetzt werden. Um einen "Session-Key" zu erzeugen müsste der Privatekey irgendwo noch auf der Karte (oder der Kamera) sein. Sobald der Privatekey aber auf der Kamera oder Karte liegt, ist das ganze Konzept sinnfrei.

    Irgendwas an dieser Story stimmt hier also nicht.

  2. Re: Bullshitalarm

    Autor: AllDayPiano 27.02.18 - 12:29

    Habe jetzt so ca. 6-7 Minuten darüber nachgedacht, und komme zu dem Entschluss, dass der Sachverhalt wohl falsch wiedergegeben ist, bzw. der Hersteller sich dort nicht eindeutig geäußert hat, und nur so ein wenig wischi-waschi Aussagen getroffen hat.

    Prinzipiell denke ich, dass die Bilder gecached werden, und die Kamera diesen Cache dann auslesen kann. Mit dem Abschalten der Versorgung wird der Cache dann geleert und ist damit nicht mehr lesbar.

    Das mit dem Key ... naja. Kommt halt darauf an, wie genau das ganze Verschlüsseln funktioniert. Ist aber ein Umweg, den ich für nicht notwendige erachte, wenn man mit einem Cache arbeitet.

  3. Re: Bullshitalarm

    Autor: Slartie 27.02.18 - 12:37

    Das ist ziemlich einfach möglich: die Bilder werden mit einem beim Power-Up zufällig generierten Schlüssel symmetrisch verschlüsselt - genau das ist der Session Key. Der bleibt so lange im flüchtigen Speicher, bis die Stromversorgung wegbricht, kann also auch während dieser Zeit zur Entschlüsselung von mit diesem Key verschlüsselten Bildern genutzt werden.

    Sobald das erste Bild mit einem neuen Session Key verschlüsselt werden soll, wird gleichzeitig der Session Key selbst mit dem Public Key des Public/Private Key Pair, dessen Private-Key nur auf dem Laptop des Fotografen existiert, asymmetrisch verschlüsselt und das Ergebnis in eine "Schlüsselliste" auf der Karte gespeichert. An diese Keys kommt die Kamera bzw. die Karte natürlich nicht mehr ran, der Private Key wäre dafür nötig, und der ist nicht auf der Karte. Ist aber auch egal - man soll ja nur die Bilder der aktuellen Session noch auf der Kamera betrachten können, und das geht dank des sich im RAM der Karte befindlichen aktuellen Klartext-Session-Key.

    Stecke ich die Karte jetzt in den Laptop, um alle Bilder zu entschlüsseln, nimmt sich die Software die Liste der verschlüsselten Session Keys vor und entschlüsselt diese einzeln mit dem Private Key auf dem Laptop. Mit den ganzen entschlüsselten Session Keys entschlüsselt sie danach die Bilder.



    1 mal bearbeitet, zuletzt am 27.02.18 12:41 durch Slartie.

  4. Re: Bullshitalarm

    Autor: xcvb 27.02.18 - 13:05

    Ich verstehe nicht, warum das so kompliziert sein muss. Warum nicht einfach seinen PGP Public Key auf die Kamera laden, mit dem die Bilder verschlüsselt werden. Um zu schauen, ob die Bilder etwas geworden sind, können sie ja noch unverschlüsselt im RAM liegen.

  5. Re: Bullshitalarm

    Autor: der-dicky 27.02.18 - 13:07

    Üblicherweise werden größere Datenmengen ja nicht direkt asymmetrisch verschlüsselt, sondern symmetrisch mit einem Zufallsschlüssel.
    Der Zufallsschlüssel wird dann asymmetrisch verschlüsselt und hinterlegt.
    Solange die Karte noch läuft kann sie sich den Zufallsschlüssel vorhalten, da sehe ich wenig Probleme...

  6. Re: Bullshitalarm

    Autor: Slartie 27.02.18 - 13:19

    Weil man sowieso niemals größere Datenmengen mit asymmetrischer Krypto direkt verschlüsselt, weil das viel zu performance-hungrig ist. Je nach Implementierung liegt da durchaus Faktor 100-1000 im Durchsatz zwischen asymmetrischer Krypto und symmetrischer Krypto, bei gleichem Sicherheitsniveau. Das kriegt man auch mit Hardware-Beschleunigung nicht weg (der Faktor bleibt, vorausgesetzt in beiden Fällen wird mit Hardware-Beschleunigung gearbeitet).

    Was man stattdessen tut ist, einen symmetrischen Schlüssel zufällig zu bestimmen und den verschlüsselt man dann asymmetrisch. Der ist kurz im Vergleich zu den Daten, da fällt die langsame asymmetrische Verschlüsselung also nicht so ins Gewicht, und die eigentlichen Daten verschlüsselt man dann symmetrisch, sprich: ratzeschnell.

    Für gewöhnlich erzeugt man sich pro "Dateneinheit", also z.B. pro Datei, einen symmetrischen Schlüssel und speichert den einfach nach Verschlüsselung mit dem Public Key zusammen mit den verschlüsselten Daten ab. Hier haben die Zifra-Leute aber einen Schritt weiter gedacht: wenn ich doch eh diesen symmetrischen Key habe, warum dann den nicht über mehrere Dateien - nämlich so lange, wie die Karte Saft hat - konstant lassen? Dann kann man damit die gerade gemachten Bilder noch entschlüsseln - völlig unabhängig davon, ob wir von 5 oder 500 reden, und mit konstantem, niedrigen RAM-Bedarf, nämlich gerade so viel, wie der Schlüssel lang ist. Das wäre nämlich der Nachteil bei deiner vorgeschlagenen Lösung: du brauchst unverhältnismäßig viel RAM, und da tonnenweise RAM zu verbauen ist bei der Platznot, die man eh schon bei der Beschränkung auf das SD-Karten-Format hat, sowie den engen Vorgaben bezüglich maximalem Stromverbrauch nicht grad einfach zu bewerkstelligen. Und egal wie viel RAM du reinsteckst - so lange das weniger ist, als die Karte an Flash-Kapazität hat, wird es immer möglich sein, dass der Fotograf in einer Session das Ding "sprengt", sprich mehr Bilder macht als in den RAM passen.

    Das Konzept von Zifra klingt auf jeden Fall durchdacht und konsistent, die Marktlücke ist offenbar real, und Anwendungen bzw. Anwender für das Produkt gibt es auch. Ich hoffe wirklich, dass daraus was wird. In Version 2 ihres Produkts könnten sie dann noch Plausible Deniability ins Visier nehmen: statt der eigentlichen Bilder werden "Dummy-Bilder" gespeichert, die aber unverschlüsselt sind; die echten Bilder liegen derweil verschlüsselt in einem Schattenbereich der Karte, der erst dann über die "Dummy-Bilder" gemappt wird, sobald man die Karte am Laptop mit dem Private Key entsperrt hat.



    2 mal bearbeitet, zuletzt am 27.02.18 13:23 durch Slartie.

  7. Re: Bullshitalarm

    Autor: _bla_ 27.02.18 - 13:29

    > ab. Hier haben die Zifra-Leute aber einen Schritt weiter gedacht: wenn ich
    > doch eh diesen symmetrischen Key habe, warum dann den nicht über mehrere
    > Dateien - nämlich so lange, wie die Karte Saft hat - konstant lassen? Dann

    Es ist ja nicht mal erforderlich, den symmetrischen Key über mehrere Dateien konstant zu lassen, so ein symmetrischer Schlüssel ist ja nur 16 bis 32bytes groß und bei einer Speicherkarte für Kameras geht es ja um relativ wenige, dafür aber große Dateien. Wenn man da einen internen SRAM hat, der ein paar KB groß ist, dann kann damit das Schlüsselmaterial für ein paar 100 Dateien zwischenlagern und das ist möglicherweise auch deshalb besser, weil man sonst aus den Metadaten noch Rückschlüsse ziehen kann, welche Fotos in der gleichen Session gemacht wurden.

    Ich würde es gut finden, wenn sie das Ganze nicht als Speicherkarte realisieren, sondern als SD zu Micro-SD Adapter mit zwischengeschalteter Verschlüsselung.

  8. Re: Bullshitalarm

    Autor: elcaron 27.02.18 - 14:22

    Weil weder die Kamera noch die Speicherkarte x GB RAM haben, wo die Bilder liegen können?
    Vor allem soll das ganze ja ohne explizite Kameraunterstützung laufen.

  9. Re: Bullshitalarm

    Autor: Sinnfrei 27.02.18 - 16:49

    superkek schrieb:
    --------------------------------------------------------------------------------
    > Das ist technisch unmöglich bzw. kann nur unsicher umgesetzt werden. Um
    > einen "Session-Key" zu erzeugen müsste der Privatekey irgendwo noch auf der
    > Karte (oder der Kamera) sein. Sobald der Privatekey aber auf der Kamera
    > oder Karte liegt, ist das ganze Konzept sinnfrei.
    >
    > Irgendwas an dieser Story stimmt hier also nicht.

    Das waren ganz genau meine Gedanken.

    __________________
    ...

  10. Re: Bullshitalarm

    Autor: Sinnfrei 27.02.18 - 16:51

    Davon steht aber im Artikel nichts?

    __________________
    ...

  11. Re: Bullshitalarm

    Autor: v2nc 27.02.18 - 17:52

    Danke für die ausführlichen Antworten.
    Habe ich eigentlich bei "it News für Profis", @golem, im Artikel und nicht im Forum erwartet.

  12. Re: Bullshitalarm

    Autor: LinuxMcBook 09.03.18 - 10:30

    Slartie schrieb:
    --------------------------------------------------------------------------------
    > Version 2 ihres
    > Produkts könnten sie dann noch Plausible Deniability ins Visier nehmen:
    > statt der eigentlichen Bilder werden "Dummy-Bilder" gespeichert, die aber
    > unverschlüsselt sind; die echten Bilder liegen derweil verschlüsselt in
    > einem Schattenbereich der Karte, der erst dann über die "Dummy-Bilder"
    > gemappt wird, sobald man die Karte am Laptop mit dem Private Key entsperrt
    > hat.

    Das Blöde an der Plausible Deniability ist doch aber, dass dir im Zweifel irgendeine lupenreine Demokratie den Finger ab schneidet, nur weil du auf der Speicherkarte deine Urlaubsbilder gespeichert hast und dir keiner glaubt, dass da nicht noch mehr drauf ist...

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Hays AG, Frankfurt am Main
  2. ING-DiBa AG, Nürnberg, Frankfurt
  3. THE BRETTINGHAMS GmbH, Berlin
  4. Jobware GmbH, Paderborn

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 2,99€
  2. 2,49€
  3. 3,99€
  4. 4,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Black Mirror Staffel 5: Der Gesellschaft den Spiegel vorhalten
Black Mirror Staffel 5
Der Gesellschaft den Spiegel vorhalten

Black Mirror zeigt in der neuen Staffel noch alltagsnäher als bisher, wie heutige Technologien das Leben in der Zukunft katastrophal auf den Kopf stellen könnten. Dabei greift die Serie auch aktuelle Diskussionen auf und zeigt mitunter, was bereits im heutigen Alltag schiefläuft - ein Meisterwerk! Achtung, Spoiler!
Eine Rezension von Tobias Költzsch

  1. Streaming Netflix testet an Instagram erinnernden News-Feed
  2. Start von Disney+ Netflix wird nicht dauerhaft alle Disney-Inhalte verlieren
  3. Videostreaming Netflix will Zuschauerzahlen nicht länger geheim halten

Webbrowser: Das Tracking ist tot, es lebe das Tracking
Webbrowser
Das Tracking ist tot, es lebe das Tracking

Die großen Browserhersteller Apple, Google und Mozilla versprechen ihren Nutzern Techniken, die das Tracking im Netz erschweren sollen. Doch das stärkt Werbemonopole im Netz und die Methoden verhindern das Tracking nicht.
Eine Analyse von Sebastian Grüner

  1. Europawahlen Bundeszentrale will Wahl-O-Mat nachbessern
  2. Werbenetzwerke Weitere DSGVO-Untersuchung gegen Google gestartet
  3. WLAN-Tracking Ab Juli 2019 will Londons U-Bahn Smartphones verfolgen

Vernetztes Fahren: Wer hat uns verraten? Autodaten
Vernetztes Fahren
Wer hat uns verraten? Autodaten

An den Daten vernetzter Autos sind viele Branchen und Firmen interessiert. Die Vorschläge zu Speicherung und Zugriff auf die Daten sind jedoch noch nebulös. Und könnten den Fahrzeughaltern große Probleme bereiten.
Eine Analyse von Friedhelm Greis

  1. Neues Geschäftsfeld Huawei soll an autonomen Autos arbeiten
  2. Taxifahrzeug Volvo baut für Uber Basis eines autonomen Autos
  3. Autonomes Fahren Halter sollen bei Hackerangriffen auf Autos haften

  1. Mobilfunkinfrastrukturgesellschaft (MIG): Bundeseigene Mastengesellschaft aufgestellt
    Mobilfunkinfrastrukturgesellschaft (MIG)
    Bundeseigene Mastengesellschaft aufgestellt

    Eine Mobilfunkinfrastrukturgesellschaft soll schnell Masten errichten, um Funklöcher zu schließen. Das haben die Fraktionsvorstände von SPD und CDU/CSU beschlossen. Der marktwirtschaftlich getriebene Ausbau habe einen Mobilfunk-Flickenteppich geschaffen.

  2. AVG: Antivirus-Software beschädigt Passwortspeicher im Firefox
    AVG
    Antivirus-Software beschädigt Passwortspeicher im Firefox

    Ein spezieller Passwortschutz der Antiviren-Software AVG hat den Passwortspeicher des Firefox-Browser beschädigt. Nutzer hatten deshalb zwischenzeitlich ihre Zugangsdaten verloren. Diese können aber wiederhergestellt werden.

  3. Gamestop: Nerd-Versandhandel Thinkgeek hört auf
    Gamestop
    Nerd-Versandhandel Thinkgeek hört auf

    Der vor allem für seine teils obskuren Produkte bekannte Online-Versandhandel Thinkgeek stellt seinen Betrieb ein. Eine kleine Auswahl der Produkte soll weiter bei der Muttergesellschaft Gamestop erhältlich sein.


  1. 14:32

  2. 12:00

  3. 11:30

  4. 11:00

  5. 10:20

  6. 18:21

  7. 16:20

  8. 15:50