Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Verschlüsselung: Niemand hat die…

Back to the 90s

  1. Thema

Neues Thema Ansicht wechseln


  1. Back to the 90s

    Autor: co 13.10.17 - 10:56

    Wenn das durchgeht, kann man auch einfach alles wieder aufmachen.

  2. Re: Back to the 90s

    Autor: BangerzZ 13.10.17 - 11:03

    Naja die Verschlüsselung wird dadurch ja nicht schlechter, kann halt nur im nachhinein entschlüsselt werden, wenn jemand in den besitzt der schlüssel kommt. Deshalb ist das "nur" ein problem für PFS.

    Ich frage mich nur ob man solche Verbindungen einfach ablehnen könnte. Wenn man als client beim DHKE zwei mal den gleichen schlüssel benutzt und zwei mal das gleiche schlüssel paar rauskommt, müsste man statische schlüssel erkennen können.



    1 mal bearbeitet, zuletzt am 13.10.17 11:04 durch BangerzZ.

  3. Re: Back to the 90s

    Autor: h4z4rd 13.10.17 - 11:26

    Auf dem Client wäre es einfach zu erkennen, es könnte dann ja beim Start der Session kein DHKE mehr passieren. Denn selbst wenn der Server die selben Werte für g und p verwendet, würde der Client mit an Sicherheit grenzender Wahrscheinlichkeit ein anderes Secret erzeugen. Das Problem ist aber letztlich, dass die Server die Schlüssel dann offensichtlich über einen längeren Zeitraum speichern. Was natürlich die Sicherheit der Schlüssel im allgemeinen untergräbt. Wenn jemand Zugriff auf den Key-Server erhält, kann er auch jede mit geschnittene Kommunikation nachträglich entschlüsseln. Quasi der feuchte Traum eines jeden NSA / BND Agenten.

  4. Re: Back to the 90s

    Autor: foho 13.10.17 - 11:26

    > Ich frage mich nur ob man solche Verbindungen einfach ablehnen könnte. Wenn
    > man als client beim DHKE zwei mal den gleichen schlüssel benutzt und zwei
    > mal das gleiche schlüssel paar rauskommt, müsste man statische schlüssel
    > erkennen können.

    naja dann müsste man aber die alten keys speichern, ich glaube nicht das das im interesser der kunden ist, zumal du dann immer gegen alle bisher verwendeten checken musst. wie das performancetechnisch ausschaut.... da kenn ich mich leider zu wenig aus.

  5. Re: Back to the 90s

    Autor: BangerzZ 13.10.17 - 11:32

    foho schrieb:
    --------------------------------------------------------------------------------
    > naja dann müsste man aber die alten keys speichern, ich glaube nicht das
    > das im interesser der kunden ist, zumal du dann immer gegen alle bisher
    > verwendeten checken musst. wie das performancetechnisch ausschaut.... da
    > kenn ich mich leider zu wenig aus.

    Man müsste ja nur bei der ersten Verbindung zwei mal mit dem gleich schlüssel verbinden. Danach kann man davon ausgehen das die Verbindung entweder statische oder dynamische schlüssel nutzt.

    Also ein pre flight check, nach dem alles normal abläuft.

    Wenn sich rausstellt das statische Schlüssel benutzt werden, könnten Browser Hersteller die Verbindung ablehnen und so den zwang durch die Hintertür durchsetzten, so wie es auch schon beim tls zwang für http2 passiert ist.



    1 mal bearbeitet, zuletzt am 13.10.17 11:34 durch BangerzZ.

  6. Re: Back to the 90s

    Autor: Noren 13.10.17 - 11:36

    Wäre es nicht sogar möglich, das Secret mithilfe von mehreren Verbindungen nach einer gewissen Zeit errechnen/erraten zu können?

  7. Re: Back to the 90s

    Autor: Noren 13.10.17 - 11:38

    Was für eine wunderbare Idee für ein Addon.

  8. Re: Back to the 90s

    Autor: My1 13.10.17 - 11:41

    Noren schrieb:
    --------------------------------------------------------------------------------
    > Was für eine wunderbare Idee für ein Addon.

    geht as überhaupt als addon? in alten FF versionen vlt abe rmit dem webextension zeug, wo ja auf den browser selbst kaum noch einfluss genommen werden kann...

    Asperger inside(tm)

  9. Re: Back to the 90s

    Autor: Noren 13.10.17 - 12:03

    Eine Rohe TCP Verbindung scheint nicht möglich zu sein. Man könnte aber sicher ein separates Tool dazu bauen, welches solche Checks per Webservice einem Addon zur Verfügung stellt.

  10. Re: Back to the 90s

    Autor: My1 13.10.17 - 12:14

    aber diesem webservice müsste man vertrauen und wenn der service offline geht dann is doof.

    Asperger inside(tm)

  11. Re: Back to the 90s

    Autor: MAD_onna 13.10.17 - 12:33

    Einfach alles wieder aufmachen erscheint mir auch der einzig gangbare Weg.
    Das würde viele Dinge vereinfachen, Energiekosten würden auch leicht gesenkt und die Freiheit wäre plötzlich wieder da. Kein Mißtrauen käme mehr auf und die letzten Arschkröten, die dann immer noch verschlüsseln, könnte man sehr einfach identifizieren. Nochwas fällt mir ein: Es gäbe wieder eine Form der Sicherheit und Vertrauen, von dem uns die Politiker immer vorschwafeln, nachdem sie in einer Sitzung unter Ausschluß der Öffentlichkeit den Fahrplan für die nächsten x Jahre verabschiedet haben.
    Machen wir das!

  12. Re: Back to the 90s

    Autor: bombinho 13.10.17 - 12:53

    Smilie vergessen!

    Die Verschiebung auf eine Seite ist definiv nicht das, was Du im Sinn hattest.

  13. Re: Back to the 90s

    Autor: Noren 13.10.17 - 13:16

    Ein von Webbrowser unabhängiges Tool welches einen Webservice hat. Addons könnten über HTTP/jsonrpc eine Anfrage für ein Check stellen, welches von dem unabhängige Tool durchgeführt wird.

  14. Re: Back to the 90s

    Autor: My1 13.10.17 - 13:59

    aso dass man dafür erst ne anwendung installieren darf oder so? na sowas nenne ich mal nervig. ist der sinn von browseraddons nicht gewesen dass man nicht für alles ne extra software installieren braucht, ich mein es gibt für den alten Firefox ja auch vollwertige downloadmanager wie Downthemall oder sogar n torrent downloader (ganz nett wenn man mal ne Linux ISO etwas schneller haben will)

    Asperger inside(tm)

  15. Re: Back to the 90s

    Autor: BangerzZ 13.10.17 - 14:28

    Man könnte eine Websocket/TCP bridge benutzen. Wäre halt auch wieder ein Server dem man vertrauen müsste, hätte aber den Vorteil, dass die Authentizität der Endstelle im Browser überprüft werden könnte.

  16. Re: Back to the 90s

    Autor: bombinho 13.10.17 - 14:33

    Hat so ein bisschen etwas Masochistisches im Stil, dass du dir immer wieder ein Bein brechen laesst, damit du ausprobieren kannst, mit welchen Cremes der Juckreiz am besten zu kontrollieren ist. ;)

  17. Re: Back to the 90s

    Autor: MarioWario 13.10.17 - 18:03

    Im Endeffekt ist das mit Zertifikaten eh Bullshit und alle unmöglichen Google-Gesellen wollen einem 2-Factor aufquatschen - warum wohl.

    Wir behalten nur ein freies Web, wenn auch Seiten ohne https angesurft werden können - es ist eh alles so kaputt: Intel ME, iCloud, Android-App-Pixeltracking.

    Electronic Banking funktioniert nur der 'Großzügigkeit' der Banken bei Schäden - nicht weil alles so toll abgesichert ist - Beispiel: onVista fragt beim ersten Login nach der Steuer-ID und läßt den Login-Prozeß bis zum TimeOut offen - ohne Abbruchmöglichkeit (ohne EU-Banken-Deregulierung hätte man die von Rechts wegen längst des Platzes verwiesen) - anyway.



    1 mal bearbeitet, zuletzt am 13.10.17 18:05 durch MarioWario.

  18. Re: Back to the 90s

    Autor: bombinho 13.10.17 - 21:07

    MarioWario schrieb:
    --------------------------------------------------------------------------------
    > Wir behalten nur ein freies Web, wenn auch Seiten ohne https angesurft
    > werden können - es ist eh alles so kaputt: Intel ME, iCloud,
    > Android-App-Pixeltracking.

    Da ist etwas dran, das Einzige was mit Verschluesselung mit sehr hoher Wahrscheinlichkeit gegeben ist, ist eine halbwegs sichere Identifizierung der Gegenstelle. Wozu das z.B. bei einem Abruf eines oeffentlichen Videostreams notwendig ist, das weiss nur der Erfinder.

  19. Re: Back to the 90s

    Autor: crypt0 13.10.17 - 22:20

    z.b dass dir dein Provider keine Ads in dem stream packen kann...
    oder keine malware...
    just saying

  20. Re: Back to the 90s

    Autor: bombinho 14.10.17 - 00:05

    Dafuer gibt es bereits DRM ;)

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Berliner Verkehrsbetriebe (BVG), Berlin
  2. Stadt Flensburg, Flensburg
  3. Bayerische Versorgungskammer, München
  4. Vodafone GmbH, Düsseldorf

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 245,90€ + Versand
  2. 72,99€ (Release am 19. September)
  3. 98,99€ (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


e.Go Life: Ein Auto, das lächelt
e.Go Life
Ein Auto, das lächelt

Das Auto ist zwar klein, bringt aber sogar gestandene Rennfahrer ins Schwärmen: Das Aachener Unternehmen e.Go Mobile hat seine ersten Elektroautos ausgeliefert. In einer Probefahrt erweist sich der Kleinwagen als sehr dynamisch.
Ein Bericht von Werner Pluta

  1. EZ-Pod Renault-Miniauto soll Stadtverkehr in Kolonne fahren
  2. Elektromobilität EnBW will weitere 2.000 Schnellladepunkte errichten
  3. Elektromobilität Verkehrsminister will Elektroautos länger und mehr fördern

Bethesda: Ich habe TES Blades für 5,50 Euro durchgespielt
Bethesda
Ich habe TES Blades für 5,50 Euro durchgespielt

Rund sechs Wochen lang hatte ich täglich viele spaßige und auch einige frustrierende Erlebnisse in Tamriel: Mittlerweile habe ich den Hexenkönig in TES Blades besiegt - ohne dafür teuer bezahlen zu müssen.
Ein Bericht von Marc Sauter

  1. Bethesda TES Blades erhält mehr Story-Inhalte und besseres Balancing
  2. Bethesda TES Blades ist für alle verfügbar
  3. TES Blades im Test Tolles Tamriel trollt

Bundestagsanhörung: Beim NetzDG drohen erste Bußgelder
Bundestagsanhörung
Beim NetzDG drohen erste Bußgelder

Aufgrund des Netzwerkdurchsetzungsgesetzes laufen mittlerweile über 70 Verfahren gegen Betreiber sozialer Netzwerke. Das erklärte der zuständige Behördenchef bei einer Anhörung im Bundestag. Die Regeln gegen Hass und Hetze auf Facebook & Co. entzweien nach wie vor die Expertenwelt.
Ein Bericht von Justus Staufburg

  1. NetzDG Grüne halten Löschberichte für "trügerisch unspektakulär"
  2. NetzDG Justizministerium sieht Gesetz gegen Hass im Netz als Erfolg
  3. Virtuelles Hausrecht Facebook muss beim Löschen Meinungsfreiheit beachten

  1. Telefónica Deutschland: Größter LTE-Ausbau der Unternehmensgeschichte
    Telefónica Deutschland
    Größter LTE-Ausbau der Unternehmensgeschichte

    Um die Versorgungsauflagen aus dem Jahr 2015 zu erfüllen, hat die Telefónica ihr bisher größtes Ausbauprogramm gestartet. Im April sei es weiter vorangegangen.

  2. Gamification: Amazon verpackt öde Arbeit als Spiel
    Gamification
    Amazon verpackt öde Arbeit als Spiel

    Wettrennen mit Drachen oder Burgen bauen - statt Turnschuhe, Bücher oder Computerkabel in Kisten einzusortieren: Amazon probiert laut einem Medienbericht in einigen seiner Versandzentren aus, ob die Arbeit mit Spielinhalten weniger langweilig gestaltet werden kann.

  3. Handy-Betriebssystem: KaiOS sichert sich 50 Millionen US-Dollar
    Handy-Betriebssystem
    KaiOS sichert sich 50 Millionen US-Dollar

    Das Betriebssystem für Featurephones KaiOS wächst weiter: Das gleichnamige Unternehmen konnte sich weitere 50 Millionen US-Dollar an Finanzierungsgeldern sichern. Mittlerweile sollen weltweit 100 Millionen Handys mit KaiOS laufen.


  1. 18:46

  2. 18:07

  3. 17:50

  4. 17:35

  5. 17:20

  6. 16:56

  7. 16:43

  8. 16:31