1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Bundesverwaltungsgericht: BND darf…

Veschlüsseln ...

  1. Thema

Neues Thema Ansicht wechseln


  1. Veschlüsseln ...

    Autor: phade 31.05.18 - 14:06

    Tja, dann sollten die Peeringpartner wohl auf ihren Routern einfach mal End-zu-end-verschlüsseln (vielleicht tun das einige ja schon).

    Dann kann der BND da ganz viel verschlüsselten Traffic mithören oder ...

    ... nehmen wir einen Peering-Partner A an, dessen Traffic mitgehört werden soll (weil da jemand in dessen Netzwerk vielleicht was illegales plant oder macht). Entweder weiss der BND dann schon zu welchem Peeringspartner B das läeuft oder muss den public-key bei allen Peering-Partnern von A erfragen. Mit richterlichem Beschluss bei so 2000 Ports (wieviele Partner sind das ? 500 im offenen Peering ?) stelle ich mir das schön aufwändig vor. Wenn man etwas nicht verhindern kann, kann man es ja unpraktikabel machen :o)

    Und wenn schon. Dank DSVGO wird immer mehr verschlüsselt, eMail, Webseiten, Messenger, Tor etc.
    Am DECIX ist davon sowieso schon lange nichts mehr abzuhören.



    2 mal bearbeitet, zuletzt am 31.05.18 14:07 durch phade.

  2. Re: Veschlüsseln ...

    Autor: bombinho 31.05.18 - 16:44

    Scherzkeks, hast Du dir mal Gedanken ueber Authentifikation gemacht?

  3. Re: Veschlüsseln ...

    Autor: wonoscho 31.05.18 - 17:20

    Wo ist das Problem?
    Oder meinst du die Authentifikation läuft unverschlüsselt?
    Klar, dann kann Man jede Verschlüsselung vergessen.



    1 mal bearbeitet, zuletzt am 31.05.18 17:38 durch wonoscho.

  4. Re: Veschlüsseln ...

    Autor: elmcrest 31.05.18 - 17:59

    Warum sollte die unverschlüsselt ablaufen?
    Dunkel mein ich nur dass ja TLS 1.2 noch ne Schwachstelle hat, die aber wohl mit 1.3 geschichte ist?

  5. Re: Veschlüsseln ...

    Autor: bombinho 01.06.18 - 00:03

    wonoscho schrieb:
    --------------------------------------------------------------------------------
    > Wo ist das Problem?
    > Oder meinst du die Authentifikation läuft unverschlüsselt?
    > Klar, dann kann Man jede Verschlüsselung vergessen.

    Wie weisst Du, dass das Gegenueber auch genau das Gegenueber ist, welches es behauptet, zu sein?

  6. Re: Veschlüsseln ...

    Autor: phade 01.06.18 - 12:26

    Hi,
    es geht doch jetzt um keine Verifikation einer jeglichen Verbindung über den DECIX, sondern nur darum, dass höchstwahrscheinlich schon sehr viel Traffic am DECIX verschlüsselt ist.

    Ok. der BND kann dann noch sehen, welche IPs mit welcher gerade Daten austauscht, vielleicht reicht das ja schon aus, um notwendige Fahndungen zu unterstützen.

    Das aber nun jeder Traffic von Unbeteiligten vom BND am DECIX mitgelesen kann, halte ich für ein Gerücht.

  7. Re: Veschlüsseln ...

    Autor: bombinho 01.06.18 - 15:44

    phade schrieb:
    --------------------------------------------------------------------------------
    > Hi,
    > es geht doch jetzt um keine Verifikation einer jeglichen Verbindung über
    > den DECIX, sondern nur darum, dass höchstwahrscheinlich schon sehr viel
    > Traffic am DECIX verschlüsselt ist.
    >
    > Ok. der BND kann dann noch sehen, welche IPs mit welcher gerade Daten
    > austauscht, vielleicht reicht das ja schon aus, um notwendige Fahndungen zu
    > unterstützen.
    >
    > Das aber nun jeder Traffic von Unbeteiligten vom BND am DECIX mitgelesen
    > kann, halte ich für ein Gerücht.

    Ah, okay, ich war immer davon ausgegangen, dass der BND im Zweifelsfall auch Zugriff auf z.B. Zertifikate bekommen koennte.

  8. Re: Veschlüsseln ...

    Autor: phade 01.06.18 - 16:14

    Ach wer weiss das schon.

    Die NSA hat ja vielleicht die root-keys von den wichtigsten Vergabestellen und vielleicht sind der BND und NSA ja echte "buddies" oder der BND hat gerne mal keys einiger Providern nebenbei "eingesammelt".

    Aber von allem und jedem ? Unwahrscheinlich.

    Vielleicht nutzen die ja auch mittlerweile die GPU-Monster der NSA, um die Verschluesselung in speziellen Faellen einfach auszurechnen ...

    Deshalb würde ich ja als DECIX-Mitglied nur noch private peerings nutzen und mit jedem Partner public-keys tauschen und noch einen Verschlüsselung-Layer drauflegen, viel Spass dann ;o)

  9. Re: Veschlüsseln ...

    Autor: bombinho 01.06.18 - 17:20

    phade schrieb:
    --------------------------------------------------------------------------------
    > Deshalb würde ich ja als DECIX-Mitglied nur noch private peerings nutzen
    > und mit jedem Partner public-keys tauschen und noch einen
    > Verschlüsselung-Layer drauflegen, viel Spass dann ;o)

    Ja, aber der Grossteil der Kommunikation beruht auch vorlaeufig bauf den bekannten Kommunikationswegen und der Rest wird in diese Richtung geschoben.

  10. Re: Veschlüsseln ...

    Autor: phade 01.06.18 - 17:49

    bombinho schrieb:
    --------------------------------------------------------------------------------
    > phade schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Deshalb würde ich ja als DECIX-Mitglied nur noch private peerings nutzen
    > > und mit jedem Partner public-keys tauschen und noch einen
    > > Verschlüsselung-Layer drauflegen, viel Spass dann ;o)
    >
    > Ja, aber der Grossteil der Kommunikation beruht auch vorlaeufig bauf den
    > bekannten Kommunikationswegen und der Rest wird in diese Richtung
    > geschoben.
    Äh, wie jetzt du meinen ?

    Wenn die peering-Partner auf den Routern, mit denen die am DECIX angeschlossen sind, erneut verschlüsseln und zwar immer mit dem public-key des Peeringpartners, dann laufen durch den DECIX nur noch IP-Header und ... (erneut) verschlüsselte Datenblöcke.
    Jede Cisco oder Huawei-Router kann das out-of-the-box. Public key mit dem Partner tauschen, 3 Zeilen in den Router und dann sieht der BND nur noch ein "von-wo-an-wo", aber keinerlei Klartext mehr, die ganze Leitung ist dann doch verschlüsselt, egal ob da schon eine verschlüsselte Verbindung lief, alles wird einfach nochmal von den Peering-Partnern verschlüsselt.



    1 mal bearbeitet, zuletzt am 01.06.18 17:51 durch phade.

  11. Re: Veschlüsseln ...

    Autor: bombinho 01.06.18 - 17:59

    phade schrieb:
    --------------------------------------------------------------------------------
    > Jede Cisco oder Huawei-Router kann das out-of-the-box. Public key mit dem
    > Partner tauschen, 3 Zeilen in den Router und dann sieht der BND nur noch
    > ein "von-wo-an-wo", aber keinerlei Klartext mehr, die ganze Leitung ist
    > dann doch verschlüsselt.

    Ja, aber ein Grossteil des Verkehrs geht von Webservern aus, deren Inhalte nun einmal mehr oder weniger irgendwo auch im Klartext vorliegen. Es macht wenig Sinn, wenn ich dir jetzt den Satz "Total geheimes Zeug" noch in super verschluesselter Form beilege.

    Es gibt mittlerweile sehr wenig Webtraffic, dessen Inhalt nicht spaetestens bei einem Kommunikationspartner ausgegeben werden kann oder muss. Da ist Verschluesselung nur ein Hindernis fuer die Putzfrau. Eventuell.

    Es gibt schlicht immer weniger Webanwendungen, die P2P kommunizieren, ohne den Inhalt im Klartext auf Drittrechnern zwischenzulagern. Das ist dann als ob du ein 5000¤ Schloss mit Tesaband am offenen Tuerrahmen befestigst, zur Zugangsbeschraenkung.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Manager (m/w/d) Service Desk
    Dortmunder Energie- und Wasserversorgung GmbH DEW21, Dortmund
  2. Administrator Security-Operations (m/w/d)
    Universitätsklinikum Regensburg, Regensburg
  3. Duales Studium Softwaretechnologie im Bereich Slicing 1
    MULTIVAC Sepp Haggenmüller SE & Co. KG, Dautphetal-Buchenau
  4. Sales Manager (m/w/d) Digitale Prozesse
    Apex Tool Holding Germany GmbH & Co. KG, Westhausen (bei Aalen)

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 22,49€
  2. 9,99€
  3. 8,99€
  4. 21,24€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Erreichbarkeit im Job: Server fallen auch im Urlaub aus
Erreichbarkeit im Job
Server fallen auch im Urlaub aus

Manche Firmen erwarten, dass ihre IT-Fachleute auch in der Freizeit und im Urlaub zur Verfügung stehen. Unter welchen Umständen dürfen sie das?
Von Harald Büring

  1. Hybrid-Modell Google will Programmierer aus dem Homeoffice zurückholen
  2. Bitkom Kaum mehr Kurzarbeit in der deutschen IT-Branche
  3. McKinsey Unternehmen senken Reisebudgets um bis zu 50 Prozent

Form Energy: Eisen-Luft-Akku soll Energiespeicherprobleme lösen
Form Energy
Eisen-Luft-Akku soll Energiespeicherprobleme lösen

Mit Geld von Bill Gates und Jeff Bezos sollen große, billige Akkus Strom für mehrere Tage speichern. Kann die Technik liefern, was sie verspricht?
Eine Analyse von Frank Wunderlich-Pfeiffer

  1. Förderprogramm Bund will Fachkräfte für Akkuindustrie ausbilden lassen
  2. Akkutechnologie Südkorea investiert 30 Milliarden Euro in Akkutechnologie
  3. CR2032 Airtags sind für Kleinkinder eine Gefahr

Hochwasser: Digitale Sicherheit gibt es erst nach Hunderten Toten
Hochwasser
Digitale Sicherheit gibt es erst nach Hunderten Toten

Die Diskussion um Cell Broadcast zeigt: Digitale Sicherheit gibt es erst nach Katastrophen. Das ist beängstigend, auch wenn man an kritische Infrastruktur wie das Stromnetz oder die Wasserversorgung denkt.
Ein IMHO von Sebastian Grüner

  1. Cell Broadcast Seehofer sieht keine Widerstände mehr gegen Warnung per SMS
  2. Unwetterkatastrophe Einige Orte in Rheinland-Pfalz weiter ohne Mobilfunk
  3. Katastrophenschutz Cell Broadcast soll im Sommer 2022 einsatzbereit sein