1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Bundesverwaltungsgericht: BND…

Veschlüsseln ...

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Veschlüsseln ...

    Autor: phade 31.05.18 - 14:06

    Tja, dann sollten die Peeringpartner wohl auf ihren Routern einfach mal End-zu-end-verschlüsseln (vielleicht tun das einige ja schon).

    Dann kann der BND da ganz viel verschlüsselten Traffic mithören oder ...

    ... nehmen wir einen Peering-Partner A an, dessen Traffic mitgehört werden soll (weil da jemand in dessen Netzwerk vielleicht was illegales plant oder macht). Entweder weiss der BND dann schon zu welchem Peeringspartner B das läeuft oder muss den public-key bei allen Peering-Partnern von A erfragen. Mit richterlichem Beschluss bei so 2000 Ports (wieviele Partner sind das ? 500 im offenen Peering ?) stelle ich mir das schön aufwändig vor. Wenn man etwas nicht verhindern kann, kann man es ja unpraktikabel machen :o)

    Und wenn schon. Dank DSVGO wird immer mehr verschlüsselt, eMail, Webseiten, Messenger, Tor etc.
    Am DECIX ist davon sowieso schon lange nichts mehr abzuhören.



    2 mal bearbeitet, zuletzt am 31.05.18 14:07 durch phade.

  2. Re: Veschlüsseln ...

    Autor: bombinho 31.05.18 - 16:44

    Scherzkeks, hast Du dir mal Gedanken ueber Authentifikation gemacht?

  3. Re: Veschlüsseln ...

    Autor: wonoscho 31.05.18 - 17:20

    Wo ist das Problem?
    Oder meinst du die Authentifikation läuft unverschlüsselt?
    Klar, dann kann Man jede Verschlüsselung vergessen.



    1 mal bearbeitet, zuletzt am 31.05.18 17:38 durch wonoscho.

  4. Re: Veschlüsseln ...

    Autor: elmcrest 31.05.18 - 17:59

    Warum sollte die unverschlüsselt ablaufen?
    Dunkel mein ich nur dass ja TLS 1.2 noch ne Schwachstelle hat, die aber wohl mit 1.3 geschichte ist?

  5. Re: Veschlüsseln ...

    Autor: bombinho 01.06.18 - 00:03

    wonoscho schrieb:
    --------------------------------------------------------------------------------
    > Wo ist das Problem?
    > Oder meinst du die Authentifikation läuft unverschlüsselt?
    > Klar, dann kann Man jede Verschlüsselung vergessen.

    Wie weisst Du, dass das Gegenueber auch genau das Gegenueber ist, welches es behauptet, zu sein?

  6. Re: Veschlüsseln ...

    Autor: phade 01.06.18 - 12:26

    Hi,
    es geht doch jetzt um keine Verifikation einer jeglichen Verbindung über den DECIX, sondern nur darum, dass höchstwahrscheinlich schon sehr viel Traffic am DECIX verschlüsselt ist.

    Ok. der BND kann dann noch sehen, welche IPs mit welcher gerade Daten austauscht, vielleicht reicht das ja schon aus, um notwendige Fahndungen zu unterstützen.

    Das aber nun jeder Traffic von Unbeteiligten vom BND am DECIX mitgelesen kann, halte ich für ein Gerücht.

  7. Re: Veschlüsseln ...

    Autor: bombinho 01.06.18 - 15:44

    phade schrieb:
    --------------------------------------------------------------------------------
    > Hi,
    > es geht doch jetzt um keine Verifikation einer jeglichen Verbindung über
    > den DECIX, sondern nur darum, dass höchstwahrscheinlich schon sehr viel
    > Traffic am DECIX verschlüsselt ist.
    >
    > Ok. der BND kann dann noch sehen, welche IPs mit welcher gerade Daten
    > austauscht, vielleicht reicht das ja schon aus, um notwendige Fahndungen zu
    > unterstützen.
    >
    > Das aber nun jeder Traffic von Unbeteiligten vom BND am DECIX mitgelesen
    > kann, halte ich für ein Gerücht.

    Ah, okay, ich war immer davon ausgegangen, dass der BND im Zweifelsfall auch Zugriff auf z.B. Zertifikate bekommen koennte.

  8. Re: Veschlüsseln ...

    Autor: phade 01.06.18 - 16:14

    Ach wer weiss das schon.

    Die NSA hat ja vielleicht die root-keys von den wichtigsten Vergabestellen und vielleicht sind der BND und NSA ja echte "buddies" oder der BND hat gerne mal keys einiger Providern nebenbei "eingesammelt".

    Aber von allem und jedem ? Unwahrscheinlich.

    Vielleicht nutzen die ja auch mittlerweile die GPU-Monster der NSA, um die Verschluesselung in speziellen Faellen einfach auszurechnen ...

    Deshalb würde ich ja als DECIX-Mitglied nur noch private peerings nutzen und mit jedem Partner public-keys tauschen und noch einen Verschlüsselung-Layer drauflegen, viel Spass dann ;o)

  9. Re: Veschlüsseln ...

    Autor: bombinho 01.06.18 - 17:20

    phade schrieb:
    --------------------------------------------------------------------------------
    > Deshalb würde ich ja als DECIX-Mitglied nur noch private peerings nutzen
    > und mit jedem Partner public-keys tauschen und noch einen
    > Verschlüsselung-Layer drauflegen, viel Spass dann ;o)

    Ja, aber der Grossteil der Kommunikation beruht auch vorlaeufig bauf den bekannten Kommunikationswegen und der Rest wird in diese Richtung geschoben.

  10. Re: Veschlüsseln ...

    Autor: phade 01.06.18 - 17:49

    bombinho schrieb:
    --------------------------------------------------------------------------------
    > phade schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Deshalb würde ich ja als DECIX-Mitglied nur noch private peerings nutzen
    > > und mit jedem Partner public-keys tauschen und noch einen
    > > Verschlüsselung-Layer drauflegen, viel Spass dann ;o)
    >
    > Ja, aber der Grossteil der Kommunikation beruht auch vorlaeufig bauf den
    > bekannten Kommunikationswegen und der Rest wird in diese Richtung
    > geschoben.
    Äh, wie jetzt du meinen ?

    Wenn die peering-Partner auf den Routern, mit denen die am DECIX angeschlossen sind, erneut verschlüsseln und zwar immer mit dem public-key des Peeringpartners, dann laufen durch den DECIX nur noch IP-Header und ... (erneut) verschlüsselte Datenblöcke.
    Jede Cisco oder Huawei-Router kann das out-of-the-box. Public key mit dem Partner tauschen, 3 Zeilen in den Router und dann sieht der BND nur noch ein "von-wo-an-wo", aber keinerlei Klartext mehr, die ganze Leitung ist dann doch verschlüsselt, egal ob da schon eine verschlüsselte Verbindung lief, alles wird einfach nochmal von den Peering-Partnern verschlüsselt.



    1 mal bearbeitet, zuletzt am 01.06.18 17:51 durch phade.

  11. Re: Veschlüsseln ...

    Autor: bombinho 01.06.18 - 17:59

    phade schrieb:
    --------------------------------------------------------------------------------
    > Jede Cisco oder Huawei-Router kann das out-of-the-box. Public key mit dem
    > Partner tauschen, 3 Zeilen in den Router und dann sieht der BND nur noch
    > ein "von-wo-an-wo", aber keinerlei Klartext mehr, die ganze Leitung ist
    > dann doch verschlüsselt.

    Ja, aber ein Grossteil des Verkehrs geht von Webservern aus, deren Inhalte nun einmal mehr oder weniger irgendwo auch im Klartext vorliegen. Es macht wenig Sinn, wenn ich dir jetzt den Satz "Total geheimes Zeug" noch in super verschluesselter Form beilege.

    Es gibt mittlerweile sehr wenig Webtraffic, dessen Inhalt nicht spaetestens bei einem Kommunikationspartner ausgegeben werden kann oder muss. Da ist Verschluesselung nur ein Hindernis fuer die Putzfrau. Eventuell.

    Es gibt schlicht immer weniger Webanwendungen, die P2P kommunizieren, ohne den Inhalt im Klartext auf Drittrechnern zwischenzulagern. Das ist dann als ob du ein 5000¤ Schloss mit Tesaband am offenen Tuerrahmen befestigst, zur Zugangsbeschraenkung.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Data Manager (m/w/d)
    Hays AG, München
  2. IT-Administrator (m/w/d)
    IWK-Institut für Weiterbildung in der Kranken- & Altenpflege gGmbH, Delmenhorst
  3. Betriebswirtin / Wirtschaftsinformatikerin / Wirtschaftsingenieurin als SAP-Architektin (m/w/d)
    Max-Planck-Gesellschaft zur Förderung der Wissenschaften e.V., München
  4. Fachberater/in (m/w/d) Fallmanagement mit der Möglichkeit zur mobilen Arbeit
    KDN.sozial, Paderborn

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 499,99€
  2. mit Rabattcode NBBCRUCIAL15
  3. (u. a. Lenovo IdeaPad 14 Zoll, i7, 16GB, 512GB SSD, Windows 11 Home für 899€)
  4. (u. a. Galaxy A52s 128 GB für 251,26€, Galaxy Watch4 Classic 46 mm für 209,24€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Raspberry Pi: Besser gießen mit Raspi und Xiaomi-Pflanzensensor
Raspberry Pi
Besser gießen mit Raspi und Xiaomi-Pflanzensensor

Wer keinen grünen Daumen hat, kann sich von Sensoren helfen lassen. Komfortabel sind sie aber erst, wenn die Daten automatisch ausgelesen werden.
Eine Anleitung von Thomas Hahn

  1. Khadas VIM4 Kleiner Bastelrechner integriert HDMI 2.1 und M.2-Slot
  2. Bastelrechner Raspberry Pi OS verwirft den Standarduser pi
  3. DIY Bastler quetscht Raspberry Pi in Kassette

Altris: Kathodenmaterial für Natrium-Ionen-Akkus kommt aus Schweden
Altris
Kathodenmaterial für Natrium-Ionen-Akkus kommt aus Schweden

Eine europäische Firma will vom Lithium wegkommen. Bis 2023 soll eine Pilotfabrik für Akku-Kathoden mit einer Kapazität von bis zu 1 GWh pro Jahr entstehen.
Von Frank Wunderlich-Pfeiffer

  1. Akkutechnik Neue Natrium-Ionen-Akkus von Lifun aus China ab 2023
  2. Rohstoffe Lithiumkarbonat für über 50 Euro/kg gefährdet Akkupreise
  3. Faradion Indischer Konzern kauft Hersteller von Natrium-Ionen-Akkus

Kosmologie: Vom Rand des Universums
Kosmologie
Vom Rand des Universums

Unser beobachtbares Universum ist beim Urknall aus einem winzig kleinen und extrem heißen Feuerball entstanden. Ist es also endlich groß? Und kann man am Rand hinausfallen?
Von Helmut Linde

  1. Astronomie Bilder vom schwarzen Loch im Zentrum der Milchstraße
  2. Automatik-Teleskop Stellina im Test Ist es wirklich so einfach?
  3. Astronomie Möglicher Planet Neun entdeckt