1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Bundesverwaltungsgericht: BND…

Veschlüsseln ...

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Veschlüsseln ...

    Autor: phade 31.05.18 - 14:06

    Tja, dann sollten die Peeringpartner wohl auf ihren Routern einfach mal End-zu-end-verschlüsseln (vielleicht tun das einige ja schon).

    Dann kann der BND da ganz viel verschlüsselten Traffic mithören oder ...

    ... nehmen wir einen Peering-Partner A an, dessen Traffic mitgehört werden soll (weil da jemand in dessen Netzwerk vielleicht was illegales plant oder macht). Entweder weiss der BND dann schon zu welchem Peeringspartner B das läeuft oder muss den public-key bei allen Peering-Partnern von A erfragen. Mit richterlichem Beschluss bei so 2000 Ports (wieviele Partner sind das ? 500 im offenen Peering ?) stelle ich mir das schön aufwändig vor. Wenn man etwas nicht verhindern kann, kann man es ja unpraktikabel machen :o)

    Und wenn schon. Dank DSVGO wird immer mehr verschlüsselt, eMail, Webseiten, Messenger, Tor etc.
    Am DECIX ist davon sowieso schon lange nichts mehr abzuhören.



    2 mal bearbeitet, zuletzt am 31.05.18 14:07 durch phade.

  2. Re: Veschlüsseln ...

    Autor: bombinho 31.05.18 - 16:44

    Scherzkeks, hast Du dir mal Gedanken ueber Authentifikation gemacht?

  3. Re: Veschlüsseln ...

    Autor: wonoscho 31.05.18 - 17:20

    Wo ist das Problem?
    Oder meinst du die Authentifikation läuft unverschlüsselt?
    Klar, dann kann Man jede Verschlüsselung vergessen.



    1 mal bearbeitet, zuletzt am 31.05.18 17:38 durch wonoscho.

  4. Re: Veschlüsseln ...

    Autor: elmcrest 31.05.18 - 17:59

    Warum sollte die unverschlüsselt ablaufen?
    Dunkel mein ich nur dass ja TLS 1.2 noch ne Schwachstelle hat, die aber wohl mit 1.3 geschichte ist?

  5. Re: Veschlüsseln ...

    Autor: bombinho 01.06.18 - 00:03

    wonoscho schrieb:
    --------------------------------------------------------------------------------
    > Wo ist das Problem?
    > Oder meinst du die Authentifikation läuft unverschlüsselt?
    > Klar, dann kann Man jede Verschlüsselung vergessen.

    Wie weisst Du, dass das Gegenueber auch genau das Gegenueber ist, welches es behauptet, zu sein?

  6. Re: Veschlüsseln ...

    Autor: phade 01.06.18 - 12:26

    Hi,
    es geht doch jetzt um keine Verifikation einer jeglichen Verbindung über den DECIX, sondern nur darum, dass höchstwahrscheinlich schon sehr viel Traffic am DECIX verschlüsselt ist.

    Ok. der BND kann dann noch sehen, welche IPs mit welcher gerade Daten austauscht, vielleicht reicht das ja schon aus, um notwendige Fahndungen zu unterstützen.

    Das aber nun jeder Traffic von Unbeteiligten vom BND am DECIX mitgelesen kann, halte ich für ein Gerücht.

  7. Re: Veschlüsseln ...

    Autor: bombinho 01.06.18 - 15:44

    phade schrieb:
    --------------------------------------------------------------------------------
    > Hi,
    > es geht doch jetzt um keine Verifikation einer jeglichen Verbindung über
    > den DECIX, sondern nur darum, dass höchstwahrscheinlich schon sehr viel
    > Traffic am DECIX verschlüsselt ist.
    >
    > Ok. der BND kann dann noch sehen, welche IPs mit welcher gerade Daten
    > austauscht, vielleicht reicht das ja schon aus, um notwendige Fahndungen zu
    > unterstützen.
    >
    > Das aber nun jeder Traffic von Unbeteiligten vom BND am DECIX mitgelesen
    > kann, halte ich für ein Gerücht.

    Ah, okay, ich war immer davon ausgegangen, dass der BND im Zweifelsfall auch Zugriff auf z.B. Zertifikate bekommen koennte.

  8. Re: Veschlüsseln ...

    Autor: phade 01.06.18 - 16:14

    Ach wer weiss das schon.

    Die NSA hat ja vielleicht die root-keys von den wichtigsten Vergabestellen und vielleicht sind der BND und NSA ja echte "buddies" oder der BND hat gerne mal keys einiger Providern nebenbei "eingesammelt".

    Aber von allem und jedem ? Unwahrscheinlich.

    Vielleicht nutzen die ja auch mittlerweile die GPU-Monster der NSA, um die Verschluesselung in speziellen Faellen einfach auszurechnen ...

    Deshalb würde ich ja als DECIX-Mitglied nur noch private peerings nutzen und mit jedem Partner public-keys tauschen und noch einen Verschlüsselung-Layer drauflegen, viel Spass dann ;o)

  9. Re: Veschlüsseln ...

    Autor: bombinho 01.06.18 - 17:20

    phade schrieb:
    --------------------------------------------------------------------------------
    > Deshalb würde ich ja als DECIX-Mitglied nur noch private peerings nutzen
    > und mit jedem Partner public-keys tauschen und noch einen
    > Verschlüsselung-Layer drauflegen, viel Spass dann ;o)

    Ja, aber der Grossteil der Kommunikation beruht auch vorlaeufig bauf den bekannten Kommunikationswegen und der Rest wird in diese Richtung geschoben.

  10. Re: Veschlüsseln ...

    Autor: phade 01.06.18 - 17:49

    bombinho schrieb:
    --------------------------------------------------------------------------------
    > phade schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Deshalb würde ich ja als DECIX-Mitglied nur noch private peerings nutzen
    > > und mit jedem Partner public-keys tauschen und noch einen
    > > Verschlüsselung-Layer drauflegen, viel Spass dann ;o)
    >
    > Ja, aber der Grossteil der Kommunikation beruht auch vorlaeufig bauf den
    > bekannten Kommunikationswegen und der Rest wird in diese Richtung
    > geschoben.
    Äh, wie jetzt du meinen ?

    Wenn die peering-Partner auf den Routern, mit denen die am DECIX angeschlossen sind, erneut verschlüsseln und zwar immer mit dem public-key des Peeringpartners, dann laufen durch den DECIX nur noch IP-Header und ... (erneut) verschlüsselte Datenblöcke.
    Jede Cisco oder Huawei-Router kann das out-of-the-box. Public key mit dem Partner tauschen, 3 Zeilen in den Router und dann sieht der BND nur noch ein "von-wo-an-wo", aber keinerlei Klartext mehr, die ganze Leitung ist dann doch verschlüsselt, egal ob da schon eine verschlüsselte Verbindung lief, alles wird einfach nochmal von den Peering-Partnern verschlüsselt.



    1 mal bearbeitet, zuletzt am 01.06.18 17:51 durch phade.

  11. Re: Veschlüsseln ...

    Autor: bombinho 01.06.18 - 17:59

    phade schrieb:
    --------------------------------------------------------------------------------
    > Jede Cisco oder Huawei-Router kann das out-of-the-box. Public key mit dem
    > Partner tauschen, 3 Zeilen in den Router und dann sieht der BND nur noch
    > ein "von-wo-an-wo", aber keinerlei Klartext mehr, die ganze Leitung ist
    > dann doch verschlüsselt.

    Ja, aber ein Grossteil des Verkehrs geht von Webservern aus, deren Inhalte nun einmal mehr oder weniger irgendwo auch im Klartext vorliegen. Es macht wenig Sinn, wenn ich dir jetzt den Satz "Total geheimes Zeug" noch in super verschluesselter Form beilege.

    Es gibt mittlerweile sehr wenig Webtraffic, dessen Inhalt nicht spaetestens bei einem Kommunikationspartner ausgegeben werden kann oder muss. Da ist Verschluesselung nur ein Hindernis fuer die Putzfrau. Eventuell.

    Es gibt schlicht immer weniger Webanwendungen, die P2P kommunizieren, ohne den Inhalt im Klartext auf Drittrechnern zwischenzulagern. Das ist dann als ob du ein 5000¤ Schloss mit Tesaband am offenen Tuerrahmen befestigst, zur Zugangsbeschraenkung.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Productmanager / Productmanagerin (m/w/d)
    Bundeskriminalamt, Wiesbaden
  2. Microsoft 365 Specialist (m/w/d)
    IAV GmbH, Berlin
  3. lnformatiker*in als IT-Sicherheitsbeauftragte*r / CISO
    Kreis Herzogtum Lauenburg, Ratzeburg
  4. Web-Entwicklerin/Web-Entwick- ler (m/w/d)
    Bundesamt für Familie und zivilgesellschaftliche Aufgaben, Köln

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 5 5600X 358,03€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Raspberry Pi: Besser gießen mit Raspi und Xiaomi-Pflanzensensor
Raspberry Pi
Besser gießen mit Raspi und Xiaomi-Pflanzensensor

Wer keinen grünen Daumen hat, kann sich von Sensoren helfen lassen. Komfortabel sind sie aber erst, wenn die Daten automatisch ausgelesen werden.
Eine Anleitung von Thomas Hahn

  1. Khadas VIM4 Kleiner Bastelrechner integriert HDMI 2.1 und M.2-Slot
  2. Bastelrechner Raspberry Pi OS verwirft den Standarduser pi
  3. DIY Bastler quetscht Raspberry Pi in Kassette

Pitch Black in UHD und mit viel Bonus: Der Film, der Vin Diesel zum Star machte
Pitch Black in UHD und mit viel Bonus
Der Film, der Vin Diesel zum Star machte

Der Science-Fiction-Klassiker Pitch Black erscheint von Turbine in einer beeindruckenden Edition mit haufenweise Bonusmaterial und sogar einem Buch.
Von Peter Osteried

  1. Kinojahr 1982 Ein traumhaftes Jahr für Geeks
  2. Science-Fiction aus Deutschland Gibt's nicht? Gibt's schon!
  3. 50 Jahre Soylent Green Bedingt prophetisch

Superbooth: Technikparadies für Musiknerds
Superbooth
Technikparadies für Musiknerds

Von klassischen E-Pianos bis zu Musikstudios in DIN-A5: Bei der Synthesizer-Messe Superbooth haben Hersteller zum Ausprobieren eingeladen.
Ein Bericht von Daniel Ziegener