1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Crypto Wars: Seehofer will Messenger…

https://signal.org/de/

  1. Thema

Neues Thema Ansicht wechseln


  1. https://signal.org/de/

    Autor: zenker_bln 25.05.19 - 17:01

    https://signal.org/de/

  2. Re: https://signal.org/de/

    Autor: ruben_harkley 25.05.19 - 20:55

    Der Messenger, bei dem die „Entschlüssellung“ nicht gehen kann ist „Signal“.

    Grund: Signal ist Open Source und damit auch die Sicherheit.
    Würde man also eine „Lücke“ einbauen, dann wäre man zumindest verpflichtet diesen Code zu aktualisieren.

    Wie soll das mit einer absichtlichen Sicherheitslücke bitte gehen?
    Würde man das nicht veröffentlichen, dann wäre dies eine Verletzung der Lizenz.

    Tja... dieses Dilemma kann man so nicht lösen.

  3. Re: https://signal.org/de/

    Autor: unbuntu 25.05.19 - 22:09

    ruben_harkley schrieb:
    --------------------------------------------------------------------------------
    > Grund: Signal ist Open Source und damit auch die Sicherheit.
    > Würde man also eine „Lücke“ einbauen, dann wäre man zumindest
    > verpflichtet diesen Code zu aktualisieren.

    Nicht unbedingt. Worüber viele nie nachdenken ist, dass nur der unkompilierte OpenSource-Code wirklich OpenSource ist. Die fertig kompilierten Pakete, die sich alle installieren, sind das aber nicht. Da kann was anderes drin stehen und keiner merkts.

    "Linux ist das beste Betriebssystem, das ich jemals gesehen habe." - Albert Einstein

  4. Re: https://signal.org/de/

    Autor: Eheran 25.05.19 - 23:17

    >Da kann was anderes drin stehen und keiner merkts.
    Gäbe es doch nur irgendeine Möglichkeit, den "richtigen" kompilierten Code von einem ggf. manipulierten zu unterscheiden... dass daran noch keiner gedacht hat! Das ist doch so ein offensichtliches Problem.

    Aber zum Glück gibt es noch Hashes.

  5. Re: https://signal.org/de/

    Autor: sofries 26.05.19 - 03:54

    Ihr unterschätzt massiv wie leicht es für Profis ist Sicherheitslücken oder Backdoors einzubauen, ohne dass es im Code klar ersichtlich ist. Obfuscation ist bei sowas immer eher Effekt und im Zweifelsfall hat man plausible deniability wenn das gut läuft.

  6. Re: https://signal.org/de/

    Autor: Eheran 26.05.19 - 10:24

    Dann kannst du ja sicherlich Beispiele zitieren, wo sowas passiert ist?

  7. Re: https://signal.org/de/

    Autor: Walchy 26.05.19 - 10:36

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Dann kannst du ja sicherlich Beispiele zitieren, wo sowas passiert ist?

    https://en.m.wikipedia.org/wiki/Dual_EC_DRBG

    “According to the New York Times story, the NSA spends $250 million per year to insert backdoors in software and hardware as part of the Bullrun program.[10]”

    Grüsse,

    Walchy

  8. Re: https://signal.org/de/

    Autor: Eheran 26.05.19 - 10:47

    >Despite wide public criticism, including a potential backdoor, for seven years it was one of the four (now three) CSPRNGs standardized in NIST SP 800-90A as originally published circa June 2006, until it was withdrawn in 2014.

    Jup, nur weil eine US-Institution etwas legitimiert, heißt das nicht, dass es sicher ist. Darauf sollte man auch selbst kommen können.
    Ich würde mich weiterhin über Beispiele freuen, wo Backdors in irgendwelche Software gepackt wurden. Also etwa in Linux oder sowas, womit man sehr viele wichtige Ziele kompromitieren könnte.



    1 mal bearbeitet, zuletzt am 26.05.19 10:48 durch Eheran.

  9. Re: https://signal.org/de/

    Autor: async 26.05.19 - 16:30

    Hier waere schonmal einer:

    https://www.zdnet.com/article/linux-mint-website-hacked-malicious-backdoor-version/

    Ich erinnere mich an ein oder zwei weitere aber ich weiss die Produkte nicht mehr.
    In dem Fall sind das die, die tatsaechlich entdeckt wurden und auch publiziert wurden. Die Dunkelziffer ist dementsprechend eher unbekannt.

    Verhaeltnismaessig oft hat man das dann bei Adwareherstellern, die modifizierte Installer auf Drittseiten hochladen (sourceforge hat das auch mal gemacht),

    Wenn der Hash auf der Downloadseite auch modifiziert wird, bringt es natuerlich nichts. Debian versucht das ueber reproducible Builds zu loesen. D.h. das was auf deren Servern gebaut wird, kann auch genauso lokal gebaut werden. Das ist allerdings ein komplexeres Problem als es klingt.

  10. Re: https://signal.org/de/

    Autor: FreiGeistler 27.05.19 - 07:41

    async schrieb:
    --------------------------------------------------------------------------------
    > Hier waere schonmal einer:
    >
    > www.zdnet.com
    >
    > Ich erinnere mich an ein oder zwei weitere aber ich weiss die Produkte
    > nicht mehr.
    > In dem Fall sind das die, die tatsaechlich entdeckt wurden und auch
    > publiziert wurden. Die Dunkelziffer ist dementsprechend eher unbekannt.

    So ein Hack für Malware, der nach ein paar Tagen auffällt, ist ja wohl eine andere Kategorie als ein stabiles Backdoor.

    > Verhaeltnismaessig oft hat man das dann bei Adwareherstellern, die
    > modifizierte Installer auf Drittseiten hochladen (sourceforge hat das auch
    > mal gemacht),

    > Wenn der Hash auf der Downloadseite auch modifiziert wird, bringt es
    > natuerlich nichts. Debian versucht das ueber reproducible Builds zu loesen.
    > D.h. das was auf deren Servern gebaut wird, kann auch genauso lokal gebaut
    > werden. Das ist allerdings ein komplexeres Problem als es klingt.

    Reproducible Builds sind schwierig.
    Aber was du beschreibst ist mit git clone und make erledigt.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Deutsche Rentenversicherung Bund, Berlin
  2. Versicherungskammer Bayern, München
  3. Netze BW GmbH, Karlsruhe
  4. NEW AG, Mönchengladbach

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (aktuell u. a. EA-Aktion (u. a. FIFA 20 für 14,50€), Rage 2 für 11€, The Elder Scrolls V...
  2. 224,19€ (bei lego.com)
  3. (u. a. Asus VivoBook 14 S413IA-EB166T 14 Zoll Ryzen 5 8GB 512GB SSD für 730,13€, Asus VivoBook...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Arlt-Komplett-PC ausprobiert: Mit Ryzen Pro wird der Büro-PC sparsam und flott
Arlt-Komplett-PC ausprobiert
Mit Ryzen Pro wird der Büro-PC sparsam und flott

Acht Kerne, schnelle integrierte Grafik, NVMe-SSD direkt an der CPU: Ein mit Ryzen Pro 4000G ausgestatteter Rechner ist vielseitig.
Ein Hands-on von Marc Sauter

  1. Udoo Bolt Gear Mini-PC stopft Ryzen-CPU in 13 x 13 Zentimeter
  2. Vermeer AMD soll Ryzen 4000 mit 5 nm statt 7 nm produzieren
  3. Vermeer AMD unterstützt Ryzen 4000 auf X470 und B450

Funkverschmutzung: Wer stört hier?
Funkverschmutzung
Wer stört hier?

Ob WLAN, Bluetooth, IoT oder Radioteleskope - vor allem in den unlizenzierten Frequenzbändern funken immer mehr elektronische Geräte. Die Folge können Störungen und eine schlechtere Performance der Geräte sein.
Ein Bericht von Jan Rähm

  1. 450 MHz Bundesnetzagentur legt sich bei neuer Frequenzvergabe fest
  2. Aus Kostengründen Tschechien schafft alle Telefonzellen ab
  3. Telekom Bis Jahresende verschwinden ISDN und analoges Festnetz

Mars 2020: Was ist neu am Marsrover Perseverance?
Mars 2020
Was ist neu am Marsrover Perseverance?

Er hat 2,5 Milliarden US-Dollar gekostet und sieht genauso aus wie Curiosity. Einiges ist dennoch neu, manches auch nur Spielzeug.
Von Frank Wunderlich-Pfeiffer