1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Datenschutz: Innenministerium…

Bzgl. „Bislang warnen Experten jedoch…“

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Bzgl. „Bislang warnen Experten jedoch…“

    Autor: s4b 23.06.14 - 17:26

    > Bislang warnen Experten jedoch vor einer Javascript-Krypto-Lösung
    > http://matasano.com/articles/javascript-cryptography/

    Dem gegenübergestellt ein Posting vom 18. Juni 2014:

    vnhacker: Why Javascript Crypto Is Useful
    http://vnhacker.blogspot.de/2014/06/why-javascript-crypto-is-useful.html



    1 mal bearbeitet, zuletzt am 23.06.14 17:28 durch s4b.

  2. Re: Bzgl. „Bislang warnen Experten jedoch…“

    Autor: SelfEsteem 24.06.14 - 02:27

    s4b schrieb:
    --------------------------------------------------------------------------------
    > > Bislang warnen Experten jedoch vor einer Javascript-Krypto-Lösung
    > > matasano.com
    >
    > Dem gegenübergestellt ein Posting vom 18. Juni 2014:
    >
    > vnhacker: Why Javascript Crypto Is Useful
    > vnhacker.blogspot.de

    Aeehm
    Er geht auf die Implementierung von Cryptographie in JS ein und hat damit sicher recht (oder auch nicht und dann wieder doch - das kann ich nicht beurteilen, aber sagen wir einfach, dass er recht hat).

    Das Problem der Schluessel-Uebertragung ist damit aber noch immer nicht geloest. Fuer End2End-Crypto brauchst du einen public- und einen private-key.
    Kann man sich alles generieren - easy going. Man kann auch ein lokales Key-Storage definieren, wie es der W3C wohl in seiner Crypto-API vorhat (wenn ich das richtig verstanden habe). Und dann?

    Wie der Public-Key aber von A (meine Oma) zu B (die Schulfreundin meiner Oma, die eine E-Mail schreiben moechte) kommt, ist noch lange nicht geklaert.
    Ebenfalls ist nicht geklaert, wie meine Oma den Private-Key ohne jegliche IT-Kenntnisse sichern kann.

    Klar - man kann auch beide Schluessel bequem auf einem Server speichern und die Webpage bekommt die beim Aufruf halt mit - in diesem Fall koennen wir uns dann aber die Verschluesselung sparen, weil der PrivateKey bereits aus der Hand gegeben wurde. Sicherheitsgewinn = 0.

    Es ist bislang leider noch niemand auf eine Idee gekommen, wie man das gesamte Key-Handling Dau-tauglich machen kann.
    Als Faustregel kannst du jedenfalls hernehmen: Wenn deine Idee zur Loesung der Private-Key-Aufbewahung das Wort "Server" beinhaltet, dann verwirf sie sofort.

    Sieh dir allein die Threads hier an. Der eine Vergleicht SSL-Verschluesselung, die ihre Keys dank bestehender Verbindung natuerlich live aushandeln kann mit End2End-Verschluesselung und hat dabei wahrscheinlich beides nicht verstanden. Der naechste moechte meine Oma zum Schluessel-Signieren zum Rathaus schicken, ohne das meine Oma auch nur den Dunst einer Ahnung haette, was das ueberhaupt sein soll.


    Das tragische an der gesamten Thematik ist leider: Der E-Perso koennte hier echt helfen, weil man den Leuten auf diesem Weg immerhin Keys fuer die Behoerdenkommunikation mitgeben koennte. Es koennte ein Schritt zur Dau-Tauglichkeit sein, nur ... vertraue ich einem Private-Key, der durch zig Systeme gejagt und evtl. nach dem pressen des Persos nicht wieder vernichtet wurde?


    An dem Thema beissen sich leider deutlich hellere Koepfe, als wir es sind, die Zaehnen aus - und das schon seit Jahrzehnten.



    1 mal bearbeitet, zuletzt am 24.06.14 02:30 durch SelfEsteem.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Salesforce Administrator (m/w/d)
    NOVENTI HealthCare GmbH, München
  2. IT-Projektmanager ERP (m/w/d)
    Deutsche See GmbH, Bremerhaven
  3. Test & Quality Manager (m/w/d)
    Vodafone GmbH, Düsseldorf, Unterföhring
  4. Softwareentwickler (w/m/d)
    Analytik Jena GmbH, Ilmenau

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. MacBook Pro 14,2 Zoll M1 Pro 16GB 512GB SSD 14-Core-GPU für 2.249 Euro - Liefertermin "04. bis 06...
  2. (u. a. Nioh 2 - The Complete Edition für 29,99€)
  3. (u. a. Nass-/Trockensauger GAS 18V-10 L für 79,99€, Tischkreissäge GTS 10 XC 2100 Watt für 599...
  4. 10 Punkte pro ausgegebenem Euro - einlösbar im Markt und online


Haben wir etwas übersehen?

E-Mail an news@golem.de


4700S Desktop Kit im Test: AMDs Playstation-5-Platine ist eine vertane Chance
4700S Desktop Kit im Test
AMDs Playstation-5-Platine ist eine vertane Chance

Mit dem 4700S Desktop Kit bietet AMD höchstselbst die Hardware der Playstation 5 für den PC an. Das Board ist aber eine Sache für sich.
Ein Test von Marc Sauter

  1. Raven Ridge Linux-Bootfehler wegen AMDs RAM-Verschlüsselung
  2. Minisforum Elitemini HM90 Mini-PC integriert AMD-Ryzen-CPU auf 15 x 15 cm
  3. 4700S Desktop Kit AMDs Playstation-5-Platine unterstützt Windows 11

Vision 6 im Hands On: Gelungene neue E-Book-Oberklasse von Tolino
Vision 6 im Hands On
Gelungene neue E-Book-Oberklasse von Tolino

Die Tolino-Allianz hat dem neuen E-Book-Reader Vision 6 mehr Speicher und Geschwindigkeit spendiert. Das ergibt einen gelungenen E-Book-Reader.
Ein Hands-on von Ingo Pakalski

  1. Family Sharing Tolino erlaubt das Teilen digitaler Hörbücher

Minidisc gegen DCC: Der vergessene Formatkrieg der 90er-Jahre
Minidisc gegen DCC
Der vergessene Formatkrieg der 90er-Jahre

Vor 30 Jahren hat Sony die Minidisc als Nachfolger der Kompaktkassette angekündigt - und Philips die Digital Compact Cassette. Dass sich an diese nur noch Geeks erinnern, hat Gründe.
Von Tobias Költzsch