1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Datenschutz: Innenministerium…

Bzgl. „Bislang warnen Experten jedoch…“

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Bzgl. „Bislang warnen Experten jedoch…“

    Autor: s4b 23.06.14 - 17:26

    > Bislang warnen Experten jedoch vor einer Javascript-Krypto-Lösung
    > http://matasano.com/articles/javascript-cryptography/

    Dem gegenübergestellt ein Posting vom 18. Juni 2014:

    vnhacker: Why Javascript Crypto Is Useful
    http://vnhacker.blogspot.de/2014/06/why-javascript-crypto-is-useful.html



    1 mal bearbeitet, zuletzt am 23.06.14 17:28 durch s4b.

  2. Re: Bzgl. „Bislang warnen Experten jedoch…“

    Autor: SelfEsteem 24.06.14 - 02:27

    s4b schrieb:
    --------------------------------------------------------------------------------
    > > Bislang warnen Experten jedoch vor einer Javascript-Krypto-Lösung
    > > matasano.com
    >
    > Dem gegenübergestellt ein Posting vom 18. Juni 2014:
    >
    > vnhacker: Why Javascript Crypto Is Useful
    > vnhacker.blogspot.de

    Aeehm
    Er geht auf die Implementierung von Cryptographie in JS ein und hat damit sicher recht (oder auch nicht und dann wieder doch - das kann ich nicht beurteilen, aber sagen wir einfach, dass er recht hat).

    Das Problem der Schluessel-Uebertragung ist damit aber noch immer nicht geloest. Fuer End2End-Crypto brauchst du einen public- und einen private-key.
    Kann man sich alles generieren - easy going. Man kann auch ein lokales Key-Storage definieren, wie es der W3C wohl in seiner Crypto-API vorhat (wenn ich das richtig verstanden habe). Und dann?

    Wie der Public-Key aber von A (meine Oma) zu B (die Schulfreundin meiner Oma, die eine E-Mail schreiben moechte) kommt, ist noch lange nicht geklaert.
    Ebenfalls ist nicht geklaert, wie meine Oma den Private-Key ohne jegliche IT-Kenntnisse sichern kann.

    Klar - man kann auch beide Schluessel bequem auf einem Server speichern und die Webpage bekommt die beim Aufruf halt mit - in diesem Fall koennen wir uns dann aber die Verschluesselung sparen, weil der PrivateKey bereits aus der Hand gegeben wurde. Sicherheitsgewinn = 0.

    Es ist bislang leider noch niemand auf eine Idee gekommen, wie man das gesamte Key-Handling Dau-tauglich machen kann.
    Als Faustregel kannst du jedenfalls hernehmen: Wenn deine Idee zur Loesung der Private-Key-Aufbewahung das Wort "Server" beinhaltet, dann verwirf sie sofort.

    Sieh dir allein die Threads hier an. Der eine Vergleicht SSL-Verschluesselung, die ihre Keys dank bestehender Verbindung natuerlich live aushandeln kann mit End2End-Verschluesselung und hat dabei wahrscheinlich beides nicht verstanden. Der naechste moechte meine Oma zum Schluessel-Signieren zum Rathaus schicken, ohne das meine Oma auch nur den Dunst einer Ahnung haette, was das ueberhaupt sein soll.


    Das tragische an der gesamten Thematik ist leider: Der E-Perso koennte hier echt helfen, weil man den Leuten auf diesem Weg immerhin Keys fuer die Behoerdenkommunikation mitgeben koennte. Es koennte ein Schritt zur Dau-Tauglichkeit sein, nur ... vertraue ich einem Private-Key, der durch zig Systeme gejagt und evtl. nach dem pressen des Persos nicht wieder vernichtet wurde?


    An dem Thema beissen sich leider deutlich hellere Koepfe, als wir es sind, die Zaehnen aus - und das schon seit Jahrzehnten.



    1 mal bearbeitet, zuletzt am 24.06.14 02:30 durch SelfEsteem.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT Projektmanager (m/w/d)
    medac Gesellschaft für klinische Spezialpräparate mbH, Wedel
  2. Leitung Projektmanagement IT (m/w/d)
    Waschbär GmbH, Freiburg im Breisgau
  3. Referent*in (w/m/d) Datenschutz
    Ärzte ohne Grenzen e.V. / Médecins Sans Frontières, Berlin
  4. BI & Analytics Expert*in (SAP BW / 4HANA)
    Deutsche Bundesbank, Düsseldorf, Stuttgart, Frankfurt am Main

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 1,99€
  2. (u.a. Devil May Cry HD Collection für 14,99€, Lords & Villeins für 14,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de