31C3: Welche Verschlüsselung noch vor der NSA sicher ist

Die Sicherheit der Kommunikation in der Ära nach den Snowden-Enthüllungen bildet einen Schwerpunkt auf dem derzeit stattfindenden Chaos Communication Congress (31C3). Die an der Aufarbeitung der zahlreichen Dokumente beteiligten Jacob Appelbaum und ... mehr... Verschlüsselung, Kryptographie, Code Bildquelle: Christian Ditaputratama (CC BY-SA 2.0) Verschlüsselung, Kryptographie, Code Verschlüsselung, Kryptographie, Code Christian Ditaputratama (CC BY-SA 2.0)

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Auch sollte erwähnt werden, dass TrueCrypt laut den Dokumenten ebenfalls als sehr sicher gilt (zumindest bis zur Version 7.1a). Das bekräftigt nun noch einmal den Verdacht, den viele schon nach der abrupten Aufgabe des TC-Projekts seitens seiner Entwickler geäußert hatten.
 
@doubledown: Habe irgendwo gelesen, dass es bisher noch keiner geschafft hat, den Quellcode so zu kompilieren, dass die selbe ausführbare datei herauskommt, die zum Download angeboten wurde. Der Quellcode ansich mag ja sicher sein.
 
@iPeople: Es geht. War auch für das laufende Audit Voraussetzung. Es wurde lediglich ein paar mal darauf hingewiesen, dass es nur mit "alten" Tools und Compilern erstellt werden kann und eine Portierung auf eine neuere Entwicklungsumgebung sinnvoll wäre. Es ist also etwas trickreich und schwierig TrueCrypt selbst zu compilen, aber es geht.
 
@iPeople: Das ist seit über einem Jahr falsch: http://www.heise.de/security/meldung/Verschluesselungssoftware-TrueCrypt-Ein-Zweifel-weniger-2035104.html
 
@iPeople: Doch, Heise hatte es geschafft, den Quellcode zu kompilieren und bis auf die GUID und die Zeitstempel in der Datei war dieser identisch, was beweist, das die Downloadversion von Truecrypt aus exakt diesen Quellcode herforging.

Es fehlt noch der 2. Teil des Code Reviews und der beschäftigt sich nur mit dem Quellcode und eventuelle Programmierfehler etc.
 
@basti2k: Bin gespannt, wann die mit dem zweiten Teil fertig sind. Weis man wie weit man da inzwischen ist?
 
@doubledown: Dir ist aber schon klar, daß TrueCrypt auch AES verwendet? Die Tasache, daß im Programm selbst keine Sicherheitslücken gefunden wurden, bedeutet noch lange nicht, daß die damit verschlüsselten Daten auch sicher sind. Ein Sicherheitskonzept ist immer nur so sicher, wie seine schwächste Komponente.
 
imgrunde ist es nicht schwierig eine unknackbare verschlüsselung zu erzeugen.
man benötigt nur einen schlüssel der mindestens so lang ist wie die nachricht selbst und dan schlüssel und nachricht bitweise XOR verknüpfen. (verschlüsselung ist natürlich nur sicher solange nur eine Datei mit demselben schlüssel verschlüsselt wird)
nachteile sind sehr offensichtlich^^
aber damit könnte man zumindest ein paar daten in Dropbox NSA-sicher lagern :)
 
@DNFrozen: Wobei es schwer sein dürfte sich einen Schlüssel, welcher mit der Länge des Nutzinhaltes mit wächst, zu merken oder ihn irgendwie und irgendwo zu hinterlegen ... der Schlüssel könnte also gestohlen und dessen Verknüpfung mit den Nutzdaten relativ einfach erraten werden. Deshalb wäre es noch sicherer, wenn der Angreifer weder die Anzahl noch die Art noch die Reihenfolge der Anwendung mehrerer Verknüpfungen kennen würde. Man bräuchte dann natürlich ein Entschlüsselungstool, in welches man nicht nur den Schlüssel selbst, sondern auch die Verknüpfungsarten und deren Andwendungsreihenfolge einzugeben hätte, damit das nicht aus dem Tool selbst extrahiert werden kann.
 
@Hobbyperte: Na letztlich wäre das auch "nur" eine Schlüssel-Passwort-Kombination, die jetzt schon oft eingesetzt wird. ;-) Passwort = Verknüpfungsanzahl/-Reihenfolge
 
Den Interessenskonflikt, den Appelbaum sieht, sehe ich nicht: Die Geheimdienste dieser Welt sind doch gar nicht daran interessiert, dass OttoNormal-Verbaucher sicher verschlüsselte Kommunikation nutzt. Sonst können sie ja nicht mehr unter dem Deckmantel der Terrorismus-Bekämpfung lauschen, wann dem Volk der Kragen platzt ...
 
@beeelion: Ich denke hier ist eher die Regierungsinterne Kommunikation gemeint. Also bei vertraulichen Dokumenten von Behören oder Militär oder so.
 
hmm, gut...verschlüsselungswürdige daten...dafür benutze ich das was als sicher bezeichnet wird...ergo ist meine meinung in dem bereich als gut anzusehen.

geheimdienste haben schon immer unmoralische und doppelmoral betrieben...
geheimdienste sehe ich als terrorzelle eines landes (ala el-caida etc), da sie sich genauso wenig um gesetze scherren wie terroristen.
auch kann man geheimdienst leute als verfassungsgegner sehen (in jedem land), weil sie sich ebend so bewegen wie man es von einem seriösen und verfassungstreuen menschen nicht erwarten würde.

grade die argumentation, man würde die bürger beschützen, führt ihre arbeitsweise ad absurdum.
die arbeitsweise beweist ehr, das sie macht und reichtum weniger schützen...der "normal bürger" ist für sie pinaz...der nicht schützenswert ist.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen