NSA/GCHQ können HTTPS Verschlüsselung überwachen

Fragen zur Organisation, spezielle technische Fragen zum Dienst,
bodman

Re: NSA/GCHQ können HTTPS Verschlüsselung überwachen

Post by bodman » Fri Sep 06, 2013 16:25

Irgendwie beruhigt mich der letzte Absatz ungemein. Wenn Bruce Schneier diese Software die dort genannt ist selber nutzt, ist das Risiko gering.
Das geht mir genau so.
Ich setze seit Jahren auf Twofish oder Serpent. Oder als Leckerbissen GOST26147.;-)
Wie nutzen Sie Twofish?


Spiegel Online: "Wettlauf um die sicherste Verschlüsselung" http://www.spiegel.de/netzwelt/netzpoli ... 20814.html

Woodruff
Posts: 89
Joined: Thu Dec 09, 2010 13:47
name: Woodruff

Re: NSA/GCHQ können HTTPS Verschlüsselung überwachen

Post by Woodruff » Fri Sep 06, 2013 16:57

totentanz wrote:
Mich interessiert Symantec sein PGP Desktop,ob dieses noch als sicher einzustufen ist. Ich habe schlimme Befürchtungen.
Ich habe die gleichen Gedanken. Ich benutze das Original PGP, inzwischen Symantec Encryption Desktop seit vielen Jahren.

Ist das überhaupt eine waschechte US Firma? Ist irgendwas über Backdoors bekannt in dieser Software? Der Quelltext der 10er Versionsreihe ist nach wie vor offiziell downloadbar über die Symantec Homepage.

Edit: Zum Thema Twofish: Beim Erstellen eines neuen PGP Schlüssels wähle ich (auch) bewusst Serpent oder Twofish aus und verzichte auf AES.
Zudem kann man bestehende Schlüssel auch nachträglich umwandeln (mit dem Original PGP). Sollte aber auch mit anderer Software möglich sein imho.

User avatar
totentanz
Posts: 516
Joined: Thu Nov 15, 2012 15:09

Re: NSA/GCHQ können HTTPS Verschlüsselung überwachen

Post by totentanz » Fri Sep 06, 2013 17:29

Wie nutzen Sie Twofish?
Twofish kann man im Zusammenhang mit Truecrypt, Diskcryptor, Passwordsafe und Keepass nutzen. Sowie gibt es noch weitere die Twofish unterstützen.

Im Spiegel Artikel steht was sehr Eindringliches:
spon wrote:Grundsätzlich gelte auf der Verteidigungsseite: Man sollte immer die aufwendigste Verschlüsselungsmöglichkeit wählen, den längsten Schlüssel, die stärkste Absicherung. Denn in einem bleibt Weis bestimmt: "Gute Kryptografie hält."

Anders als bei Waschmaschinen oder Autos scheinen also große Firmennamen in Software-Angelegenheiten kein Garant für Qualität und Sicherheit zu sein. Aber wem kann man vertrauen? Antwort: dem eigenen Fachwissen. Wer keines hat: dem Fachwissen unabhängiger Experten. "Ich bin ein großer Anhänger von Open-Source-Produkten", sagt Rüdiger Weis. In Sicherheitsfragen "sollte man darauf bestehen, dass man selbst oder jemand anders den Code einsehen darf"
Ist das überhaupt eine waschechte US Firma? Ist irgendwas über Backdoors bekannt in dieser Software? Der Quelltext der 10er Versionsreihe ist nach wie vor offiziell downloadbar über die Symantec Homepage.
Nach meinem Kenntnisstand eine US Firma. Ob die Backdoors enthält lässt sich derzeit nicht erklären. Symantec steht ja auch hinter Versign usw.. Ich hoffe ja auf die Veröffentlichung der Namen von den Beteiligten. So das die Betroffenen umgehend die Konsequenzen ziehen können. Ich sehe sonst die Gefahr das hier das Prinzip des Generalverdacht entsteht.


Hinsichtlich Backdoors:
Vielmehr werden diese als "zufällige" Schwachstellen getarnt. So kann man die Absicht leugnen. Bruce Schneier konnte die Original Unterlagen einsehen, das scheint ihn so erschüttert zu haben das er diese eindringliche Warnung und Hinweise ausspricht.
Aber auch ganz ohne Druck nutzten viele Firmen schwächere Kryptografie als es notwendig wäre, sagt Weis, insbesondere vor der veralteten Verschlüsselungstechnik RC4 sei zu warnen, "denn gerade hier habe ich den Verdacht, dass die NSA über neuere Angriffstechniken verfügt". Derartige Altsysteme seien noch im Einsatz, "weil sie schnell und billig sind". Und zum Sparen müsse man Unternehmen schließlich gar nicht erst zwingen.
Bei einigen Admin stößt man da auf taube Ohren. Vielleicht aus Faulheit oder Dummheit ist es denen egal. Ich habe da meine Erfahrungen, nachdem ich Admins darauf hingewiesen habe. Wenn alle nur ihre Webserver wie Jondonym oder posteo pflegen würden, hätten wir weniger Probleme.

Wer ein kleines aber effektives Werkzeug sucht:

http://www.paranoiaworks.mobi/download/downloads.html

Klein aber mächtig. :-) Und Java haben Jondonauten eh installiert.

User avatar
totentanz
Posts: 516
Joined: Thu Nov 15, 2012 15:09

Re: NSA/GCHQ können HTTPS Verschlüsselung überwachen

Post by totentanz » Fri Sep 06, 2013 20:07

Die Süddeutsche Zeitung wird etwas ausführlicher:
Mit einer ganzen Reihe an Maßnahmen sollen die Geheimdienste systematisch die Verschlüsselung von Daten geknackt oder umgangen haben, so der Guardian. Zum einen arbeitet die NSA demnach mit sogenannten Supercomputern, die entsprechende Kryptotechnik mit Rechenkraft brechen sollen. Zweitens soll es mit Firmen für IT-Sicherheit und Internetprovidern geheime Abkommen geben. Diese sollen spezielle "Hintertürchen" in ihre Programme eingebaut haben, die es dem Geheimdienst erlauben, Daten abzuzapfen. Um welche Unternehmen es sich handelt, soll aus den Dokumenten jedoch nicht hervorgehen.

Drittens, schreibt ProPublica, habe die NSA die Verschlüsselungsstandards selbst über Jahre beeinflusst und spezielle Hintertüren eingebaut. "Geheime Dokumente der NSA belegen, dass eine große Schwachstelle, die 2007 von Microsoft-Programmierern entdeckt wurde, von der NSA entwickelt wurde", heißt es bei ProPublica.
http://www.sueddeutsche.de/digital/enth ... -1.1763903

Das Original auf ProPublica:
The National Security Agency is winning its long-running secret war on encryption, using supercomputers, technical trickery, court orders and behind-the-scenes persuasion to undermine the major tools protecting the privacy of everyday communications in the Internet age, according to newly disclosed documents.
http://www.propublica.org/article/the-n ... encryption

User avatar
totentanz
Posts: 516
Joined: Thu Nov 15, 2012 15:09

Re: Open Source Encrypt Programme

Post by totentanz » Fri Sep 06, 2013 22:31

Eine Auswahl von Open Source mit Alternativen Chiffren:

FreeOTFE

A free "on-the-fly" transparent disk encryption program for PC & PDAs.
  • Highly portable - Offers a portable mode, eliminating the need to install to the computer, there is also FreeOTFE Explorer; a system which allows FreeOTFE volumes to be accessed without installing software, and on computers where no administrator rights are available.
    Easy to use - A full wizard is included for creating new volumes.
    PC and PDA versions available. Encrypted data on your PC can be read/written from your PDA and vice versa.
    Support for encryped Linux volumes (Cryptoloop "losetup," dm-crypt, and LUKS).
    Available in multiple languages.
    Optional support for smartcards and security tokens.
    Powerful - Supporting numerous hash (including SHA-512, RIPEMD-320, Tiger) and encryption algorithms (Including AES, Twofish, and Serpent) in several modes (CBC, LRW, AND XTS), providing a much greater level of flexibility than a number of other OTFE systems.
    Encrypted volumes can be file, partition, or disk based.
http://sourceforge.net/projects/freeotfe.mirror/
*****************************************************************************
encrypt

cross-platform, encryption application
  • AES
    SHA
    Tiger
    Serpent
    Blowfish
    Twofish
http://sourceforge.net/projects/encrypt/
*****************************************************************************
Password Safe

Password Safe is a password database utility. Users can keep their passwords securely encrypted on their computers. A single Safe Combination unlocks them all.
  • Datenbank wird mittels Twofish gesichert.
http://sourceforge.net/projects/passwordsafe/
*****************************************************************************
jFileCrypt

jFileCrypt encrypts and decrypts files and directories fast and secure. It is written in Java 5 and uses the Java Cryptographic Extensions.
  • Blowfish
    DES
    3DES
    AES
    RC4
http://sourceforge.net/projects/jfilecrypt/
*****************************************************************************
S.S.E. File Encryptor 9R5C

S.S.E. File Encryptor is an easy to use application that was especially designed for protecting files and directories by encrypting them and using a password you provide.
  • AES
    Blowfish (256 bit and 448 bit)
    RC6
    Serpent
    Twofish

    GOST 28147
http://www.softpedia.com/get/Security/E ... ptor.shtml

http://www.paranoiaworks.mobi/download/downloads.html
*****************************************************************************
Auch interessant dieses Tool:

EGRSA rsa-elgamal comparison

Compare time of process between rsa and elgamal algorithm used to encryption and digital signature.

http://sourceforge.net/projects/egrsa/

Virenscann:
https://www.virustotal.com/en/file/d3a9 ... 378504744/

User avatar
totentanz
Posts: 516
Joined: Thu Nov 15, 2012 15:09

Re: NSA/GCHQ können HTTPS Verschlüsselung überwachen

Post by totentanz » Sat Sep 07, 2013 20:01

Fefe hat da seine Meinung zum Thema Truecrypt dargelegt:

https://blog.fefe.de/?ts=acd45af3

Dem ist eigentlich nichts hinzuzufügen. :)

Ich hoffe das der Spendenfluss für Open Source Krypto-Projekte deutlich zunimmt. Denn in Zukunft kann man nur noch Software über den Weg trauen deren Quelltext transparent ist. Letztlich haben sich die Firmen die anscheinend "Hintertüren / zufällige Schwachstellen" eingebaut haben ihr eigenes kommerzielles Grab geschaufelt. Es war schon immer so, das solche Sauereien irgendwann ans Licht kommen. Da noch keine genauen Namen der Firmen die beteiligt sind genannt wurden, müssen die kommerziellen Krypto-Softwarefirmen jetzt mit diesem Stigmata des Generalverdachtes leben.

User avatar
totentanz
Posts: 516
Joined: Thu Nov 15, 2012 15:09

Re: NSA/GCHQ können HTTPS Verschlüsselung überwachen

Post by totentanz » Sat Sep 07, 2013 22:00

Wo wie hier bei Alternativen sind:

Veracrypt basiert auf dem Truecrypt Code:

http://www.idrix.fr/Root/content/category/7/32/46/

Sourcecode:

http://sourceforge.net/projects/veracrypt/

Der feine Unterschied ist folgendes:
For example, when the system partition is encrypted, TrueCrypt uses PBKDF2-RIPEMD160 with 1000 iterations whereas in VeraCrypt we use 327670! And for standard containers and other partitions, TrueCrypt uses at most 2000 iterations but VeraCrypt uses 655340 for RIPEMD160 and 500000 iterations for SHA-2 and Whirlpool.
Truecrypt Container sind nicht kompatibel mit Veracrypt, was auch logisch ist. Ist im Beta Status. Ich werfe mal einen Blick drauf zumal der Schutz gegen Bruteforce durch die Modifikation deutlich gesteigert ist.

Al3ph
Posts: 140
Joined: Sun Aug 11, 2013 20:41

Re: NSA/GCHQ können HTTPS Verschlüsselung überwachen

Post by Al3ph » Tue Sep 10, 2013 0:31

Danke, ich wusste nicht dass es so viele open-source Lösungen gibt. Diversifizierung ist sicher der richtige Ansatz, damit steigt der Aufwand alle Programme oder Schlüssel zu kompromittieren.
Für mich stehen mittlerweile alle closed-source Softwarelösungen unter Generalverdacht, kein Sourcecode - kein Vertrauen.

Noch ein interessanter Artikel:
http://fm4.orf.at/stories/1724549/

User avatar
totentanz
Posts: 516
Joined: Thu Nov 15, 2012 15:09

Re: NSA/GCHQ können HTTPS Verschlüsselung überwachen

Post by totentanz » Tue Sep 10, 2013 10:39

Danke, ich wusste nicht dass es so viele open-source Lösungen gibt. Diversifizierung ist sicher der richtige Ansatz, damit steigt der Aufwand alle Programme oder Schlüssel zu kompromittieren.
Für mich stehen mittlerweile alle closed-source Softwarelösungen unter Generalverdacht, kein Sourcecode - kein Vertrauen.
Ich habe noch mehr Alternativen. :-) Ich werde ein Thema eröffnen wo wir dann entsprechende Programme vorstellen könnten, und eine Beurteilung posten.

Bruce Schneier ist ja deutlich geworden, das man Sicherheitsrelevanter Software Made in USA kein Vertrauen entgegen bringen sollte. Er hat ja Einsicht in die Snowden Unterlagen, daher wird die Warnung einen fundierte Grundlage haben.

Ich nutze nebenbei auch ArchiCrypt Live, der Entwickler hat ziemlich schnell reagiert: http://blog.archicrypt.de/das-ende-von- ... uesselung/

User avatar
totentanz
Posts: 516
Joined: Thu Nov 15, 2012 15:09

Re: NSA/GCHQ können HTTPS Verschlüsselung überwachen

Post by totentanz » Thu Sep 12, 2013 0:12

Mein Lieblingsspielzeug der letzten Tage:
SES Super-Encypherment Scrambler
SES brings back the uncrackable onetime pad, with a digital twist.
http://sourceforge.net/projects/sessupe ... scrambler/
  • Multi-levels of encryption, including a ciphertext-hash & OTP outer layer for avalanche/diffusion
  • The number of words in your key-phrase determines the number of encryption stages
  • Encrypt or decrypt any string of arbitrary length - no limit on size
  • File encryption and decryption via the -f switch
  • True one-time pad capability via the -o switch (use Random.org or similar)
  • A unique nonce IV ensures that EVERY ciphertext is different, even the same message encrypted with the same key
  • Built on Bob Jenkins' ISAAC CSPRNG and the newly selected SHA-3 standard Keccak.
  • Interactive and command-switch modes
  • Tiny footprint - with pipeable / redirectable output
  • Comes with a $100-$1000 Challenge, so we could be paying _you_!
  • Completely cross-platform and open source
  • Package includes Linux and Windows executables, along with the full source code.
  • SES is easily called from any other language or script (php, bash, perl, c etc)
  • Easy to construct a Web-based interface in PHP (example included)

Post Reply