NSA/GCHQ können HTTPS Verschlüsselung überwachen

Fragen zur Organisation, spezielle technische Fragen zum Dienst,
pumpkin
Posts: 36
Joined: Wed Nov 13, 2013 15:10

Re: NSA/GCHQ können HTTPS Verschlüsselung überwachen

Post by pumpkin » Tue Dec 03, 2013 11:39

cane wrote:...und gleich eine zweite "Steilvorlage" innerhalb eines Tages zu liefern
Wieso "zweite" Steilvorlage innerhalb? ;-)

Aber ernsthaft.

Die erste angebliche Steilvorlage
ochnö wrote:"Also wird in Zukunft der JonDos "Lehrling"den JonDobrowser betreuen...?
ochnö wrote:fuer missverstehen wollende eine Steilvorlage liefernder Satz
viewtopic.php?p=35462#p35462
viewtopic.php?p=35467#p35467

... ist doch überhaupt keine Steilvorlage, weil
keine Frage, "also" ff. steht da einfach nicht!
viewtopic.php?p=35468#p35468

Genauso wenig ist zweite "Steilvorlage"
cane wrote:Als einziger(?) Mitarbeiter von JonDos muss man vieles können
Wo danach gefragt wird
Was ist denn dann das Gebiet, wo Sie sich richtig gut auskennen?
kommen Sie ja auch gleich auf Ihre Qualitäten zu sprechen. Unter anderen...
Ich kann den Schutz der Infrastruktur von JonDonym gewährleisten (kein erfolgreicher(!) Hackerangriff in 5 Jahren auf unsere Server mit unterschiedlichen Aufgaben ist keine schlechte Bilanz).
Ja, super!

Darf man ausnahmsweise ein Mal inhaltlich etwas Genaueres zu Art, Umfang und Intensität dieses Off-Topic erfahren?

cane

Re: NSA/GCHQ können HTTPS Verschlüsselung überwachen

Post by cane » Tue Dec 03, 2013 13:07

Darf man ausnahmsweise ein Mal...
Können Sie etwas konkreter fragen, ich bin etwas begriffsstutzig. (Evtl. besser in einem neuen Thread, wenn es hier offtopic ist.)

User avatar
Ochnö
Posts: 1738
Joined: Sat Nov 06, 2010 16:03

Re: NSA/GCHQ können HTTPS Verschlüsselung überwachen

Post by Ochnö » Tue Dec 03, 2013 15:25

Da es heisst
NSA/GCHQ können HTTPS Verschlüsselung überwachen
(also alles was nichts damit zu tun hat"off topic"ist)
und dann auf
Ich kann den Schutz der Infrastruktur von JonDonym gewährleisten (kein erfolgreicher(!) Hackerangriff in 5 Jahren auf unsere Server mit unterschiedlichen Aufgaben ist keine schlechte Bilanz).
Durch folgendes bezug genommen wird:
Ja, super!
Darf man ausnahmsweise ein Mal inhaltlich etwas Genaueres zu Art, Umfang und Intensität dieses Off-Topic erfahren?
Ist klar,das sich die Frage auf die Art,Umfang und Intensitaet der hack/crackversuche der Serverinfrastructure von JonDos bezog.

Oda? ;)

cane

Re: NSA/GCHQ können HTTPS Verschlüsselung überwachen

Post by cane » Tue Dec 03, 2013 16:49

Ach so - bin ein bisschen begriffsstutzig.

Neben dem üblichen Rauschen von "harmlosen" Versuchen irgendwelche bekannten Lücken in PHP5 usw. auszunutzen und SSH-Passwörter zu erraten gibt es jährlich 2-3 ernste Angriffe auf die verwendete Blog-, Wiki- und Forensoftware.

Diese Angriffe würde ich nicht auf NSA/GCHQ zurück führen, sieht eher nach etwas besser ausgebildeten Hackern aus.

Vor 2,5 Jahren gab es einen wirklich raffinierten, einwöchigen Angriff mit Ausnutung einer bis dahin unbekannte Lücke in unserer Blogsoftware. Das Intrusion Detection System des Webservers konnte die Versuche aber paralysieren.

pumpkin
Posts: 36
Joined: Wed Nov 13, 2013 15:10

Re: NSA/GCHQ können HTTPS Verschlüsselung überwachen

Post by pumpkin » Fri Dec 06, 2013 11:35

cane wrote:Bei Debian/Ubuntu kann man eine Komplettverschlüsselung des Systems mit "dm-crypt" mit einem Klick bei der Installation wählen.

Die beste Verschlüsselung nützt nichts, wenn das Betriebssystem ohne Kontrolle Daten in das Netz sendet (...)

Da hilft auch kein verifiziertes Truecrypt.
Auch Windows senden Daten ins Netz beziehungsweise nach Hause, das ist bekannt und soweit so schlecht.

Was ich aber an einem der vorherigen Beiträge zu true- und dm-crypt nicht verstehe, wieso Sie meinen, daß damit Verschlüsselung nutzlos sei. Können wir uns das Verschlüsseln von Festplatten oder Dateien unter Windows oder Ubuntu tatsächlich sparen?

Nein, würde ich sagen.

Nach meiner Kenntnis hat das eine (telefonieren) nichts mit dem anderen (verschlüsseln) zu tun, außer daß diese Software eben auf einer der genannten Platformen läuft. Und insofern Ubuntu und Windows tun was sie tun und telefonieren, ist Verschlüsselung von Dateien oder Platten keineswegs überflüssig.

Sehe ich das verkehrt?
Last edited by pumpkin on Fri Dec 06, 2013 11:48, edited 1 time in total.

pumpkin
Posts: 36
Joined: Wed Nov 13, 2013 15:10

Re: NSA/GCHQ können HTTPS Verschlüsselung überwachen

Post by pumpkin » Fri Dec 06, 2013 11:42

[ verschoben, neues Thema: viewtopic.php?f=6&t=8002&p=35550 ]

User avatar
Ochnö
Posts: 1738
Joined: Sat Nov 06, 2010 16:03

Re: NSA/GCHQ können HTTPS Verschlüsselung überwachen

Post by Ochnö » Fri Dec 06, 2013 11:54

pumpkin wrote: Auch Windows senden Daten ins Netz beziehungsweise nach Hause, das ist bekannt und soweit so schlecht.

Was ich aber an einem der vorherigen Beiträge zu truecrypt nicht verstehe, wieso Sie meinen, daß damit Komplettverschlüsselung oder Verschlüsselung nutzlos sei. Können wir uns also truecrypt für Windows oder dm-crypt für Ubuntu tatsächlich sparen?

Nein, würde ich sagen.

Nach meiner Kenntnis hat das eine nichts mit dem anderen zu tun, außer daß diese Software eben auf einer der genannten Platformen läuft. Und insofern Ubuntu und Windows tun was sie tun und telefonieren, ist Verschlüsselung von Dateien oder Platten keineswegs überflüssig.

Sehe ich das verkehrt?
Ja,denn was\wie soll ein entschluesseltes OS\HD
ein "nach Hause telefonieren"verhindern?
Ein verschluesselte HD verhindert maximal ein auslesen bei einem Grenzuebertritt.
Schuetzt aber nicht vor einer Verseuchung mit trojanern und\oder einem bereits vom Hersteller eingebautem ET.

"Relativ"sicher war noch win95 bis zur sec Edition-da kam die NSA...
Win98 konnte man noch mit w98lite"sehr einfach sauber"bekommen und XP mit nLite.
XPlite war schon nur 2te Wahl.
TROTZDEM konnte sich niemand wirklich sicher sein ob nicht irgendwo in irgendeiner dll noch weitere unsaubere Funktionen enthalten waren.
vLite gab's dann fuer Vista.
W7 "sauber"zu bekommen...da war man gruendlicher das Netz aufzuraeumen.Vor 2 Jahren fand man noch etwas im Netz recht einfach.Mittlerweile geht da eigendlich kaum noch etwas und wenn-immer mit der Unsicherheit"habe ich auch alles poese erwischt"!

Kornblumenblau
Posts: 67
Joined: Sun Oct 27, 2013 19:53

Re: NSA/GCHQ können HTTPS Verschlüsselung überwachen

Post by Kornblumenblau » Mon Dec 09, 2013 13:45

cane wrote:Inzwischen ist nachgewiesen, dass die Binärversion von Windows bit-identisch aus dem Quellcode nachgebaut werden kann, die Befürchtungen von "kalle" sollten sich also erledigt haben.
-- "Die Befürchtungen" kalles erledigt?
1: Die Binarys auf der Webseite sind definitiv nicht aus den veröffentlichten Sourcen compiliert.
Der Nachbauer X2C ordnet sein "informative write-up" ganz ANDERS als der oben zitierte Beitrag ein:
TrueCrypt is not backdoored by the developers in a way [!] that is not visible from the sources
Backdoors im Sourcecode also NICHT ausgeschlossen:
- Does it mean TrueCrypt isn't backdoored in any way and is safe/secure?
No.
- Does it mean a potential backdoor or weakness should only be found in the source code?
Assuming you trust the compiler not to do anything wrong, yes.
- Nobody audited the source code.
True, so you should support IsTrueCryptAuditedYet? for this to happen.

Don't trust me, compile it yourself the way I did. If official binaries get changed in the future, I can't vouch for them
Das sollte bekannt sein:
--------
viewtopic.php?f=6&t=7898
--------

-- Die Befürchtungen kalles erledigt?
2: Möglicherweise gibt es in der Windows-Version eine Backdoor mit einem 2.Key im Header.
Dieser "bit-identische Nachbau" durch Xavier Carnevalet kann diesen Punkt überhaupt NICHT "erledigen":
Denkbar ist, dass die veröffentlichte ausführbare TrueCrypt-Exe-Datei aus einem von dem in 'TrueCrypt 7.0a Source.zip' veröffentlichten Quellcode abweichenden Code erzeugt wurde und diesen Bereich des Headers als Hintertür benutzt. Die Linux-Version hat dieses Problem an der Stelle nicht, weil die Entschlüsselung zu 0-Bytes beweist, dass hier [!] kein Zweitschlüssel verborgen ist.
-- Genau so wenig ist eine dritte Möglichkeit erledigt, beide Versionen betreffend:
Prinzipiell könnte ein Zweitschlüssel auch im Salt-Wert verborgen werden, was auch die Linux-Version betrifft. Die 64 Bytes des Salt-Wertes würden reichen, um den Master-Schlüssel und den XTS-Schlüssel bei Verschlüsselung mit einer einfachen Chiffre, mit einem zweiten – dem Hersteller der ausführbaren Programme – bekanntem Passwort verschlüsselt abzuspeichern. Bei einer Kombination von zwei oder drei Chiffren reichen sie für die Schlüssel der zweiten und dritten Chiffre nicht mehr, dann können aber die Salt-Bytes des Backup-Headers hinzugenommen werden.
Das TrueCrypt-Audit der Maryland_University hat die genannten Möglichkeiten im Blick
--------
http://istruecryptauditedyet.com/
http://blog.cryptographyengineering.com ... crypt.html
--------
und darüber hinaus:
our key initiatives, including: TrueCrypt License review, Implementing deterministic/reproducible builds, Paying out bug bounties, and Commissioning a professional security audit of TrueCrypt.
--------
https://www.fundfill.com/fund/TrueCryptAudited
--------

pumpkin
Posts: 36
Joined: Wed Nov 13, 2013 15:10

Re: NSA/GCHQ können HTTPS Verschlüsselung überwachen

Post by pumpkin » Wed Dec 11, 2013 12:43

ochno wrote:Ja,denn was\wie soll ein entschluesseltes OS\HD
ein "nach Hause telefonieren"verhindern?
... und verschlüsselt, so wie diese On-line Konstellation ja auch im betreffenden Beitrag, auf den sich bezogen wird, angesprochen ist?

Ok dadurch wird zwar nicht das Telefonieren eines Systems generell unterbunden, aber die Weitergabe von verschlüsselten Daten, von Daten auf verschlüsselten Partitionen der Festplatte oder angeschlossenen externen Datenträgern verhindert. Und Off-line passiert mit den Daten sowieso nichts, ob ver- oder entschlüsselt.

Wäre das im Umkehrschluß Ihrer Aussage konsensfähig?


On oder Off, man muß erst noch Annahmen dazu denken
ochnö wrote:Schuetzt aber nicht vor einer Verseuchung mit trojanern und\oder einem bereits vom Hersteller eingebautem ET.
was den erfolgreichen externen Zugriff durch Zimmermädchen (zwecks Einbau entprechender Hard- und Software) unterstellt.

Angesichts (im folgenden wiedergegebener) maximaler Aufklärung und ausführlicher Warnhinweise bin ich unsicher, ob man ausgerechnet Verschlüsselungssoftware für diese Unfälle verantwortlich machen soll! Meiner Ansicht nach ist es allein am User dieser Software, sein Verhalten anzupassen und Vorsichtsmaßnahmen gegen fremden Zugriff zu treffen, um den uneingeschränkten Nutzen aus solchen Programmen zu ziehen
eine Überlegung ist, einen Rechner mit vorinstalliertem Linux Betriebssystem (Mint) zu erwerben, z. B. vom israelischen Hersteller CompuLab
Einfach unterirdisch, solche Vorhaben privacy-orientierter Nutzer.


Das ist doch schon mal was
ochnö wrote:Ein verschluesselte HD verhindert maximal ein auslesen bei einem Grenzuebertritt.
Genau dafür und nur dafür ist Verschlüsselungssoftware gemacht: Den physischen Zugriff nicht-autorisierter Zweiter auf Festplatten, Partitionen und Daten "verhindern", überall und zu jeder Zeit! Insofern ist das "maximal" ein wenig irreführend.

Am Beispiel des platformübergreifenden Truecrypt
TrueCrypt is a computer software program whose primary purposes are to:

Secure data by encrypting it before it is written to a disk.
Decrypt encrypted data after it is read from the disk.
und die Entwickler dieser Software weisen Jeden klar und deutlich auf diese Möglichkeiten wie deren Grenzen hin! Diese Grenzen sind
TrueCrypt does not:

Encrypt or secure any portion of RAM (the main memory of a computer).
Secure any data on a computer* if an attacker has administrator privileges** under an operating system installed on the computer.
Secure any data on a computer if the computer contains any malware (e.g. a virus, Trojan horse, spyware) or any other piece of software (including TrueCrypt or an operating system component) that has been altered, created, or can be controlled, by an attacker.
Secure any data on a computer if an attacker has physical access to the computer before or while TrueCrypt is running on it.
Secure any data on a computer if an attacker has physical access to the computer between the time when TrueCrypt is shut down and the time when the entire contents of all volatile memory modules connected to the computer (including memory modules in peripheral devices) have been permanently and irreversibly erased/lost.
Secure any data on a computer if an attacker can remotely intercept emanations from the computer hardware (e.g. the monitor or cables) while TrueCrypt is running on it (or otherwise remotely monitor the hardware and its use, directly or indirectly, while TrueCrypt is running on it).
Secure any data stored in a TrueCrypt volume*** if an attacker without administrator privileges can access the contents of the mounted volume (e.g. if file/folder/volume permissions do not prevent such an attacker from accessing it).
Preserve/verify the integrity or authenticity of encrypted or decrypted data.
Prevent traffic analysis when encrypted data is transmitted over a network.
Prevent an attacker from determining in which sectors of the volume the content changed (and when and how many times) if he or she can observe the volume (dismounted or mounted) before and after data is written to it, or if the storage medium/device allows the attacker to determine such information (for example, the volume resides on a device that saves metadata that can be used to determine when data was written to a particular sector).
Encrypt any existing unencrypted data in place (or re-encrypt or erase data) on devices/filesystems that use wear-leveling or otherwise relocate data internally.
Ensure that users choose cryptographically strong passwords or keyfiles.
Secure any computer hardware component or a whole computer.
Secure any data on a computer where the security requirements or precautions listed in the chapter Security Requirements and Precautions are not followed.
Do anything listed in the section Limitations.
http://www.truecrypt.org/docs/security- ... recautions

User avatar
Ochnö
Posts: 1738
Joined: Sat Nov 06, 2010 16:03

Re: NSA/GCHQ können HTTPS Verschlüsselung überwachen

Post by Ochnö » Wed Dec 11, 2013 13:05

pumpkin wrote:
ochno wrote:Ja,denn was\wie soll ein entschluesseltes OS\HD
ein "nach Hause telefonieren"verhindern?
... und verschlüsselt, so wie diese On-line Konstellation ja auch im betreffenden Beitrag, auf den sich bezogen wird, angesprochen ist?
Im Verschluesseltem Zustand ist die Kiste ausgeschaltet!Schalte ich sie zum Arbeiten ein-wird sie entschluesselt und kann "telefonieren".
Ok dadurch wird zwar nicht das Telefonieren eines Systems generell unterbunden, aber die Weitergabe von verschlüsselten Daten, von Daten auf verschlüsselten Partitionen der Festplatte oder angeschlossenen externen Datenträgern verhindert. Und Off-line passiert mit den Daten sowieso nichts, ob ver- oder entschlüsselt.

Wäre das im Umkehrschluß Ihrer Aussage konsensfähig?
Stimmt nur wenn auf diese Daten nur durch zusaetzliche Entschluesselung und offline zugegriffen werden kann.
On oder Off, man muß erst noch Annahmen dazu denken
ochnö wrote:Schuetzt aber nicht vor einer Verseuchung mit trojanern und\oder einem bereits vom Hersteller eingebautem ET.
was den erfolgreichen externen Zugriff durch Zimmermädchen (zwecks Einbau entprechender Hard- und Software) unterstellt.
Wie bitte?!?
Noch nie etwas von drive by downloads von exploits gehoert?
Oder das man durchaus von in die HARDWARE a priorie eingebautes(motherboard\graka etc)ausgehen kann?
Bsp:
http://www.golem.de/news/freebsd-misstr ... 03305.html
Angesichts (im folgenden wiedergegebener) maximaler Aufklärung und ausführlicher Warnhinweise bin ich unsicher, ob man ausgerechnet Verschlüsselungssoftware für diese Unfälle verantwortlich machen soll! Meiner Ansicht nach ist es allein am User dieser Software, sein Verhalten anzupassen und Vorsichtsmaßnahmen gegen fremden Zugriff zu treffen, um den uneingeschränkten Nutzen aus solchen Programmen zu ziehen.

Einfach gruselig sind daher Vorhaben privacy-orientierter Nutzer wie
eine Überlegung ist, einen Rechner mit vorinstalliertem Linux Betriebssystem (Mint) zu erwerben, z. B. vom israelischen Hersteller CompuLab
Das ist doch schon mal was
ochnö wrote:Ein verschluesselte HD verhindert maximal ein auslesen bei einem Grenzuebertritt.
Genau dafür und nur dafür ist Verschlüsselungssoftware gemacht: Den physischen Zugriff nicht-autorisierter Zweiter auf Festplatten, Partitionen und Daten "verhindern", überall und zu jeder Zeit! Insofern ist das "maximal" ein wenig irreführend.
[/quote]
Noe!Genau das-im ausgeschaltetem Zustand den Zugriff verhindern-das kann Verschluesselungssoftware MAXIMAL leisten!
Aber mehr auch nicht!
Ist nun einmal keine AV die dir den keylogger,den trojaner fuer screenshots,einschalten deiner web cam usw.killt

Da hilft auch das copie&&paste von true crypt Versprechungen nicht weiter.

Post Reply