heise: US-Regierung will gute Verschl?sselung abschaffen

[Takeshi]

Die USA drehen langsamvöllig durch: US-Regierung will gute Verschlüsselung abschaffen

Comey sollte lieber vom Bereich Politik in die Comedy wechseln. Die machen sich so lächerlich! Da ist das Resüme von heise auch ganz nett und zutreffend geschrieben:

Das magische Vieleck

Comey erwähnte auch eine Alternative: Bürger dazu zu zwingen, ihre Geräte selbst zu entschlüsseln. Doch der FBI-Chef merkte im selben Atemzug an, dass das verfassungswidrig sein könnte. Schließlich würden damit Menschen gezwungen werden, sich selbst zu belasten.

Die Regierung strebt aber nicht nur nach neuer Mathematik, sondern auch nach dem magischen Vieleck: Sie möchte verhindern, dass Verbraucher absichtlich geschwächte Produkte und Dienstleistungen von US-Unternehmen meiden. Und Innovation soll durch das gewünschte Zurückdrehen von Innovation nicht gehemmt werden.

[grave_digga]

 

[hide]

wie gut, dass wir zumindest noch die gute 7.1a von TrueCrypt haben, die im Audit als sicher bestätigt wurde. Es gibt keine Hintertür, deswegen haben die Entwickler wohl auch aufgehört, oder wurden aufgehört. So genau weiß ich es auch nicht. 

[Takeshi]

Wobei glaube ich eine Sicherheitslücke in TrueCrypt gefunden wurde, die dafür sorgt, dass man teilweise leicht an den Schlüssel kommt. Ich weiß die Details nicht mehr, weiß nur noch, dass in weitergeführten Projekten der Fehler behoben wurde und dass sich die Leute einig waren, dass die Lücke nicht absichtlich eingebaut wurde.

[hide]

Wobei glaube ich eine Sicherheitslücke in TrueCrypt gefunden wurde, die dafür sorgt, dass man teilweise leicht an den Schlüssel kommt. Ich weiß die Details nicht mehr, weiß nur noch, dass in weitergeführten Projekten der Fehler behoben wurde und dass sich die Leute einig waren, dass die Lücke nicht absichtlich eingebaut wurde.

ja, man kann den Schlüssel aus dem Arbeitsspeicher auslesen noch blöder ist es wenn man den Ruhezustand aktiviert hat, dann kann man einfach aus der RAM Dump Datei hiberfil.sys lesen. Aber das ist ja kein grundsätzliches Problem der Verschlüsselung.

 Bei Bitlocker bin ich mir da nicht so sicher.

[Takeshi]

Ja gut, der Schlüssel muss ja irgendwo in der Laufzeit vorhanden sein, außer du willst ihn bei jedem Festplattenzugriff erneut eingeben. Ich meine aber das war auch anders. Hab den Artikel mal herausgesucht: klick

[hide]

bzw. siehe hier

[Takeshi]

Und was heißt das jetzt? Dass man keine Fehler entdeckt hat, heißt nur, dass es sicher sein könnte und die Möglichkeit besteht, dass keine Lücken existieren. Das heißt nicht, dass Lücken ausgeschlossen sind. Und später hat man dann doch welche entdeckt.

[hide]

die 3 Ingenieure die den audit durchgeführt haben, haben sogar 4 Lücken, davon eine kritische, entdeckt. Der Sinn des ganzen war herauszufinden ob eine Hintertür existiert und nicht ob TrueCrypt die sicherste Software der Vergangenheit, Gegenwart und Zukunft ist. Eine Garantie die dir propietäre Angebote nicht bieten können.  Wer lesen kann und so 

[Takeshi]

Hab den Artikel nicht gelesen, weil ich ihn schon kannte. Lesen hättze mir aber auch nicht geholfen, da mir dennoch nicht ersichtlich gewesen wäre, was du mir damit sagen willst. Denn es sah grob so aus:
- Du: TrueCrypt ist sicher
- Ich: Nicht ganz, siehe hier -> Link
- Du: Doch ist sicher -> Link
Dazu kommt, dass in der Titel des Beitrags sagt, ess es Lücken gibt, aber so schlimm ist es nicht, es ist trotzdem sicher.
Und genau das ist eben falsch, nach aktuellem Stand.

Leider hast du dich in deinem Beitrag sperrlich ausgedrückt, weshalb eine Interpretation notwendig war.

[hide]

hach ja, wie habe ich unsere kleinlichen Grundsatzdiskussionen vermisst.   

wie gut, dass wir zumindest noch die gute 7.1a von TrueCrypt haben, die im Audit als sicher bestätigt wurde.

hier habe ich zwar "sicher" geschrieben, aber schon im nächsten Satz:

Es gibt keine Hintertür...

Also bezog sich das "sicher" nur darauf, dass keine Hintertür gefunden wurde. Mit Hintertür ist gemeint, dass eine versteckte Funktion oder Routine eingebaut ist, die es z.B. neugierigen Behörden ermöglicht auch ohne deine Hilfe die Daten zu entschlüsseln.

Den Link den ich gepostet habe, sollte vielmehr auf die kritische Sicherheitslücke die im audit aufgedeckt wurde hinweisen (siehe dritter Absatz im heise Artikel) und nicht gebetsmühlenartig wiederholen "TC ist sicher, TC ist das geilste auf der Welt".

Da eine solch gründliche Prüfung des Quellcodes bei anderer Software gleichen Typs bisher nicht erfolgt ist, hat TC einen großen Vorteil gegenüber der Konkurrenz. Bei Bitlocker, PGP oder Safeguard kann man nicht mit der gleichen Gewissheit sagen das keine Hintertür existiert. <--- Meine Kernaussage

Primär muss eine Datenträgerverschlüsselung sicher sein, wenn der Computer aus bzw. das verschlüsselte Laufwerk nicht angeschlossen ist. Solange das encryptete Volume gemountet ist, besteht immer ein Risiko. Auch bei propietären Lösungen oder den diversen TC Forks.

[Takeshi]

Gut, da versucht mir gerade jemand zu erklären, dass das Lesen eine sinnvolle Sache sei und was eine Hintertür in einem Programm ist. Bin raus

[hide]

erst drücke ich mich nicht deutlich genug aus, dann versuche ich mich zu erklären und trete "jemand" damit offensichtlich auf die Füße.

Immer wieder eine Freude mit "jemand" zu diskutieren.

dann bin ich auch weg