Oppppa schrieb:
was ist das denn? durfte da jemand seine werbung selbst schreiben und in form eines artikels unter die leute jubeln?
Montag, 21 März 2005
Im Netz sind augenblicklich Diskussionen über ein umfangreiches Sicherheitsleck im Standard Verschlüsseler PGP zu finden, dass offenbar noch nirgendwo offiziell veröffentlicht wurde
ich markiere mal die lustigen stellen. der artikel ist von gestern und tut so, als seien mitm-attacken erst seit kurzem im gespraech?
PGP basiert auf IDEA und ist ein asymetrischer allgemeiner Algorithmus.
wusste gar nicht, dass wir jetzt auf rsa und so verzichten und nur noch pgp nehmen(?). und idea wird seit langem schon nicht mehr benutzt und ist in gnupg z.b. gar nicht mehr enthalten wegen lizenzgekasper. idea ist auch gar nicht die ursache fuer das nachfolgende szenario in dem artikel.
was dort beschrieben ist, ist naemlich die uralte konstellation von A, B und dem boesen C. da fragt man sich, wozu gibt es key-fingerprints, die man mit wichtigen peers moeglichst per telefon oder live austauscht. wozu gibt es das web of trust, beim dem anerkannte parteien die identitaet von leuten verifizieren, indem sie deren keys mit ihrem eigenen signieren.
wer natuerlich einfach irgendwelche keys anhand der mailadresse von oeffentlichen keyservern lutscht, darf sich nicht wundern.
Nicht zuletzt auch aufgrund weiterer und älterer Fehler benutzt niemand in der Redaktion sonderlich gern PGP, weil immer wieder über Schwachstellen und Sicherheitslücken berichtet wurde, die bis hin zur Rekonstruktion von Schlüsseln reichten, wie zahlreiche ältere Artikel auf unserem Portal zeigen
noch mehr FUD
fragt man sich natuerlich, wozu diese demonstration von inkompetenz? ahja, eingangs erwaehnte werbung:
Nicht umsonst werben wir seit Jahren für das Email- und Datei-Verschlüsselungsprogramm Enigma2000, da uns der Entwickler persönlich bekannt ist. Herr Heidel würde eher den Quellcode des Programms löschen als ihn für andere Zwecke weiterzugeben und in dem Fall würde die Redaktion beide Hände ins Feuer legen dafür.
achso, die leute zeigen, dass sie keine ahnung haben. das qualifiziert sie natuerlich dafuer, leute als vertrauenswuerdig zu benennen. und was bitteschoen ist das fuer ein bloedsinn, dass der herr heidel den quellcode loeschen wuerde, anstatt ihn herzugeben? das heisst also, enigma2000 ist nicht einmal open source? und natuerlich legt die redaktion de la inkompetenz ihre haende dafuer ins feuer.
das ist nur ein kleiner haufen vetternwirtschaft, der glaubt, eine sichere alternative geschaffen zu haben und der jetzt versucht, mit FUD und bauernfaengerei ein nutzloses tool unter die leute zu bringen.
http://www.schneier.com/crypto-gram-9902.html#snakeoil trifft hier glaub ich mal wieder zu, besonders #3.
edit: es sei natuerlich angeraten, kostenlose und open-source pgp-varianten zu benutzen. kommerzielles pgp-zeug liegt mir selber nicht.
achja, und man sollte natuerlich prinzipiell wissen, wie pgp funktioniert, wozu die keys da sind, wie sie verwendet werden, welchen gegebenheiten man trauen darf und welchen nicht.
ich sehe schon szenarien, in denen angreifer ihre gefaelschten keys durch social engineering von ahnungslosen signieren lassen oder sowas.
wenn man keine ahnung hat, ist pgp als ganzes natuerlich nicht unbedingt sicher, d.h. allerdings nicht, dass das "enigma2000" (ich muss immernoch lachen) des herrn heidel besser ist. fuer ambitionierte angreifer ist es sicher kein unterschied, ob er es mit enigma2000 oder einem ahnungslosen pgp-anwender zu tun hat. im gegensatz zu enigma2000 vermutlich _kann_ man pgp aber sicher verwenden.
edit2: *ROTFL* ich wollte es mir eigtl sparen, aber neugier ueberkam mich:
http://www.network-secure.de/index.php?option=content&task=view&id=1459&Itemid=105 das liest sich ja wie das who-is-who der snakeoil-liste. brilliant! man sollte davor warnen, finger weg!
beispiele:
"Enigma 2000" ist ein [...] Programm [...], dass [...] wesentlich von den sonst üblichen und unter Umständen unsicheren "Public-Key Verfahren" abweicht.
Das für "Enigma 2000" entwickelte Verfahren ist kein mathematisches Verfahren
Bei einem echten Zufallsschlüssel arbeitet "Enigma 2000" mit einer bis zu 4.718.592 Bit-Verschlüsselung.
Dieses Verfahren wurde vom Hersteller bereits beim Deutschen Patent- und Markenamt zum Patent eingereicht.
Die Verschlüsselung der Datei erfolgt über eine XOR-Verknüpfung der Originaldatei mit dem Schlüssel.
Da eine nachweisliche Sicherheit des XOR-Verschlüsselungs-Algoritmus (One-Time-Pad) in Fachkreisen unumstritten ist, haben wir auf Prüfverfahren verzichtet.
man koennte meinen, der entwickler dieses machwerks hat die snakeoil-liste mit einer abzuarbeitenden checkliste verwechselt.