Freitag, 4. Oktober 2013, 22:22
Die USA und die trügerische Sicherheit von Verschlüsselung
So einfach macht man es sich in einem Land, das eigentlich Freiheit mal als ein Grundwert betrachtet hat:
Todesurteil für Verschlüsselung in den USA
Todesurteil für Verschlüsselung in den USA
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Dirk
Andreas
Früher wurden die Daten von Magie geschützt, aber da jetzt das Mana leer ist.....
Sebastian
Er geht nicht darauf ein, dass Lavabit wie dämlich sich Lavabit gegenüber der Justiz verhalten hat, so dass letztlich diese Anordnung nur eine logische Konsequenz des Auftretens von Lavabit war. Wer die Sicherheit seiner Kunden ernst nimmt, der hat auch eine entsprechende Rechtsabteilung um in solchen Situationen soverän aufzutreten.
SSL als "Sicherheit" zu betrachten ist und war immer schon ein Irrglaube. Spätestens seit der massenweisen Kompromittierung der CA-Stellen sollten auch den Laien die massiven Probleme im Design des ganzen Systems aufgefallen sein. War damals ja auch ein Thema in der c't. Heute interessiert natürlich niemand mehr das Geschwätz von Gestern.
Dazu kommen noch die massiven Probleme durch schlecht konfigurierte SSL Seiten. Nehmen wir dieses Blog: Nutzt man SSL kommt eine Warnung. Analysiert man die Seite z.B: mit dem SSLTest von SSLLabt kommt "not trusted". Hurra. Der Webseitenbetreiber versichert natürlich dass alles in Ordnung ist. Ergo: Der ganze Sinn und Zweck von SSL wird ausgehebelt, weil das ohnehin schon für den Nutzer kaum zu durchschauende System noch komplexer gemacht wird.
Und von einem E-Mail Anbieter auf einen Cloud-Anbieter zu schließen ist völlig am Thema vorbei: Ein Cloud-Anbieter hat meine Daten mit einem Schlüssel zu verschlüsseln der nur mir bekannt ist und nie zum Anbieter selber zu übertragen ist - SSL ist so gesehen bei einem Cloud-Anbieter nicht einmal notwendig, weil die Ver- und Entschlüsselung komplett unabhängig von irgendwelchen Protokollen vollständig auf dem Client erfolgen muss.
Macht der Cloud-Anbieter das nicht, dann ist er schlicht nicht sicher - NSA hin oder her. Diese Erkenntniss auch nicht nicht neu - und das nicht einmal im Hause c't. Vor mehreren Jahren, als "Backupspahe im Internet" noch neu war hat die c't groß davor gewarnt - heute wird die praktisch nicht vorhandene Sicherheit praktisch jeden Cloud-
Anbieters auch von der c't einfach als selbstverständlich hingenommen.
Andreas
Entweder bauscht man Dinge auf ohne Ende, oder verschweigt wichtige Informationen (anscheinend bewusst) oder stellt wirkliche Kritische Sachverhalte als harmlos hin.
Dazu kommen die in letzter Zeit immer lächerlicheren Artikel von Jürgen Schmidt hinzu.
Entweder liest dieser Mann seine eigenen Quellen nicht komplett, ist des Englischen nicht mächtig oder schiebt bewusst halbe Informationen über den Tisch.
Wäre er mal besser bei der Physik geblieben.