[Rika]

Zitat

Das ist überprüfbar durch den Quelltext - Du Horn.

Soso, du hast also den VHDL-Quelltext deiner Netzwerkkarte, und kannst auch überprüfen, daß die Implementierung den Quellen entspricht? Das ist doch deine Voraussetzung: Daß das zugrundeliegende System nicht vertrauenswürdig sei.

Zitat

Vertrauen hat nichts mit Sicherheit zu tun.

Oh doch, sehr viel. Vertrauen kann nämlich Sicherheit schaffen.

Und nochmal: Prüfbarkeit ist prinzipiell unmöglich, schon allein für hinreichend komplexere Softwaresysteme.

Und warum bist du so sehr darauf aus, daß du unbedingt prüfen möchtest, daß die aus bekanntem Quelltext erstellte Kompilate der Semantik des Quelltexts gehorchen? Das ist doch per Definition so.

[bwd]

Zitat (Rika: 21.07.2006, 00:16)

Soso, du hast also den VHDL-Quelltext deiner Netzwerkkarte, und kannst auch überprüfen, daß die Implementierung den Quellen entspricht? Das ist doch deine Voraussetzung: Daß das zugrundeliegende System nicht vertrauenswürdig sei.

Meine Güte ich sage nicht, dass alles falsch ist. Ein generelles Sicherheitsloch existiert dann, wenn nicht überprüfbare Keygeneratoren eingesetzt werden. Mehr nicht, aber auch nicht weniger.

Sobald Du die Keys selbst stellst, können alle Funktionen überprüft werden. Du nimmst den Quelltext und einen Taschenrechner und gehst alle Funktionen durch. Oder Du weist welche Funktionen wie implementiert sind und portierst alles auf eine verlässliche Microcontrollerebene. Dann müssen beide Systeme MC und PC gleiche Ergebnisse liefern. Natürlich nur durch das dumme anglotzen eines Quelltextes wird garnichts kontrollierbar.

Zitat (Rika: 21.07.2006, 00:16)

Oh doch, sehr viel. Vertrauen kann nämlich Sicherheit schaffen.

Allgemeines Nachgeplapper.

Zitat (Rika: 21.07.2006, 00:16)

Und nochmal: Prüfbarkeit ist prinzipiell unmöglich, schon allein für hinreichend komplexere Softwaresysteme.

Quatsch: Symmetrische Verschlüsselung ist sehr wohl prüfbar! Verschlüsselung auf komlexes PC-System, muss auf MC-Ebene entschlüsselbar sein. Wenn dies so ist, dann ist das komplexe System geprüft. Dies geht aber eben nicht bei hybriden Verfahren = Sicherheitsloch!

Zitat (Rika: 21.07.2006, 00:16)

Und warum bist du so sehr darauf aus, daß du unbedingt prüfen möchtest, daß die aus bekanntem Quelltext erstellte Kompilate der Semantik des Quelltexts gehorchen? Das ist doch per Definition so.

Siehe auch oben. PGP von dem behauptet wird sicher zu sein, gehört auf den Prüfstand. Warum sollte man daran kein Interesse haben? Es geht auch nicht um die Quelltexte, sondern um das komplexe Gesamtsystem!

[Elren Luthien]

thema geteilt, hier könnt ihr euch weiter zitieren und eure argumente widerlegen.

@lieber bwd: sollte es ausarten ist hier ganz schnell closed.

wenn es dein ziel sein sollte user verbal anzugreifen, dann wird das nicht geduldet.

aussagen wie:

Zitat

Du Horn.

sind völlig fehl am platze, bleibe bitte sachlich.

[ShadowHunter]

bwd, du kannst sehr gerne Kritik an PGP ausüben.
Wie gesagt ich würde mich auch sehr über Quellen für deine Argumente haben damit ich da etwas nachlesen kann.
Nur 1. Reden wir eher konkret von GnuPG ist ein gewisser Unterschied
2. Wenn es wirklich so gefährlich wäre wie du sagst, warum nutzen dann soviele es die sich mit der Materie auskennen? Sicher nicht nur weil sie "Mitläufer" oder ähnliches sind.

Die Diskussion ansich ist intressant nur wie gesagt, liefere konkrete Queleln, das sollte doch möglich sein!

[bwd]

Zitat (ShadowHunter: 21.07.2006, 00:54)

bwd, du kannst sehr gerne Kritik an PGP ausüben.
Wie gesagt ich würde mich auch sehr über Quellen für deine Argumente haben damit ich da etwas nachlesen kann.
Nur 1. Reden wir eher konkret von GnuPG ist ein gewisser Unterschied

Was ist bei GnuPG anders?

Zitat (ShadowHunter: 21.07.2006, 00:54)

2. Wenn es wirklich so gefährlich wäre wie du sagst, warum nutzen dann soviele es die sich mit der Materie auskennen? Sicher nicht nur weil sie "Mitläufer" oder ähnliches sind.

Ich weis doch auch nicht, warum niemand etwas von einem Sicherheitsloch hören will. Vielleicht liegt es daran, dass es niemand hören will oder darf, weil schon zu viele Systeme damit arbeiten. Was ich kenne ist die Aussage "besser wie nichts".

Zitat (ShadowHunter: 21.07.2006, 00:54)

Die Diskussion ansich ist intressant nur wie gesagt, liefere konkrete Queleln, das sollte doch möglich sein!

Ich bin die Quelle. Aber das Sicherheitsloch war noch 1990 bekannt. Oft wurde es auch Hintertür genannt. Diese wurde erst erbittert abgestritten, vertuscht und die Leute verwirrt. Später wurde gesagt, dass die Hintertür behoben wurde. Und jetzt kann sich keiner mehr erinnern, dass es überhaupt solche Diskussion gegeben hat. Es hat hier eine hybride Verdummung stattgefunden.

[ShadowHunter]

Zitat

Was ist bei GnuPG anders?

http://de.wikipedia.org/wiki/GnuPG

Brauch ich denk ich nichts herauszitieren lies am besten selbst!

Zitat

Ich weis doch auch nicht, warum niemand etwas von einem Sicherheitsloch hören will. Vielleicht liegt es daran, dass es niemand hören will oder darf, weil schon zu viele Systeme damit arbeiten. Was ich kenne ist die Aussage "besser wie nichts".

In bestimmten Kreisen würden diese Löcher sehr wohl diskutiert

Zitat

Ich bin die Quelle. Aber das Sicherheitsloch war noch 1990 bekannt. Oft wurde es auch Hintertür genannt. Diese wurde erst erbittert abgestritten, vertuscht und die Leute verwirrt. Später wurde gesagt, dass die Hintertür behoben wurde. Und jetzt kann sich keiner mehr erinnern, dass es überhaupt solche Diskussion gegeben hat. Es hat hier eine hybride Verdummung stattgefunden.

Ich würde aber gerne noch weitere Quellen haben auch mit mehr Hintergrund. Nicht bös gemeint aber du kannst viel sagen..
1990 -> 2006 -> 16 Jahre Entwicklung.

[bwd]

Die folgende Aussage ist unbestreitbar:

Ein Produkt von dem behauptet wird, das es mit Sicherheit etwas zu tun hat, muss auch wie alle anderen Sicherheitsprodukte angesehen werden. Bei jeder Sicherheitstechnik MUSS jede Komponente überprüfbar und beweisbar sicher sein.

Bei PGP&Co. ist beweisbar, dass die verwendeten Schlüsselgeneratoren nicht überprüfbar sind. Damit ist es unsicher. So einfach sieht der Sicherheitsfachmann dies. Da müssen auch keine Quellen her. Wer diese Aussage nicht versteht, muss erst einmal überhaupt etwas lernen - aber nicht hier!

Der Autor Zimmermann selbst nennt sein Programm "Pretty Good Privacy" (Mein Translator übersetzt es so: "Ziemlich gute Vertraulichkeit" )

Das muss man dem Autor lassen, er redet im Gegensatz zu vielen Anwendern, von einer ziemlich guten Vertraulichkeit. Die PGP-Anwender und -Kontrollierer hingegen reden von Sicherheit. Deshalb kann man dem Autor auch nicht haftbar machen. Wenn was ist, kann er sagen, naja 1. steht ja in dem Lizenztext, dass ich nicht verantwortlich gemacht werden kann und 2. habe ich doch immer schon gesagt, dass meine Software ziemlich gut ist, aber doch nicht unfehlbar.

Dieser Beitrag wurde von bwd bearbeitet: 21. Juli 2006 - 00:40

[Rika]

Zitat

Was ist bei GnuPG anders?

Quelloffen und du darfst die Kompilate auch tatsächlich nutzen

Zitat

Ich weis doch auch nicht, warum niemand etwas von einem Sicherheitsloch hören will. Vielleicht liegt es daran, dass es niemand hören will oder darf, weil schon zu viele Systeme damit arbeiten. Was ich kenne ist die Aussage "besser wie nichts".

Vielleicht weil du auch einfach nur unklaren Unsinn faselst. Z.B. sowas:

Zitat

Aber das Sicherheitsloch war noch 1990 bekannt. Oft wurde es auch Hintertür genannt. Diese wurde erst erbittert abgestritten, vertuscht und die Leute verwirrt. Später wurde gesagt, dass die Hintertür behoben wurde. Und jetzt kann sich keiner mehr erinnern, dass es überhaupt solche Diskussion gegeben hat. Es hat hier eine hybride Verdummung stattgefunden.

Zitat

Bei PGP&Co. ist beweisbar, dass die verwendeten Schlüsselgeneratoren nicht überprüfbar sind.

Sicher sind sie das.

[Mr_Maniac]

Das sagt er aber deshalb, weil es einfach keine 100%ige Sicherheit gibt!
Sowas gab es nie, sowas gibt es nicht und sowas wird es aller Wahrscheinlichkeit nach auch nicht geben!

[ShadowHunter]

Wir reden auch von keiner 100% Sicherheit.
Nur um das ganze ohne Key zu entschlüsseln ist es nicht mit einem PC mal über nacht rechnen lassen getan, draum geht es. Das das Verfahren ansich recht sicher ist und die Entschlüsselung nur mit einem privaten Key funktioniert in kurzer Zeit, außer dein PC ist kompromittiert udn dein privater Key wird öffentlich.

[Graumagier]

bwd sagte:

Bei PGP&Co. ist beweisbar, dass die verwendeten Schlüsselgeneratoren nicht überprüfbar sind.

Definiere "& Co". Wenn du damit andere Closed-Source-Programme meinst hast du Recht. Auf quelloffene Programme wie GnuPG trifft das aber nicht zu.

bwd sagte:

Der Autor Zimmermann selbst nennt sein Programm "Pretty Good Privacy" (Mein Translator übersetzt es so: "Ziemlich gute Vertraulichkeit")

Das war jetzt aber ein Scherz? Seit wann heißt "Privacy" "Vertraulichkeit"? PGP bedeutet schlicht und ergreifend "ziemlich gute Geheimhaltung".

bwd sagte:

Deshalb kann man dem Autor auch nicht haftbar machen.

Ich glaube, dass schön langsam Rikas Voraussage mit dem Lächerlich gemacht werden eintritt. Natürlich kann man den Autor nicht für mathematische Tatsachen verantwortlich machen (ich suggeriere jetzt mal, dass PGP "sauber" ist, wäre das nicht der Fall ist es auch egal ob er entsprechenden Schwachsinn in die Lizenzbedingungen schreibt).

[bwd]

Wir werden jetzt ein ganz einfaches Frage- und Antwortspiel durchgehen. Da ihr anscheinend nicht wisst, was ich mit "nicht überprüfbaren Schlüsselgenerator" meine, werde ich die Fragen stellen und ihr antwortet einfach mit ja und nein. Das dauert bestimmt eine Weile, aber nur so sehe ich eine kleine Chance etwas klar zu machen.

Frage 1)
Wer einen Microcontroller in reiner Maschinensprache oder wenigstens in Assembler programmieren kann, kann er alle Funktionen von PGP auf diese einfache und damit komplett überschaubare Plattform sicher implementieren? ja oder nein

[Graumagier]

Theoretisch ja. Jedoch verstehe ich nicht was an Maschinencode so viel überschaubarer sein soll als an einer beliebigen Hochsprache. Abgesehen davon machst du dich gerade furchtbar lächerlich, aber bitte, nur weiter

[Witi]

Zitat (shiversc: 21.07.2006, 10:15)

in der hoffnung mich hier nicht lächerlich zu machen aber... um was zum henker geht es hier?

Wenn ich mich nicht irre geht es einfach um die Frage, ob die Generierung der Schlüssel eine Sicherheitslücke darstellt oder nicht...

Dieser Beitrag wurde von Witi bearbeitet: 21. Juli 2006 - 09:22