SSL und VPN nicht sicher

[Trefoil80]

Weil bei PCGH anscheinend ein Interview mit dem Oculus-Rift-Erfinder wichtiger ist als neue Enthüllungen in der NSA-Affäre,
mache ich es kurz und poste mal einen Link:

NSA und britischer Geheimdienst knacken systematisch Verschlüsselung - SPIEGEL ONLINE

Kurze Zusammenfassung:
Die NSA gibt anscheinend ca. 250 Mio USD pro Jahr aus (Codename: Bullrun), um mit "Partnerfirmen" aus dem IT-Securitybereich zusammenzuarbeiten (Backdoors, Schwachstellen). Bedenklich daran ist auch, dass nicht nur Geheimdienste diese Lücken ausnutzen könnten.
Die 20 Mio USD für Prism pro Jahr wirken dagegen winzig. Laut dem Bericht auf Spiegel online soll es gelungen sein, SSL zu knacken und in VPN-Verbindungen einzudringen.
Den Zeitungen "New York Times", "ProRepublica" und "The Guardian" liegen anscheinend Informationen vor, welche Produkte und Firmen kompromitiert wurden.
Die NSA hat die Blätter anscheinend dazu gedrängt, diesen Artikel nicht zu eröffentlichen. Er wurde veröffentlicht, aber ohne Nennung der Produkte und Firmen.


Meine Meinung:
Das Kernproblem: Sobald ein bestimmtes Verschlüsselungsprogramm oder Algorithmus große Verbreitung findet, wird das sofort für die NSA interessant, die dann alle Hebel in Bewegung setzt, die dahinter stehenden Personen zu beeinflussen.

Sei es durch "Einschüchterungen", einen "National Security Letter" oder durch "Überzeugung" mit Geld.
Deswegen kann man solchen Leuten wie dem Ex-Lavabit-Inhaber nicht genug Respekt zollen, sich gegen solche Methoden zu wehren.

Es wäre aber trotzdem falsch, seine wichtigen Daten nicht zu verschlüsseln. Nur, weil ein Algorithmus vllt. Schwachstellen oder doch Backdoors hat, muss man ja der NSA nicht gleich seine Daten auf dem Silbertablett präsentieren!
Hilfreich (wenn auch kein Garant) ist ebenfalls das Vermeiden von US-IT-Diensten, wenn möglich.

Wenn eine Zeitung wirklich Eier in der Hose hat, dann veröffentlichen die, welche Software bzw. welche Firmen kompromittiert sind. Diese Info scheint bei den drei großen Zeitungen vorzuliegen, aber wurde nicht veröffentlicht.

Auf keinen Fall sollte man die News zum Anlass nehmen, sich die Verschlüsselung generell madig machen zu lassen. Wenn die an meine Daten wollen, dann müssen die sich halt eben etwas anstregen

 

[Dartwurst]

Das ist ein Hardware Magazin für Zocker und nicht die FAZ. Da kann für den einen oder anderen das Interview schon wichtiger sein.
Und die News ist interessant, wundert mich aber nicht. Für irgend etwas müssen die ausgedienten Supercomputer ja nützlich sein. Oder entschlüsseln die neuen und die alten simulieren den Weltraum und forschen nach Krankheiten

 

[Astimon]

Nicht die Algorithmen sind unsicher, "nur" alle Closed-Source Programme.

Man kann ja in Zukunft darauf achten, bevorzugt Open-Source Programme zu verwenden. In vielen Fällen gibt es ja gute Alternativen.

 

[Kerkilabro]

Wo genau liegt das Problem hier? Wovor angst haben? Das jemand anderes In euren Namen schlimmes damit anstellen wird? Ich denke das ist nicht die Absicht von der NSA. Also von mir aus können die mit meinen Daten machen was sie wollen solange sie damit nichts anstellen was sich negativ auf meine Daten/Person auswirkt. Also ich bin kein Terrorist oder so.

 

[biosmanager]

Wo genau liegt das Problem hier? Wovor angst haben? Das jemand anderes In euren Namen schlimmes damit anstellen wird? Ich denke das ist nicht die Absicht von der NSA. Also von mir aus können die mit meinen Daten machen was sie wollen solange sie damit nichts anstellen was sich negativ auf meine Daten/Person auswirkt. Also ich bin kein Terrorist oder so.

Diese Haltung ist nicht ganz unproblematisch. Natürlich hat die NSA und Co. nicht nur Böses vor, sie dient ja auch zum Schutz der Allgemeinheit.
Dennoch liegt eine Verletzung der Persönlichkeitsrechte vor.
Man muss sich doch die Frage stellen, inwiefern man zum Schutze Aller die Rechte des Einzelnen außer Kraft setzen darf.

 

[King_Sony]

Und vor allem, wie es auch schon oben steht, kann dann nicht nur die NSA solche Lücken ausnutzen, sondern aus Kriminelle etc..

 

[keinnick]

Wo genau liegt das Problem hier? Wovor angst haben? Das jemand anderes In euren Namen schlimmes damit anstellen wird? Ich denke das ist nicht die Absicht von der NSA. Also von mir aus können die mit meinen Daten machen was sie wollen solange sie damit nichts anstellen was sich negativ auf meine Daten/Person auswirkt. Also ich bin kein Terrorist oder so.

Das Problem besteht darin, dass ein ausländischer Geheimdienst - mit dem Du NICHTS zu tun hast - vermutlich Deine komplette Kommunikation mitlesen und mit Deiner Person verknüpfen kann. Wenn das für Dich ok ist, dann betrifft Dich das nicht weiter. Aber dann schreibst Du Briefe wahrscheinlich nicht auf Briefpapier sondern direkt auf den Umschlag oder?

 

[Superwip]

Das SSL gewisse Schwächen hat die zumindest von Geheimdiensten ausgenutzt werden können/könnten ist nichts unbedingt neues, VPNs sind sicher wenn man es richtig macht, unsicher sind allenfalls einzelne Anbieter für VPN Server auch das sollte niemanden wundern.

 

[Placebo]

Wo genau liegt das Problem hier? Wovor angst haben? Das jemand anderes In euren Namen schlimmes damit anstellen wird? Ich denke das ist nicht die Absicht von der NSA. Also von mir aus können die mit meinen Daten machen was sie wollen solange sie damit nichts anstellen was sich negativ auf meine Daten/Person auswirkt. Also ich bin kein Terrorist oder so.

Nicht immer nur an das "Jetzt" denken, sondern auch einmal an die Zukunft. Jeden beliebigen Menschen(-rechtler) überall sofort mundtot machen zu können, stellt eine große Bedrohung da.

 

[ΔΣΛ]

Mir kann keiner sagen das dies nicht zur Firmenspionage genutzt wird.

 

[Superwip]

Wo genau liegt das Problem hier? Wovor angst haben? Das jemand anderes In euren Namen schlimmes damit anstellen wird? Ich denke das ist nicht die Absicht von der NSA. Also von mir aus können die mit meinen Daten machen was sie wollen solange sie damit nichts anstellen was sich negativ auf meine Daten/Person auswirkt. Also ich bin kein Terrorist oder so.

1) Es reicht unter Umständen schon aus die falschen Leute zu kennen oder mit den falschen Leuten Geschäfte zu machen, man wird auf eine "Terrorliste" gesetzt und darf z.B. nichtmehr in die USA einreisen
2) Die NSA betreibt sehr wahrscheinlich auch Wirtschaftsspionage

Abgesehen davon kann es natürlich vorkommen und ist es auch schon vorgekommen das einzelne Agenten oder Gruppen von Agenten innerhalb eines Geheimdienstes Daten auch für eigene Zwecke verwenden. Diesen Geheimdiensten sollte man grundsätzlich nicht trauen.


Vielleicht kennst du weder "die falschen" Leute noch bist du ein potentielles Opfer von Wirtschaftsspionage aber das ist noch lange kein Grund das gutzuheißen.

 

[Gast20140625]

Wo genau liegt das Problem hier? Wovor angst haben? Das jemand anderes In euren Namen schlimmes damit anstellen wird? Ich denke das ist nicht die Absicht von der NSA. Also von mir aus können die mit meinen Daten machen was sie wollen solange sie damit nichts anstellen was sich negativ auf meine Daten/Person auswirkt. Also ich bin kein Terrorist oder so.

Du als kleine Person bist vielleicht uninteressant, das gilt aber nicht für den Rest der Menscheit.

Überleg doch nur mal wie einfach man die Politik beeinflussen kann, wenn man absolut alles über die Politiker weiß.
Z.B. so: "Wenn du dich nicht für dies und jenes Einsetzt, erfahren alle von deinen 2 Affären, deinem unehelichen Kind, was du schon alles an Geld unterschlagen oder an Bestechungsgeldern eingesackt hast und von deinem Entzug mit 17."
Daraufhin wäre der Politiker erledigt. Außer er macht was man verlangt.
Schon schlimm genug wie man die Politik mit Geld beeinflussen kann, was man dann erst mit so viel Wissen tun kann möchte ich mit garnicht vorstellen.
Denn jeder hat irgendwo Dreck am Stecken und Wissen ist bekanntlich Macht.

Mit Firmen läuft das dann natürlich genau so. Man sieht ja, wie schon die Presse eingeschüchtert wird.
Tschüss Wettbewerb, Demokratie, Pressefreiheit, Meinungsfreiheit.

Auch wenn die NSA das sicher nicht Vorhat, die Daten bleiben irgendwo gespeichert und wer weiß was in 50 Jahren ist?


PS: DU weißt vielleicht, dass du kein Terrorist bist, aber weiß das der Rest der Welt auch?

 

[QUAD4]

Mir kann keiner sagen das dies nicht zur Firmenspionage genutzt wird.

niemand hat nichts zu verbergen

wer ernsthaft denkt alles wird ausspioniert aber firmen nicht der ist auch wirklich dämlich.

beste seite für politk und alles was damit zusammenhängt
Die USA führen die gesamte Welt an der Nase herum mit Verschlüsselung - recentr.com

 

[razzor1984]

So pauschal würd ich sagen ist die Verschlüsselung sicher nicht knackbar. Schon seit längerem ist bekannst das man SSL3 // der neue Name TLS1.0 anfällig für BEAST attacken ist. Erst dieses jahr haben sich die großen Browser Chrome, Firefox und sogar IE10 dazu entschlossen TLS in der 1.2 version zu unterstützen. Leider bringt das auch jetzt nicht viel, da ein großteil der Server ein Downgrading auf 1.0 vollzieht zwecks kompatiablität.
(Selbst wenn client & Server beide TLS1.2 unterstützen, es kann zu einem Downgrade kommen.Wenn dann müsste alle bis auf TLS1.1/1.2 deaktiviert werden)
Wie auch bei PFS muss client & Server es unterstüzen.Deaktiviert man SSL - alle versionen & TLS1.0 sprich nur TLS 1.1 & 1.2 ist aktiviert. Mehr als die hälfte der Server wird keine Verbindung mehr aufbauen können. Warum? Weil sehr sehr wenige server TLS 1.1/1.2 unterstützen!
Bei vielen VPN anbietern wird der Authentifizierungsvorgang über TLS1.0 abgewickelt. Genau bei diesen Anbietern müsste TLS 1.2 schon Standart sein, am Geldmangel liegts sicher nicht!

Glaub der Links spricht bände wie angreifbar, falsche implementierte Verschlüsselung ist - https://www.trustworthyinternet.org/ssl-pulse/

Zu PGP - ein RSA Key mit 4096bit ist auch für die NSA nicht zu knacken
Ich bleib dabei richtig Implementiert ist Verschlüsselung, dass beste Mittel gegen jeglichen Geheimdienst

 

[Superwip]

Zu PGP - ein RSA Key mit 4096bit ist auch für die NSA nicht zu knacken

Solange sie keinen Quantencomputer bekommen...

Ich bleib dabei richtig Implementiert ist Verschlüsselung, dass beste Mittel gegen jegliche Geheimdienst

Verschlüsselung ist aber nicht alles, da sie nur den Inhalt einer Nachricht verbergen kann nicht aber den Empfänger oder Absender. Außerdem ist "richtig implementiert" ein wichtiges Stichwort und vor (Bundes-)Trojanern kann auch Verschlüsselung nicht einfach schützen.

Verschlüsselung ist sicher sinnvoll aber kein Allheilmittel.

 

[biosmanager]

Verschlüsselung ist sicher sinnvoll aber kein Allheilmittel.

Ein Allheilmittel ist einfach weniger Daten preiszugeben und nicht leichtsinnig im Internet zu agieren.
Natürlich wird man durchschaubar, wenn man sich in Foren anmeldet, bloggt, etc.
Dennoch: Man muss ja nicht seine ganze Lebensgeschichte im Internet veröffentlichen.

 

[Trefoil80]

...der neue Name TSL1.0...

Du meinst TLS (= Transport Layer Security)

 

[razzor1984]

Du meinst TLS (= Transport Layer Security)

YEP ein klassischer vadreher, mea culpa (wird ausgebessert!)

 

[Superwip]

Ein Allheilmittel ist einfach weniger Daten preiszugeben und nicht leichtsinnig im Internet zu agieren.

Das pöse Internet möglichst wenig und am besten gar nicht zu verwenden ist natürlich (fast) ein Allheilmittel aber weder nötig noch sinnvoll.

 

[Elthy]

1) Es reicht unter Umständen schon aus die falschen Leute zu kennen oder mit den falschen Leuten Geschäfte zu machen, man wird auf eine "Terrorliste" gesetzt und darf z.B. nichtmehr in die USA einreisen

Inzwischen würde ich auch nur noch in die USA reisen wollen um mir ein paar Sachen der Nasa anzuschauen. Die scheinen die einzigen halbweg Vernünftigen da zu sein, der Rest ist doch sowieso schon total kaputt...