Skip to content

Die USA und die trügerische Sicherheit von Verschlüsselung

So einfach macht man es sich in einem Land, das eigentlich Freiheit mal als ein Grundwert betrachtet hat:

Todesurteil für Verschlüsselung in den USA

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Dirk

Jemand, der Daten auf fremde Server lädt, muss IMMER davon ausgehen, dass sie unsicher sind. Das war schon immer so. Dass es jetzt auch offiziell so ist, ändert nichts daran, dass man Daten auf fremden Servern pauschal als kompromittiert ansehen sollte, wenn man sie nicht selbst vor dem Hochladen verschlüsselt hat.

Andreas

Nein nein, laut Heise.de ist das Problem ganz neu. Erst seit einigen Monaten !

Früher wurden die Daten von Magie geschützt, aber da jetzt das Mana leer ist.....

Sebastian

Ein ziemlich dämlicher Artikel:

Er geht nicht darauf ein, dass Lavabit wie dämlich sich Lavabit gegenüber der Justiz verhalten hat, so dass letztlich diese Anordnung nur eine logische Konsequenz des Auftretens von Lavabit war. Wer die Sicherheit seiner Kunden ernst nimmt, der hat auch eine entsprechende Rechtsabteilung um in solchen Situationen soverän aufzutreten.

SSL als "Sicherheit" zu betrachten ist und war immer schon ein Irrglaube. Spätestens seit der massenweisen Kompromittierung der CA-Stellen sollten auch den Laien die massiven Probleme im Design des ganzen Systems aufgefallen sein. War damals ja auch ein Thema in der c't. Heute interessiert natürlich niemand mehr das Geschwätz von Gestern.

Dazu kommen noch die massiven Probleme durch schlecht konfigurierte SSL Seiten. Nehmen wir dieses Blog: Nutzt man SSL kommt eine Warnung. Analysiert man die Seite z.B: mit dem SSLTest von SSLLabt kommt "not trusted". Hurra. Der Webseitenbetreiber versichert natürlich dass alles in Ordnung ist. Ergo: Der ganze Sinn und Zweck von SSL wird ausgehebelt, weil das ohnehin schon für den Nutzer kaum zu durchschauende System noch komplexer gemacht wird.

Und von einem E-Mail Anbieter auf einen Cloud-Anbieter zu schließen ist völlig am Thema vorbei: Ein Cloud-Anbieter hat meine Daten mit einem Schlüssel zu verschlüsseln der nur mir bekannt ist und nie zum Anbieter selber zu übertragen ist - SSL ist so gesehen bei einem Cloud-Anbieter nicht einmal notwendig, weil die Ver- und Entschlüsselung komplett unabhängig von irgendwelchen Protokollen vollständig auf dem Client erfolgen muss.
Macht der Cloud-Anbieter das nicht, dann ist er schlicht nicht sicher - NSA hin oder her. Diese Erkenntniss auch nicht nicht neu - und das nicht einmal im Hause c't. Vor mehreren Jahren, als "Backupspahe im Internet" noch neu war hat die c't groß davor gewarnt - heute wird die praktisch nicht vorhandene Sicherheit praktisch jeden Cloud-
Anbieters auch von der c't einfach als selbstverständlich hingenommen.

Andreas

Die Heise wird was diese Dinge belangt langsam fast zu einer Lachnummer, wenn es nicht so traurig wäre.

Entweder bauscht man Dinge auf ohne Ende, oder verschweigt wichtige Informationen (anscheinend bewusst) oder stellt wirkliche Kritische Sachverhalte als harmlos hin.

Dazu kommen die in letzter Zeit immer lächerlicheren Artikel von Jürgen Schmidt hinzu.

Entweder liest dieser Mann seine eigenen Quellen nicht komplett, ist des Englischen nicht mächtig oder schiebt bewusst halbe Informationen über den Tisch.

Wäre er mal besser bei der Physik geblieben.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
Formular-Optionen