ComputerBase Menü
Aktuelles

News Kickstarter für verschlüsselte E-Mail erfolgreich

Hi,

interessant, hatte ich leider gar nicht auf dem Radar. Bin sehr gespannt was daraus am Ende wird!

VG,
Mad
 
omg -was soll das denn bitte bringen?! Jede Tastatureingabe wird an MS weitergesendet. Sie können spätestens bei jedem Update alle gewünschten Daten uploaden. Ich zweifle auch nicht, dass es bei Linux & Co. ähnliche Mechanismen gibt. Btw. wird sowieso irgendwann einer von der NSA bei dem Laden hier vorbei schauen und seine Masterkeys bekommen, auch ohne Verfügung ;-)

Mit Geld & Gewalt geht nämlich ALLES!
 
Zuletzt bearbeitet:
tippe eher darauf das der genug Geld hatte oder einen Kredit aufgenommen hat und gehofft hat die fehlende Summe nicht selbst aufbringen zu müssen aber bevor das Projekt den Bach runter geht doch lieber kurz verschulden ;)

Tippe das machen 99% der Kickstarter weil 10.000 und das gleich 5x ist mir zu viel Zufall :freak:
 
@Madman1209 stell dir doch mal vor, ich wäre jemand von der NSA und du der Chefentwickler von deinem Wunsch-BS. Ich und meine Freunde kommen Sonntag früh ungeladen bei dir zu hause vorbei. Im Schlepptau ein paar frisch-gepresste Scheine, aufgeteilt in 2 Koffern. Zunächst biete ich dir ein Geschäft an, das du natürlich zunächst als freiheitsliebender Mensch ablehnst. Danach werden wir etwas persönlicher und anschließend ... sagen wir mal ... kooperierst du. Und schon am nächsten Arbeitstag baust du die gleichen lieben Funktionen ein, wie auch MS. Verständlich oder?
 
Zuletzt bearbeitet:
Hi,

ich habe nicht geschrieben "Microsoft hat keine NSA Backdoor", sondern: bei einem Open Source Betriebssystem kannst du den "Chef Entwickler" bestechen wie du willst - Erfolg hast du damit nicht! Jeder kann sich den Quellcode ansehen, jeder kann es selbst kompilieren, wenn er die Kenntnisse hat. Da gibt es keine Hintertürchen.

VG,
Mad
 
Madman1209 schrieb:
Jeder kann sich den Quellcode ansehen, jeder kann es selbst kompilieren, wenn er die Kenntnisse hat. Da gibt es keine Hintertürchen.
Zum Vergrößern anklicken....

Dieses Argument hält sich seit Ewigkeiten und hat doch keinerlei Bestand. Was war denn mit dem Debian OpenSSL Bug, dass nur eine absolut geringe Anzahl möglicher SSL-Zertifikate generiert werden konnte? Das blieb Jahre unentdeckt und wurde erst entdeckt, als jemand bemerkte, dass er 2 gleiche Zertifikate generiert hatte, was fast unmöglich ist.

Und jetzt ändere mal die Bedeutung von "Bug" und wir nehmen an der Fehler wurde extra eingeführt, damit die NSA SSL abhören kann (was dadurch möglich war). Ich sage nicht, dass sie es getan hat, aber das ist doch genau solch ein "Angriff" vor dem White Rabbit Panik schiebt.

Und siehe da, der "Angriff" funktionierte und blieb viele Jahre unentdeckt. Obwohl der Debian OpenSSL Quellcode öffentlich ist und auf tausenden Servern eingesetzt wird. Solch ein Bug/Angriff entdeckt man eben nicht so leicht, da muss man den Code schon Stunden auseinandernehmen und dann noch Mathematiker/Kryptologe sein um den Fehler zu erkennen.
Das Argument OpenSource ist hinfällig sobald der Quellcode eine gewisse Größe überschreitet oder Fehler nur noch von sehr wenigen Personen erkannt werden können.
 
Bart S. schrieb:
Sorry für OT

Zumindest haben sie es versucht: http://alles-schallundrauch.blogspot.de/2013/11/nsa-verlangte-vom-linux-erfinder-eine.html
Zum Vergrößern anklicken....

Etwas verdreht, nicht unüblich für diese Seite..

Linus Vater bezog sich auf einen Scherz seines Sohns während einer Linux Konferenz, davon gibts auch Videos auf YT z.B.

Zudem wären Backdoors im Kernel viel zu riskant, der Comitter würde sich auch sein eigenes Grab schaufeln würde es rauskommen. Da hat die NSA einfach viel bessere Methoden und Zugriffsmöglichkeiten. Z.b. die proprietären Bios/Uefi Hersteller, proprietäre Treiber/Firmware, bzw. die Hardware die von US Unternehmen hergestellt wird und sich in deren Hoheitsgebiet befindet.

Und dann gibts ja auch noch zero day exploits, und spezielle Taskforces die sich nur um das Finden von Softwarebugs kümmern. Was meinst du wieviele unentdeckte Bugs sich in Millionen Codezeilen verstecken, wenn davon ausgegangen wird dass pro 1k Zeilen Code mindestens ein Bug schlummert der nicht gefunden werden kann..

Open source/closed source spielt bei der Zugänglichkeit des Codes für Geheimdienste dann auch keine Rolle, die NSA hat Zugriff auf den Microsoft oder proprietären Apple Code, und kann dort nach belieben stöbern. Da open source Software jedoch für alle einzusehen ist die Bug Anzahl dort jedoch wohl weit geringer. Du kannst davon ausgehen dass alle Softwarefirmen im closed source Bereich nur gerade genug investieren damit die Software funktioniert, sie auch wirklich sicher zu machen bedeutet höhere Kosten, und lässt sich schlecht verkaufen da eh eine interne Angelegenheit und von der zahlenden Kundschaft nicht verifizierbar.
 
Zuletzt bearbeitet:
Madman1209 schrieb:
Jeder kann sich den Quellcode ansehen, jeder kann es selbst kompilieren, wenn er die Kenntnisse hat. Da gibt es keine Hintertürchen.
Zum Vergrößern anklicken....
Das ist im Prinzip natürlich richtig, allerdings müsste man den Code ja nicht einfach nur kompilieren, sondern zusätzlich komplett überprüfen was man da überhaupt kompiliert. TrueCrypt etwa ist ein relativ kleines Programm und trotzdem ist der Code noch nicht vollständig geprüft. Dieses Projekt hat z.B. schon über 15.000 USD für diesen Zweck gesammelt. Das ist nicht mal eben so in 5 Minuten verifiziert...
Noch ein anderes Beispiel: Intel hatte Linux-Entwickler überreden wollen, für den Zufallszahlengenerator den in Hardware implementierten RDRAND zu verwenden. Wie sich später herausstellte, hat dieser allerdings gezielt eine Backdoor eingebaut.
Open Source heißt also lange nicht, dass das Produkt daraus auch sicher ist.
 
Madman1209 schrieb:
Jeder kann sich den Quellcode ansehen, jeder kann es selbst kompilieren, wenn er die Kenntnisse hat. Da gibt es keine Hintertürchen.
Zum Vergrößern anklicken....
Sorry, aber diese Schlussfolgerung ist entweder extrem naiv oder einfach nur extrem dumm.

a) die Kenntnisse hat fast niemand, von daher ist es egal ob man es in der Theorie kann.
b) dass man es in der Theorie kann, heißt nicht, dass es auch jemals jemand tut. Wie oft wird gut funktionierender Code schon (manuell) untersucht ?
c) dass es jemand tut, heißt nicht, dass es auch eine realistisch hohe Chance gibt das Hintertürchen finden. Da wird keine Comment stehen "hier Backdoor" oder ne Funktion "send Data to NSA", da wird dann in ner 3 Zeilen langen Formel ne Zahl um 1 versetzt sein um nen Overflow zu ermöglichen oder was in der Richtung.
d) selbst wenn der Code ohne Backdoor ist, wer sagt denn, dass das Binärpaket genau mit diesem kompiliert wurde ? Das merkt doch in der Praxis niemand wenn im Binärpaket ne Zeile mehr drin ist.

Die NSA könnte im Linux-Kernel seit 10 Jahren 100 Backdoors drin haben, von denen vielleicht 5 durch Zufälle aufgefallen sind und als Bug gewertet wurden.
Man könnte sogar so weit gehen und annehmen, dass Open Source potentiell mehr Hintertüren hat.
MS baut eine Türe für sich und eine für die NSA, ein, aber wer sagt denn, dass im Linux Kernel nicht eine von MS, eine von Intel, eine von Sun, eine von Redhat, eine von IBM, eine von HP, eine von AMD, eine von NVidia, eine von der NSA, eine von den Chinesen und weitere 50 Türen von Privatpersonen drin sind ?


@topic:
rausgeworfenes Geld, warum sollte ein weiterer "Standard" sich plötzlich durchsetzen ?
Email ist nicht für Verschlüsselung gemacht, entweder setzt sich irgendwann ein ganz anderes Protokoll durch oder wir haben auch in 20 Jahren noch unverschlüsselte Mails.
 
Blutschlumpf schrieb:
Sorry, aber diese Schlussfolgerung ist entweder extrem naiv oder einfach nur extrem dumm.

a) die Kenntnisse hat fast niemand, von daher ist es egal ob man es in der Theorie kann.
Zum Vergrößern anklicken....

Ganz tolle Logik :freak:

b) dass man es in der Theorie kann, heißt nicht, dass es auch jemals jemand tut. Wie oft wird gut funktionierender Code schon (manuell) untersucht ?
Zum Vergrößern anklicken....

Oft genug, jede größere Distro hat ein security Team. Meistens experten auf dem Gebiet Cryptografie und Code Analyse. Debian hat z.B. auch noch einen Gesellschaftsvetrag den jeder Maintainer eines Pakets akzeptieren muss, zudem sind die Maintainer mit Namen usw. bekannt. Das gilt auch für den Kernel selbst, wo auch nicht jeder Hans seinen Code mergen lassen kann. Kernel Code unterliegt strengen Coding Style Vorschriften. Jede Zeile wird da gelesen, und Code der nicht verständlich ist der wird gar nicht erst in den Kernel aufgenommen.

c) dass es jemand tut, heißt nicht, dass es auch eine realistisch hohe Chance gibt das Hintertürchen finden. Da wird keine Comment stehen "hier Backdoor" oder ne Funktion "send Data to NSA", da wird dann in ner 3 Zeilen langen Formel ne Zahl um 1 versetzt sein um nen Overflow zu ermöglichen oder was in der Richtung.
Zum Vergrößern anklicken....

Dann würde der Code nicht funktionieren. C ist kein C++ oder C#..

d) selbst wenn der Code ohne Backdoor ist, wer sagt denn, dass das Binärpaket genau mit diesem kompiliert wurde ? Das merkt doch in der Praxis niemand wenn im Binärpaket ne Zeile mehr drin ist.
Zum Vergrößern anklicken....

Deshalb gibts ja Versions-Kontrollsysteme bzw. Git, wo Code aus mehreren Quellen abgeglichen wird. Aber davon hast du wohl noch nie etwas gehört..

Die NSA könnte im Linux-Kernel seit 10 Jahren 100 Backdoors drin haben, von denen vielleicht 5 durch Zufälle aufgefallen sind und als Bug gewertet wurden.
Man könnte sogar so weit gehen und annehmen, dass Open Source potentiell mehr Hintertüren hat.
MS baut eine Türe für sich und eine für die NSA, ein, aber wer sagt denn, dass im Linux Kernel nicht eine von MS, eine von Intel, eine von Sun, eine von Redhat, eine von IBM, eine von HP, eine von AMD, eine von NVidia, eine von der NSA, eine von den Chinesen und weitere 50 Türen von Privatpersonen drin sind ?
Zum Vergrößern anklicken....

Die Logik. Die sind nicht dumm. Weshalb sollten sie ein solche hohes Risiko eingehen aufzufliegen wenn sie fast alle Hardwarehersteller, Codec Hersteller, Bios Hersteller usw. per Gesetz zwingen können? Die könnten sich auch auf dem embedded OS deiner Festplatte einloggen und dort ne Shell öffnen, oder auf dem Controller deines NIC's. Und es ist ja auch kein Geheimnis dass sie versuchen Standards selbst zu beeinflussen. Weshalb sollten die den schweren Weg über den Kernel gehen wenn es 1000 leichtere Wege für sie gibt? :freak:

Aber schöner Versuch dir dein Windows schönzureden :lol:

@topic:
rausgeworfenes Geld, warum sollte ein weiterer "Standard" sich plötzlich durchsetzen ?
Email ist nicht für Verschlüsselung gemacht, entweder setzt sich irgendwann ein ganz anderes Protokoll durch oder wir haben auch in 20 Jahren noch unverschlüsselte Mails.
Zum Vergrößern anklicken....

Du weißt ja offenbar noch nicht mal wie Email funktioniert. Wundert mich bei deiner bisher zur Schau gestellten Kompetenz auch nicht wirklich.
 
Zuletzt bearbeitet:
powerfx schrieb:
TrueCrypt etwa ist ein relativ kleines Programm und trotzdem ist der Code noch nicht vollständig geprüft. Dieses Projekt hat z.B. schon über 15.000 USD für diesen Zweck gesammelt. Das ist nicht mal eben so in 5 Minuten verifiziert...
Zum Vergrößern anklicken....
Meines Wissens nach ist das Ziel des Projekts der Nachweis, daß die angebotenen, vorkompilierten Versionen dem Quellcode entsprechen. Dieser ist bereits lange geprüft worden. Der Nachweis bei den vorkompilierten ist deswegen so schwierig, weil der Kompiliervorgang exakt nachvollzogen werden muß, sprich, Compiler, Bibliotheken müssen in der gleichen Version und Updatevariante vorliegen. Der Quellcode ist sicher. Nicht durcheinanderwerfen.

Noch ein anderes Beispiel: Intel hatte Linux-Entwickler überreden wollen, für den Zufallszahlengenerator den in Hardware implementierten RDRAND zu verwenden. Wie sich später herausstellte, hat dieser allerdings gezielt eine Backdoor eingebaut.
Open Source heißt also lange nicht, dass das Produkt daraus auch sicher ist.
Zum Vergrößern anklicken....
Wo ist das ein Widerspruch? Die Software an sich war doch sicher, das Problem kam durch die Hardware und wurde doch nachgewiesen. Genau darum geht es doch. Eingebaut werden kann immer viel, es ist aber nur eine Frage der Zeit bei OS, bis das entdeckt wird. In CS kann aber alles eingebaut werden und nur der Hersteller kann es finden, bzw. weiß wo es ist, macht aber nichts.
 
DeoDeRant schrieb:
Oft genug, jede größere Distro hat ein security Team. Meistens experten auf dem Gebiet Cryptografie und Code Analyse. Debian hat z.B. auch noch einen Gesellschaftsvetrag den jeder Maintainer eines Pakets akzeptieren muss, zudem sind die Maintainer mit Namen usw. bekannt. Das gilt auch für den Kernel selbst, wo auch nicht jeder Hans seinen Code mergen lassen kann. Kernel Code unterliegt strengen Coding Style Vorschriften. Jede Zeile wird da gelesen, und Code der nicht verständlich ist der wird gar nicht erst in den Kernel aufgenommen.
Zum Vergrößern anklicken....

Das ist nur ein nativer Wunschtraum. Es gibt so viele Fehler die nachträglich gefixt werden müssen. Ein Audit hätte sie früher aufgedeckt und sie sind nur durch einen Fehlerhaften Ablauf ans licht gekommen.


DeoDeRant schrieb:
Dann würde der Code nicht funktionieren. C ist kein C++ oder C#..
Zum Vergrößern anklicken....

Sicher würde er. Lies dir mal C oder C++ Bücher zum Thema Sicherheit durch. Ein falscher Datentyp kann dir schon ein Sicherheitsloch aufreißen.



DeoDeRant schrieb:
Deshalb gibts ja Versions-Kontrollsysteme bzw. Git, wo Code aus mehreren Quellen abgeglichen wird. Aber davon hast du wohl noch nie etwas gehört..
Zum Vergrößern anklicken....

Du hast das das Problem nicht verstanden. Was sich im Source-Paket befindet muss nichts mit dem im Binär-Paket zu tun haben.


DeoDeRant schrieb:
Die Logik. Die sind nicht dumm. Weshalb sollten sie ein solche hohes Risiko eingehen aufzufliegen wenn sie fast alle Hardwarehersteller, Codec Hersteller, Bios Hersteller usw. per Gesetz zwingen können? Die könnten sich auch auf dem embedded OS deiner Festplatte einloggen und dort ne Shell öffnen, oder auf dem Controller deines NIC's. Und es ist ja auch kein Geheimnis dass sie versuchen Standards selbst zu beeinflussen. Weshalb sollten die den schweren Weg über den Kernel gehen wenn es 1000 leichtere Wege für sie gibt? :freak:
Zum Vergrößern anklicken....

Weil ein BIOS oder generell Firmware Files einfach zu untersuchen sind und für quasi jede Hardware aufwendig angepasst werden muss. Es ist daher einfacher die Distributionen an die Leine zu legen. Ubuntu, Redhat Suse sind auch alles US Firmen die mitspielen müssen.

DeoDeRant schrieb:
Aber schöner Versuch dir dein Windows schönzureden :lol:
Zum Vergrößern anklicken....

Er redet nichts schön. Er bezweifelt nur das Linux besser da steht. Du hast extrem viele Angriffspunkte und ein Großer Teil der Distributionen kommen aus den USA.




DeoDeRant schrieb:
Du weißt ja offenbar noch nicht mal wie Email funktioniert. Wundert mich bei deiner bisher zur Schau gestellten Kompetenz auch nicht wirklich.
Zum Vergrößern anklicken....

Nein, du zeigt hier nur das du keine Ahnung von E-Mail hast, und was die NSA tut, und das PGP keine Hilfe ist.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

nlr
News E-Mail: Outlook für macOS fortan kostenlos und mit neuen Features
2 3
Antworten
47
Aufrufe
6.236
lokoro
L
Haldi
[Kickstarter] Storaxa NAS mit Intel N6005 und 6x Sata 4x NVME + 4x 2.5GbE + WiFi
12 13 14
Antworten
263
Aufrufe
33.336
Haldi
Haldi
MichaG
News AM5-Mainboards: MSI nennt hohe Preise für das Startaufgebot mit X670(E)
16 17 18
Antworten
356
Aufrufe
53.439
Leeway
Leeway
SVΞN
News E-Mail-Client: K-9 Mail wird zu Mozilla Thunderbird für Android
3 4 5
Antworten
99
Aufrufe
18.329
Nummer_1
Nummer_1
SVΞN
News Mozilla Thunderbird: E-Mail-Client erscheint bald für Android und iOS
8 9 10
Antworten
189
Aufrufe
31.532
riloka
R
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz