[CryptoParty] Crypto is bypassed ....

[an.to_n-73 at riseup.net]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Moin!

In 11/2013 auf der Kiwicon hat Peter Gutmann (1), der mit der Gutmann
Methode zur sicheren Loeschung von Datentraegern (2), einen sehr
interessanten Vortrag zur "Sicherheit" von Verschluesselung gehalten
(3)(4). Der Inhalt ist sehr technisch und ich verstehe laengst nicht
alles (Dual_EC_DRBG , NIST ECC Curves und so Zeugs ...), aber das von
ihm angebracht Zitata von Adi Shamir, dem "S" in RSA, fasst es gut
zusammen:

"Cryptography, by the way, encryption algorithms, are not the weak
points in most security systems. Cryptography is usually bypassed. I
am not aware of any major world-class security system employing
cryptography in which the hackers penetrated the system by actually
going through the cryptanalysis [...] usually there are much easier
ways of penetrating the security system." (5)

Seine ganzen Kommentare zur Folie "The three laws of security" ab
09m05s in dem Vortragsfilm sind sehr interessant.

=> Was heisst das jetzt fuer uns HobbyverschluesselerInnen? Ich wuerde
sagen, dass die Mathematik hinter RSA, AES etc. weiterhin OK ist. Die
moeglichen Schwachstellen sind eher die Cryptoprogramme selber oder
gar die Betriebssysteme/Firmware/Hardware der Endgeraete.
Aber fuer AlltagsnutzerInnen, die lediglich nicht massenueberwacht
werden wollen, sollten
- - ordentliche Wartung des Betriebssystems
- - generelle Vorsicht
- - E2E Verschluesselung
eigentlich reichen. Profis koennen natuerlich jeden Mailserver, jedes
Smartphone und _meine Computer_ irgendwie kompromittieren. Ich hoffe
aber, dass die vorherige Kosten-Nutzen-Rechnung nicht aufgeht.

Kosten: Arbeitslohn fuer Cracker, um eine Schwachstelle zu finden.
Gezielter Einsatz von (ggf. teuren) Exploits. Arbeitslohn, um meinen
RAM und die Dateien online zu durchsuchen, hochzuladen und
auszuwerten. Oder einfacher der physische Zugriff, der vermutlich auch
billiger ist.

Nutzen: Naja, dass was ich hier zu verbergen versuche. Private Mails,
Passphrasen, mein Ueberwachungsarchiv etc.

Eine aehnlich unattraktive Kosten/Nutzen Rechnung duerfte fuer die
meisten Privatleute gelten. Mit Ausnahme der Admins, die interessante
Netzwerke von Institutionen verwalten. Da lohnt sich der Aufwand schon
eher, um in das Netzwerk reinzukommen. Oder man ist aus irgendeinem
Grund eine "Person of Interest". Dann hat man aber eh verloren ...

Achja, Hintertueren in Closed Source Cryptoprogrammen gibt's
natuerlich. Die letzte, von der ich gelesen habe, ist die in einem
Steganos Verschluesselungsprogramm:
"One file encrypted using software from the German firm Steganos was
cracked". (6)
Die Entschluesselungsabteilung "National Technical Assistance Centre"
des brit. GCHQ konnte nur diese eine Datei eines
Schizophrenie-Patienten oeffnen. Dessen Sprengstoffhobby wurde
dummerweise bei der Einreise entdeckt er hat nicht kooperiert. Sonst
konnte ihm nichts nachgewiesen werden. 13 Monate Haft.

Stay wiretapped!

Anton


1) https://www.cs.auckland.ac.nz/~pgut001
2) https://de.wikipedia.org/wiki/Gutmann-Methode
3) https://www.kiwicon.org/the-con/talks/#e97
4) http://regmedia.co.uk/2014/05/16/0955_peter_gutmann.pdf
5) A. Shamir, Cryptography: State of science, ACM Turing Award 2002,
http://amturing.acm.org/vp/shamir_2327856.cfm , 10m45s
6) http://www.theregister.co.uk/Print/2009/11/24/ripa_jfl

- -- 
an.to_n-73 at riseup dot net , PGP:
0B4C DF2C CB22 5DF4 25EA F212 49D1 ABF2 A2A9 7D7D
Bitmessage: BM-2cTY8fuXGGXmh3fVgfQMaRCqTpgqp479ux
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
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=o817
-----END PGP SIGNATURE-----