Krypto nach Snowden

Prof. Dr. Rüdiger Weis von der Beuth-Hochschule in Berlin erklärt, inwieweit Kryptographie nach den Snowden-Veröffentlichungen noch sicher ist. Ein Mathe-Spaß auch für Menschen, denen Mathe normalerweise etwas kryptisch vorkommt.

Hier klicken, um den Inhalt von www.youtube.com anzuzeigen

Eine Langfassung des Vortrages gibt es auch auf dem 30C3, da aber wahrscheinlich etwas mathematischer.

14 Ergänzungen

  1. Mich hat der Vortrag ziemlich enttäuscht.

    Ich hatte gehofft, dass die Zeit statt für Mathematik für handfeste praktische Aufklärung genutzt wird. Stattdessen gibt es jede Menge unverständliche Seitenstränge wie Spiegel / „Sexarbeiterinnen“ und einen Plauderton, in den Professoren verfallen, wenn sie nicht reden können, außer unter Eingeweihten. Von Mathematik und Spaß damit zudem keine Spur.
    Dieses Gemisch fordert vom Zuhörer höchste Aufmerksamkeit ohne irgendeinen Mehrwert. Und sachlich waren die Aussagen zudem zweifelhaft: „Knipsen Sie mit einem Klick RC4 aus, dann haben sie Ruhe“. Geht unter Linux möglicherweise, unter Windows eben nicht so einfach und flächendeckend. Und PFS sowieso nicht auf Clientseite.

    Schönes Beispiel dafür, warum unsere Sache nicht so recht vorankommt: Der richtige Ton wird nur selten getroffen. Leute, die intellektuell dazu in der Lage wären, fallen auf ihre alten Gewohnheiten zurück und geben sich kommunikativ keine Mühe. Was bei den eigenen Studenten vielleicht noch funktioniert, ist für Außenstehende eben (zu Recht) nicht des Zuhörens wert.

    Einziger Lichtblick: Alle genannten (spärlichen) Informationen waren mir aus den letzten Monaten bekannt und ich hab sie offensichtlich besser durchdrungen, als das ein Prof in 45min darstellen kann.

    1. hast völlig recht, dieses verbale sich-selbst-feiern schreckt irgendwie ab, wenn man nicht selbst so drauf ist.

  2. Die Aussage fand ich ja krass – den letzten Satz:

    „Aus technischer Unkenntnis habe er (Glenn Greenwald) die Geschichte seine Lebens beinahe verpasst, sagte er weiter. Denn er habe Anfangs die Mail-Verschlüsselung PGP nicht installieren wollen. Es sei ihm zu kompliziert gewesen. Kurz bevor er Snowden in Hong Kong getroffen habe, habe er sich mit der Datenverschlüsselung per Truecrypt beschäftigt. Snowden habe ihm dann erklärt, Truecrypt sei was für kleine Jungs.“

    http://www.golem.de/news/glenn-greenwald-sie-muessen-angst-vor-uns-bekommen-1312-103605.html

  3. Fraglich, wie das zu deuten ist. Ist TrueCrypt nun „mist“ oder doch gut?

    Alternative? Eventuell PGP Whole Disk Encryption.

  4. Holger schrieb:

    Ich hatte gehofft, dass die Zeit statt für Mathematik für handfeste praktische Aufklärung genutzt wird.

    Da war eigentlich fast keine Mathematik in dem Vortrag, sondern
    vielmehr wurde eher ein Überblick über die verschiedenen IT-Krypto-Standards gegeben, wobei es tatsächlich hilfreich gewesen wäre ein paar mehr Beispiele zu hören, wo die verschiedenen Standards eingesetzt werden. Ich habe die Bemerkung mit dem RC4 auch nicht verstanden, wo genau soll da „geklickt“ werden?
    Ich vermute mal die Bemerkung bezog sich auf diese Art von Meldung. Da RC4 wohl im SSL benutzt wird, hätte ich jetzt da irgendeinen RC4 button im firefox krypto manager erwartet, da ist aber zumindest bei mir keiner. ???

    Interresant wäre gewesen, was Professor Weis meint, wie lange die Supercomputer brauchen um zb einen RSA 4096 Schlüssel zu entschlüsseln – bei Einsatz aller Möglichkeiten (also nicht nur beim allgemeinen Schnorcheln.)

    1. RC4 ist seit Jahren als unsicher im Gespräch und theoretisch geknackt. Die praktische Umsetzung ist dann nur eine Frage der Ressourcen. Und wie man sieht, wird alles Machbare auch hier gemacht, in diesem Fall mal wieder von der NSA.

      Zur Deaktivierung:
      Es gibt keinen Button für „RC4“ in FF.
      Du kannst aber in about:config nach RC4 suchen und alle entsprechenden Suiten auf „false“ setzen. Übersichtlicher erledigt das z.B. das AddOn Cipherfox, das das über seine Einstellungen erledigen kann und dir danach vor allem bei Bedarf anzeigen kann, auf welche Ciphersuite sich Server und Client stattdessen geeinigt haben.

      Das ist aber nur die Einstellung für diesen einen Firefox. Andere Programme/Installationen unter Windows wie Mailclients bleiben davon unbeeindruckt und haben oft keine solche Schalter, benutzen also evtl. weiter RC4.

      1. Es gibt keinen Button für “RC4″ in FF.
        Du kannst aber in about:config nach RC4 suchen und alle entsprechenden Suiten auf “false” setzen. Übersichtlicher erledigt das z.B. das AddOn Cipherfox, das das über seine Einstellungen erledigen kann und dir danach vor allem bei Bedarf anzeigen kann, auf welche Ciphersuite sich Server und Client stattdessen geeinigt haben.

        danke für den Hinweis.
        Verstehe leider nicht was mit about:config gemeint ist und bin mir auch nicht so sicher ob das mit einem Add-on namens Cipherfox einfacher ist.
        Offensichtlich ist das Deaktivieren nicht so einfach mit einem „klick“ zu erledigen.

      2. @justme2h

        danke, habe nun rc4 Verschlüsselung im Browser „ausgeklickt“, war tatsächlich nicht schwer, falls jemand weiss wie das für zb den Mac Mail Client geht wäre das auch hilfreich.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.