Merken

Cryptocalypse now

Zitierlink des Filmsegments
Embed Code

Automatisierte Medienanalyse

Beta
Erkannte Entitäten
Sprachtranskript
machte mich laut ich laut sehr gut ok wir wollen euch die nächste Stunde was darüber erzählen was in den letzten anderthalb Jahren 2 Jahren zusammengebrochen ist nämlich wenn man sich die Meldung so anschaut wirkt es als wäre die gesamte Kryptographie kaputt aber wir wollen euch jetzt nicht über Mathe erzählen mir wurde angedroht dass soll nicht machen sondern wir wollen euch was erzählen über die Gruppe Calypso und die gesellschaftlichen Auswirkungen was wir dagegen tun können das heißt wir werden Anfang mit dem kurzen Katastrophen Rückblick das heißt Revue passieren lassen was waren die größten Sicherheitsprobleme der letzten anderthalb Jahre und das nicht nur auf kryptografische Ebene sondern auch auf politischer Ebene und dann wollen wir sagen was sind die Hauptursachen was in die Kategorien in die wir das einteilen können und was können wir gegen diese einzelnen Fehlerursachen oder gegen diese einzeln Katastrophenursachen tun kriegen wir irgendwas sehen können wir Crypto wieder vertrauenswürdig machen können wir was tun damit es sicherer wird und können wir was dafür tun dass es die nächsten anderthalb Jahre vielleicht nicht so weitergeht wir damit anfangen dass
wir das schauen wie viele Sicherheitsprobleme gab sind und nur ungefährem Metrik sind die kann man wolle wird die NX Porsche ist dass es ein System um Sicherheitslücken standardisiert beschreiben zu können und kategorisieren zu können wenn es die anschauen sehen wir das
Sicherheitslücken potenziell über die Jahre in der Anzahl gewachsen sind wozu wir aber auch sagen müssen dass wir das nicht absolut einfach so betrachten können sondern dass immer eine gewisse in gewisser wirst dann ist nämlich das ist ja prinzipiell gut wenn der Sicherheitslücken erkannt werden weil das heißt ja nicht nur weniger
erkannt werden es weniger da sind manchmal bei manchen Sicherheitslücken damit Probleme zu kategorisieren in welche Kategorie fallen dir das hat passiert das auch bei diesen Statistiken das manchmal einfach mehrere Sicherheitslücken zweimal dreimal in diesen Statistiken auftauchen weil 7. verschiedenen Kategorien laufen oder man manchmal ein Sicherheitsproblem hatte sie aus so viele Mücken zusammensetzt das man zusammenfassen muss und das ist nur als eine einzige Sicherheitslücke auftaucht außerdem haben wir weiterhin ein Ungleichgewicht weil natürlich ist
Software die verbreitet ist öfter untersucht worden das heißt wir haben wir dieses Zitat aus dem TV Internet Investor wo natürlich ganz
klar dass Microsoft-Produkte werde öfter überprüf als PHP Golf was in so bis für Programme die keiner kennt keine benutzt irgendwann mal Student geschrieben hat und hochgeladen hat wo hätten Sicherheitsproblem drin ist das aber faktisch einfach niemanden betrifft ab wir wollen
damit anfangen bei der Beschreibung von Sicherheitsproblemen im letzten anderthalb Jahren vorgekommen sind mit den dümmsten anzufangen das heißt mit den Problemen die man eigentlich nicht haben muss wir haben mehrmals erfahren dass es Software gibt die vorgibt zu verschlüsseln es aber nicht tut haben zuletzt glaube ich von Enzio wollte erfahren und Gedichte wohl im Artikel und da war es eben so dass angeboten wurde auf dem Smartphone Daten zu verschlüsseln aber in der Realität war es immer so
dass die 1. 128 Byte verschlüsselt waren und das konnte man auch nicht Verschlüsselungen weil man dafür gab's nun relativ primitive Ex-OB Verknüpfung und das ist einfach wirklich keine Verschlüsselung dagewesen wären auch noch diese typischen Fehler bei dem man sich denkt warum warum muss das sein wenn man sich überlegt dass bei dem TV Mond zum Beispiel einfach das Passwort in einer Wand geklebt hat uns einfach keine obwohl ich Incipio
Tiger das wollte sie wie Passwörter ausdenken wie banal sind und man sowas eigentlich nicht haben muss aber es gibt auch die möglichen
Sicherheitsprobleme werden Shellshock ShellShock hat
dazu geführt das man auf das wenn man die beige also quasi die Kommandozeile benutzt die wir schon ermäßigt quasi bei Unix und gegen das Thema nutzen das wenn man Variablen eingeführt hat die das System kennt dann Funktion dran gehängt hat das diese Funktion eventuell später mit höheren Zugriffsrechten ausgeführt wurden als diese Variable eingebracht wurde und dadurch eben es möglich war jeden beliebigen Befehle auszuführen die man ausführen wollte eine eine große Gruppe von
Katastrophen die uns passiert ist es das ganze SSL und TLS Desaster das heißt nur verschlüsselte Ende-zu-Ende Kommunikation von Client zum Server wir haben ziemlich viele Vorfälle hatten als 1. gute fehlen
ein Klassiker man sieht im Prinzip dass man nicht programmieren kann oder wie sich mich unbedingt denken was das alles bedeutet dass dieses zweimal gute fehlen Goto fehlt vielleicht nicht das ist was man haben will weil es dazu führt das wenn ich das Zertifikat eines Servers überprüfen will und diesen bestimmten Zustand erreichen dass sich dann immer ich ihn das 1. Worte Fälle gehe wenn es einen Fehler gibt sondern dass immer tue auch wenn es keine Fehler gibt und dann einfach Diversifizierung dieses privaten Schlüssels einfach nicht das heißt jeder kann sich einschalten jeder kann sagen was ich besitze diesen privaten Schlüssel immer diesen Fehler auslöst und dann quasi seine Identität vorgeben werden Hartlieb
hat mit der relativ früh und das Lied beruhte
darauf dass es für Open SSL 1 hat geht Extension gab die immer mal wieder den Server angesprochen hat um zu sagen Herr bist du noch da und normalerweise hätte so laufen sollen dass jemand einfach ein paar Buchstaben schickt sag ich schicke dir ein Wort mit 4 Buchstaben zum Beispiel und der Server antwortet er mit genau diesem
Wort mit den 4 Buchstaben jetzt war es aber so dass man doch einfach sagen konnte hier ich kenne seine die Antwort es hat 500 Buchstaben hat in der Realität
zum Beispiel nur 4 und das war hat das dann einfach aufgefüllt mit nächsten quasi 496 Buchstaben im Speicher das führte dazu dass man einfach Daten
rausgekriegt hat zum Beispiel die Masse Keith von unserem Passwörter von Nutzern und alles andere mögliche was sensibel ist hat mir Pool Polen beruhte darauf dass
man zwingen konnte auf und nein das Verbraucher zwingen konnte offene und sichere
SSL-Verbindung zurückzufallen das heißt eigentlich wollen wir kein SSL 3 0 Mehr viel unterstützen das aus Kompatibilitätsgründen was dazu geführt hat dass man runter verhandeln konnte der in dieser Mann in der Mitte der Angreifer war gesagt hat ne TLS 1 2 spreche nicht 1 1 auch nicht 1 0 nicht ich will 3 0 machen was dazu geführt hat dass er wiederum die Identität vorgeben konnte und Verkehr mitlesen zuletzt aus der Gruppe nicht
also aus dieser Gruppe gab es noch Flieger Text für Getec hat eben auch ausgenutzt dass man Sicherheitsstandards runtersetzen konnte dass man offen und sichere Version von RSA sich runter gehandelt hat beim sicheren Datenaustausch was noch aus Zeiten der Kutscher Rost stammte als man eben in den USA keine sichere Verschlüsselung exportieren konnte was aber immer noch teilweise implementierten unterstützt wird ja also ich komme er
relativ häufig Vorteil war es wirklich für Informatik das eigentlich häufig vor ich muss noch mal wiederholen dieses Kotov Fälle waren der Fehler von Apple wo es wirklich also sehr gradlinig da ist dass ein Problem ist also wenn man anfängt zu programmieren dann ist das einer der 1. Orte die man fühlt und bei Freak hat man auch die Situation gehabt dass es erhebliche Lücke war als insofern ist die Frage wird es versuchte er zu quetschen und das wir jetzt in der relativ zur realen Situation dass in den letzten 2 Jahren Microsoft mehr Fehler in diesem Bereich gemacht hat als in den 10 Jahren davor welche auf dem Kongress ein Drittel meines Vortrags mit
der aktuellen Sicherheitsproblemen führen können ich kann noch heute allerdings Wohnviertel des Vortrags mit wirklich den heißen Security Meldungen der letzten Wochen finden warum heißt es Sergio Ricky das ist eigentlich so ein sehr qualifizierter Sicherheit Kicker und auch eigentlich der Rom IT gab es sehr viele Windows 8. ist also das sind Leute die Windows in nicht negativ gestimmt 10 insofern wann ich ich ganz interessant hier ist auch eine Ironie des Schicksals dass sie jetzt im Beispiel fliegt Angriffe Microsoft sehr schnell geprägt hat es war sogar so schnell dass vorher einen ein Hot Fix ausgeschickt haben als er neben der offiziellen Patch Strategie das Problem war nur dieser 8 Hotfix hat das System es schwerbeschädigt insbesondere gegen die normalen ab geht es dann nicht mehr voran was natürlich sehr peinlich mit Vorliebe der dann heißt es ich und hier hat es
dann relativ nicht oder auch desillusioniert kommentierte er ist ja nicht so schlimm als inzwischen sind Microsoft Anwender gewöhnt dass da ,komma gibt allerdings die Qualität dieser Fettnäpfchen
Mehr wurde nicht besser wenn meine ich jetzt Microsoft gelobt hat das ebenfalls liegt zumindest versucht haben das zu schnell zu Päckchen komme zum anderen Extremum er der Austausch der Schah eigens erhält Funktion als einer Kontrollen Zoom Berechnung die schon seit etwa 18 Jahren als gebrochen die es jetzt in den letzten Tagen in Angriff genommen worden und
hier passierte dann auch wieder was lässt Microsoft hat auch diesen abgeht falsch gemacht und für uns besonders lästig war dass das irgendwie die mitinstallierte er massiv beschädigt hatte das System gegen in dann innere Bootschleife das klingt jetzt eigentlich lustig als es ist wir müssen daran denken es gibt jede Menge Windows-Systeme den eingebetteten Systemen und abends ein Bus Bootschleife
wirklich die die ganze Steuerelektronik durchaus in Probleme bringt also das ist ne Sache die in der Industrie inzwischen alles andere als entspannt gesehen wird in diesem aktuellen Fall natürlich noch mal zusätzlich ärgerlich dass Microsoft
Windows nicht nur ihre eigenen Sachen kaputt macht sondern die gesamte .punkt Sache zerstört mit anderen Worten ein ordentlich installiertes Linux
bootet dann die nachdem man Windows Update gemacht wird das ist natürlich sehr wenig befriedigend ja
jetzt erfahren dass wir Menschen haben die Sicherheitsprobleme verursachen dass wir Software haben die von Menschen gemacht ist die Sicherheitsprobleme verursachen ja noch ein ganz anderes Problem wir haben kaputte Standards ja Standards sie kompromittiert sind von Geheimdienstbehörden die ab bewusst geschwächt und damit quasi das gesamte Sicherheitskonzept ad absurdum führen Fischer rechnen
wir haben Vektors der ihn im September 2013 von relativ schwer wiegenden Vektor erfahren dass war entdeckte einen Zufallsgenerator bestimmen wie sie etwa von ist und der schon lange in Vektor Verdacht
stand das ist was eigentlich ja kritische an der Sache dass man nämlich schon wusste dass
irgendwas faul dieser Standard wurde von NSE eingebracht was nicht unbedingt ungewöhnlich ist das heißt es quasi kein Alleinstellungsmerkmal dafür dass wenn Vektor haben macht es aber vielleicht wahrscheinlich vor allem wenn man sich bei manchen Punkten fragt warum wird das gemacht dass das irgendwie nachvollziehbar oder begründbar Wasser in diesen Zufallsgenerator passiert danach haben
wir erfahren dass es nicht nur diesen kompromittierten Standard gab sondern dass er das 10 Millionen Dollar von 1 bekommen hat und das eben in ihrer wie Cocteau wie einzubauen das schon dazu setzen das heißt dass sich voll zu setzen wie
es heißt haben kaputte Standards kaputte Menschen und kaputte Software haben aber auch kaputter Hardware das heißt wir haben in den
letzten Monaten und Jahren immer wieder einen Trend gesehen dass die Angriffe die gefahren werden auf immer tieferen Ebenen gehen das heißt wir sagen wir kompromittierenden auf Software haben wir um ganz andere Möglichkeit das vielleicht zu umgehen oder andere Software zu benutzen als wenn die Hardware kompromittiert dass das heißt wir können nicht viel dagegen tun dass wenn wir uns haben in dem quasi schon gut geht dann ist das dafür sorgt dass immer wenn überleitete Prozess gestartet wird dass diese dass sie so gut geht informiert wird und dass dieses Wuttke dann einfach Daten direkt aus dem Arbeitsspeicher lesen kann das heißt wir können uns Schlüssel private Schlüssel zu legen wir wollen wenn dieses Wuttke diesem privaten Schlüssel als aus dem
Arbeitsspeicher lesen kann bringt uns das überhaupt nichts mehr auch gesehen bei den gemalte SIM-Karten hat das war als bekannt wurde dass er
das und ließ sie echt Jubel bei Gemalto SIM-Karten Keith direkt abgegriffen haben was bedeutete dass damit die Verschlüsselung
zwischen dem Telefon und dem Funkmast quasi gebrochen werden konnte ohne dass es eine Möglichkeit gab es zu bemerken was aber auch ermöglicht hat das SIM Karten gefälscht werden konnten damit Menschen inkorporiert werden konnten das heißt man konnte weil der SIM-Karte Klonen und was noch dreister ist es eigentlich um dann zu verdecken dass man und wie extra Datenverkehr wurden sogar noch die Rechnungen gefälscht das heißt man hat möglich Daten die dann wieder einen Provider gesendet wurden einfach verfälscht weiteres
Problem neben der Hardware es unsere Politik das heißt wir hatten Meldungen von Crypto-Wars 3 5 0 wir hatten wieder Forderungen dagegen dass man nicht mehr sicher verschlüsseln muss in diesem Cyber-Raum weil sonst ja die Polizei keinerlei Möglichkeit hat gegen die bösen Terroristen zu ermitteln wenn die einfach so ihre Kommunikation verschlüsseln können das heißt man
forderte und zwar von verschiedenen Seiten forderte von Seiten Obamas und forderte von Seiten von Kämmerer und forderten Seiten von dem dieser dass man eventuell eine verbindliche Schlüsselhinterlegung verpflichtend machen solle die eben dann im Kampf gegen den Terror als Reaktion auf die Charlie-Hebdo Anschläge helfen soll leben die bösen Verdächtigen zu fangen das ganze wurde verglichen mit einer Hausdurchsuchung bei meiner sagte ja bei einer Hausdurchsuchung bei den können wir die gleichen Möglichkeiten wobei man einfach sagen muss dass diese aber die unglaubliche Irrsinn ist also eine Hausdurchsuchung hatten merkt man dass das Haus durchsucht wird und man hat die Möglichkeit ihren Beistand soll zumindest theoretisch und eben ganz andere Eingriffsmöglichkeiten das war das was ich ungefähr vorstellen wollten wir sollten uns fragen ist kaputt oder
können wir noch irgendwas dagegen machen und haben versucht ungefährlich Fehler Kategorien mal runter zu brechen 1. vieler Kategorie ist natürlich der Menschen vor mir gesehen bei dem TV 5 hegt
es gab einfach keine aufbrechen sich Jyoti keine gute Nutzer sind meistens relativ schlecht aufgeklärt was quasi gutes Verhalten angeht oder sie tun es trotzdem nicht auch wenn sie es wissen ich weiß nicht ich glaube jeder kennt jemanden TM der schlechte Passwörter hatte Passwörter unter 8 Zeichen hat und dass es sowohl im privaten Sohn als auch im beruflichen das heißt Leute die in ihrem Job mit sensiblen Daten umgehen machen das nicht unbedingt besser heise Software kann noch so gut sein das Passwort an der Wand klebt bringt es das überhaupt nichts das Problem
2 was bisher hartnäckig hält sind unsichere System an sich wir haben erfahren dass der Berliner Verwaltung immer noch mit Windows XP gearbeitet wird auch wenn das Wort schon vor über einem Jahr eingestellt wurde nun hat der Berliner Datenschutzbeauftragte gesagt kann eigentlich ja nicht weil die Gefahr dass wenn mir so was passiert wie weit sie vom Mond es einfach unglaublich groß
wir leben aber auch das Sicherheit oder Maßnahmen wieder zurückgestellt wurden haben
damals auf Netzpolitik veröffentlicht dass das LKA Niedersachsen das ursprünglich mal Linux eingeführt hatte wieder auf Windows zurückgerudert hat ja die Gründe darüber kann man reden aber einer der Gründe war eben die uns aus einer Kommunikation bekannt waren dass die Nutzer weil sie auf den Linux-Rechnern die USB-Ports nicht nutzen kommen aus Sicherheitsgründen und die CD-Laufwerke weil es abgeschaltet war um eben Sicherheit zu geben sie einfach parallel Windows-Rechner hingestellt haben in denen das gegen vollkommene Sicherheit vorbei und das
wurde quasi als Grund genommen zu sagen die findet Windows wieder ein weil Nutzer wollen dass sehr nicht ab in der Software wenn man die Sicherheit von Software gehen haben wir natürlich den menschlichen Faktor wachsenden jeder Software drinnen das
heißt so die Industrie schätzt 15 bis 50 auf Tausend Zeilen Code und wenn uns überlegen dass so Software nicht nur 1000 sein Rotationen Abertausende Zeilen von Code wissen wir da ist ein Fehler drin das können wir nicht vermeiden und wir müssen endlich aufhören
damit diejenigen die diese Bax verursachen an zu Schuldigen an den Pranger zu stellen dass beharrt die passiert es auch wenn der Fehler der gemacht wurde relativ stupide weil müssen aber uns an die eigene Nase fassen zumindest die in der Lage dazu sind die Software selber anzugucken ist dafür zu auditieren und das müssen Mechanismen geschaffen werden so verwirklichen zu können nun weiteres
Problem ist lege sie Software das heißt selbst wenn ich selber Softwareprogrammierung nicht und Audit kümmer ich greife meistens auf bis zurück ich Kreislaufsysteme zurück ich muss immer dem was quasi unter
der Schicht des dich Aufsätze Vertrauen und wir können einfach Mittel vor allem keine Open-Source-Software haben einfach nicht wissen was da passiert wir weitere Fehlerquelle im
menschlichen und im Programmieren es einfach schlecht ist Softwareingenieure denn es gibt Methoden es gibt das Vier-Augen-Prinzip das heißt dass nicht der Programmierer allein auf seinen Code drauf es gibt Porphyrios natürlich das ist alles keine Garantie dafür dass wir keine Fehler Männer Software haben
aber es ist zumindest eine notwendige Bedingung dafür
können ja und das ich ist eigentlich die Problem lag im Bereich der Hintertüren und da muss ich jetzt doch waren paar hat der Informatik Worte machen wenn man bloß hat also wenn jemand in den Code ein gucken kann ist es wird nicht mehr relativ
beliebte Fingerübung für grob Grafen dann Nachrichten heraus zu schmuggeln auch noch mal andere .punkt auf der nochmal hinzuweisen ist also jetzt mit diesen neuen Yvi Systemen gibt es wirklich die Situation dass wir an der richtig gesagt hat auf der untersten Ebene schon Schlüssel abgefangen werden können das drastische ist das Teil was auf dieser untersten Ebene dann auch noch nicht Verbindung hergestellt werden können also Hintertüren wir sind wirklichen echtes sich das Problem und wenn man nicht in den Chor dreinschauen kann dann ist man
wirklich und das habe ich sogar in dem harten Informatik sehen beweisbar
und beweist er hilflos freier Software ermöglicht dass wir im Grunde reingucken wir haben gesehen und war ganz klar zu sagen es ist eine Schande für die Informatik was im Open Source Bereich gegangen dass wirklich niemand auf diese Open-Source Sicherheitsprobleme aufmerksam geworden ist oder nur sehr spät im Fall von hat lebt und der er insbesondere auch im Fall von Gothow fehle wurde das gefunden aber nach Mehr schmerzhaft langen Zeit also durchaus in der Open-Source-Szene ist auch ein Anlass zur Selbstkritik aber ich muss noch mal ganz klar sagen da oben so was tut die jedenfalls
Rektor sehr sehr schwierig machen als insofern ist es wirklich die notwendige Bedingung
dass wir den Code ansehen können die Leute die jetzt Open Source gegen andere Sachen wegen sagen dann immer es gibt auch Scherze auf Konstruktion oder veröffentlichten Sourcecode mit einer restriktiven Lizenzen das
ist richtig das BGB oder Kulturforen sind normale kommerzielle Produkte wo allerdings der Soft Gold bei der Sourcecode veröffentlicht wurde also
erst die genaue definieren will muss und kann man sagen lesbarer Sourcecode ist eine notwendige Bedingung um Vektors so war bei ist aber keine hinreichende Bedingung weil offensichtlich hat die ganze Community und auch die Anwender von Open Source bisher nicht die Notwendigkeit gesehen der ordentlich reinzuschauen aber ich möchte es noch einmal
betonen Open Source ist wirklich eigene großartig Errungenschaft und auch im Bereich der Kryptographie ist wirklich eine
Sache wo man sehr erfreut sein was ich weiß es der Konferenz so viele Leute vor mir stehen und sagen hier ist eine Revolution die alles ändert man ist da in der Tat richtig insofern möchte ich vorausschicken das gute an der Sache ist es kostet nichts und Ihr müsst auch keine mathematische einstellen die ganze mathematischen Forschung sind veröffentlicht die Wärme evaluiert in der Wissenschaftsgemeinde dafür muss niemand zahlen Open Source ist auch so dass die der der Programm zunächst mal kostenlos zur Verfügung gestellt wird als insofern ist es eine erfreuliche Sache die Tools und des Spiel dramatisch zu
ändern liegen einfach da sie müssen eingesetzt werden noch immer dies nun
wollen wegen haben wirklich herausgefunden 1. die Kryptographie hält es gibt paar ahnt Bereiche wo Crypto Grafen schon seit 10 Jahren oder 20 Jahren warnen im Bereich der Funktion SHA 1 im Bereich RC 4 verschlüsseln haben wir gewarnt und werden heute jetzt starke gehört aber insgesamt wackelt die Kryptographie nicht die Open Source wackelt in den meisten Fällen auch nicht wenn man dann nachlesen hat nun sein Leben angeblich die anvertraut und auch die Analyse der bisherigen NSA zeigt das Kino bleibe sie gerade ein freies Tool ist was wirklich ein großes Menge an sicher macht also die gute Nachricht aber ist im Toaster und das Spiel zu enden die schlechte Nachricht ist dass es zu trotzen die kaum jemand ein und ein einsetzt und das ist glaube ich eine der Hauptsachen die wir bei dem Vortrag adressieren die Sachen sind da er braucht denn ich kaufe mir braucht niemand bezahlen dafür benutzt die wieder weckt ohne
der letzte Punkt den ich noch mal sagen muss Open-Source komm hier hatten Probleme mit der Qualitätssicherung muss man ganz klar sagen
dieser hat bizarren hätten nicht passieren dürfen dieses gute Fehler hätte nicht passieren müssen insofern ist in meinen Augen aber der Notwendigkeit für Industrie und staatliche Stellen die oben einsetzen und man kann einfach die Konservativen Wirtschaftswissenschaftler aufrufen die staatlichen Behörden und die Industrie sparen Millionen und vielleicht sogar Milliarden durch den Einsatz von Open Source und ich glaube dass es für staatliche Stellen die juristische Verpflichtung und für die Industrie auch eine moralische und auch eine kommerzielle Verpflichtung ist hier im Bereich der Open Source sich als Evolution eigene Anstrengungen zur vorzubringen die
2. interessant ist aber jetzt ja offen Bereich sehen wo SamMama Community
und leichte Anwendbarkeit durchaus ein sehr wichtiger Punkt ist ,komma drauf meist auch in diesem Bereich gibt es einige Entwicklungen ein sehr schönes Tool ist Tomaten https er über von Elektronik von der von der ich des installiert nur einmal und das ist nicht schwierig die Albert Anwender haben zu über 70 Prozent was anderen Forks nur mit mir sicher Freude aufgenommen wurde einen Adblocker installiert ist ist in etwa genauso großer Aufwand etwas geringer in meinen Augen sogar einen https zu installieren was einfach folgendes macht mir geben der normale der Adresse ein dieses Tool versucht automatisch auf eine sichere Verbindung zu gehen das ist völlig
transparent es einmal installiert und veränderte Spiel schon relativ dramatisch weitere .punkt ist wo
es eigentlich relativ witzig ist das einige Anmerkungen die bisher auf der Bildebene waren wirklich ließ sich der gesellschaftliche Aufwendungen am Abend Beispiel ist dass wir
zunächst mal an anziehen und staatliche Behörden durchaus verlangen sollten dass die starke ordentliche Kryptographie wachen werden für das Beispiel ist Perfect Forward sich quasi das war Konstruktion die vereinfacht gesagt schlicht und einfach sagt jede Verbindung mit 9. Schlüssel
ist man die ganze Mathematik die ganze Kryptographie wenn jede Verbindung mit eigenen Schlüssel hat dann bedeutet das dass in der Angreifer das können staatliche Behörden mit ihren durch Gerichte in Sachen können aber auch normale
Angreifer sein jeweils ein Schlüssel angreifen damit nur eine Verbindung komprimiert was ist die Alternative und das is no alternative die zum Beispiel auf Fehler aber bitte der Email-Provider Phonds nutzen aufgelaufen ist da gab es nur einen
Server-Schlüssel der für alle Verbindungen verantwortlich war was passiert jetzt natürlich die US-Regierung hat eine gerichtliche
Anweisung dass der Schlüssel herausgegeben werden ist der Schlüssel musste nach einigen lustig und versuchen es war mein herausgegebenen was aber gibt es zwar alle guten Sinn kompromittiert und das ist natürlich eine interessante Frage wenn man zum Beispiel Cloud Services hat wenn man Cloud Services als Firma hat und ihr den einer von den Kollegen die bei demselben Provider Sinn macht ist die Behörden klagen den Schlüssel raus die Behörden haben alles aufgezeichnet wird meine gesamten Daten auch kompromittiert obwohl ich mit der ganzen Sache überhaupt nichts zu tun hab hier ist es wirklich ein .punkt wo dann auch das BSI gesagt hat wir unsere Verbindungen der Bundesregierung müssen wir Mindeststandards setzen und diese Mindesstandards haben sehr vernünftiger Weise aus das RC 4 nicht mehr verwendet werden kann ist aber auch dass diese was Frau wird der wird vorbeizieht durch sie anzuwenden ist also vereinfacht gesagt es bedeutet für jede Verbindung neuen Schlüssel ein Angreifer kann nicht einen Schlüssel für alles greifen sondern muss jede Verbindung einzigartig war ich bin kein großer
Freund von staatlichen Eingriffen aber auch staatliche Eingriffe kündigt passt zwar witzig ist sie in der Weise dann durchgeführt werden und nicht völlig Unbeteiligte in unakzeptabler Sache angegriffen werden also noch nochmal diese diese einfachen Sachen in der Kryptographie durchaus immer erzählt worden sind wirklich Sachen die das spielt dramatisch ändern wir haben dann auch noch soziale oder Kohle zum Beispiel
jetzt bin ich auch ganz interessant das bei diesen Diensten westlichen den grob hier
umguckt da diskutiert werden seit über ist ab 15 Jahren etwa gibt es Claparon und also ein ein ein Protocol das wirklich von Krupp begraben so entwickelt wurde das soziale Eigenschaften eines vertraulichen Gespräch gegeben sind also wer das zum 1. Mal wundert sich ganz gewaltig aber diese Konstruktion dass sich im Netz mich mit jemandem unterhalten will auch sicher sein dass ist diejenige Person ist aber im Netz auch in wieder ein Recht auf die Privatsphäre da ist das bedeutet nicht jede Äußerung muss unterschrieben werden muss mir vorgehalten werden das über soziale Eigenschaften von Protocol das zum Beispiel bei diesem OTA Standard attestiert wurde und ich glaube es ist hier auch ein guter Ort mal darauf hinzuweisen dass wir Cocteau Grafen eigentlich seit Jahrzehnten mit interessanten Protokollen rumlaufen Diener erweiterte pseudonymer machen die angenehme Wahlen ermöglichen aber irgendwie von der sonst mystischen in der aktiven stehen Mehr
weitgehend ignoriert worden sein also so Sachen wie Liquid Feedback kann man durchaus mit der Kryptographie auch in vernünftig machen aber
wir hatten die jungen Leute da offensichtlich sehr viel wichtigere Dinge zu tun als in die die Welt in dem bisschen sicherer und zwar genau die digitale Welt relativ schwierig und damit dem Weltall algebraischen Konstruktion so machen andere in man kann sich wirklich hinstellen und sagen ok der zum Supercomputer vom dann machen wir halt den Schlüssel etwas länger das ist durchaus möglich insofern tun wir mal die Haltung zur Mathematik grundlegend über über den Mathematik ist
cool Mathematik ist der Freund die beste Nachricht es ihr müsst aber trotzdem nicht anfassen das wird alles in Open Source eben ordentlich gemacht denn so werden können der irgendwie auch EUR EUR
Animosität gegen Mathematik weiterhin auf erhalten wieder zumindestens die richtige Software wird in dem Bereich weitere Schlussbotschaft für
uns schon angesprochen es gibt Software die uns beim verstoßen hilft und auch wenn wir nicht wissen können ob diese Software keine Sicherheitslücken hat das heißt wenn wir nicht wissen können ob uns vor PGP-Schlüssel nicht einfach auf der
Hardware indischen abgegriffen werden ist es immer noch die schlechteste Möglichkeit trotzdem ungeschützt zu kommunizieren dieser Fatalismus bringt uns nicht weiter wir müssen einsehen dass jeder wie Versuch von Verschlüsselung mit bewährten Methoden es einfach schwieriger macht Daten auszuwerten das heißt wenn wir versuchen uns gegen die LSE zu schützen kann es sein dass das trotzdem knacken kann aber wenn mir das Skalieren das heißt wenn jeder von uns irgendeine Art von Verschlüsselung anwendet und eine bewährte Art anwendet dann wird der Aufwand einfach wesentlich höher denn auch wenn es vielleicht kaputt ist trotzdem ist mehr auf eine treffende Klartext Nachricht durch die Welt zu schicken und dann zu sagen ja ließ Sie doch einfach es bringt ja eh nichts außerdem dadurch dass wir diese Software nutzen vergrößern wir die Motivation dass diese Software auditiert führt das heißt man vergrößert Druck einfach zu sagen wir haben oft benutzt es ist Software es gibt es eine kollektive Verantwortung sich darum zu kümmern dass diese Software sicher ist google hat es mit seinem sie oder Tim einigermaßen vorgemacht einfach Google um Firma ist die viel Open-Source-Software benutzt und irgendwann mal gesagt hat wir wollen doch auch dass sie sicher ist wir wollen ja nicht nur diese Software benutzen wir wollen's auf die die verlassen können also haben eine gewisse Verantwortung wieder mit Unmengen an Geld machen auch man diese Software reinzugucken und zu schauen was können wir zurück geben und was können wir machen um eben diese Software sicherer zu machen das aber vielleicht nicht meine Aufgabe von Privatunternehmen lassen Quasimonopolist ist sondern dass es auch eine Aufgabe von der Politik das heißt die Politik hat Verantwortung hat einen gewisse
Schutz Pflicht den Bürgern eben zu ermöglichen verstoße zu kommunizieren und nicht zu fordern dass Schlüssel hinterlegt werden das alles aber Forderung geführt wird
weitere Punkt der mir schon oft erwähnt habe der mir trotzdem nicht müde werden zu
erwähnen dass wir freie und offene Software wollen in die wir reingucken können in bei den es die Möglichkeit gibt Hintertüren zuerkennen Sicherheitslücken zu erkennen diese Software zu verändern diese Software weiterzuentwickeln was jeder mit seinen eigenen Möglichkeiten tun kann es gibt Menschen die werden die Gruppe weiterentwickeln es wird Menschen geben die können vielleicht endlich mal dafür sorgen dass die Software benutzbar wird für den Normalnutzer unattraktiv wird für den normalen Nutzer und dann unser quasi Schlussbotschaft es gibt Cocteau Magie
und guckte immer die es für uns eben genau die Kombination aus Kryptographie im Osten
mathematischen Grundlagen die es seit Jahrzehnten gibt die nichts Neues sind und Open-Source-Software das heißt wir wollen dass wir gute Kryptographie benutzen dass wir keine kompromittierten Standards haben und das für Open Source benutzen nicht nur in Software Wallace auch ein hat wir wollen wissen was die Sachen tun und wir wollen die Möglichkeit haben zu schützen Dankeschön es gibt Rüdiger Erfolge
für ran gibt es den vielleicht gerade weil er haben noch mal reden Zeit an die beiden Mehr an der sich der 1. Moment wo ich bei den Fragen hinstellen wollen sehen Sie hallo er das hat es ja vorher sehr für Microsoft-Produkte erwähnt es wenn man es ein bisschen durch die Gegend guckt den sieht man glaub ich immer weniger Laptop sondern immer mit Telefon und Tablet wie das manche Sorten freier Software aus dem Netz haben mit dem Abschalten von dem Müller Lorenz manche werden also im Bereich der mobile Geräte gibt es durchaus einige Open-Source-Projekte aber das kann man in der
Tat noch nicht so weiter es gibt durchaus interessante Sachen das er irgendwie auch dem wettbewerbsrechtlich drauf getragen wird dass Leute ihr Gerät auf ihrem Gerät auch eigene Software installieren aber dass du völlig recht da ist der Weg noch ein relativ
weiter im Vergleich zu Linux Bookmarks in der Tat wackelnder aber doch anwendbar Lösungen haben und auch
konkurrenzfähig Lösungen weitgehend im Bereich für mobile Geräte gibt es ja völlig recht da ist noch ein noch weiterer Weg da haben außerdem auch Probleme Mobilgeräten wir
müssen ja nicht nur dem Betriebssystem auf mobilen Gerät Vertrauen das heißt wir müssen nicht nur einmal Vertrauen das auf dem Mobilgerät drauf sondern müssen auch den besten Prozessor vertrauende besseren
Prozessor ist der der diese rudimentäre
Kommunikation der Geld von denen wir nichts mitbekommen oder stellt quasi na 2. Betriebssystem auf dem Telefon da das quasi unter dem
eigentlichen Betriebssystem das wir zu sehen bekommen dass wir zu spüren bekommen bei dem wir bei dem viele Leute was entwickeln können eben noch haben und das gibt Versucher Open Source und Betriebssysteme zu entwickeln aber so weit ich weiß sind sie nicht besonders weit gekommen und ich glaube das ist ein Punkt an dem man unbedingt ansetzen muss weil wurde versucht glaub ich bevor diese ganze Smartphone Welle kam also bevor quasi Smartphones mehr oder wenige ubiquitär geworden sind und da wird es eng .punkt wo man da wirklich noch mal reinschauen muss um zu sagen es ist ein Problem das uns alle betrifft da muss man irgendwas rein investieren war genau
das bisschen anschließend als ich habe den der
Jugendarbeit versuche die Jugendlichen dazu zu animieren die viel zu benutzen oder aber die haben halt einfach Ihr Smartphone ihre ich bin maximal 2 sowie Signal oder irgendwas aber nicht ja die kann nicht also das ist wie das noch irgendwas geben was schick ist er anwendbar ist auch alle sind also sind also bei Facebook jetzt natürlich lieber weil wir vor aber ja kann ich machen ich glaube angesprochen das eben auch daran liegt dass Leute eben nicht nur die Crypto entwickeln und nicht nur quasi die tiefer liegenden Schichten wegen sondern eben auch die Oberflächen
entwickeln und wir haben ein Problem mit dem Monopolisten haben Probleme damit dass Leute bei Facebook sind weil alle Leute bei Facebook sind und ich glaube das ist ein langer Prozess und ist ein langer Prozess dass diese Alternativen sich vielleicht etablieren können ich kann nur von mir persönlich sagen wenn ich mir überlege wie viel verschlüsselte Email sich vor 2 Jahren bekommen hat dann war das im Prozentbereich und im einstelligen Prozentbereich wenn ich heute in meine Inbox gucke sind ich hab mal ungefähr 40 bis 50 Prozent ermäßigt privat bekomme verschlüsselt klar ich bin hab ich vielleicht die Zielgruppe an Menschen mit dem ich kommuniziere die die Jugendlichen haben aber ich glaube es sein von Entwicklung dass ich auch selbst von Leuten die jetzt nicht unbedingt Journalisten sind oder es irgendwie nicht sich damit quasi mehr oder weniger hauptberuflich auskennen wollen verschlüsselte Emails bekommen und sind je mehr sich das Durchsetzen des Meeres quasi in Diskussion ist die Mehr und wie du deine Mutter fragst du hier du kannst mir verschlüsselte Mail schicken desto mehr wird dieser durchsetzen vielleicht auch irgendwann massentauglich werden ja her das Problem ist schon
gesprochen mit ist und es wurde unter Wasser kocht da draußen auf aber Kinder überhaupt und so hat er Vertrauen bald darauf geht ne Menge zurück war in den wir jetzt gucken ob Frauen oder in der Hardware daher darauf ankommt hat sich die Lage in dem auf dem daher oft auf der unter was vor er haben immer mehr komisch die die uns Woche nochmal Software läuft die wir nicht kennen an das was darunter liegt und unsere Open-Source-Software unter alles was wir jetzt benutzen können wir das noch weitere 10 Tage drin denn was immer ausführliche Antwort nein 1. Problem ist massiv also ist im Jahr ,komma in dem Bereich gewöhnt aber
als ich diese aktuellen in Sachen der hat aber auch glaub ich in dem Artikel geschrieben also diese Angriffe die der auf der untersten Ebene ich steh ich halt nur davor und sag ich na ja das ist Matrix also die können wirklichen ne unterste Ebene voll machen ich bin auch zusammengezuckt als ich erfahren habe dass ich die alte auch ein kleines Betriebssystem ist mit da darf ich heiße die aktuelle zitiert zitieren mit Rotlicht unverschlüsselten Intel Code der in die Schreibweise der Verdacht der naheliegt dass damit dort da ich komm eigentlich irgendwie bisschen vor wie im falschen Film als in der Hackerszene haben wir vor 10 Jahren wo auch so wortreich gewarnt dass der Rektor was
er und drohender und ich hab es eben wenn ich mir meine Torx
angeguckt hat ausgerechnet an den Stellen wo ich gesagt hab jetzt hab ich aus politischen Gründen etwas dick aufgetragen mit dem Vektor ist bin ich eigentlich von der Realität überrannt worden also wir vertrauen jetzt irgendwelchen Herstellern in China auch ohne die intelligenteren Leute in der Industrie fragen sich natürlich wenn die große Demokratie Amerika sagt wir möchten eine nicht bewegt war sondern der Vater wir haben wo wir eingehen können na ja wie könnten wir dann Finale gegen argumentieren wenn wir sagen wir bauen jetzt Victors eine Mitglied gemeine Terroristen auf einmal über Demokratie als also das Problem wir brauchen Open nicht weil wir in wir eher paranoid der Hackerszene sondern wir
brauchen für die Industrie die konkurriert mit ihrem Moses in Wien die toll finden dass die Amerikaner und die Chinesen alles mitlesen können also noch einmal das Problem ist ich
kann euch nicht mal helfen wenn wir da gerät Trainer haben die auf der unteren Ebene kommunizieren kann ich da oben wunderschöne Tänze aufführen ohne dass überhaupt mitkriegt dass dann der weitere Matrix Ebene da ist gibt es noch weitere Fragen haben unsere noch Gerhard
dahinten meint wenn er nun witzige man einander ja ja nur die die auf der Folie drauf und glaube das Hauptproblem davon dass eigentlich ist viel zu kompliziert ist und dass die Kommando Leerzeilen haben Settings anschaut dass in die Hunderte wenn nicht sogar tausende und glaube ich jetzt keine Bock wie kommt der da mit nicht mehr verschließen kann und das glaub ich das Hauptproblem ist einfach zu kompliziert solange meine Mutter eine zehnstündige Schulung braucht und verschlüsselte Email zu verschicken dann wird sich das nicht durchsetzen und ich glaube hier ist die meiste Arbeit mit wenn ich das die Komplexität versteckt wird und dass wir User freundlicher und einfacher zu sagen die plattformübergreifend funktionieren womit und Verschlüsselung anbieten kann solange wir das nicht haben wird es immer noch an das Thema bleiben für Minderheiten ich glaube du hast also ich würde widersprechen weil niemand
ist heute noch dazu gezwungen seine Emails per Kommandozeile zu verschlüsseln und es gibt über Satzes gibt Plug-ins für normale Mail-Clients es gibt alles mögliche und ich glaube ein Kernproblem der ganzen Adaption von Verschlüsselungssoftware ist das wollte sich davon nicht zutrauen wollte etwas sagen dir das ist was für die Trekkies ist was für diesen das mit den Geboten Police und dann einfach sagen das kann ich doch sowieso nicht und ich weiß nicht wie vielen Leuten ich in den letzten Monaten Mail-Verschlüsselung beigebracht hat und die Leute waren keine Informatiker und die Leute waren keine Menschen mit den technischen Hintergrund wird dann es trotzdem geschafft nicht wenn er man sollte müssen das Vertrauen haben was ihm auch seine Mutti zeigen dann sagt man sehr mutig vielleicht aber öfter und das ist ok aber die Leute müssen Sie einfach zu müssen die Siegel Technik Angst überwinden weil wir eben einer technisierten Welt und es kann nicht sein dass alle die keine Informatik Abschluss sagen wir das kann ich ihn nicht da bin ich zu blöd für das zu kompliziert und die deutsche müssen auch
kommunizieren Leidens kommunizieren denjenigen die es entwickeln was sie wollen die Leute müssen sagen wir brauchen diese Software wollen sie auch benutzen und ich sagen nee
das werde ich niemals tun so geht es halt nicht weiter und so kommt es wenig voran Wasser vollkommen recht
aber es sind halt einfach viele Sachen kaputt kaputtschlagen dieser waren es gibt viele die zentrale dieser aber das Ganze ist komplett teilweise mit hat man viele Probleme haben teilweise gibts auch keine Verschlüsselung für die Luke Apps auf dieser Bahn Gruppen Nachrichten mit PGP zu verschlüsseln ist auch ein Problem es geht praktisch nicht wirklich gut und dessen hat alle seine kleinen Bausteinen fliehen Hey das eine gute Lösung für die Zukunft aber und dann noch mal kurz an 70 Prozent der Welt Kläger installieren
Adblocker es ist genau so aufwendig https zu installieren
oder einmal gesagt hatte nicht mal mehr zum Baden wird ist genau so aufwendig Minute aber benutzt dann ist es auch nur ein Häckchen was mal klicken muss also ich gebe Dir vollkommen recht der Informatiker müssen und sind Schuh ansehen dass wir Sachen entwickelt haben die Kon sehen immer dann warte ich schwer denn die Kohle zu programmieren sind und unsere Leute Arbeitsprogramm Jemenit nicht auch noch die grafische Oberfläche Jahr das müssen wir vielleicht auch noch in Angriff nehmen aber trotzdem dann wirklich die bitte dann erklärt uns mal was
er genau braucht weil wie gesagt es gibt jede Menge Tools die sie dir jetzt schon
auf der Fahrt und wartete bis er nicht ist und das ist auch ein .punkt dann aber noch mal ganz deutlich hergestellt hat auch wenn ein bissl verschlüsselt die er in der gesamten Gesellschaft weil im Moment ist einfach der Unterschied im Moment tu ich einfach eine Antenne in den Äther leben und kann das es sich jede der Verbindungen lässt in aller Anwender nur 20 Prozent https benutzen habe ich bei den 20 Prozent nur ein Rauschen das sich höchstens Einzel Millionenaufwand angreifen kann also wenn wir wirklich auch opportunistische Verschlüsselung nicht so dass im Kulturcafe total glücklich ist dass sie mit den Studium gut umgehen sondern ein Trauma Verdacht verschlüsselt in "anführungszeichen dann wird schon diese ganze Spiel drastisch geändert noch immer unverschlüsselt kommuniziert tun die
Geheimdienste der Antennen den Äther oder die Glasfaserkabel oder bei DE-CIX im BND zusammen und haben alles nicht nur die Vorratsdaten die
Metadaten was der BND abgeschaut hat immer alles wenn der nicht 30 Prozent hatte die Westerwälder benutzen dann haben Sie 30 Prozent das Rauschen und das ist ein gutes der ok ich glaubte derzeit durch falls sie uns erreichen wollen entweder hier so
ich noch eine weil hier oder eben ab
Ebene
Kategorie <Mathematik>
Kryptologie
Softwareschwachstelle
Software
Kategorie <Mathematik>
Softwareschwachstelle
Statistische Analyse
Software
Programm
PHP
Chiffrierung
Passwort
Client
Variable
Befehl <Informatik>
Server
UNIX
Server
Chiffre
Wort <Informatik>
Server
Passwort
TLS
Datenaustausch
Apple <Marke>
Chiffrierung
Microsoft
Version <Informatik>
Informatik
Patch <Software>
Anwendungssoftware
Microsoft
Störungstheorie
Kryptoanalyse
WINDOWS <Programm>
Datenbus
Extremwert
Menge
Berechnung
Microsoft
Zoom
Systems <München>
LINUX
Microsoft
Wort <Informatik>
WINDOWS <Programm>
Vektorrechnung
Software
Vektor
Zufallsgenerator
Standardabweichung
Punkt
Vektor
Zufallsgenerator
Ebene
Hardware
Software
Hauptspeicher
Kryptoanalyse
Standardabweichung
Chiffrierung
Provider
Hauptspeicher
Klon <Mathematik>
Hardware
Software
Kategorie <Mathematik>
Passwort
LINUX
CD-ROM-Laufwerk
WINDOWS <Programm>
Rotation
Software
Code
WINDOWS <Programm>
Programmierer
Mittelungsverfahren
Software
Code
Ebene
Hintertür <Informatik>
Wort <Informatik>
Systems <München>
Informatik
Code
Software
Open Source
Informatik
Vektorrechnung
Open Source
Anwendungssoftware
Biprodukt
Code
Kryptologie
Open Source
Menge
Kryptologie
Open Source
Punkt
Eigenwert
Open Source
Punkt
Softwareentwickler
Netzadresse
Punkt
Kryptologie
Mathematik
Kryptologie
Kryptologie
Provider
Internetdienst
Kommunikationsprotokoll
Algebraisches Modell
Mathematik
Supercomputer
Kryptologie
Mathematik
Softwareschwachstelle
Software
Open Source
Hardware
Chiffrierung
Google
Software
Punkt
Softwareschwachstelle
Software
Hintertür <Informatik>
Momentenproblem
Software
Kryptologie
Notebook-Computer
Open Source
Quick-Sort
Graphiktablett
Standardabweichung
Lösung <Mathematik>
Software
Mobiles Endgerät
Prozessor
Punkt
Welle
Open Source
Betriebssystem
Smartphone
Mobiles Endgerät
Facebook
Signal
Smartphone
Facebook
Hardware
Menge
Software
E-Mail
Ebene
Matrizenmultiplikation
Betriebssystem
Kryptoanalyse
Code
Intel
Mathematische Größe
Vektor
Ebene
Chiffrierung
Matrizenmultiplikation
E-Mail
Algebraisch abgeschlossener Körper
Datensatz
Software
Informatiker
Plug in
E-Mail
Informatik
App <Programm>
Chiffrierung
Informatiker
Chiffrierung
Punkt
Momentenproblem
Menge
Anwendungssoftware
Metadaten

Metadaten

Formale Metadaten

Titel Cryptocalypse now
Serientitel re:publica 2015
Teil 34
Anzahl der Teile 177
Autor Weis, Rüdiger
Biselli, Anna
Lizenz CC-Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland:
Sie dürfen das Werk bzw. den Inhalt zu jedem legalen Zweck nutzen, verändern und in unveränderter oder veränderter Form vervielfältigen, verbreiten und öffentlich zugänglich machen, sofern Sie den Namen des Autors/Rechteinhabers in der von ihm festgelegten Weise nennen und das Werk bzw. diesen Inhalt auch in veränderter Form nur unter den Bedingungen dieser Lizenz weitergeben.
DOI 10.5446/32172
Herausgeber re:publica
Erscheinungsjahr 2015
Sprache Deutsch

Inhaltliche Metadaten

Fachgebiet Informatik
Abstract Es ziehen dunkle Wolken über die Welt der sicheren und privaten Kommunikation im Internet, auch über NSA und Co. hinaus. Eine Lageeinschätzung.

Ähnliche Filme

Loading...