GLF

[sus]

warum nur entweder/oder?

und rly, so wie manche mit ihren passwörtern umgehn würds mich nit wundern, wenn einige leute ihr truecrypt passwort genau wie das emailpasswort einfach auf 123456 festsetzen...ui. gibts bestimmt genug solcher spezies xD

[Ovid]

Ja, von mir aus?!

Ich bezog mich nur hier drauf:

. angenommen man würde über alle jemals verwendeten schlüssel buch führen, diese sammeln und online stellen, würde das entschlüsseln von sämtlichen laufwerken zu einer angelegenheit von wenigen sekunden.

Entweder schafft es jemand den Schlüssel von mir zu stehlen, dann kann er damit ja gleich meine Festplatte entschlüsseln und der schlimmste Fall ist schon eingetreten. Er muss es nicht erst in irgendeine Datenbank eingeben und sich dann unnötigerweise die Mühe machen alle Schlüssel auszuprobieren um wieder meinen Schlüssel zu finden.

Oder keiner schafft es meinen Schlüssel zu stehlen, dann hilft auch keine Liste mit fremden gesammelten Schlüsseln...

[Forum-Geist]

123456 festsetzen...ui. gibts bestimmt genug solcher spezies xD

Sicher gibt es die aber nur die warhaftigen Helden werden es schaffen das PW dann auch noch zu vergessen

[Jean Valjean]

Ja, woher denn? Dazu müsste man in das System einbrechen und Kernel-Rechte bekommen. Also so Bundestrojaner-mäßig.

ich glaub du hast nicht verstanden worauf ich hinaus wollte...
meine überlegung ist diejenige, dass gar niemand ins system einbrechen müsste, um den schlüssel zu stehlen, da windows genau das doch von sich aus machen könnte.

[Ovid]

meine überlegung ist diejenige, dass gar niemand ins system einbrechen müsste, um den schlüssel zu stehlen, da windows genau das doch von sich aus machen könnte.

Wenn Windows von Haus aus den Schlüssel stiehlt und übermittelt, dann kennt man doch das System wozu der Schlüssel gehört. Warum wird dann auch nicht der Bezug zu dem System übermittelt?
Wozu dann alles in eine riesengroße Liste schreiben, wenn man weiß woher der Schlüssel kommt?

Es ist außerdem unwahrscheinlich, dass dies der Fall ist. Findige Reverse Engineerer/Hacker (wie vom CCC, von den DefCon und Blackhat-Veranstaltungen) hätten so einen Mechanismus schon längst gefunden und veröffentlicht.
Man kann ja einfach mal auf die Daten schauen, die Windows von sich aus in das Internet reinfunkt und zuordnen wozu dies gehört.
Außer Update-Kram wird da nichts hin- und hergeschickt. Das wäre jeder Firma, die Windows benutzt und mit Security-Administratoren einstellt aufgefallen, weil die den Traffic der Windows-Boxen ins Internet und deren Inhalte überwachsen.

Mindestens den Leuten von ReactOS [1], die Windows total auseinandergenommen haben und ein voll kompatibles OS Stück für Stück zusammenbasteln, hätte dies auffallen müssen.

[1] http://www.reactos.org/de

[Jean Valjean]

Wenn Windows von Haus aus den Schlüssel stiehlt und übermittelt, dann kennt man doch das System wozu der Schlüssel gehört. Warum wird dann auch nicht der Bezug zu dem System übermittelt?

ich stelle lediglich die frage, ob schlüssel gesammelt werden. ob jetzt noch ein bezug zum system hergestellt wird oder nicht, ist im endeffekt egal.

Es ist außerdem unwahrscheinlich, dass dies der Fall ist. Findige Reverse Engineerer/Hacker (wie vom CCC, von den DefCon und Blackhat-Veranstaltungen) hätten so einen Mechanismus schon längst gefunden und veröffentlicht.

das war eigentlich alles, was ich wissen wollte. dann kann ich ja beruhigt schlafen und darauf vertrauen, dass die bullen nicht in der lage sind, meinen pc zu knacken.

[Khenu Baal]

dann kann ich ja beruhigt schlafen...

Dein Wort in sämtlicher Götter Ohren...

[Ovid]

dann kann ich ja beruhigt schlafen und darauf vertrauen, dass die bullen nicht in der lage sind, meinen pc zu knacken.

Das bedeutet aber widerum nicht, dass es nicht doch realistische Gefahren gibt.
Wie z.B. einfach das Ausnutzen von Sicherheitslücken von deinem System, Benutzung von Hardware-Keyloggern, Social-Engineering (ist der Pädo-Freund wirklich ein Pädo-Freund?) und ähnliches.

Also man braucht ein realistisches Threat-Model.
http://en.wikipedia.org/wiki/Threat_model

[Lavinia Halbritter]

dann kann ich ja beruhigt schlafen

Eigentlich nicht. Nur weil bis jetzt nicht bekannt ist, dass die irgendwelchen Blödsinn in Windows einbauen heißt das nicht, dass die das nicht gemacht haben.
Das ist ein häufiger Fehler in der Wahrnehmung: "Mir ist nichts bekannt" + "die vom CCC haben auch nichts gefunden" + "der Ovid weiß auch von nichts" sind keine drei Hinweise sondern einer. Denn wenn die etwas gefunden hätten dann wäre es ja bekannt.

Ich persönlich würde raten Microsoft ganz zu meiden und überall wo es geht auf freie/quelloffene Software umzusteigen. Quelloffen heißt dass jeder sich den Code ganz einfach anschauen und somit Hintertüren finden kann. Bei Windows ist das nicht ganz so leicht.
https://prism-break.org/#de

[Ovid]

Eigentlich nicht. Nur weil bis jetzt nicht bekannt ist, dass die irgendwelchen Blödsinn in Windows einbauen heißt das nicht, dass die das nicht gemacht haben.
Das ist ein häufiger Fehler in der Wahrnehmung: "Mir ist nichts bekannt" + "die vom CCC haben auch nichts gefunden" + "der Ovid weiß auch von nichts" sind keine drei Hinweise sondern einer. Denn wenn die etwas gefunden hätten dann wäre es ja bekannt.

Das kommt schon etwas auf die Perspektive an. Mein Fahrrad hat kein Dynamo.
Aber vlt. habe ich den nur nicht entdeckt? Aber so etwas übersieht man eig. nicht.

Für manche Security-Researcher und Entwickler ist Windows tatsächlich zu den größten Teilen so überblickbar wie ein Fahrrad (besonders die, die ein ganzes Windows OpenSource nachbauen -> ReactOS). Wenn die dort kein Dynamo sehen, dann ist da auch ziemlich sicher kein Dynamo dabei.
Also es wird nichts rausgesendet Richtung NSA; das kann man ziemlich sicher sagen.

Ob in Windows selbst vlt. schwieriger versteckte NSA-freundliche Algorithmen drin sind (z.B. leichte Knackbarkeit von mit Windows verpackten Archiven, obwohl man sich auch das sicher angeschaut hat) ist damit nicht gesagt.
Es ging ja um die spezifische Behauptung, dass Microsoft von Drittsoftware wie TrueCrypt Schlüsselt stiehlt und wegsendet. So einen Dynamo würden man erkennen.

Ich persönlich würde raten Microsoft ganz zu meiden und überall wo es geht auf freie/quelloffene Software umzusteigen. Quelloffen heißt dass jeder sich den Code ganz einfach anschauen und somit Hintertüren finden kann. Bei Windows ist das nicht ganz so leicht.
https://prism-break.org/#de

Es ist etwas leichter; aber auch da nicht unmöglich einen absichtlichen Sicherheitsfehler im Sourcecode zu hinterlassen, den man hinterher exploiten kann.
Closed Source ist sicherlich viel schwieriger zu überblicken. Es kommt aber eben darauf an von welchem "Bauteil" man spricht. Manche Funktionen sind leicht zu enttarnen / andere widerum nicht. Eine Komponente die eigene Daten aktiv ins Internet rausfunkt, ist so ein leicht zu enttarnendes Bauteil.

Natürlich besteht auch die Gefahr, dass so ein Bauteil ganz plötzlich durch Updates kommt, bevor man eben darauf reagieren könnte. Das ist realistisch. Aber das würde wie gesagt auch früher oder später entdeckt werden.
Windows Updates werden nämlich gerne von Hackern nach den Sicherheitslücken untersucht, die es stopft, damit man noch ungepatchte Systeme angreifen kann.
Bei Open-Source Software ist es sogar noch leichter. Da werden die Lücken ja ganz öffentlich und sichtbar gepatched (geht ja nicht anders). Damit sind Systeme, die nicht sofort nachrüsten, auch verwundbar.

[YoungLover]

Nur weil bis jetzt nicht bekannt ist, dass die irgendwelchen Blödsinn in Windows einbauen heißt das nicht, dass die das nicht gemacht haben.

Windows, bzw. Outlook, hilft der NSA die Verschlüsselung von E-Mail zu umgehen. Und es wird sogar behauptet, dass die NSA direkt bei Intel/AMD Hintertüren in CPU eingebaut hat, um an Dateien vor der Verschlüsslung zu gelangen. Wie das genau funktioniert, weiss ich nicht.

Eigentlich ist es bekannt, dass Windows da gerne mithilft...

Quelloffen heißt dass jeder sich den Code ganz einfach anschauen und somit Hintertüren finden kann.

Aber nur wenn dann ein Hintertürchen entdeckt wurde, heisst es nicht, das die User darauf reagieren. Ich meine, es ist ja bekannt, dass Google Passwörter und die MAC-Adressen von Wi-Fi Routern speichert. Und die Benutzer nutzen Android immer noch. Mann weiss auch, dass BlackBerry E-Mail Passwörter nach Inden versendet. Und einige Benutzer nutzen BlackBerry immer noch (???). Apple speichert angeblich jeden eingegebenen Text und liefert auch die GPS-Koordinaten mit. Und die User nutzen das iPhone & co. immer noch.

Böse Zungen sagen das die NSA bei der Programmierung von Linux mitgeholfen hat. Sprich - im Linux Quellcode befinden sich NSA-Zeilen. Und dann wollen sie einem beibringen, wie man sein Linux System optimal konfigurieren sollte; Guide to the Secure Configuration of Red Hat Enterprise Linux 5 --> http://www.nsa.gov/ia/_files/os/redhat/ ... e-i731.pdf

BTW. sind die Amis da nicht die einzigen. UK, Deutschland und China (schon seit längerem) machen da auch fleissig mit.

All diese Gerüchte. Ich weiss nicht mehr, was ich glauben soll...

[Ovid]

Windows, bzw. Outlook, hilft der NSA die Verschlüsselung von E-Mail zu umgehen. Und es wird sogar behauptet, dass die NSA direkt bei Intel/AMD Hintertüren in CPU eingebaut hat, um an Dateien vor der Verschlüsslung zu gelangen. Wie das genau funktioniert, weiss ich nicht.

Ja. Was bei meinen Beiträgen vlt. nicht ganz deutlich wurde: Sicherlich sollte man den windows-eigenen-kryptographie-Diensten nicht vertrauen und vor allem auch nicht darauf vertrauen, dass externe Angebote wie Outlook.com sicher sind.

Und beim Surfen sollte man auch nicht den von Windows installierten Zertifikaten vertrauen [1] und zum Beispiel lieber Firefox benutzen als den Internet Explorer. (War übrigens schon ein länger bekanntes Problem. Jeder Windows-Admin kennt diese Richtlinie im Gruppenrichtlinien-Editor; nur eben aufgewärmt für Prism und Co.)

Aber es ging ja die ganze Zeit darum ob Windows absichtlich eine Drittsoftware (wie z.B. Truecrypt) ausspioniert und Schlüssel davon wegsendet.
Wenn man sich das mal überlegt, handelt es sich schon um ein ganz anderes Kaliber als schwache Kryptographie, eigene Zweit-Schlüssel, zentrale Verwaltung und die Möglichkeit zum Nachladen von Wurzel-Zertifikaten, oder Hintertüren in externen Internetangeboten.

[1] http://www.heise.de/security/meldung/Wi ... 25115.html

[YoungLover]

ob Windows absichtlich eine Drittsoftware (wie z.B. Truecrypt) ausspioniert und Schlüssel davon wegsendet.

Nicht direkt:
__

Did NSA Put a Secret Backdoor in New Encryption Standard?

Random numbers are critical for cryptography: for encryption keys, random authentication challenges, initialization vectors, nonces, key-agreement schemes, generating prime numbers and so on. Break the random-number generator, and most of the time you break the entire security system. Which is why you should worry about a new random-number standard that includes an algorithm that is slow, badly designed and just might contain a backdoor for the National Security Agency.

.... that the algorithm contains a weakness that can only be described a backdoor.

__

http://www.wired.com/politics/security/ ... tters_1115 (von Bruce Schneier)

(Falls es dich interessiert und du Englisch kannst.)

[Ovid]

Did NSA Put a Secret Backdoor in New Encryption Standard?

Und die Antwort darauf wäre also: Nein! Bzw. gibt es keine Hinweise dafür.
Es kommt auf die Implementationen an!
Gute Implementationen haben auch einen guten Random Number Generator. TrueCrypt löst dieses Problem mit zufälligen Mausbewegungen der User.

Der Encryption Standard selbst hat laut Bruce Schneier also keinen Backdoor. Nur verschiedene Implementationen mit absichtlich schlechten RNGs.

[Scott James]

Das passt zwar nicht zu dieser Diskussion, aber ich versuch es trotzdem

Also, ich hab ein wenig mit TC herumprobiert, andere Programme inst- und deinstalliert und jezt fährt mein PC nicht mehr hoch. Das ist nicht wirklich tragisch, da nur wenige Daten auf der HDD drauf sind, trotzdem hätte ich sie gerne wieder.

Ich hab schon versucht mit Windows zu reparieren, aber Windows bircht dann ab. Die HDD wird auch als ext. HDD nicht erkannt. Ist übrigens eine vollverschlüsselung, also die ganze Partition. Vermutlich fragt mich der PC deshalb ob ich die HDD formatieren will

Nunja, fällt euch noch irgendetwas ein? Die DVD die ich erstellen musste vorm verschlüsseln, die ist kaputt, jedenfalls kann nicht davon gelesen werden.

Was kann ich noch tun


Aja noch etwas, ich war mit Arbeit eingedeckt, deswegen war ich so lange off.


So ich hoffe ihr habt einige Ideen?!