Beiträge: 1.579
Themen: 74
Thanks Received: 859 in 365 posts
Thanks Given: 428
Registriert seit: May 2013
18.02.2021, 00:46
(Dieser Beitrag wurde zuletzt bearbeitet: 18.02.2021, 01:09 von Mareta Dagostino.)
@Bartholomew: Hast du zu Solarwinds was konkretes? Nach dem, was Google so rauswirft, kann das irgendwie alles gewesen sein. Ein Mitarbeiter könnte mit dem geheimen Schlüssel fahrlässig umgegangen sein. Das Buildsystem der Firma könnte gehackt gewesen sein (der Supergau für eine Softwarefirma). Selbst Sicherheitslücken in der vertriebenen Software wurden diskutiert, wo ein Angreifer den Schlüsseltest hätte kompromittieren können.
Edit: Hier (englisch) ist eine Analyse, wonach wohl das Buildsystem des Herstellers kompromittiert wurde. Wenn der Originalcode schon verseucht ist, kann der Hersteller das danach signieren bis der Arzt kommt - dadurch wird es auch nicht mehr besser. Supergau.
Beiträge: 256
Themen: 15
Thanks Received: 47 in 32 posts
Thanks Given: 5
Registriert seit: Jun 2015
18.02.2021, 10:42
(Dieser Beitrag wurde zuletzt bearbeitet: 18.02.2021, 10:43 von ska skaduwee.)
(18.02.2021, 00:31)Mareta Dagostino schrieb: ... musst du erst eine Geschäftsbeziehung mit Microsoft aufnehmen und Bedingungen erfüllen ...
du meinst so was in der liga Crypto AG? ( euronews , stern ) wir sollten hier mal definitionen für alle die nicht ganz tief in diesem sumpf geschaut haben geben, lvl5 cyberkriminelle -> die stasis dieser welt, terrorist -> jeder nicht arschkriechende untertan der nicht ganz tief im arsch der regime steckt
diese Signatur ist in deinem Land nicht verfügbar :-P
Beiträge: 1.579
Themen: 74
Thanks Received: 859 in 365 posts
Thanks Given: 428
Registriert seit: May 2013
Beiden Firmen hatten selber schon kompromittierten Code veröffentlicht. Da war kein technischer Mangel, der irgendwas mit Linux-Sicherheit oder Signaturen zu tun hat. Deshalb tue ich mich jetzt leider etwas schwer, da adäquat zu antworten.
Größere Firmen haben speziell gesicherte Buildsysteme, wo aus dem Quellcode die Referenz des Binärprogramms gebaut wird. Nur dieser Referenzcode wird signiert und nicht, was einzelne Entwickler vielleicht auf ihren Rechnern zum Ausprobieren bauen. Bei Solarwinds wurde dieses Buildsystem gehackt, so dass schon der Originalcode kompromittiert war.
Die Crypto AG hatte Sicherheitssoftware mit Hintertüren verkauft. Auch dort war bereits der Originalcode kompromittiert, hier sogar mit voller Absicht.
-------------
Ein anderes Problem im Zusammenhang mit Signaturen sind die Firmen, die Root-Zertifikate herausgeben. In einer globalisierten Wirtschaft können wir meistens keinen sicheren zweiten Weg herstellen, um die Echtheit eines Zertifikats festzustellen.
Heile Welt: Ich mache ein Programm, signiere es und gebe es meinem Freund. Wir treffen und in einer Kneipe und da überreiche ich einen Zettel mit dem Fingerprint von meiner Signatur.
Realität: Ich kaufe eine Signatur bei einer Firma. Die stützt sich auf bestimmte Sicherheitsfirmen ab, die Root-Zertifikate verwalten und von der Industrie als vertrauenswürdig angenommen werden. Die Computer meiner vielen unbekannten Kunden fragen nun eine dieser bekannten Signaturstellen, ob die Siganatur echt ist oder nicht.
Wenn man sich nun die Liste der Vergabestellen von Root-Signaturen anschaut, wird einem schlecht. Entsprechend können Staaten oder auch manche Konzerne eigentlich alles als echte Signatur bestätigen. Wer also eine Signatur braucht, die auch vor staatlich motivierter Kompromittierung schützt, muss selber eine eigene Signatur und einen sicheren Weg zur Prüfung etablieren, siehe "heile Welt".
Beiträge: 413
Themen: 17
Thanks Received: 237 in 121 posts
Thanks Given: 862
Registriert seit: Sep 2017
Nettes Thema in Anbetracht, dass wir in der Schweiz am 7. März über das "Bundesgesetz über elektronische Identifizierungsdienste (E-ID-Gesetz)" abstimmen dürfen.
Dabei geht es insbesondere darum, wie Personen im Internet mit der E-ID eindeutig identifiziert werden, damit sie Waren oder Dienstleistungen einfach und sicher bestellen können.
Das kritische daran ist, dass der Bund zwar die Identität der Antrag stellenden Person überprüft und grünes Licht gib, die Zertifikate aber nebst Gemeinden und Kantonen auch durch Private ausgestellt werden können.
Ich finde diese Situation in verschiedener Hinsicht ziemlich kritisch und werde das Gesetz auf jeden Fall ablehnen. Zum einen sehe ich eine Gefahr darin, dass Private mitmischen. Meine persönlichen Daten auf höchster Ebene haben bei einem privaten Anbieter nichts verloren. Zum andern sehe ich die Gefahr kommen, dass man sich in Zukunft identifizieren muss um überhaupt noch beliefert zu werden. Da spielt es dann bald keine Rolle mehr, ob die Beantragung einer E-ID freiwillig ist oder nicht. Ich könnte die Liste der Fragwürdigkeiten noch weiter fortsetzen.
Beiträge: 1.579
Themen: 74
Thanks Received: 859 in 365 posts
Thanks Given: 428
Registriert seit: May 2013
18.02.2021, 21:47
(Dieser Beitrag wurde zuletzt bearbeitet: 18.02.2021, 22:12 von Mareta Dagostino.)
Ja, das ist ärgerlich. Besonders skurril ist es auch in Deutschland, wo seit ca. 10 Jahren Personalausweise mit eID Option herausgegeben werden, seit einigen Jahren auch standardmäßig aktiviert. Statt sich also mit dem Perso zu identifizieren, werden diverse lustige Smartphone-Apps verschiedenster Emittenten verwendet, weil Smartphone ist ja so cool. Und da selbst nach Jahren außer ein paar Behörden fast niemand die eID Option zur Identifizierung anbietet, wird sie in der Öffentlichkeit auch nicht wahrgenommen.
https://www.wiwo.de/politik/deutschland/...21934.html
EDIT: Dieses Jahr wird ein neuer Anlauf versucht. Auch publikumswirksamere Behörden sollen ihre Verwaltungsprozesse so umstellen, dass Online mit eID ohne nachträgliches Einreichen eines unterschriebenen Zettels funktioniert. Und EU- oder EWR-Bürger ab 16 können amtliche Identitätskarten kaufen, wenn sie nicht Deutsche sind und keinen Personalausweis bekommen.
Beiträge: 1.310
Themen: 154
Thanks Received: 1.197 in 626 posts
Thanks Given: 852
Registriert seit: May 2020
Beiträge: 256
Themen: 15
Thanks Received: 47 in 32 posts
Thanks Given: 5
Registriert seit: Jun 2015
du sollst in zukunft deine persowanze und den führerschein auf die smartwanze spielen können heise . bis jetzt konntest du die pesowanze per app für win und macos + kartenleser benutzen oder mit wenigen smartwanzen per nfc. kaum jemand hat, solange es freiwillig war, die ausweisfunktion freigeschaltet. jetzt haben sie es ja verpflichtent gemacht (wie maschinenlesbares ausweisbild und von ihren grossen vorbildern bereits gehabt, fingerabdrücke, damit können die überwachungsbehörden automatisiert jeden ausschnüffeln). die amtshengste oder war es der schimmel wollen auch unbedungt ihern stempel auf totholz hämmern um ihre wichtigkeit klarzustellen, daher gab es auch keine behördenanwendungen dafür. das wichtigste lesegerät dür diese wanze ist auf alle fälle eine induktionsleseplatte, die erzeugt keine brandlöscher wie es der mikrowellenleser macht.
diese Signatur ist in deinem Land nicht verfügbar :-P
Beiträge: 167
Themen: 4
Thanks Received: 83 in 41 posts
Thanks Given: 2
Registriert seit: Jan 2014
(19.02.2021, 13:59)ska skaduwee schrieb: du sollst in zukunft deine persowanze und den führerschein auf die smartwanze spielen können heise . bis jetzt konntest du die pesowanze per app für win und macos + kartenleser benutzen oder mit wenigen smartwanzen per nfc. kaum jemand hat, solange es freiwillig war, die ausweisfunktion freigeschaltet. jetzt haben sie es ja verpflichtent gemacht (wie maschinenlesbares ausweisbild und von ihren grossen vorbildern bereits gehabt, fingerabdrücke, damit können die überwachungsbehörden automatisiert jeden ausschnüffeln). die amtshengste oder war es der schimmel wollen auch unbedungt ihern stempel auf totholz hämmern um ihre wichtigkeit klarzustellen, daher gab es auch keine behördenanwendungen dafür. das wichtigste lesegerät dür diese wanze ist auf alle fälle eine induktionsleseplatte, die erzeugt keine brandlöscher wie es der mikrowellenleser macht.
Meine güte, du musst mir mal deine Adresse geben. Dann wichtel ich dir zum nächsten Weihnachten einen Aluhut.
![[-]](https://www.gridtalk.de/images/collapse.png)
The following 1 user says Thank You to Gubbly for this post:1 user says Thank You to Gubbly for this post
• Anachron
Beiträge: 1.579
Themen: 74
Thanks Received: 859 in 365 posts
Thanks Given: 428
Registriert seit: May 2013
19.02.2021, 22:30
(Dieser Beitrag wurde zuletzt bearbeitet: 19.02.2021, 22:32 von Mareta Dagostino.)
Wer dem eigenen Staat misstraut, was ja in vielen Ecken der Welt durchaus berechtigt ist, muss (!) sich innerhalb der eigenen vertrauenswürdigen Gruppe selbst organisieren und auch sehr spezielle Maßnahmen treffen. Irgendeinen normalen Alltags-PC oder das Alltags-Smartphone mit drölfzig Apps jedenfalls kann man als Schutz vor Geheimdiensten knicken. Ist leider so.
Wer dem deutschen Staat traut, bekommt zumindest theoretisch mit der eID im Personalausweis (die man übrigens deaktivieren lassen kann) eine derart sichere ID-Kennung geschenkt, dass das meiste auf dem freien Markt gebräuchliche dagegen alt aussieht. Wer ein Lesegerät in der 150€ Klasse kauft, kann mit dem Perso bis zum Sicherheitslevel 4 elektronisch unterschreiben. Das reicht theoretisch für alle Geschäftsprozesse, die eine Normalbürgerin ohne Notar tätigen darf. Natürlich hat in der Praxis kaum jemand so ein Hochsicherheitslesegerät zu Hause rum stehen, die meisten machen ja sogar Online-Banking in Sicherheitsstufe 1 auf dem Smartphone. (Alles, wo man die Geheimzahl in Computer oder Smartphone eintippt anstelle in ein Extragerät, ist nur Level 1.)
Beiträge: 1.310
Themen: 154
Thanks Received: 1.197 in 626 posts
Thanks Given: 852
Registriert seit: May 2020
Also ich mache Online-Banking auf dem PC und nutze die Perso App.
Beides seit langer Zeit. Bezahlen mit dem Smartphone mache ich nicht weils mir zu unbequem ist.
Auch da nutze ich kontaktlos meine Karte.
Vielleicht bin ich einfach zu normal um in permanenter Panik zu leben das alle auf der Welt hinter mir her sind.
Man sollte nicht dem Verfolgungswahn verfallen. Mir langt es alle Aktivitäten selber zu kontrollieren damit fahre ich gut und werde das auch nicht ändern.
|
