Hadmut Danisch

Ansichten eines Informatikers

Anmerkungen zu “Crypto Dawn”

Hadmut
19.8.2015 2:07

Ein paar Anmerkungen zum Vortrag „Crypto Dawn – A To Do list for Cryptographic Research and Implementations” von Rüdiger Weis auf dem Chaos Communication Camp.

(Anmerkung: Ich habe an manchen Stellen leichte Probleme, den Vortragenden richtig zu verstehen, sowohl während des Vortrags, als auch im Video. Sollte ich irgendwo etwas falsch verstanden und niedergeschrieben haben, bitte ich um Hinweis.)

Mathematik

Ein erster Punkt, der mir aufgefallen ist, ist die Betonung, dass das alles Mathematik und Mathematik der Weg zum Erfolg wäre.

Natürlich ist das prinzipiell richtig, Kryptographie ist eine mathematische Disziplin, und Kryptographie und Kryptoanalyse beruhen auf mathematischen Methoden, ohne Mathematik geht’s nicht. Und es ist auch so, dass wir in Krypto-Mathe etwa gegenüber den USA weit im Rückstand sind.

Nur: Nach meinen Beobachtungen der letzten 15 Jahre besteht unser primäres Kryptoproblem nicht in der Mathematik, sondern in (für Laien und durchschnittliche Nutzer) zu komplizierter Software, zu inkompatibler Software, zu nischen-orientierter Software, mangelhaften Organisationsstrukturen (insbesondere schwacher X.509/SSL-Zertifikatsinfrastruktur), unzureichend geschützte Hardware, undichte Betriebssysteme und so weiter. Ein Fokus auf Mathematik ist zwar nicht direkt falsch, außerdem akademisch, aber es ist eine Art Blindheit vor den größten Sicherheitsproblemen.

Man muss sich dabei auch klarmachen, dass die Angriffssituation vor allem durch die USA bis in die neunziger Jahre darauf hinauslief, starke Kryptographie vorzuenthalten. Ende der neunziger Jahre gab es den Schwenk, seither sind die Endgeräte und die Software das primäre Angriffsziel. Und ohne sichere, integre Endsysteme hilft uns die ganze Mathematik nichts. Mathematik in der Kryptographie (und die Kryptograhie selbst) beruht darauf, dass die befugte Partei ein Geheimnis kennt und verarbeiten, das der Angreifer nicht kennt. Solange wir diese Trennung technisch nicht gewährleisten können, laufen mathematische Kryptomethoden leer.

If you use cryptography appropriately…

Ja. Das sagt sich so schön und einfach. Wenn meine Oma richtig fliegen würde, wäre sie ein Vogel.

Das ist aber genau ein zentraler Punkt: Kryptographie richtig verwenden. Wie oft hatten wir schon massive Schwächen in irgendwelchen Protokollen, die keine mathematischen Schwächen waren, sondern Fehler in der Nutzung von Kryptographie? Eben. Und das Problem ist eben, dass wir da praktisch nichts in Deutschland erzeugen, sondern einfach blind alles verwenden, was über den Teich herüberschwappt.

Und da lässt es sich auch nicht so einfach sagen, dass in einer so schönen Kryptowelt die Geheimdienste „wiretap everything and can read nothing”. Es erstaunt mich, wenn sowas von einem Kryptoforscher kommt. Denn bekanntlich sind die Geheimdienste nicht (nur) hinter den Inhalten her, die ohnehin nur mit viel Arbeitsaufwand, Rechenleistung, Speiche- und Übertragungskapazität zu bewältigen sind, sondern hinter den sogenannten „Meta-Daten” wie Adressinformationen. Und da ist es etwa bei E-Mail ziemlich wurscht, ob die Mail verschlüsselt ist oder nicht. Und da ändert auch eine bessere Mathematik erst mal gar nichts dran.

Wir müssen auf Protokollebene forschen.

„If you encrypt with RSA a message and send it out and it is wiretapped this communication they can only recognize very long very beautiful random.”

Das halte ich für unrichtig. Denn ein zentrales Ziel des geheimdienstlichen Abhörens besteht im Abgreifen von Metadaten wie Absender, Empfänger, Größe, Zeitpunkt und so weiter. Und das ist bei den heute verfügbaren Kommunikationsmethoden wie E-Mail, Facebook, Twitter und so weiter eben nicht geschützt. Es hilft nichts, wenn die Nachricht an sich verschlüsselt ist – egal ob mit RSA oder womit auch immer.

What are the social impacts in our work?

Sowas geht meistens schief und macht anfällig für Beeinflussung durch die, vor denen man sich schützen will. Kryptographie ist das Abwehren von Angreifern, nicht das soziale Wohltun.

„cryptographie helps people defend against very powerful attacker” … Jo, das ist mal schön gesagt. Gut, dass das mal einer erwähnt. Konnte das Publikum auf einer Veranstaltung wie dem CCCamp ja auch nicht wissen.

„To make it very clear: Even in our smart card, in our SIM, in our mobile phone, can encrypt, with a very simple algorithm, in a way that secret agencies cannot access to the communication.”

Äh, wie bitte!?

GSM A5 ist gebrochen. Mobil-Telefone fallen auf falsche Sendemasten und IMSI-Catcher herein. Geheimdienste brauchen die Verschlüsselung gar nicht zu brechen, weil es keine End-zu-End-Verschlüsselung ist und die Gespräche im Festnetz unverschlüsselt übertragen werden.

„To be very clear: crypto solves not every kind of problem.”

Jo. Is wohl so.

„So the main purpose is how to use crypto in an environment where secret agencies wiretap everything. And so my idea is to present some stuff which helps the weaker people to empower the confrontation with the secret agencies.”

Ich will jetzt nicht besserwisserisch erscheinen, aber wenn die Geheimdienste alles abhören, also auch was im Rechner läuft, kann man Kryptographie auch nicht verwenden, weil man dann kein Geheimnis mehr hat. Gehen wir also mal davon aus, dass er meinte, dass sie alle Kommunikation zwischen Parteien abhören. Sorry, wenn ich das mal so sage, aber: Ja, das war schon immer der Zweck von Kryptographie, sich vor einem Mithörer zu schützen, der mithört.

We should ban weak crypto

Is mal eine tolle Idee.

Als ich Kind war, ging der Spruch herum, dass man Hasen fängt, indem man ihnen Salz auf den Schwanz streut. Danach könnte man sie fangen. Man fragt sich, wieso der Hase stehen bleibt, wenn er Salz auf dem Schwanz hat. Der Witz daran: Wer es schafft, einem Hasen Salz auf den Schwanz zu streuen, für den ist es – egal ob mit oder ohne Salz – dann auch kein Problem mehr, ihn einzufangen. Es kommt nicht auf das Salz an, sondern auf die Fähigkeit, einem Hasen was auf den Schwanz streuen zu können, was die gegenüber dem Einfangen schwierigere Handlung ist.

So eine ähnliche Idee ist, Kommunikationssicherheit zu verbessern, indem man schwache Kryptographie verbietet.

Ja, wenn man es denn immer so genau wüsste, welche Verfahren schwach sind, dann hätten wir das Problem ja gar nicht. Das Problem ist ja, dass wir das nicht immer so genau wissen.

So sagt er, dass wir bei den Elliptischen Kurven ein großes Durcheinander, veranstaltet von der NIST haben. Das ist wohl wahr. Das ist aber nur möglich, weil wir hier auf der Seite des Teiches das nicht so genau wissen, was da gut und was da schlecht ist.

„If we don’t trust the organisation, which provides us the critical parameters, we are in deep problem.”

Das ist genau der springende Punkt: Wir müssen den Amis vertrauen, weil wir es nicht selbst auf die Reihe kriegen und nicht selbst wissen, was gut und was schlecht ist.

Wie aber sollen wir uns durch Verbote schlechter Kryptographie schützen, wenn wir das nicht selbst sagen können sondern davon abhängig sind, dass uns der Angreifer sagt, was sicher ist und was nicht?

„So elliptical curve is something where a lot of interesting research is going on. Nevertheless it’s a field where I have a lot of worries about.”

Wer hätte das gedacht. Wie gut, dass der Vortrag von einem Kryptoexperten und intimen Kenner gehalten wird.

How we can eliminate weak crypto algorithms from the last millenium from our daily protocols?

Na, ganz einfach: Wir erkennen die schwachen Verfahren als schwach, bauen selbst ein paar starke, und tauschen sie einfach aus. Wer meinen Sarkasmus erkennt, bekommt drei Gummipunkte.

Nächste Mal befassen wir uns dann mit der Frage, wie wir die schwachen Verfahren aus diesem Jahrtausend rauswerfen.

  • Banning RC4
  • Using AES256

Ja. Das ist natürlich immer toll, alte, kaputte Verfahren rauszuwerfen, und neue, glänzende Verfahren zu verwenden.

Fragt sich allerdings, woher genau man dann so weiß, dass AES256 nicht auch schwach ist. Ach ja, hat er ja gesagt: RC4 war ja aus dem letzten Jahrtausend.

Kleiner Schönheitsfehler: RC4 ist eine Stromchiffre, AES256 eine Blockchiffre. Es ist nicht ganz trivial und selbstverständlich, Stromchiffren durch Blockchiffren zu ersetzen.

SHA1 und MD5 gebrochen

SHA256 sollen wir stattdessen nehmen.

Tolle Sache, wenn man auf einem Camp-Vortrag erfährt, was eh schon lange bekannt ist. Woher man weiß, dass sha256 nicht auch gebrochen ist? Keine Ahnung. Muss man den Amerikanern eben mal so glauben.

Das ist allerdings so ein Punkt, an dem ich mir auch mal kryptographische Genauigkeit gewünscht hätte. Kryptographische Hash-Funktionen sind für gewöhnlich gebaut, um gegen zwei Angriffe standzuhalten: Zwei Nachrichten mit gleichem Hash zu finden und zu einem gegebenen Hash eine Nachricht zu finden. Kann man das, ist die Hash-Funktion unsicher, der Angreifer kann beispielsweise Signaturen fälschen.

In diesem Vortrag ging es allerdings um Vertraulichkeit. In Verschlüsselungen werden Hash-Verfahren aber – wenn überhaupt – anders eingesetzt, als in Signaturen. Wenn ein Angreifer ein Hash-Verfahren brechen kann, indem er eine der oben genannten Eigenschaften aufweicht, heißt das noch nicht, dass er auch die Weise angreifen kann, wie Hash-Funktionen in Verschlüsselungsprotokollen eingesetzt werden, etwa zur Schlüsselableitung von Kurzzeitschlüsseln aus einem Langzeitschlüssel.

Eine Hash-Funktion verkürzt auf eine feste Länge, kann deshalb keine injektive Abbildung sein. Selbst wenn man zu einem gegebenen Hashwert y=h(x) ein x’ finden kann, mit y=h(x’), die Hash-Funktion also gebrochen ist, heißt das noch lange nicht, dass x=x’ und es einfach ist, genau dieses x aus der Menge aller x zu finden, die auf y abgebildet werden. Oder zu einem y1=h(x,1) das y2=h(x,2) auszurechnen.

Kurz darauf erwähnt er auch, dass als ein Angriff in Betracht kommt, die Schlüsselzertifizierung anzugreifen, also Signaturen (und die Verschlüsselungen damit nur mittelbar, indem man falsche Schlüssel unterjubelt).

Ich will damit natürlich nicht sagen, dass man gebrochene Hash-Funktionen weiter verwenden sollte.

Ich will damit sagen, dass man verstehen muss, wie der Angriff funktioniert, und dass es nicht immer so selbstverständlich gut ist, von einer gebrochenen Sache blind nur neuen zu rennen, die man noch nicht kennt. Anders gesagt: Die Kenntnis einer Schwäche des Verfahrens a suggeriert zwar, dass ein Verfahren b, über das man nichts weiß, besser wäre, man weiß es aber eben nicht. Im Gegenteil: Weil es beim Verfahren a ein Fehler war, blind zu vertrauen, sollte man den Fehler bei b nicht wiederholen. Er sagt ja dann auch, dass sha256 von der NSA sei und er sich Sorgen mache.

Schön, dass es ja nun eine neue Hash-Funktion gibt, SHA-3. Verwenden wir also diese.

Äh, Moment mal. Hat irgendwer mal drauf geachtet, wieviel Aufwand es war und wie lange es gedauert hat, SHA-1 durch SHA-256 zu ersetzen? Wieviel – durchaus noch als aktuell und gepatcht geltende – Software noch unterwegs ist, die mit einem Zertifikat, das SHA-256 verwendet, nichts anfangen kann? Und der will mal eben so SHA-3 einsetzen? SHA-3 wurde am 5.8.2015 standardisiert, also nicht mal zwei Wochen vor dem Vortrag, und wir sollen da alle sofort drauf springen? Und es wurde von der NIST standardisiert. Der, der wir laut Weis bei elliptischen Kurven nicht trauen können. Aber schön, dass die SHA-3 standardisiert haben, das nehmen wir dann. Die NIST liefert uns faule ECC, aber die Hashs sind vom Feinsten. Da muss man schon differenzieren.

Could we provide a moral, philosophical and technical commitment to enforce and defend our liberties?

Au weia.

Wenn mir einer schon mit Moral und Philosophie daherkommt, dann krieg ich inzwischen zuviel, denn das läuft dann wieder voll auf Zeitgeist- und Mainstream-Geschwafel hinaus und bedeutet soviel wie: Ich lege willkürlich fest, was gut und richtig ist, und spare mir jede Begründung.

Richtig wäre es, erst einmal zu klären, welche Bürgerrechte man wem gegenüber zu haben glaubt. Das ist nämlich gar nicht so einfach. Welche Bürgerrechte haben wir gegenüber den Amerikanern? Eigentlich gar keine. Und warum sollen Bürgerrechte eigentlich immer wie selbstverständlich darauf hinauslaufen, dass wir geheime Kommunikation haben? Weil Bürgerrecht immer das ist, was wir gerade wollen?

Warum sind die sich so sicher, dass es nicht – gerade in Zeiten zunehmenden Terrorismus und zunehmender Bandenkriminalität – ein anderer als sein Bürgerrecht ansieht, dass der Staat ihn schützt und jede Kommunikation überwacht? Wenn man nämlich schon nit Schlabberbegriffen wie Moral und Philosophie daherkommt, muss man auch den Fall berücksichtigen, dass andere davon andere Vorstellungen haben.

Hört sich an wie: Moral heißt, dass wir immer Recht und alle anderen Unrecht haben. Kennt man ja. Heute muss man nur „Gerechtigkeit” oder „Bürgerrechte” oder sowas rufen, und der Mainstream gewinnt immer.

Fazit

Was’n lausiger Vortrag.

Und wegen sowas hockt man ne Woche in der Pampa und muss kalt duschen.

Unsere eigentliche Misere ist, dass man es vor 20 Jahren geschafft hat, die Krypto-Professoren mit „harmlosen” Leuten zu besetzen und die Guten aus den Universitäten zu schießen, und wir einfach keine brauchbare Kryptoforschung mehr zustandebringen. Hat auch der CCC jahrelang ignoriert oder belächelt, und jetzt jammert man darüber, wie blöd wir heute dastehen. Wäre unsere Kryptoforschung nicht kaltgestellt und unsere Universitätslandschaft auf Ideologie umgemodelt worden, würden wir heute nicht der NIST nachlaufen und müssten uns nicht von den Angreifern sagen lassen, welche Verfahren wir verwenden sollen.

20 Kommentare (RSS-Feed)

WikiMANNia
19.8.2015 3:46
Kommentarlink

Also für Otto und Gisela Normalo kann man sich Kryptographie und so’n Zeugs schenken, weil die mit Facebook und Payback-Karten lustvoll von sich aus all ihre Daten preisgeben.

Man müsste bei der Bewusstseinsebene anfangen, aber was geschieht? Schon den Kleinsten wird erstmal ein SmartPhone gekauft…

Abhören der Eltern über die Kleinen dürfte für NSA und Co. ein Klacks sein.


_Josh
19.8.2015 4:14
Kommentarlink

Ist beispielsweise Thomas Dullien aka Halvar Flake aka Lehrstuhl für Kryptologie und IT-Sicherheit an der Ruhr-Uni Bochum tatsächlich so eine ahnungslose Flasche?

Ernst gemeinte Frage, weil wir uns im Institut über ein Audit Gedanken machen, ud Dulliens Laden auf der Kandidatenliste steht.


Hadmut
19.8.2015 10:02
Kommentarlink

_Josh:

> Ist beispielsweise Thomas Dullien aka Halvar Flake aka Lehrstuhl für Kryptologie und IT-Sicherheit an der Ruhr-Uni Bochum tatsächlich so eine ahnungslose Flasche?

Kenn ich nicht. Soll ich jetzt jeden einzelnen Mitarbeiter und dessen Vita und Literaturliste kennen, um Aussagen treffen zu können?

Mir geht solche Rabulustik so auf den Wecker. Wenn jemand kein Argument bringt, sondern mit solchen „Gilt das auch für X” oder „Der X macht aber gute Sachen” daherkommt und eigentlich überhaupt nichts aussagt, sondern nur versucht, den anderen zu Aussagen über X zu provozieren. Wenn überhaupt keine Inhalte transportiert werden, sondern versucht wird, das Infragestellen der Autoritätenanbetung als Eklat, als Sakrileg zu provozieren.

Gleiche Technik wie bei den Soziologen und Philosophen. Immer wenn man die irgendwie kritisiert, kommt irgendeiner um die Ecke und behauptet, der Y sei aber ein schlaues Kerlchen.

Ich wünsche Dir mal, dass Du mal in einem Restaurant so richtig miserables, verdorbenes Essen bekommst, und Dir dann jemand sagt „Was beschwerst Du Dich? In Gütersloh gibt’s einen, der kocht richtig gut!”

Man kann die deutschen Fachbereiche, egal ob nun Soziologie, Philosophie oder Kryptographie, nicht danach beurteilen, ob es irgendwo irgendeinen gibt, der von irgendwem für besonders gut gehalten wird. Das generelle Niveau und die Gesamtleistung ist zu sehen. Und die sind in allen drei Fächern in Deutschland lausig.


Juergen Sprenger
19.8.2015 6:56
Kommentarlink

Und nichts über Seitenkanalangriffe und schwache Zufallszahlgeneratoren und was man dagegen tun kann? Mathematik ist nicht alles.


Joe
19.8.2015 9:26
Kommentarlink

Nach meinen Beobachtungen der letzten 15 Jahre besteht unser primäres Kryptoproblem nicht in der Mathematik, sondern in (für Laien und durchschnittliche Nutzer) zu komplizierter Software, zu inkompatibler Software, zu nischen-orientierter Software,

Nun ja die kryptographische Software zum Schutz vor Film-Schwarzsehern und gegen das Booten von Windows-Alternativen ist in Praxis hinreichend erfolgreich und gut verbreitet. Mir ist jedenfalls nicht bekannt, daß jemand schon ein TPM oder Secure Boot geknackt hätte. Oder daß AACS als Verfahren selbst erfolgreich angegriffen wurde (alle bisherigen Angriffe beruhen auf dem Diebstahl von Schlüsseln). Auch vom PayTV-Abgreifen hört man nichts mehr, das ist scheinbar sicher.

Man muß sich auch mal kurz klarmachen, von wem wofür Kryptographie im Massenmarkt hauptsächlich und erfolgreich eingesetzt wird. Es ist erbärmlich, daß die Open Source programmierenden Aluhut-Nerds wegen ihres Autismus nicht mal merken, wem sie da eigentlich zuarbeiten. Wie sie immer noch davon rumspinnen, die Alltagskommunikation vor dem Mitschneiden schützen zu wollen, während in der Realität Kryptographie die Massen von der Kontrolle über Geräte und Inhalte abschneidet.

Fazit: Privatsphäre für Oligarchen, Durchleuchtung für den Pöbel. Darauf läuft es hinaus. Mit kräftiger Mithilfe von Mathematikern. Wer kann denn bitte angesichts so einer Dystopie ernsthaft sichere Kryptographie fordern?


cm561
19.8.2015 10:31
Kommentarlink

Ein passender Blogeintrag von R.J. Lipton: https://rjlipton.wordpress.com/2015/08/14/cryptography-and-quicksand/

Die Frage ist, wie man sicherstellen kann, dass eine kryptographische Funktion korrekt implementiert wurde. Passend zum hiesigen Artikel wird dort auch folgendes gesagt: “Deep mathematics is great, but not necessary to make a great cryptographic system.” Das meiste ließe sich mit Mathematik auf High School-Niveau machen. Und außerdem: “while many of the provable methods he [Victor Shoup, um dessen Vortrag es geht] presented where fast enough to be practical, they were not used.”


asdf
19.8.2015 10:41
Kommentarlink

@Joe

Es ist erbärmlich, daß die Open Source programmierenden Aluhut-Nerds wegen ihres Autismus nicht mal merken, wem sie da eigentlich zuarbeiten.

Bitte “Autismus” oder “Autist” nicht als Schimpfwort, sondern lediglich als das medizinische Wort für Menschen mit dieser Entwicklungsstörung verwenden:

> https://quergedachtes.wordpress.com/2013/02/11/autismus-krieg-gefuhlskalte-und-die-psychopathen/

> https://quergedachtes.wordpress.com/2013/03/21/so-ein-bisschen-autismus/


Unerster
19.8.2015 12:58
Kommentarlink

Nach meiner Meinung ist das bestehende Mailsystem, Client-Server-Client, überholt und gehört abgeschafft. Viele Mailempfänger sind doch schon heute direkt erreichbar. Ohne Umweg über einem Server. Wenn AVM sich durchringen könnte in ihren Fritz-boxen Addons installieren zu können wäre das ein gewaltiger Schritt in die richtige Richtung.

Ich möchte jemanden eine Nachricht schicken und meine Software holt sich den öffentlichen Schlüssel, verschlüsselt alles und schickt die Nachricht ab.

Die Metadaten halten sich in einem Rahmen der vertretbar ist. Der öffentliche Schlüssel könnte ständig geändert werden sowie eine neue Antwortadresse (IPv6) mitgeliefert werden.

Es wird so kommen weil die DSL-Router immer Leistungsfähiger werden. Professoren von den Unis werden nicht gebraucht.


DrMichi
19.8.2015 13:31
Kommentarlink

Dann halt technokratischer Solipsismus der Technikerkaste.

Die jetzt wegautomatisiert wird.

So z.B. mit dem OnHub. Ekelhaft.


Bernd
19.8.2015 14:28
Kommentarlink

“Abhören der Eltern über die Kleinen dürfte für NSA und Co. ein Klacks sein.”

Das ging doch früher auch schon recht einfach, da hat man einfach nach der Farbe des Sandmännchens gefragt . . .


Gästle
19.8.2015 15:35
Kommentarlink

Der gemeine Windows 10 Nutzer wähnt dann seine Daten wirksam verschlüsselt und ahnt nicht einmal wer auf den Bitlocker-Schlüssel in der Micosoft-Klaut Zugriff hat. Also bei einem Unternehmen, das sich die Weitergabe der Daten vorbehält und sie ggfs. an US-Behörden herausgeben muss. http://derstandard.at/2000019972950/Windows-10-speichert-Keys-fuer-Festplattenverschluesselung-in-der-Cloud

Ein sicheres Emailsystem müsste vor allem die Identität von Sender und Empfänger verschleiern. Etwa indem die ordentlich verschlüsselten Nachrichten in einem P2P-System herumgereicht werden.
Perfekt muss das System nicht sein, es muss für die breite Masse attraktiv, d.h. vor allem leicht bedienbar sein und gleichzeitig den Aufwand für die Identifizierung einzelner Teilnehmer möglichst hoch halten.
Die Frage ist aber letzten Endes ob es überhaupt noch jemanden gibt, der so etwas gegen die zu erwartenden Widerstände entwickeln und am Markt durchsetzen kann.


Joe
19.8.2015 21:11
Kommentarlink

Der gemeine Windows 10 Nutzer wähnt dann seine Daten wirksam verschlüsselt und ahnt nicht einmal wer auf den Bitlocker-Schlüssel in der Micosoft-Klaut Zugriff hat. Also bei einem Unternehmen, das sich die Weitergabe der Daten vorbehält und sie ggfs. an US-Behörden herausgeben muss. http://derstandard.at/2000019972950/Windows-10-speichert-Keys-fuer-Festplattenverschluesselung-in-der-Cloud

Das nennt man übrigens “Key Escrow” und es ist ein uraltes Konzept aus der Gruft der US-Regierung frisch wiederauferstanden.
Es ist natürlich immer noch vollkommen lächerlich, den Schlüssel unter die Fußmatte zu legen (dann kann man sich das Abschließen auch schenken), aber die meinen es wirklich ernst.


Detlef Borchers
19.8.2015 22:27
Kommentarlink

Hadmut, wir haben ja auf dem CCC-Camp über den Vortrag geredet und in diesem Zeltsetting über all die Verschwörungstheorien, die in der Szene über die Tode von Dobbertin, Pfitzmann und Co. zirkulieren.

Weis ist ja einer der wenigen, die mit seiner Krypto-Arbeit nicht in einem Fraunhofer- o.ä.-Verbund stecken — auf der anderen Seite aber mit dem Cyrptophone-Krams verbunden sind. Ich sah in seinem Vortrag ein Sondieren der Möglichkeiten und Empfehleungen, nicht anders, wie dies die NSA in ihren Empfehlungen für Krypto-Schlüssel tut, die der Attacke von Quanten-Computern standhalten sollen, siehe

https://cryptome.org/2015/08/CNSS_Advisory_Memo_02-15.pdf


Hadmut
19.8.2015 23:24
Kommentarlink

@Detlef:

> Hadmut, wir haben ja auf dem CCC-Camp über den Vortrag geredet

Ja, aber ich hatte ja schon erwähnt, dass ich dort nicht so wirklich viel zu dem Vortrag sagen konnte, weil ich in dem dunklen Zelt, zudem irgendwie müde, Hitze und dann noch dieser komische Redestil von Weis, im Vortrag einfach eingepennt bin, und halt keine Kritik zu einem Vortrag äußern wollte, den ich teils verschlafen und teils vor Langeweile nicht mitbekommen hatte. Ich habe mir den daher als Video runtergeladen und zuhause nochmal angesehen. Ich finde den Vortragsstil immer noch gruselig, vor allem, weil der immer von links nach rechts und zurück rannte, so oszillierend. Ich wollte mich aber eigentlich gar nicht zum Stil, nur zum Inhalt äußern.

> Weis ist ja einer der wenigen, die mit seiner Krypto-Arbeit nicht in einem Fraunhofer- o.ä.-Verbund stecken

Ja, ich halte diese Korruptionsverbünde für sehr kritisch. Du weißt ja, dass ich mit Fraunhofer da so meine eigenen Erfahrungen gemacht habe.

Ändert aber nichts daran, dass ich den Vortrag – und nur um den geht’s hier – nicht gut fand, und vor allem unstrukturiert und etwas ziellos.

> in seinem Vortrag ein Sondieren der Möglichkeiten und Empfehleungen, nicht anders, wie dies die NSA in ihren Empfehlungen für Krypto-Schlüssel tut

Das ist genau der Punkt: Ich glaube nicht, dass man das in einem Vortrag sondieren kann. Man steht da ja alleine.

Man müsste das vorher als Teil seiner Arbeit sondieren, und könnte dann in einem Vortrag die Ergebnisse präsentieren. Mir kam das aber eher wie so ein “Ich weiß ja auch nicht so genau, und ich bin so besorgt” vor, und dafür muss man keinen Vortrag besuchen.

Zumal mir selbst eine ganze Reihe von wichtigen Maßnahmen einfallen würden, obwohl ich schon seit 1998 nicht mehr in der Forschung tätig bin. Da erwarte ich von einem Professor deutlich mehr als so ein Schwafeln ins Ungewisse und Wiedergeben von so ein paar Empfehlungen und Sorgen.


Buratino
20.8.2015 10:58
Kommentarlink

Recht hast Du. Schade.

Leider liegt seit der Selbstverstümmelung
Hürbine von Pleuselpinks die Kryptologie
im CCC nun vollständig am Boden… 🙁

https://groups.google.com/forum/?hl=de#!topic/de.alt.folklore.ddr/c1tYDAPGxa8


rleo
20.8.2015 16:51
Kommentarlink

@Unerster

Das mache ich schon lange, zumindest bei den Leuten, die ich am PC betreue.
Statt Mail, simple copy/paste, Dank an SSH, geht auch mit Windows.
Und die Fritzbox brauche ich nicht dazu.
Es ist immer Punkt zu Punkt, niemals über einen Vermittler, auch wenn es ‘nur’ eine Fritzbox ist.


buchstabensalat
21.8.2015 22:00
Kommentarlink

Ich fand die Vorträge von Rüdiger Weis auf dem 31C3 bereits lau. Übrigens gibt es inhaltlich einige Überschneidungen zwischen dem hier beschriebenen Vortrag und “Krypto für die Zukunft” vom besagten Chaos Communication Congress. Ich nehme an, dass die Mühlen der Kryptoforschung nicht so schnell mahlen?


fgzu
21.8.2015 23:20
Kommentarlink

bitcoin
ethereum
monero
https://en.wikipedia.org/wiki/Ethereum
dezentralisiert!


Anonymer Ameisenbär
23.8.2015 23:11
Kommentarlink

Bezüglich elliptischer Kurven:
Ich habe beruflich mit Leuten zu tun, die im Umfeld des ECC Brainpool (http://www.ecc-brainpool.org/, nicht mit Stefan Raab zu verwechseln) aktiv waren.

Das ist im Wesentlichen eine offene Arbeitsgruppe zu EC Krypto, die zwar die vorhandene Wissensbasis (zB NIST-Empfehlungen) berücksichtigt und auf der Basis weitergeforscht hat und auf dem ganzen aufbauend eigene Parameter definiert hat.

Die Ergebnisse der Gruppe kommen beispielsweise im Personalausweis zum Einsatz.

Der CCC (und Open Source allgemein) haben sich jahrelang nicht mit elliptischen Kurven beschäftigt, weil ja IBM-Patente im Weg waren – statt schon einmal zu forschen (was kein Problem mit Patenten darstellt) und zu den Ablauffristen etwas in der Hand zu haben, das verwendet werden kann.

Aber jetzt gibt es ja das neue heiße Zeug (Ed25519), und bei Brainpool sind die üblichen Bösewichte beteiligt (BSI, R+S, Siemens, T-Systems) und keiner von den “guten” (“aber die Patente!!!”), von daher wird das jetzt mit ähnlicher Verve kritisiert wie die NIST-Empfehlungen.

Aber nicht-amerikanische Forschung gibt es und gab es. (wenig überraschend ist Karlsruhe nicht präsent)


witok
27.8.2015 0:58
Kommentarlink

Da gab´s doch mal ein fit Bürschchen, TRON genannt.

Schade daß der nicht mehr mit diskutieren kann.