LonesomeCoder hat geschrieben: ↑12 Jan 2018 15:06
Ka, wie das ggf. machen würden, vllt. haben sie schon Quantencomputer.
Bevor man so etwas mutmaßt, sollte man sich aufzuschlauen versuchen.
Quantencomputer sind noch hochgradig experimentell und in ihrer Funktionsweise daher so instabil, daß ein produktiver Einsatz noch gar nicht möglich ist.
Auch die NSA kann nur beziehen und einsetzen, was die Industrie liefern kann. Die NSA hat weder ein Way-Above-Top-Secret-Forschungslabor für eigene entsprechend topgeheime Computerhardware, die dem, was selbst Forschungsinstitutionen und professionelle Gamer in ihren Maschinen haben, um Jahrzehnte voraus ist, noch eigene Produktionsanlagen, um solche Hardware entsprechend hochgeheim selbst zu produzieren, noch dürfte es ihnen möglich sein, die Rohstoffe für die Produktion (darunter Seltene Erden in Rohform) komplett unbemerkt in besagte Produktionsanlagen zu schmuggeln. Das sind weder Zauberer noch Außerirdische noch Götter.
Und selbst wenn sie aus irgendeinem Grunde schon einen – wie ich schon schrieb, experimentellen, instabilen und unzuverlässigen – Quantencomputer hätten: Der aktuelle Stand der Technik bei Quantencomputern reduziert auch nicht die Rechenzeit von Jahrtausenden, die normale Supercomputer mit abertausenden CPUs bräuchten, auf Echtzeit. Für das Knacken eines 2048-Bit-RSA-Schlüssels bräuchte selbst der beste heute einigermaßen funktionsfähige Quantencomputer meines Wissens Tage, wenn nicht Wochen. Für das Knacken
eines (1) Schlüssels. Das sollte dann auch bitteschön der von Julian Assange, Edward Snowden oder Wladimir Putin sein, sonst lohnt sich der zeitliche Aufwand nicht.
Für Massenüberwachung, also das komplette Unbrauchbarmachen von OpenPGP, wären selbst mehrere Stunden pro Schlüssel zu lang: Es sind einfach zuviele Schlüssel, und sie müssen
alle einzeln geknackt werden. Wir reden von abertausenden Schlüsseln, die immer mehr werden. Ich wage zu behaupten, für jeden Schlüssel, den die NSA in diesem hypothetischen Szenario entschlüsselt bekommt, kommt mindestens ein neuer dazu.
Das, wohlgemerkt, geht auch nur, wenn die verschlüsselte Datei auf dem zum Knacken verwendeten Computer selbst liegt. Nicht jede Verschlüsselung läßt sich aber so knacken. Gewisse Verschlüsselungen müssen an der Maschine vor Ort geknackt werden, die dafür auch nicht abgebaut und in die USA gebracht werden kann. Das muß also übers Netz erfolgen – will sagen, über ein Transozeankabel. Und um die Bandbreite aufzubringen, die es bräuchte, um in annehmbarer Zeit einen Schlüssel per Brute Force zu knacken, der auf einem Rechner in Europa oder Asien liegt, kannst du alle vier Röhren des Elbtunnels plus die beiden des Alten Elbtunnels bis in den letzten Winkel mit Glasfasern vollstopfen, es würde nicht reichen.
LonesomeCoder hat geschrieben: ↑12 Jan 2018 15:06
Mathematisch mag es sicher sein, aber das Problem sind (bewusste) Fehler in der Implementierung. Heartbleed und Shellshock war in OpenSource-Software.
Die wurden aber auch schnell entdeckt und schnell ausgemerzt. Und wenn es irgendwo nicht schnell ging, dann aufgrund der Faulheit einiger Webmaster, oder weil Websites überhaupt niemanden mehr haben, der sich um sie kümmert (verwaistes Projekt; Mittelstands-Firmenwebsite, die einmal von einem gekauften Webentwickler eingerichtet und seither nie wieder angefaßt wurde, weil die Firmen-IT nichts davon versteht und/oder das Paßwort des http-Users auf dem Webserver nicht hat und/oder mit „wichtigeren“ Dingen ausgelastet wird, weil die Geschäftsführung die Wichtigkeit des Aktuellhaltens des Webcode nicht interessiert).
LonesomeCoder hat geschrieben: ↑12 Jan 2018 15:06
"OpenSource = automatisch sicher und keine Backdoors" und "ClosedSource = automatisch unsicher und mit Backdoors" ist zu einfach (der Tendenz stimme ich aber zu), beides ist von Menschen geschriebene Software. Fehler oder Backdoors, die kaum wer als solche erkennt oder als Bug/Schlamperei einstuft, kann es überall geben.
Backdoors gibt es in Software, die von den Mächtigen als unbequem angesehen wird, aber nicht vom allerersten Git-Commit, von der allerersten Alpha-Version an. Die kommen irgendwann in die Software hinein, wenn die Mächtigen darin eine Backdoor benötigen.
Und sie sind einfacher zu finden, als du glaubst.
- Jemand stellt fest, daß etwas unerwartet nach Hause telefoniert.
- Durch gezieltes Abwürgen von Prozessen bzw. Testen in einer VM stellt er fest: Das aktuelle GnuPG 2.2.4 tut das.
- Mittels Wireshark wird ermittelt, wohin GnuPG telefoniert. Unabhängig davon, ob das erkennbar ist, wird gehandelt:
- Quellcode von GnuPG 2.2.4 herunterladen.
- Quellcode von GnuPG 2.2.3 herunterladen.
- diff <Quellcode von GnuPG 2.2.3> <Quellcode von GnuPG 2.2.4>. Schon hat er die Unterschiede zur letzten Version. Die hat noch nicht nach Hause telefoniert.
- Er portiert an den Stellen, wo die Backdoor sitzt, den Quellcode von GnuPG 2.2.3 hoch zu GnuPG 2.2.4, kompiliert das Ganze neu und hat selbst eine GnuPG-Version ohne Backdoor. Aus der Änderung macht er einen Patch.
- Meldung an die Entwickler von GnuPG, die Entwickler von Gpg4Win, die Maintainer aller wichtigen GNU/Linux-Distributionen sowie entsprechende News-Outlets (im englischsprachigen Raum z. B. Slashdot, im deutschsprachigen z. B. Heise). Patch wird im Klartext beigefügt.
- Debian wird umgehend die testing/unstable-Version von GnuPG von 2.2.4-1 auf 2.2.4-2 hochziehen und darin diesen Patch einbauen. stable ist nicht betroffen. Andere Distributionen verfahren ähnlich.
Das heißt, es ist sogar sehr wahrscheinlich, daß so eine Backdoor direkt von einem GNU/Linux-Distributor entdeckt wird. Distributionen, die keine Rolling Releases sind, ziehen nämlich auch Anwendungsprogramme nicht ständig zur neuesten Version hoch. Außerdem verbreitet meines Wissens keine einzige Distribution quelloffene Software in Form der vom Software-Entwickler gebauten Binaries, sondern sie kompilieren all diese Software selbst.
So ist es bei Debian so, daß GnuPG, um bei diesem Beispiel zu bleiben, in seinen
stable-Quellen noch Version 2.1.18 hat und Version 2.2.4 nur in den
testing- und
unstable-Quellen zu finden ist. Allerdings ist diese 2.1.18 vom Quellcode her nicht mehr identisch mit der 2.1.18, die einst von den GnuPG-Leuten selbst kam. Debian hat nämlich diverse Bugfixes und Patches aus neuen Version nach 2.1.18 zurückportiert, ohne aber neue Features oder radikalere Änderungen zu übernehmen.
Alles, was auf dem Weg von GnuPG 2.1.18-1 nach GnuPG 2.1.18-8~deb9u1 eingeflossen ist, unterlag natürlich einem Review-Prozeß und wurde nicht einfach blindlings eingebaut. Jedes einzelne Patch wurde genauestens reviewt und dann getestet, und erst dann rollte die neue Version aus.
Hätte die NSA irgendwan zwischen 2.1.18 und 2.2.4 in GnuPG eine Backdoor eingebaut – die Debian-Maintainer hätten sie gefunden, in ihre Versionen
nicht eingebaut und dafür gesorgt, daß sie überall sonst ausgemerzt wird.
Gesetzt den Fall, die Entwickler von GnuPG hätten – aufgrund einer Gag Order seitens der NSA – nicht reagiert oder die Existenz einer Backdoor sogar bestritten, hätte die Debian Foundation von GnuPG kurzerhand einen Fork von GnuPG erstellt, in dem die Backdoor nicht mehr vorkommt, ihn z. B. NewPG oder LibrePG genannt, in den eigenen
testing- und
unstable-Quellen damit GnuPG ersetzt und diesen Fork in Quellcode-Form auch an alle anderen Distributionen und das Gpg4Win-Team weitergereicht. GnuPG wäre als unsicher gebrandmarkt gewesen, hätte rapide User an NewPG/LibrePG/was-auch-immer verloren und hätte einpacken können.
Xanopos hat geschrieben: ↑12 Jan 2018 15:26
Le Chiffre Zéro hat geschrieben: ↑12 Jan 2018 14:57
Und das „Bilder und Videos versenden“: Hast du denn alle Nutzungsrechte an allen Bildern und Videos, die du über WhatsApp versendest? Das setzt WhatsApp nämlich in seinen Nutzungsbedingungen voraus.
Ach so, steht das dort? Es gibt dazu auch gegenteilige
Meinungen.
Lesen und versuchen zu verstehen:
WhatsApp hat bereits in den AGB´s unfassbare Klauseln. So erklärt man mit der Nutzung von WhatsApp pauschal, dass man die Rechte (Urheberrechte!) an allen übersandten Inhalten (Bilder) besitzt. Diese tritt man zwar nicht ab, aber man gestattet als Urheber WhatsApp die vollständige (auch gewerbliche) Nutzung der übersandten Bilder!!!! Bei Verletzung von Urheberrechten (Ihr habt z.B. trotz Fotografierverbot in einem Museum ein Selfie von Euch gemacht und im Hintergrund ist die "Mona Lisa" zu sehen. Ihr habt sodann Urheberrechte verletzt, wenn Ihr das Foto verbreitet) haftet IHR! Wenn also WhatsApp auf die Idee käme ein versendetes Bild von Euch kommerziell nutzen zu wollen und nutzt die erkennbare Mona Lisa, würdet IHR haften, da Ihr WhatsApp ja zuvor erklärt habt, dass Ihr die Rechte daran habt!!!! Im Extremfall DÜRFTE WhatsApp das süße Bikinifoto Eurer 5jährigen Tochter aus dem tollen Strandurlaub nutzen, um kommerziell eine bestimmte Interessengruppe von Konsumenten zu bewerben... Das sind dann die "Partnerunternehmen", denen man auch den Zugriff erlaubt hat.
Wichtigste Passage, falls tl;dr:
[…]man gestattet als Urheber WhatsApp die vollständige (auch gewerbliche) Nutzung der übersandten Bilder!!!! Bei Verletzung von Urheberrechten (Ihr habt z.B. trotz Fotografierverbot in einem Museum ein Selfie von Euch gemacht und im Hintergrund ist die "Mona Lisa" zu sehen. Ihr habt sodann Urheberrechte verletzt, wenn Ihr das Foto verbreitet) haftet IHR! Wenn also WhatsApp auf die Idee käme ein versendetes Bild von Euch kommerziell nutzen zu wollen und nutzt die erkennbare Mona Lisa, würdet IHR haften, da Ihr WhatsApp ja zuvor erklärt habt, dass Ihr die Rechte daran habt!!!![…]
Xanopos hat geschrieben: ↑12 Jan 2018 15:26
Und ist bisher auch nur ein Fall bekannt, wo WA private Bilder weiter verbreitet hat? Eben nicht.
Es muß nicht immer erst der Worst Case eintreten.
Außerdem: Weißt du genau, wann WhatsApp wo was für Bilder aus was für Quellen wo in der Werbung verwendet hat? Okay, als Hardcore-Fan wird man es möglicherweise ganz genau wissen.
Noch etwas aus dem verlinkten Kommentar:
Nach derzeitiger Rechtslage in Deutschland ist die unautorisierte Weitergabe einer Telefonnummer ein Verstoß gegen geltendes Datenschutzrecht! Wer also eine Gruppe bildet und anderen Mitgliedern der Gruppe ggf. bis dahin unbekannte Rufnummern ohne VORHERIGE Nachfrage UND Zustimmung beim Eigentümer weiterleitet, macht sich strafbar! Fakt! Derzeit sind mir jedoch keine Klageverfahren in Deutschland bekannt.
Letzterer Satz ist nicht mehr aktuell:
Kontakte sind keine Privatsache – Wer die Daten seiner Freunde an WhatsApp weitergibt, begeht ein Delikt, urteilt ein deutsches Gericht. Anklage, Prozeß,
Urteil, und zwar zu Ungunsten des WhatsApp-Nutzers. Für die Entscheidung gab es sogar
eine Auszeichnung.
← Das da sind keine Klaviertasten. Es sind Synthesizertasten. Doch, da gibt es Unterschiede.
Ich kann es euch erklären. Ich kann es aber nicht für euch verstehen. Das müßt ihr schon selbst tun.
INTJ nach Myers-Briggs