Re: Beugehaft vs. Passwort? - Urheberrecht: Weniger kopieren, mehr zah…
passwortWeil du sie nicht (alle) findest.
Viele Augen sehen mehr und so. Hast du dir mal die LKM angesehen? Da
sind ne ganze Reihe fähiger Leute drin, die derartiges sicher finden
würden. Oder willst du behaupten, die seien alle bestochen? Das ist
wohl recht weit hergeholt.
> Unwissenheit schützt vor Entschlüsselung nicht.
Sicher nicht. Nur weiß man bei OpenSource Lösungen bedeutend mehr als
bei ClosedSource Lösungen.
Es gibt auch noch ne Sache, die zu bedenken ist. Selbst wenn hohe
Bundesbehörden und Geheimdienste Nachschlüssel hätten. Meinst du
allen Ernstes, die würden das Vorhandensein eines solchen Mechanismus
für einen simplen Filesharer publik machen? Nicht wirklich oder? Die
Existenz dieser Waffe ist viel zu wertvoll als dass sie für sowas
offengelegt würde. Kurz drauf wäre die Lücke nämlich zu und aus ists
mit dem Generalschlüssel. Dies gilt zumindest für OpenSource
Software. Selbst wenn die NSA oder irgendwas in D-Land Linus
bestochen hätte, dann gäb’s halt jemanden in XYZ, der ausserhalb der
Reichweite Patches bereitstellt.
Ein dummer Fehler ist um Längen wahrscheinlicher als eine
entsprechende Backdoor in Linux oder anderen OpenSource Lösungen. Nur
vor Fehlern ist man nie sicher. Dann hat man eben Pech gehabt.
Deshalb aber gar nicht zu verschlüsseln ist wohl in jedem Fall die
unsicherere Variante, worum es auch immer geht.
Juli 21st, 2008 - Posted in Allgemein | | 0 Comments
Re: Beugehaft vs. Passwort? - Urheberrecht: Weniger kopieren, mehr zah…
> Ah, wieder so ein toller Linux-User !
> Du kennst also den gesamten Quelltext von Linux inkl. aller im Moment
> bei dir geladenen Module. Darüber hinaus den deines BIOS, deines
> HD-Kontrollers und was sonst noch so verbaut ist in deinem PC. Und da
> du ein unfehlbares Genie bist, welches eine Hintertür oder einen Bug
> niemals übersehen würde, bist du dir sicher, daß niemand auf deine
> (vermeintlich) verschlüsselten Daten zugreifen kann.
>
> Unwissenheit schützt vor Entschlüsselung nicht.
Gähn…
Zunächst musst du zwischen Fehler in der/den Implentierung(en) und
bewussten Hintertüren unterscheiden. Bewusste Hintertüren können mit
hoher Wahrscheinlichkeit ausgeschlossen werden, da sie selbst wenn
man selbst den Code nicht liest, dennoch eher früher als später für
ziemliches Gebrüll sorgen würden. Heise würde sicher etwas in der Art
wie “Linux Cryptoloopdevice mit Hintertür” titeln.
Im Bezug auf Fehler kann man davon ausgehen, dass viel mehr Leute den
Quelltext der Verschlüsselungsalgorithmen wirklich gelesen haben, als
das bei Closed Source der Fall ist. Gerade die Cryptogeschichten
ziehen Crypto-Freaks geradezu magisch an. Hier einen Fehler zu
finden, ist ruhmreich genug, dass sich daran versucht wird. Und auch
dann würde (unter anderem) Heise sicher darüber berichten.
Der Rest des Posts deutet schon ein wenig auf Paranoia hin. Wenn man
sich nicht irgendeine Malware gefangen hat, dann muss man nicht viel
weiter Checken als bis zur VFS Schicht. Was Harddisk Controller und
Bios nun damit zu tun haben sollen, kann ich wirklich nicht
nachvollziehen. Das Bios ist sicher nicht in der Lage, sämtliche
Eingaben, die man (und Programme) macht, irgendwo wegzuspeichern.
Ohne Kenntnisse der Implementierung ist also ein Ausspähen von
Passwörtern nicht wirklich drin. Selbst ein Kernelmodul wie Sebek,
das alle Tastendrücke loggen kann, würde auf die Dauer doch recht
viel Plattenplat verbraten oder früher oder später auffälligen
Netztraffic verursachen.
Wie man es auch drehen und wenden mag, die Aussage, dass
(verbreitete) offene Verschlüsselungsmechanismen sicherer sind als
geschlossene, wird dir jeder vernünftige Kryptoanalytiker bestätigen.
Das fängt beim Algorithmus an und hört bei der Implementierung auf.
Es ist jedenfalls deutlich schwerer, auf dauer Backdoors in frei
zugänglichem Code zu verstecken, als es im Fall von setup.exe Tools
ist.
Ich vermute mal, du spielst darauf an, dass man bei der Verwendung
von Kryptographie nicht paranoid genug sein kann und dass absolute
Sicherheit nicht möglich ist. Dennoch denke ich, dass die Verwendung
von (nicht bewusst mit Hintertüren ausgestatteten) Kryptotools unsere
normalen Ermittlungsbehörden locker bis weit hinter die
Verjährungsfrist beschäftigen kann, auch wenn die Verwendung von
Festplattenverschlüsselung bei den hier diskutierten Vergehen eh für
die Katz ist, wie ich schon geschrieben habe.
Juli 20th, 2008 - Posted in Allgemein | | 0 Comments
Re: Beugehaft vs. Passwort? - Urheberrecht: Weniger kopieren, mehr zah…
> Meine Festplatten sind 256 Bit verschlüsselt.
> Wenn jemand meint ich hätte “illegalerweise”
> MP3s auf meinem PC, Polizei transortiert die
> Kiste dann ab… wie siehts aus mit dem PW?
> Kann das erzwungen werden a la Beugehaft?
Nein.
Naja… wenn sie meinen du bist ein Terrorist und hast Informationen
ueber geplante Anschlaege auf deiner Platte, dann lege ich nicht
meine Hand ins Feuer, dass du auf deine Buergerrechte pochen
kannst… Sobald du zum Staatsfeind erklaerst wird (Terrorist, Spion,
etc.) und der Verfassungsschutz hinter dir her ist, hast du
vielleicht schlechte Karten :-/
Aber normalerweise musst du dich als Angeklagter nie selber belasten.
Nicht mal in den sonst so krassen USA: “Sie haben das Recht zu
Schweigen / die Aussage zu verweigern!” Betonung auf DAS RECHT. Also
du hast ausdruecklich ein Recht nichts zu sagen, in den USA ist das
der 5te Verfasssungszusatz, daher sagt man auch “pleading the 5th”
(was so viel heisst, wie von seinen Recht gebrauch zu machen, sich
nicht selber zu belasten vor Gericht). Und wenn du nichts sagen
musst, dann musst du auch nicht dein Passwort sagen 
Das gilt so
auch in Deutschland.
Ich meine, stell dir vor, du sagst du hast das Passwort vergessen und
sie stecken dich in Beugehaft… und du hast es aber WIRKLICH
vergessen! Dann sitzt du ein Leben lang weil du ein schlechtes
Gedaechnis hast 
Ich habe schon viele Dinge mit Passwort
verschluesselt und dann das Passwort vergessen. Erst vor kurzem habe
ich eine halbe Stunde rum probieren muessen um ein Passwort wieder zu
finden. Das liegt daran, dass meine Passwoerter immer locker ueber 20
Zeichen sind und so was kann man schon mal vergessen (wenn man es
nirgends aufschreibt, und wenn man es dann doch tut, dann ist es
witzlos, wenn jemand den Zettel findet).
Man darf sich nicht von den 256 Bit blenden lassen. Niemand wird
versuchen das ganze RAW zu cracken (also direkt alle 256 Bit
Kombinationen, weil das wuerde unendlich lange dauern), sondern eher
dein Passwort zu erraten.
Wenn dein Passwort z.B. nicht nur Buchstaben, sondern auch Zahlen und
Sonderzeichen enthaelt (also alles was so eine Tastatur hergibt),
dann gibt es vielleicht 127 verschiedene Zeichen (mal so grob
geschaetzt, a-z, A-Z, 0-9, Umlaute/scharfes S, Satzzeichen und so
Zeichen wie @, ~, | oder #). Wenn dein Passwort zwischen einen und 20
Zeichen lang ist, dann gibt es bis zu 1,2 * 10 ^ 42 Moeglichkeiten.
Ein Computer muesste dann 3.2 * 10 ^ 34 pro Sekunde schaffen um es
spaetestens innerhalb von einem Jahr zu knacken (statistisch immer
nach der halben Zeit, also nach einen halben Jahr). Das schafft nicht
mal der Earth Simulator (der hat nicht mal ein Promille der
benoetigten Rechenleistung) und wenn man ihn so lange mieten wuerde
wie noetig waere, dann wuerde das wahrscheinlich mehr kosten als alle
weltweit produzierten CDs seit der Geburt der CD zusammen wert sind.
Wenn du aber nur A-Z, a-z und Leerzeichen her nimmst und dein
Passwort max. 10 Zeichen ist, dann sind das nur 1,7 * 10 ^ 17
Moeglichkeiten. Dann hat man das Passwort spaetestens in einem Jahr
wenn der Computer 5.545.645.306 Moeglichkeiten pro Sekunde probieren
kann. Das liegt fuer einen Supercomputer schon in beinahe greifbarer
Reichweite (obwohl 5 Mrd. MD5/SHA1 Hashes in der Sekunde Blowfish
Entschluesselung der ersten paar Bytes ist doch ein bisschen haeftig,
oder? Schaft das ein Supercomputer?). Gut, die dt. Polizei hat kein
so Teil und kann sich auch nicht leisten eines zu mieten. Also kein
Problem.
Und wenn es nur a-z und Leerzeichen ist und max. 8 Zeichen, dann hat
man es bei 241.806 Moeglichkeiten pro Sekunde in spaetestens einem
Jahr. Das ist immer noch viel zu viel fuer die dt. Polizei.
Allerdings wenn sie nicht ganz dumm sind, dann gibt es
Moeglichkeiten, die sich nicht testen werden (z.B. mehrere
aufeinanderfolgende Leerzeichen, ich kenne niemand der so was in
seinem Passwort haette). Per Auschluss kann man oft >50% aller
Kombinationen von anfang an ausschliessen.
Wer alledings einene Namen als Passwort nimmt, einen Geburtstag oder
den Namen seiner Lieblingsspeise, der kann nicht wirklich von
sicherer Verschluesselung sprechen, weil das schaft auch ein normaler
Computer wenn er mal ein paar Naechte durcharbeiten darf. Dazu
braucht er nur entsprechende Wortlisten und einen Datumsgenerator,
hier kann er sicher >50 Woerter pro Sekunde testen und da man ja
immer ganze Woerter testet (oder kleine Saetze aus ganzen Woertern
baut), werden ja nicht alle Buchstabenkombinationen getestet, sondern
>99,99% aller Kombinationen fallen weg, weil sie keine sinnvollen
Woerter oder Saetze ergeben wuerden.
Juli 20th, 2008 - Posted in Allgemein | | 3 Kommentare
Re: Beugehaft vs. Passwort? - Urheberrecht: Weniger kopieren, mehr zah…
passwortensvetter :))) ]
> > Allerdings kannst Du davon ausgehen, daß Du den PC erst dann
> > zurückbekommst, wenn alle Daten gelesen werden konnten (also Unschuld
> > klar) und das wäre in diesem Fall wohl: NIE!
>
> Das liefe ja darauf raus, daß man seine Unschuld beweisen müßte, um
> nicht bestraft zu werden. Kann mir nicht vorstellen, daß das (heute
> schon :-/) bei uns rechtmäßig ist.
Im Grundsatz hast Du Recht:
Keine Strafe ohne Beweis - aber:
Bei Beschlagnahme, auch endgültiger Einziehung handelt es sich nicht
um Strafe, sondern um sog. “Nebenfolgen”.
Die Kiste bleibt also beschlagnahmt, möglicherweise sogar mit allen
was dran hing: Drucker, externe Laufwerke, Monitore, … bis hin zur
Mehrfachsteckdose und im Falle der Vernetzung evtl. auch alle anderen
Systeme im Netz! :((((
Typisch sind insbesondere solche Fälle, in denen die Verfahren gegen
(relativ geringe) Geldbußen eingestellt wurden, ohne das es zum
eigentlichen Urteil kommt.
Genau deshalb würde ich alles dransetzen, das die Jungs von der
Polizei alles zu sehen bekommen, was sie wollen, damit sie so schnell
wie möglioh ihren abschliessenden Bericht verfassen können!
CU….
Andreas
Juli 19th, 2008 - Posted in Allgemein | | 0 Comments
Re: Beugehaft vs. Passwort? - Urheberrecht: Weniger kopieren, mehr zah…
passwortch sind insbesondere solche Fälle, in denen die Verfahren gegen
> (relativ geringe) Geldbußen eingestellt wurden, ohne das es zum
> eigentlichen Urteil kommt.
ist das dann eigentlich rechtens? Kann man da nicht auf Herausgabe
der Hardware klagen? Schliesslich besteht kein Grund mehr, die HW
einzubehalten?
Ich mein, sonst kann ja jeder behaupten: Der hat illegales Zeugs auf
dem Rechner. Bullerei kommt, beschlagnahmt und man sieht die Hardware
trotz Unschuld nie wieder. Also dass das rechtens sein soll, kann ich
mir beim besten Willen nicht vorstellen. Damit würde man ja ggf. auch
Unschuldige bestrafen.
> Genau deshalb würde ich alles dransetzen, das die Jungs von der
> Polizei alles zu sehen bekommen, was sie wollen, damit sie so schnell
> wie möglioh ihren abschliessenden Bericht verfassen können!
Die kriegen alles zu sehen, was sie wollen. Nur muss man sie ja nicht
mit der Nase drauf stossen, dass da ggf. noch mehr ist, als sie
vermuten. *g*
afaik.
Juli 17th, 2008 - Posted in Allgemein | | 0 Comments
Re: Beugehaft vs. Passwort? - Urheberrecht: Weniger kopieren, mehr zah…
Hi!
> > Allerdings kannst Du davon ausgehen, daß Du den PC erst dann
> > zurückbekommst, wenn alle Daten gelesen werden konnten (also Unschuld
> > klar) und das wäre in diesem Fall wohl: NIE!
>
> jain. Es wird ein Sektorabbild von den Platten gemacht. Danach kannst
> Du i.d.R. Deinen Rechner wiederhaben, wenn er als solcher nicht mehr
> der Beweissicherung dient.
Ja, wenn Du an *kompetente* Ermittler gerätst. Das ist aber reine
Glückssache. Im Worst-Case wird alles kassiert, das gesamte Netzwerk
bis hin zur Mehrfachsteckdose. Auch eine Art ‘Image’ :-((
> Deswegen bringts auch nix da einfach zu löschen.
> Du müsstest schon sichere Löschverfahren anwenden und das
> dauert leider zu lange.
Da muß ich immer an die Mailboxzeit zurückdenken, als so Berichte von
“Durchsuchungen” kursierten, in denen die Ermittler ohne Norton
Commander hilflos waren und in ihrer Hilflosigkeit sogar
Urlaubsvideos vom 2-jährigen Töchterchen am Strand (”Kinderporno”)
sowie den überall im Buchhandel erhältlichen Sharewareführer
(”Werbung für Material”) mitnahmen. Leider ist viel zu viel möglich!
:(((
> kooperieren ja, offen legen nein. Wie ich schon andersowo schrieb:
> man sollte die verschlüsselte Partition gut verstecken.
Reines Vabanquespiel. Falls nun doch einer dabei ist, der es auf die
Reihe kriegt, die physikalische Plattengeometrie mit der Gesamtgrößße
der in der Partitionstabelle ausgewiesenen Daten zu vergleichen und
aufgrund der Unstimmigkeiten befindet, ein soooo “verdächtiger”
Rechner müßte komplett vom zuständigen LKA untersucht werden?
> Sollte das Versteck ausreichend sein und die Beamten können nix finden,
> dann lassen sie Dir die Hardware vielleicht sogar da.
Ja, WENN. Aber warum das Risiko eingehen. Oder ist tatsächlich was
illegales auf den Platten?
> > Verschlüsselt sind
> > bei mir ohnehin nur einige Passwortnotizen zu Accounts von mittlerer
> > Brisanz und ich gehe schon davon aus, das die Beamten diese nicht
> > mißbrauchen, zumindest nicht, bevor ich die Passworte geändert
> > habe… >
> nein, dass nicht. Aber dann hast Du das Problem, wenn Du kein
> dezentrales Backup hast, an all diese Infos zu kommen, solange Dein
> Rechner beschlagnahmt ist.
Na ja, ich sichere natürlich nicht nur auf andere Platten bzw.
Rechner, sondern hin und wieder auch auf Wechselmedien.
> Warum die Beamten also erst darauf stossen, dass da was verschlüsselt
> ist?
Natürlich nicht drauf stossen, aber für den Fall, daß sie von sich
aus eine PGP-Datei finden, werde ich diese natürlich sofort
entschlüsseln. Warum soll ich so tun, als hättet ich etwas zu
verbergen, obwohl das gar nicht der Fall ist? Davon hat wohl niemand
was.
> Wenn die spitz kriegen, dass Du Verschlüsselung verwendest, dann
> werden sie sich zu recht fragen, ob da nicht noch viel mehr
> verschlüsselt ist.
Wie gesagt, das läßt sich ja direkt klären. Die meisten Menschen, und
dazu zähle ich auch die Kripoleute, sind von Haus aus kooperativ.
> Bei mir liegen über die Platten verteilt nichtssagende Dateien
> (dotfiles im home, CORE, SWAPFILE, knoppix.iso, etc.), die ich nach
> Bedarf manuell via loopback mounten kann.
Hast Du nun tatsächlich “was”?
Ãœbrigens arbeiten die, wenn sie z.B. nach Raubkopien suchen, auch mit
Scanprogrammen, die natürlich auch in solchen Images von Filesystemen
fündig werden, sofern diese nicht komprimiert oder gar verschlüsselt
sind. Diese Suchprogramme können ja die Platten auch “raw” lesen, so
das sie selbst unter plain dos innerhalb Deiner ext2-, reiserfs- oder
sonstwas-Partitionen was aufspüren können. Ausserdem: Soweit ich
weiss, würden sich solche Images nicht mehr so ohne weiters mounten
lassen, was deren Gebrauchtswert im Alltag natürlich stark
einschränkt. Warum sowas auf sich nehmen, es sei denn, da liegen
tatsächlich “Leichen” im Keller?
> Entweder schaffst Du es, die Beamten davon zu überzeugen, dass
> wirklich nix auf Deinem Rechner drauf ist,
Das wäre mein primärer Ansatz.
> oder sie nehmen Deine
> Hardware so oder so mit.
Sekundärer Ansatz:
Teuer und ohne Anwalt geht dann wohl gar nichts.
CU…
Andreas
Juli 17th, 2008 - Posted in Allgemein | | 0 Comments
Re: Passwort Klau - Yahoo startet Web-Instant-Messenger
insteiger/passwort-flash-film-26899.html”>passwortsind all meine Bedenken weg. Womöglich glaubst Du auch ohne zu
> überlegen an die drohende Gefahr von Terrorattacken…
Ja glaub ich, allerdigns nur im Iran/k und die anderen Länder da
unten, und in den USA Ein Grundvertrauen zu Diensten sollte man schon haben, sonst ist man
im Netz irgendwie aufgeschmissen. Jede kleine Seite verlangt eine
Registrierung, die haben zu 95% dein PW im Klartext in der Datenbank.
Sie alle könnten damit Unfug machen. Das fängt an bei ICQ, geht über
StudiVZ, Stayfriends bis zu Web.de
Juli 17th, 2008 - Posted in Allgemein | | 0 Comments
Re: Oh Mann…. - Neuer E-Mail-Wurm kommt als Passwort-Kna…
> Seit gut einem Jahr gibts nen patch und die Pappnasen
> sind bis heute zu unfähig ihre systeme upzudaten.
>
> Da ist wirklich nicht Microsoft oder deren Software
> schuld, sondern Umschüler, die vom Handelsfachpacker
> in zwei Wochen zum NT-Admin “umgelernt” werden.
>
> Kaum zu glauben.
Wobei ich manchem Handelsfachpacker mehr Vertrauen schenken würde,
als den Helden der Administranz bei meinem alten Job, die mich aus
dem Urlaub holen, weil “kein Administrator mehr AS400-Zugriff auf
ihrem (meinem) Rechner hat”. Die Spacken hatten die niedlichen Icons
eben nur in Users/Meinereinerseins gelegt und nicht in All Users.
Und ich als Mac-User musste denen das dann erklären, obwohl ich von
Netzwerk Null Ahnung habe.
Davon ab, unterschätz mal die HafaPas nich, die packen unter anderem
auch Deinen Rechner in den Laster Gruss
Tyden
> Erick
Juli 16th, 2008 - Posted in Allgemein | | 0 Comments
Re: Oh Mann…. - Neuer E-Mail-Wurm kommt als Passwort-Kna…
passworte geistlosen Bemerkungen sollten eigentlich ignoriert werden …
> Naja…
> Vielleicht gibt es ja Handelsfachpacker oder, um ein anderes Beispiel
> zu nennen, Metzger, die sich seit ca. 17 Jahren intensiv mit allen
> Arten von Rechnern beschäftigen (href=”http://blogs.technet.com/deds/archive/2008/07/04/pcns-und-seine-t-cken.aspx”>das beinhaltet natürlich auch
> diverse Arten von Betriebssystemen) aber durch widrige Umstände erst
> vor ca. 3 Jahren die Chance für ihren Traumjob bekommen haben? Nur
> so’ne Vermutung!
> Und ich denke, die haben mehr Erfahrung, als die Kiddies, die mit 14
> den ersten Rechner berührt haben, dann mit 16 eine (mit Verlaub
> gesagt in Deutschland lausige!!!) IT-Ausbildung gemacht haben. Das
> für 3 Jahre und die sich nun IT-Fachkräfte nennen dürfen! *lol* Ja,
> das sind die Admins, die über den Scheiß-Umschülern stehen.
> Zum heulen …
Juli 13th, 2008 - Posted in Allgemein | | 0 Comments
Re: Beugehaft vs. Passwort? - Urheberrecht: Weniger kopieren, mehr zah…
“Da muss ich Dir wiedersprechen: es gibt KEINE Möglichkeit bei
SafeGuard Easy ohne das SELBST vergebene Passwort den PC zu booten.
Der 256 Bit lange Schlüssel wird nämlich im Passwort gespeichert.
Also keine Hintertüt für Ermittlungsorgane.”
Für mich hört sich das nicht nur naach einer Einschränkung auf das
Dekodieren an… Ist auch egal, die Mühe, das Zeug zu dekodieren wird sich wirklich
wahrscheinlich niemand unbedingt machen, wenn dann werden schon
Tabellen mit allen möglichen Schlüsseln erstellt, wie es z.B. in
einem Artikel hier vor kurzem geschildert wurde. Es ist aber auch gar
nicht nötig, die Daten zu dekodieren, wenn man anderweitig
Rückschklüsse ziehen und Angriffe fahren kann, denn du kannst eben
nicht sicher sein, was alles mit dem Programm gemacht wird und
gemacht werden kann.
Selbst wenn da wirklich absolut nichts “hinterfotziges” passiert, gab
es vor einiger Zeit ja auch einen Artikel, in dem ein Proof of
Concept vorgestellt wurde, um Verschlüsselungen oder DRM auf einer
Flash-Karte auszuhebeln, in dem man diese so lange erhitzt und
abkühlt, bis bestimmte Nits umspringen.
Gegen die Phantasie mancher Leute helfen bei solchen Ideen mit
Sicherheit auch keine noch so langen Schlüssel, wenn man wirklich an
die Daten will und alle Mittel zur Verfügung hat…
Juli 12th, 2008 - Posted in Allgemein | | 0 Comments
