Internet API Panik bekannten pgp Crypto

crypto api panik

Von: , Frage gestellt am Fr, 3. Sep 1999

verwendet pgp die crypto api?
welche bekannten programme verwenden die api?
mfg

5 Antworten zu dieser Frage

1. Antwort von nach 19 Stunden hilfreich

   Re: crypto api panik

   verwendet pgp die crypto api?
   welche bekannten programme verwenden die
   api?
   mfg
   *lol* selbst wenn PGP sie nicht verwendet (ich glaube das ist der Fall, wenn ich an die alten sourcecodes denke) glaubst Du doch nicht ernsthaft, daß die NSA nicht eine weitere Backdoor drin hat +lol+
   
   Gruß
   Gunnar
   

   • Antwort von nach 4 Tagen hilfreich

     Re^2: crypto api panik

     *lol* selbst wenn PGP sie nicht verwendet
     (ich glaube das ist der Fall, wenn ich an
     die alten sourcecodes denke) glaubst Du
     doch nicht ernsthaft, daß die NSA nicht
     eine weitere Backdoor drin hat +lol+
     Bei frei verfügbarem Quellcode dürfte es schwer fallen, eine derartige Hintertür einzubauen.
     Jemand, der sich die Binär-Version besorgt, sollte anhand der Signatur ihre Authentizität prüfen.
     Da nicht jeder in der Lage ist, die Krypto-Routinen in PGP zu beurteilen, gibt es Testvektoren, anhand derer sich die Konformität der verwendeten Algorithmen nachweisen läßt.
     
     CU
     Markus
     

     • Antwort von nach 5 Tagen hilfreich

       Re^3: crypto api panik

       Bei frei verfügbarem Quellcode dürfte es
       schwer fallen, eine derartige Hintertür
       einzubauen.
       Schwer, aber nicht unmöglich! Oder traust Du Dir zu einen Cryptalgorithmus zu prüfen bzw. weisst Du welche Libraries oder DLL's Hintertüren haben ?!? Jemand, der sich die Binär-Version
       besorgt, sollte anhand der Signatur ihre
       Authentizität prüfen.
       Da nicht jeder in der Lage ist, die
       Krypto-Routinen in PGP zu beurteilen,
       gibt es Testvektoren, anhand derer sich
       die Konformität der verwendeten
       Algorithmen nachweisen läßt.
       
       CU
       Markus
       Das ist leider kein Garant, daß keine Backdoor drin ist - nur, daß keine zusätzlich eingebaut wurde =) (aber auch das ist alles manipulierbar...)
       
       Gruß
       Gunnar
       

       • Antwort von nach 5 Tagen hilfreich

         Re^4: crypto api panik

         Bei frei verfügbarem Quellcode dürfte es
         schwer fallen, eine derartige Hintertür
         einzubauen.
         Schwer, aber nicht unmöglich! Oder traust
         Du Dir zu einen Cryptalgorithmus zu
         prüfen bzw. weisst Du welche Libraries
         oder DLL's Hintertüren haben ?!?
         Eine Hintertür, welche beispielsweise Deinen Passphrase über das Internet verschickt, etc. ist viel zu auffällig, als das man sie im Code verbergen könnte. Außerdem führt dies zu beobachtbar anderem Verhalten von PGP.
         
         Eine gefährliche und im Code schwer zu entdeckende Hintertür muß sich in der Kryptoroutine befinden. Mit Hilfe der Testvektoren ist es jedoch möglich, die Korrektheit der Routinen zweifelsfrei zu prüfen. Schließlich sind die Algorithmen öffentlich bekannt. Jede Manipulation fällt sofort auf.
         
         Mir ist lediglich eine Ungereimtheit bekannt: Beim DES-Algorithmus ist nicht bekannt, warum gerade die festgelegten Werte für die Substitutionsboxen verwendet werden, obwohl der Zweck der Subst.boxen sehr wohl bekannt ist (Erschweren der linearen Kryptoanalyse).
         Dies mag zwar seltsam erscheinen, hat jedoch keinen Einfluß auf den übrigen Algorithmus.
         
         CU
         Markus
         

         • Antwort von nach 20 Tagen hilfreich

           Re^5: crypto api panik

           Bei frei verfügbarem Quellcode dürfte es
           schwer fallen, eine derartige Hintertür
           einzubauen.
           Schwer, aber nicht unmöglich! Oder traust
           Du Dir zu einen Cryptalgorithmus zu
           prüfen bzw. weisst Du welche Libraries
           oder DLL's Hintertüren haben ?!?
           Eine Hintertür, welche beispielsweise
           Deinen Passphrase über das Internet
           verschickt, etc. ist viel zu auffällig,
           als das man sie im Code verbergen könnte.
           Außerdem führt dies zu beobachtbar
           anderem Verhalten von PGP.
           Das ist jedoch eine Einbahnstrasse Deiner Denkweise ;) - es gibt noch viele andere Möglichkeiten! Eine gefährliche und im Code schwer zu
           entdeckende Hintertür muß sich in der
           Kryptoroutine befinden. Mit Hilfe der
           Testvektoren ist es jedoch möglich, die
           Korrektheit der Routinen zweifelsfrei zu
           prüfen. Schließlich sind die Algorithmen
           öffentlich bekannt. Jede Manipulation
           fällt sofort auf.
           Richtig! Wer hat aber den DES abgesegnet (bzw. das 'S' in DES bestimmt?) = NSA und wem gehört der PGP? Security Dynamics/RSA (aus den Staaten...)
           
           Es bleibt jedem selbst überlassen, wem oder was er vertraut - mich wundern nur viele Ungereimtheiten! Mir ist lediglich eine Ungereimtheit
           bekannt: Beim DES-Algorithmus ist nicht
           bekannt, warum gerade die festgelegten
           Werte für die Substitutionsboxen
           verwendet werden, obwohl der Zweck der
           Subst.boxen sehr wohl bekannt ist
           Dies beispielsweise! Und dieses Bild bestätigen ja auch nahezu alle Kryptologen bzw auch viele größe Unternehmen, die kurzum die S-Boxen ausgetauscht haben (was zudem noch den Potentiellen Angriff von 2hoch56 auf 56! vergrößert ;) (Erschweren der linearen Kryptoanalyse).
           Dies mag zwar seltsam erscheinen, hat
           jedoch keinen Einfluß auf den übrigen
           Algorithmus.
           Darüber streiten die Geister - ich denke wir werden sehen ob bzw. was passieren wird, wenn die Eliptic Curvs kommen werden, denn auch in Deutschland arbeiten schon einige an der Umsetzung... CU
           Markus
           Gruß
           Gunnar
           

Keine passende Antwort gefunden? Jetzt eigene Frage stellen!