Hi,
Erschuetternd:
Wie Internet intern berichtet hat Ralf Senderek
die Sicherheitsluecke entdeckt und Kai Raven
sich bereits von N.A.I’s PGP-Verhalten
distanziert !
Die erschuetternde Erkenntnis:
Nichts ist mehr sicher !
Nachzulesen hier:
http://www.intern.de/news/835.html
What nu Ihr Experten ?
Der Traum ist vorbei- auch wenn der Patsch jetzt kommt,oder ?.
ciao
http://www.heise.de/newsticker/data/jk-26.08.00-006/
Gruß
J.
denn Experte und " Lochfinder " Senderek
sieht das mit sehr gemischten Erkenntnissen:
Was bisher seit 3 Jahren verschwiegen
wurde und arrogant wie ueberheblich als SICHER
galt ist konkret GEHACKT !
Kann/ wird beim neuen PGP 6.5.8
auch passieren- der Ruf von N.A.I.
und sogen. Experten ist fuer mich hin,
…denn das naechste Hack wartet…
Alles dazu hier:
ciao
Kann/ wird beim neuen PGP 6.5.8
auch passieren- der Ruf von N.A.I.
und sogen. Experten ist fuer mich hin,…denn das naechste Hack wartet…
Es sei Dir freigestellt, auf Kosten Deiner Bequemlichkeit, jedoch möglicherweise zugunsten Deiner Sicherheit auf PGP 2.6.x zurückzugreifen - denn weniger Features => weniger Bugs.
Bei PGP bis Version 2.6.x läßt sich problemlos die UserIDs eines Schlüssels manipulieren, was zweifelsfrei auch ein Sicherheitsproblem sein kann. Ist Dir diese mögliche Gefahr jedoch bekannt, wirst Du im Zweifelsfall den Schlüssel noch einmal überprüfen. PGP nimmt Dir (in keiner Version) das gesunde Mißtrauen und die angebrachte Skepsis gegenüber unbekannten Schlüsseln ab.
Das _mögliche_ Problem war bereits lange bekannt und wurde in ähnlicher Form bereits in dem Zusammenhang diskutiert, ob man Firmen einen Masterschlüssel für die Schlüssel ihrer Mitarbeiter einräumen sollte - was also dem hier betroffenen ADK (additional decryption key) entsprechen kann.
Es bleiben Dir aber auch weiterhin Möglichkeiten, die Integrität und Authentizität eines Schlüssel zu überprüfen.
CU
Markus
Kann/ wird beim neuen PGP 6.5.8
auch passieren- der Ruf von N.A.I.
und sogen. Experten ist fuer mich hin,…denn das naechste Hack wartet…
Es sei Dir freigestellt, auf Kosten Deiner Bequemlichkeit,
…nicht aus Bequemlichkeit, sondern Experten, die bestens wissen WAS passiert ist: naemlich alle bisherigen PGP-Schluessel GEHACKT …und NICHT wie N.A.I. etc jetzt gerne weissmachen wollen - inkl. dt.ZDNET, die ausgerechnet von Usern daraufhingewiesen werden, objektiver DARUEBER zu berichten - das muss man sich mal vorstellen !
…und ein anderer User DAZU feststellt: dass KONKRET SEINE INTERNE BUCHHALTUNG GEHACKT WORDEN SEI - TROTZ PGP !
Ein ungeheurer Vorgang !
N.A.I.'s Phil Zimmermann PGP’S vollmundigen Sicherheiten
GEGENUEBER US-und BRD-etc Regierungen - stehen definitiv INFRAGE !
, denn es steht der jedoch möglicherweise zugunsten Deiner Sicherheit auf PGP 2.6.x zurückzugreifen - denn weniger Features => weniger :Bugs.
Bei PGP bis Version 2.6.x läßt sich problemlos die UserIDs
eines Schlüssels manipulieren, was zweifelsfrei auch ein
Sicherheitsproblem sein kann. Ist Dir diese mögliche Gefahr
jedoch bekannt, wirst Du im Zweifelsfall den Schlüssel noch
einmal überprüfen. PGP nimmt Dir (in keiner Version) das
gesunde Mißtrauen und die angebrachte Skepsis gegenüber
unbekannten Schlüsseln ab.
RICHTIG ! Dann sollen aber die GANZE UNI-WELT ,samt Regierungen
das auch tun: ALLE USER SO WIE DU ES TUST DERART darauf hinweisen: Zeige mir EINE SITE wo DAS geschieht !
Weder das BDI noch die vor allem HH- und Berliner UNI.
Das _mögliche_ Problem war bereits lange bekannt
Es geht hier nicht um ein „moegliches“ Prob, sondern einen konkreten HACK, der ja Anlass war vom N.A.I. Deutschland-Repraesentanten HERRN RAVEN…sich von N.A.I. ZU DISTANZIEREN !
( UND ER SICH DANN NOCH DIE ARROGANTE ANTWORT DAZU VOM N.A.I CEO ANHOEREN MUSSTE- JAJA , DIE AMIS MIT IHRER GLAUBWUERDIGKEIT )
WELCH EIN VORGANG !
und wurde in ähnlicher Form bereits in dem Zusammenhang diskutiert, ob man Firmen einen Masterschlüssel für die Schlüssel ihrer Mitarbeiter einräumen sollte - was also dem hier betroffenen ADK (additional decryption key) entsprechen kann.
Es bleiben Dir aber auch weiterhin Möglichkeiten, die
Integrität und Authentizität eines Schlüssel zu überprüfen.
OK…DANN MAN RAUS DAMIT !
CU
Markus
ciao
HAST DU EIN HÖRPROBLEM?
ICH MEINE NUR SO.
WEIL, DU BIST EIN BISSCHEN LAUT.
…nicht aus Bequemlichkeit, sondern Experten, die bestens
wissen WAS passiert ist: naemlich alle bisherigen
PGP-Schluessel GEHACKT
???
Da hast Du wohl was mißverstanden. Wenn man das ADK-Feature nutzt, ist die Sicherheitslücke da, aber gehackt ist es dann noch lange nicht.
…und ein anderer User DAZU feststellt: dass KONKRET SEINE
INTERNE BUCHHALTUNG GEHACKT WORDEN SEI - TROTZ PGP !
Ja, wie gesagt, die Lücke ist da, und es ist nicht verwunderlich, wenn sie in konkreten Fällen ausgenutzt wird.
Bei dem User würde mich aber schon interessieren, ob PGP gehackt wurde, oder ob die Daten aus seiner Buchhaltung auf anderem Weg nach außen gelangten.
N.A.I.'s Phil Zimmermann PGP’S vollmundigen Sicherheiten
GEGENUEBER US-und BRD-etc Regierungen - stehen definitiv
INFRAGE !
???
Das lustige an PGP ist doch, daß der Quellcode bekannt ist, P.Z. braucht daher niemandem etwas versichern - die Erläuterung des Verfahrens reicht. Soviel mir bekannt, hat auch niemand gesagt, daß das System keine Lücken in Ewigkeit hätte, sondern daß es bisher nicht gehackt worden war. Nun ist es passiert, und man muß sich darauf für die zukunft einstellen.
RICHTIG ! Dann sollen aber die GANZE UNI-WELT ,samt
Regierungen
das auch tun: ALLE USER SO WIE DU ES TUST DERART darauf
hinweisen: Zeige mir EINE SITE wo DAS geschieht !
Ähemmm… hast Du Dir mal die PGP-Anleitung durchgelesen? Da steht das nämlich drin. Und die wird immer mit dem Programm downgeloaded…
WELCH EIN VORGANG !
OK - was schlägst Du vor? Oder was ist Dein Anliegen?
Gruß
J.
HAST DU EIN HÖRPROBLEM?
ICH MEINE NUR SO.
WEIL, DU BIST EIN BISSCHEN LAUT.
Sorry, DA fragst Du noch ?
Bin stocksauer auf die Unmengen - sorry - Angeber, die immer soo wichtig tuen, den Leuten das Geld aus der Tasche ziehen fuer den groessten Quatsch der ganzen sog. Sicherheit :
Solange die Badgays immer UBERALL reinkommen und Mia-Schaeden trotz ALLER Sicherheit anstellen, die US-Regierung in gr. Not den inhaftierten Mitnick anfordert , da deren Millionen an Sicherheit nichts bringen trotz - oder GERADE wg PGP - klar doch probierens DIESE es extra dabei…und es gelingt immer wieder zu zerstoeren…ist das ganze totaler Unsinn, ebenso die Ports-Angst: ist doch fast alles harmlos was da eindringt …und dann machen sich einige fast in Hosen dabei - sorry , nochmal: ist doch laecherlich…denn:
Solange MS den Quellcode nicht freigibt- und das tut er NIEMALS, da das MS- Business dann den Bach nabgeht -ist doch alles definitiv Unsinn, nur Geldmacherei…und Linux, sowie anderen wird es bald auch so gehen: Hacken ohne Ende wird kommen - derzeit halt noch zu unbedeutend, zu wenig spektakulaer fuer die Badguys.
…nicht aus Bequemlichkeit, sondern Experten, die bestens
wissen WAS passiert ist: naemlich alle bisherigen
PGP-Schluessel GEHACKT???
Da hast Du wohl was mißverstanden. Wenn man das ADK-Feature
nutzt, ist die Sicherheitslücke da, aber gehackt ist es dann
noch lange nicht.
Der PGP gehackt hat: Senderek, sieht das aber ganz anders:
Du kennst doch wohl seinen Story, oder
…und ein anderer User DAZU feststellt: dass KONKRET SEINE
INTERNE BUCHHALTUNG GEHACKT WORDEN SEI - TROTZ PGP !Ja, wie gesagt, die Lücke ist da, und es ist nicht
verwunderlich, wenn sie in konkreten Fällen ausgenutzt wird.
Bei dem User würde mich aber schon interessieren, ob PGP
gehackt wurde, oder ob die Daten aus seiner Buchhaltung auf
anderem Weg nach außen gelangten.
Dann schau mal auf DIE site die DU mir empfohlen hast :
ZDnet.de zum Thema: es steht zum Thema in den Foren !
N.A.I.'s Phil Zimmermann PGP’S vollmundigen Sicherheiten
GEGENUEBER US-und BRD-etc Regierungen - stehen definitiv
INFRAGE !???
Das lustige an PGP ist doch, daß der Quellcode bekannt ist,
P.Z. braucht daher niemandem etwas versichern - die
Erläuterung des Verfahrens reicht. Soviel mir bekannt, hat
auch niemand gesagt, daß das System keine Lücken in Ewigkeit
hätte, sondern daß es bisher nicht gehackt worden war. Nun ist
es passiert, und man muß sich darauf für die zukunft
einstellen.RICHTIG ! Dann sollen aber die GANZE UNI-WELT ,samt
Regierungen das auch tun: ALLE USER SO WIE DU ES TUST DERART darauf hinweisen: Zeige mir EINE SITE wo DAS geschieht !
Ähemmm… hast Du Dir mal die PGP-Anleitung durchgelesen? Da
steht das nämlich drin. Und die wird immer mit dem Programm
downgeloaded…
Jaja: Kenne ich …aber darum gehts doch gar nicht:
Sondern DASS PGP gehackt wurde, das patsch jetzt da ist und bei MS wird immer gemeckert wg. der vielen patsches:
Ist halt ein Verhaeltnis von PGP zu MS von 1: 10.000.000 - oder noch viel mehr , sage ich mal…
WELCH EIN VORGANG !
OK - was schlägst Du vor? Oder was ist Dein Anliegen?
Was mein Anliegen ist fragst Du noch ?
Verdammt nochmal: es muss den neunmal klugen Technikern endlich gelingen sichere PC’s zu bringen !
Es verlangt ja kein Mensch die 100 % , die gehen eh nicht, aber soo gehts doch nicht weiter.
Ich glaube hingegen konkret: Die Firmen WOLLEN und DUERFEN das gar nicht, da das Business sonst massiv stockt: Den die gesamte PC- Branche, besonders die Software -Industrie macht mit der ANGST DAS Geschaeft…und das ist - mit Verlaub - ein Schei…Thema, zum Kotzen finde ich das.
Gruß
J.
ciao