| 

.NET C# Java Javascript Exception

2
Hallo,

das "GSTOOL 4.5" ist bein BSI in einer 30 Tage Vers. zu bekommen (GSTOOL 4.5 Download). Das Vertrauen in ... (eben irgendwas)... sinkt enorm, wenn man den folgenden Link mal näher in Augenschein nimmt.

mitternachtshacking

Im- und Export von Kryptographie fällt oft (eigentlich immer) unter das Waffengesetz - obwohl man das nicht für möglich halten möchte. Was wird uns da mit "GSTOOL 4.5" gegeben? Und nun setzt das Denken ein, was uns da die USA geben: CryptoStream und SecureStream - die geben uns nun die tolle Sicherheit!?

Kann man sich denn noch sicher sein, ob man bei der Verwendung von CryptoStream oder SecureStream noch auf der sicheren Seite steht? Andere Sicherheitsgaben d. USA sind hier selbstverständlich eingeschlossen.

Meine persönliche Einstellung dazu ist die, wenn man alles von den Herstellern bekommen kann, warum sollte man dann vorgefertigte Sachen bspw. v. USA nutzen? Es gibt doch alles!(?)

Wie denkt ihr darüber?
13.09.2013
boga 71 5
Hab den Link zm GSTOOL korrigiert.
Matthias Hlawatsch 13.09.2013
1
Kennst Du die codekicker-Lounge? (Siehe Link halblinks oben.) Ich glaube, diese Frage wäre dort besser aufgehoben, da es doch eher um eie Diskussion geht als um die eine beste Antwort.
Matthias Hlawatsch 13.09.2013
Gerade hatte mir eine Bekannte noch den folgenden Link gemailt, der ja auch wieder so etwas "wischiwaschi" zu sein scheint:

http://www.heise.de/ix/meldung/BSI-verweigert-Abnahme-des-GSTOOL-5-0-1824176.html

Hat man da noch Worte...?
boga 19.09.2013
2 Antworten
2
"von den Herstellern" - aber Microsoft als Anbieter der .NET-Crpyto-Klassen ist doch auch ein Hersteller?!

Ich finde es schwierig und kaum hilfreich, die Frage an der Herkunft des Anbieters festzumachen. Die unverdächtig erscheinende Firma aus einem liberalen Land könnte Eigentümer oder Teilhaber aus weniger vertrauenswürdigen Gegenden haben oder irgendwann mal gekauft werden. Es sind ja auch nicht nur die USA in Schnüffellaune, sondern auch die Briten, Franzosen und wer weiß noch. Ja und warum soll ich eigentlich dem BSI trauen, das die DE-Mail als sicher empfiehlt, obwohl dort die Hintertür zum Mitlesen, pardon: Prüfen auf Virenfreiheit, gleich offiziell mit eingebaut ist?

Wenn überhaupt noch etwas geeignet ist, Vertrauen zu stiften, dann ist das mMn Open Source. Wenn jeder den Quellcode einsehen kann, besteht auch die Möglichkeit, Hintertürchen zu entdecken, auch wenn das mangels Know-How keine Aufgabe für Jedermann ist. Wie da die Lage konkret bei CryptoStream & Co. aussieht, entzieht sich meiner Kenntnis. Da müßte es doch Open-Source-Varianten in Mono geben, oder nicht?
13.09.2013
Matthias Hlawatsch 13,2k 4 9
Vielen Dank f. die nachdenkliche Antwort. Mir ist kein kryptographischer Algo von MS bekannt - ich kann mich da aber irren - Hersteller sind für mich Krypto-Algo-Hersteller (kauft MS nicht nur auf?). Die stille u. berechtigte "Rüge" ist angekomen, bisher hatte ich die "codekicker-Lounge" unbeachtet gelassen. Mono scheint eine gute Info zu sein - ich werde in dieser Richtung mal weiter "buddeln". Vielleicht bin ich, was diesen Eintrag betrifft, schon sehr glücklich, wenn andere Entwickler einfach mal etwas Zeit investieren u. über diesen Inhalt nachdenken.
boga 16.09.2013
Ich erinnere mich das Microsoft mal einen Algorithmus für SHA 3 (oder wars MD6) auf einer Konferenz vorgeschlagen hatte und dieser bereits in den ersten Stunden von den anwensenden Experten in der Luft zerissen wurde. ... Leider find ich den Artikel dazu nicht mehr. (Nur so am Rande)
Floyd 17.09.2013
0
Soweit ich das mitbekommen hatte, war MD6 einer der Kandidaten im SHA-3 Wettbewerb. Dieser wurde von den Herstellern selbst zurückgenommen:

Heise: Hash-Algorithmus MD6 aus SHA-3-Wettbewerb zurückgezogen

Da gibt es, glaube ich, keinen "Murks" von MS. Allerdings bin ich gespannt darauf, weil dieser Wettbewerb ja von: Keccak gewonnen wurde, wann dieser Hash-Algo von MS bereit gestellt wird. Blake ist ja bereits für C# auf d. page von Bruce Schneier zu bekommen - mal so nebenbei (und läuft prima bis max 512 Bit).

Der Algo, der f. SHA-3 v. d. Telekom eingereicht wurde, flog tatsächlich schon relativ früh aus dem Wettbewerb raus. Vielleicht wurde da etwas verwechselt. Ich hätte ja nicht gedacht, dass ich mal MS verteidige ...!
17.09.2013
boga 71 5

Stelle deine Kryptographie-Frage jetzt!