TrueCrypt - uti nsa im cu si

Quote:

Originally Posted by Kazaaa Heartbleedbug, muss ich mehr zu open source sagen? Nur weil <theoretisch> viele Augen den Code prüfen können heißt das nicht das dieser sicherer ist als closed source, man geht nur fälschlicherweise davon aus das dem so ist.

Das trifft schon zu, vorausgesetzt sie tun es. Ich war auch erst kritisch, bis wir in der Firma mal Paarprogrammierung gemacht haben. Ist eher unbekannt:

Quote:

Paarprogrammierung bedeutet, dass bei der Erstellung des Quellcodes jeweils zwei Programmierer an einem Rechner arbeiten. Ein Programmierer schreibt den Code, während der andere über die Problemstellungen nachdenkt, den geschriebenen Code kontrolliert sowie Probleme, die ihm dabei auffallen, sofort anspricht.[1] Diese können dann sofort (im Gespräch zu zweit) gelöst werden. Die beiden Programmierer sollten sich bezüglich dieser beiden Rollen abwechseln. Auch die Zusammensetzung der Paare sollte sich häufig ändern.

Meine Skepsis kam auch daher, dass mein Partner mit über 10 Jahren Erfahrung deutlich erfahrener war als ich. Meine Erwartung war also, dass ich da wie ein kleiner dummer Azubi vor seinem erfahrenen Meister dastehen würde.
Überraschenderweise war dem aber nicht so, wir haben beide davon profitiert und der Code ebenso. Der andere sieht halt Fehler oder Probleme die man selber nicht gleich sieht.

Bei OpenSource habe ich das Gefühl, dass dort das ganze durch das Lemminge-Verhalten vieler Menschen nicht funktioniert: Einer entwickelt, und die anderen benutzen es einfach ungeprüft weil jeder denkt: Ach ist doch OpenSource, das werden schon genug andere vor mir angeschaut haben.

Die neuste Sicherheitslücke in Linux und in 99 anderen Anwendungen wie z.B. OpenVPN ist doch das beste Beispiel dafür: Da hat jeder blind kopiert und sich gedacht werden wohl schon genug andere geprüft haben. Denn sonst wäre das aufgefallen, man hätte die Komponente nicht in der eigenen Software verbaut und den betreffenden Coder schon viel früher benachrichtigt.

Das ist aber leider sehr verbreitet. In den Nachrichten ist es ja zuletzt erst vor ein paar Jahren passiert: Eine Nachrichtenseite hat schlecht recherchiert und etliche andere (auch große) weitere haben einfach ungeprüft kopiert. Bis sich herausstellte, dass es eine Zeitungsente war. Qualitätsjornalismus sieht anders aus.

Quote:

Originally Posted by Kazaaa Abgesehen davon das man als Windowsnutzer ohnehin M$ vertraut (vertrauen muss), also kann man auch Bitlocker nutzen.

Nur eingeschränkt. Keiner zwingt dich unsichere Verschlüsselungssoftware wie Bitlocker zu nutzen, sodass diese ggf. leicht geknackt werden kann. Wenn Microsoft ungefragt private Daten des Nutzers nach hause sendet, würde das einen riesen Aufschrei geben und MS wär seine Dominanz schnell los.

Wieso? Firmen wollen sicher nicht, dass interne Daten unkontrolliert nach außen gelangen (Wirtschaftsspionage & co). Und MS verdient hauptsächlich an den gewerblichen Kunden. Die privaten Lizenzen sind da eher Taschengeld. Die werden sich also hüten mit so was das Vertrauen der Kundschaft komplett zu zerstören.

MS geht da einen anderen Weg: Lieber den Kunde möglichst aufdringlich zur Cloud zwingen. Dann liegen die Daten sowieso vor der Haustür und die NSA kann tun und lassen was sie will. Wenns rauskommt tun wir einfach überrascht wie Merkel und behaupten, dass wir davon nicht wussten und die NSA ganz böse ist :rolleyes:

gute Theorie auf jeden fall... ist ja auch plausibel..

Quote:

Originally Posted by Th3dan Nur eingeschränkt. Keiner zwingt dich unsichere Verschlüsselungssoftware wie Bitlocker zu nutzen, sodass diese ggf. leicht geknackt werden kann. Wenn Microsoft ungefragt private Daten des Nutzers nach hause sendet, würde das einen riesen Aufschrei geben und MS wär seine Dominanz schnell los. Wieso? Firmen wollen sicher nicht, dass interne Daten unkontrolliert nach außen gelangen (Wirtschaftsspionage & co). Und MS verdient hauptsächlich an den gewerblichen Kunden. Die privaten Lizenzen sind da eher Taschengeld. Die werden sich also hüten mit so was das Vertrauen der Kundschaft komplett zu zerstören. MS geht da einen anderen Weg: Lieber den Kunde möglichst aufdringlich zur Cloud zwingen. Dann liegen die Daten sowieso vor der Haustür und die NSA kann tun und lassen was sie will. Wenns rauskommt tun wir einfach überrascht wie Merkel und behaupten, dass wir davon nicht wussten und die NSA ganz böse ist :rolleyes:

Bei Bitlocker dachte ich eher an eine Art "Bug" der es ermöglicht das jeder der den Bug nutzen kann Zugriff auf die verschlüsselten Daten erhält. Aber wie bereits gesagt, wenn man ohnehin Windows nutzt dann vertraut man M$ ohnehin.

Das meinte ich doch mit eingeschränkt. Es gibt nur 2 Möglichkeiten wie Bitlocker bzw Windows für die NSA manipuliert worden sein könnte:
1. Die Verschlüsselung ist geschwächt oder in Bitlocker existiert eine Hintertür, die das schnelle Knacken/Umgehen des Passworts ermöglicht
2. Windows oder Bitlocker telefonieren mit Infos über die Daten nach hause

Letzeres halte ich aus den in meinem letzten Beitrag genannten Gründen für unwahrscheinlich. Ersteres nicht, und darauf hast du aktiv Einfluss in dem du alternative Software nutzt, Windows hin oder her.
Ein Restrisiko bleibt natürlich immer, aber was willst du machen? Dir den Linux Quellcode runterladen, jede Zeile einzeln prüfen und selbst kompilieren? Dasselbe mit JEDEM verwendeten Programm und bei JEDEM Update? Abgesehen davon dass 99,9% der User hier das nicht ansatzweise schaffen würden, würde das unvorstellbar viel Zeit verschlingen. Absolut unrealistisch.
Das Einzige was man also tun kann ist, sich nicht auf unvertrauenswürdige Software wie Bitlocker zu verlassen.