Amerikanerne har knekt Internetts sentrale krypteringer

[Kazuo]

NSA er dagens

[olsen_1]

Når skal man våkne opp til at USA driver verdens mest omfangende statssponsede terror?

[b115242]

Say no more!

Den eneste trøsten er at den informasjon NSA trolig søker, i hovedsak, er den mest vesentlige for "nasjonal sikkerhet". Vi som kommer i klassen "småfisk" flyr trolig under radaren med litt "piratvirksomhet"?

Og det er ingen respons i fra norske myndigheter eller andre instanser, så dette kan da ikke være så ille?

Eller hva? Et nødvendig onde?

Ja, ja, nå er det helg!

[dmbardal]

Hvordan fant de ut dette?

Fikk noen tak i "The President's Book" ?

[LoveAmiga]

Burde ikke være noen tvil lenger... slutt å bruk Amerikanske IT løsninger.

 

Ja, du tror ikke andre land også gjør dette? Blåøyd?

Endret 6. september 2013 av LoveAmiga

[fredrik-fyksen]

Overskriften burde vel være noe slik som: NSA jobber sammen med nettverksbedrifter for å sabotere det åpne internett..

 

"Ved å samarbeide med nøye utvalgte teknologifirmaer, skal NSA ha satt inn bakdører i deres programmer."

 

Opensource er det eneste sikre mot dette..

[ryback]

Åpne standarder er selvfølgelig viktig, men det er også viktig at man ikke stoler blindt på programvare til tross for at det er open source.

 

Jeg har hverken kompetanse eller kapasitet til å gå gjennom koden til all programvaren jeg bruker - det må jeg overlate til andre og kan jeg stole på dem?

 

Et annet viktig poeng er hardware. Det hjelper lite med open software uten bakdører om hardwaren har bakdører. Intel AES-NI akselererer krypteringen, gjør den noe mer enn det? Jeg vil anta at Intel er ett av firmaene som samarbeider med NSA. Cisco som leverer nettverksutstyret gjør sikkert det samme.

[fredrik-fyksen]

Åpne standarder er selvfølgelig viktig, men det er også viktig at man ikke stoler blindt på programvare til tross for at det er open source.

 

Jeg har hverken kompetanse eller kapasitet til å gå gjennom koden til all programvaren jeg bruker - det må jeg overlate til andre og kan jeg stole på dem?

 

Et annet viktig poeng er hardware. Det hjelper lite med open software uten bakdører om hardwaren har bakdører. Intel AES-NI akselererer krypteringen, gjør den noe mer enn det? Jeg vil anta at Intel er ett av firmaene som samarbeider med NSA. Cisco som leverer nettverksutstyret gjør sikkert det samme.

 

Du drar absolutt fre,m noen viktige poeng. Men med store prosjekter,som ssh og de åpne krypteringsstandardene, kan du være veldig sikker på at koden har blitt gått igjennom mange ganger. Men det hjelper som du sier lite, om ikke hwen er åpen. Derfor hadde det vært mye bedre om flere selskaper valgte denne veien :-)

[Emancipate]

Intel AES-NI akselererer krypteringen, gjør den noe mer enn det?

Nei, det ville vært banalt enkelt å oppdage.

[007CD]

Åpne standarder er selvfølgelig viktig, men det er også viktig at man ikke stoler blindt på programvare til tross for at det er open source.

 

Jeg har hverken kompetanse eller kapasitet til å gå gjennom koden til all programvaren jeg bruker - det må jeg overlate til andre og kan jeg stole på dem?

 

Et annet viktig poeng er hardware. Det hjelper lite med open software uten bakdører om hardwaren har bakdører. Intel AES-NI akselererer krypteringen, gjør den noe mer enn det? Jeg vil anta at Intel er ett av firmaene som samarbeider med NSA. Cisco som leverer nettverksutstyret gjør sikkert det samme.

 

Som Fredrik sier under her, det avhenger av hva det er selvsagt, er det ett lite kjent program så må du gjennomgå kildekoden, og har du ikke kompetanse til dette, så har du da 2 valg.

A) Lære deg det som trengs.

 

B) Innleie noen til å gjøre denne jobben for deg.

 

Da kommer spørsmålet hvor viktig er det? Er du i en bedrift så vil B være ett skikkelig reellt alternativ, men neppe for en privat person.

Riktignok, det vikigste som SSH for eksempel, vell, veldig liten sjanse for snusk der, om det ikke skjer noe ala kernel.org hacken, hvor resultatet ble at de plukket ned siden i flere måneder for å rote igjennom serveren og innholdet på jakt etter malware.

[Paull]

Selv om det er open-source så er det ingen 100% garanti for at ikke sikkerhetshull kan snike seg inn. En uskyldig optimalisering/endring som dettte:

***** md_rand.c#140
  273:
  274:                  MD_Update(&m,buf,j);
  275:                  MD_Update(&m,(unsigned char *)&(md_c[0]),sizeof(md_c));
***** MD_RAND.C#141
  273:
  274:  /*
  275:   * Don't add uninitialised data.
  276:                  MD_Update(&m,buf,j);
  277:  */
  278:                  MD_Update(&m,(unsigned char *)&(md_c[0]),sizeof(md_c));
*****

***** md_rand.c#140
  467:  #ifndef PURIFY
  468:                  MD_Update(&m,buf,j); /* purify complains */
  469:  #endif
***** MD_RAND.C#141
  470:  #ifndef PURIFY
  471:  /*
  472:   * Don't add uninitialised data.
  473:                  MD_Update(&m,buf,j); /* purify complains */
  474:  */
  475:  #endif
*****

..kan gi store konsekvenser. I dette tilfellet DSA-1571: http://www.debian.org/security/2008/dsa-1571

[Emancipate]

Men det der var vel et uhell? Det er noe helt annet.

[Paull]

Ok, 2 forskjellige poeng;

* Selv om det var et uhell, så ble det fortsatt sjekket inn og rullet ut til resten av verden. Ville bare få frem at det ikke er noen magic bullet at det er open source.

* Om man er skikkelig conspiracy-orientert, så vil man kanskje si at det er den beste måten å gjøre det på - få det til å se ut som et uhell eller en utilsiktet konsekvens.

[kiddikiddi]

Jaja, dette må jo føre til at land bygger sine egne nettverk, uavhengig av all trafikk utenfor egne landegrenser. Jeg hadde ikke hatt noe mot det, egentlig, så lenge man kunne smertefritt bytte mellom dem.

[CharlesBronson]

 

Intel AES-NI akselererer krypteringen, gjør den noe mer enn det?

Nei, det ville vært banalt enkelt å oppdage.

Jeg er ikke ekspert på dette...kan du forklare?

[eigil]

Edit: Hadde egentlig forventet bedre av hw.no. Dette nivået er mer det jeg forventer av itavisen.no for å være ærlig..

 

Enig. Skuffende og trist.

[eigil]

Selv om det var et uhell, så ble det fortsatt sjekket inn og rullet ut til resten av verden. Ville bare få frem at det ikke er noen magic bullet at det er open source.

 

There Is Always One More Bug

- Lubarsky's Law Of Cybernetic

 

Bugs = exploits

 

OpenSSL gikk inn i version 1 i 2010, etter mer enn et tiår med 0.9.x utgivelser

- http://www.openssl.org/source/

 

Så selv om det altså er en bug til der inne et sted, så er jeg skeptisk til at selv NSA har funnet effektive exploits.

 

Nå er sikkerhet mye mer enn bare krypteringsalgoritmer. NSA og resten av gjengen har sikkert nok å gjøre.

[Gjest Bruker-245639]

MS blånekter fordi det har vært fremsatt påstander om bakdører i Windows siden NT3.5 dagene. Når en til slutt klarer å bevise dette så kan MS nekte så mye de bare vil, MS (og andre) vil bli tatt med buskene på knærne. Det er rett og slett like liten grunn til å stole på amerikasnke it-bedrifter som kinesiske.

[Emancipate]

Jeg er ikke ekspert på dette...kan du forklare?

Nei. Du måtte vært ekspert for å forstå forklaringen, og da hadde du ikke trengt den. Noen ting kan faktisk ikke forklares kort.

[-CerN-]

På tide med nye krypteringsstandarder...