FileVault ist unsicher geworden

Ist ja alles OpenSource, die finden da schon eine Möglichkeit, keine Sorge. :suspect:
 
WTsChNuLLa schrieb:
Dann verstehe ich das Ganze mal so, in einem Ernstfall könnte die Polizei auf meine Daten zugreifen, obwohl die Daten mit FileVault verschlüsselt sind.
Aber einen Zeitgewinn hätte die Person ja, wie viel Tage oder Stunden würde es in Anspruch nehmen, um FileVault zu knacken???
Zum Vergrößern anklicken....

Wenn man die Lücke ausnutzt, ein paar Minuten.

Wenn die Polizei die Lücke kennt, ein paar Stunden. ;)

Und wenn die Polizei die Lücke nicht kennt, dann so lange, wie du es in der Beugehaft aushälst.
 
SonOfNyx99 schrieb:
Afaik gibt es immer noch eine Sicherheitslücke beim Swap! Der Key, mit dem der virtuelle Speicher verschlüsselt wird, liegt immer noch im Klartext vor. Ich bin mir gerade nicht so sicher, aber ich glaub, das wurde auch beim 23. CCC im Film angesprochen. Desweiteren nutzt Apple nicht ausschliesslich AES sondern noch eine asymetrische Verschlüsselung für die Keys für die AES Verschlüsselung, sodass man sich die Stärke von AES sonstwohin schieben kann - es kommt einfach nicht über die Stärke von RSA oder 3DES hinaus. Dazu kommt noch, dass FileVault gerne mal abschmiert und die Daten shreddered.

Achja - Closed Source im Sicherheitsbereich ist absoluter Müll, weil die Sicherheit nicht nachprüfbar ist. Man kann nie sicher sein, dass es nicht Backdoors gibt, oder einfach nur Designfehler. FileVault ist afaik nicht dokumentiert und daher fast als closed source einzustufen.

Apple stellt viele Behauptungen bei FileVault in den Raum, die teilweise oder gar nicht stimmen.

Ich bleibe bei der Bezeichnung VileFault!
Zum Vergrößern anklicken....

Ja, meines Wissens stehen oder standen die PW auch mal ungeschützt im Speicher.
Und den Speicher kann man ja über den Firewireport ohne Probleme auslesen.
 
pdr2002 schrieb:
Welche Lücke? Es gibt keine bekannte, wenn man alles richtig konfiguriert und ein vernünftiges PW nimmt. :rolleyes:
Zum Vergrößern anklicken....

Es gibt keine fehlerfreie Software, von daher gibt es auch eine Lücke.
FileVault wird wohl einige grobe Schnitzer haben, wenn Apple schon einen Vortrag stoppt. Wahrscheinlich sogar "Anfängerfehler".

Des Weiteren ist FV, wie schon geschrieben, closedsource. Apple kann dann ohne Probleme ein Masterpassword einbauen, mit dem sich alles entschlüsseln lässt und dieses an die Behörden ausgibt.
Oder für die Verschlüsselung immer nur einen bestimmten Key benutzt (wie MS in Frankreich oder wo das vor kurzem war).

ClosedSource und Sicherheit passen so gut zusammen wie Feuer und Wasser...
 
sutz2001 schrieb:
Es gibt keine fehlerfreie Software, von daher gibt es auch eine Lücke.
FileVault wird wohl einige grobe Schnitzer haben, wenn Apple schon einen Vortrag stoppt. Wahrscheinlich sogar "Anfängerfehler".
Zum Vergrößern anklicken....
Reine Spekulation. Wenn alles richtig konfiguriert ist und das FV geschlossen ist, ist es mind. genauso sicher wie TC. Auch der CCC hat bestätigt das FV sicher ist, wenn man FV korrekt konfiguriert.
sutz2001 schrieb:
ClosedSource und Sicherheit passen so gut zusammen wie Feuer und Wasser...
Zum Vergrößern anklicken....
Das ist Deine Meinung, die auf reine Spekulation beruht. ;)
 
pdr2002 schrieb:
Reine Spekulation. Wenn alles richtig konfiguriert ist und das FV geschlossen ist, ist es mind. genauso sicher wie TC. Auch der CCC hat bestätigt das FV sicher ist, wenn man FV korrekt konfiguriert.
Zum Vergrößern anklicken....

Solange keine Fehler gefunden werden oder bekannt sind, ist FV sicher, wenn es korrekt konfiguriert wird.

Bei OpenSource werden aber Fehler schneller gefunden und auch gelöst. Dazu kann man den SourceCode einsehen.

Bei FV weiss ich z.B. nicht, ob nicht Apple für die Regierung oder sonst wen ein Masterkennwort eingebaut hat. Wäre ja nicht die erste Firma, die sowas macht.

Von daher finde ich, ist Sicherheitssoftware, von deren Architektur nur sehr wenig bekannt ist und auch der SourceCode nicht einsehbar ist, wenig zu halten.

Und warum stoppst du als Firma einen Vortrag? Weil ein klitzekleines Problem besteht, was man übersehen hat? Was man schnell fixen kann?
Oder vielleicht eher, weil das System offen wie einen Scheunentor ist?
Also ich weiss, wann ich einen Vortrag stoppen würde, denn schon das Bekanntwerden, dass ich einen Vortrag verbieten lasse, sorgt für genug (negative) Publicity. Reine Spekulation. ;)

Du kannst natürlich gerne weiter ClosedSource-Sicherheitssoftware nutzen, daran hindert dich keiner. Nur hinterher nicht beklagen, wenn es dafür Masterpasswörter oder sonstwas gibt oder die Leute an deine Passwörter kommen etc.
 
sutz2001 schrieb:
Bei FV weiss ich z.B. nicht, ob nicht Apple für die Regierung oder sonst wen ein Masterkennwort eingebaut hat. Wäre ja nicht die erste Firma, die sowas macht.
Zum Vergrößern anklicken....
So, welche Firma hat das denn gemacht?
 
Davon habe ich nichts gehärt, hast Du einen Link?
 
Reine Spekulation. Wenn alles richtig konfiguriert ist und das FV geschlossen ist, ist es mind. genauso sicher wie TC.
Zum Vergrößern anklicken....

Du hast da statt einem : einen . gemacht. Ich erlaube mir mal das zu korrigieren:

Reine Spekulation: Wenn alles richtig konfiguriert ist und das FV geschlossen ist, ist es mind. genauso sicher wie TC.
Zum Vergrößern anklicken....

So, und nun widerleg das. Problem: Geschlossenes System, ungenügend dokumentiert. Security through obscurity in Reinkultur.

sutz2001 schrieb:
Eine große Firma mit Sitz in Redmond.
War vor ein paar Wochen groß in den Medien.
Zum Vergrößern anklicken....

Das ist schon deutlich länger her und zu 99,99999% FUD, wurde auch von MS Mitarbeitern sofort dementiert, siehe hier. Trotzdem nicht überprüfbar, siehe Absatz weiter oben.
 
starbuckzero schrieb:
Du hast da statt einem : einen . gemacht. Ich erlaube mir mal das zu korrigieren:
Zum Vergrößern anklicken....
Bitte nicht Zitate anderer Leute anfassen und ihren Sinn entstellen Danke. Ich habe es genau so gemeint wie geschrieben. ;)
 
pdr2002 schrieb:
Bitte nicht Zitate anderer Leute anfassen und ihren Sinn entstellen Danke. Ich habe es genau so gemeint wie geschrieben. ;)
Zum Vergrößern anklicken....

Du tust anderer Leute Einwände als Spekulation ab, nichts anderes habe ich mit deiner Aussage gemacht, nur mit einem anderen Stilmittel. Die ist nämlich auch nur Spekulation, du hast keine Möglichkeit zu belegen, dass sie richtig ist.
 
Nein, ich habe gesagt, dass selbst der CCC gesagt hat, dass FV sicher ist, solange man es richtig konfiguriert. FV ist genauso sciher wie zB. TC. Beides ist bis heute nicht entschlüsselt worden. Unsicher konfigurieren kann man beides. Hier wird einfach unterstellt, dass es unsicher sein muss, weiles Closed Source ist und das ist nun mal reine Sprekulation und läßt sich durch nichts beweisen, nur Vermutungen.
 
pdr2002 schrieb:
Reine Spekulation. Wenn alles richtig konfiguriert ist und das FV geschlossen ist, ist es mind. genauso sicher wie TC. Auch der CCC hat bestätigt das FV sicher ist, wenn man FV korrekt konfiguriert.
Das ist Deine Meinung, die auf reine Spekulation beruht. ;)
Zum Vergrößern anklicken....
man Kerckhoffs’ Prinzip
oder auch http://de.wikipedia.org/wiki/Kerckhoffs-Prinzip

Problem bei closedsource ist einfach das "Wenn alles richtig konfiguriert ist und das FV geschlossen ist, ist es mind. genauso sicher wie TC" pure spekulation ist. Du kannst es einfach nicht überprüfen. Nur weil noh keine Lücke veröffentlicht wurde bedeutet das nicht das es keinen gibt. bei opensource kann man die fehlerlosigkeit beweisen, bei closedsource nicht. D ist man auf die Versprechungen des Herstellers angewiesen.
 
Es gibt keine fehlerfreie Software, daher kann man das auch nicht beweisen, das widerspricht sich. ;)
Es gibt keinen Beweis, das FV unsicher ist, da es bis jetzt noch niemand geschafft hat ein korrekt konfiguriertes FV zu knacken. Solange das nicht gelungen ist, bleibt eine mögliche Unsicherheit reine Spekulation.
 
Davon abgesehen, ist es für kriminelle einfacher eine Schwachstelle in OpenSource zu finden und anzugreifen, bevor sie gefixt ist, die sind bestimmt nicht so freundlich verraten diese freiwillig den Programmierern der Lösung. Ich habe nichts gegen OpenSource, aber diese Verherrlichungen gehen mir kräftig auf die Nerven. :rolleyes:
 
Deep4 schrieb:
Aha, und wie willst Du das bei Opensource anstellen ? Wie beweist man eine "fehlerlosigkeit" ?
Zum Vergrößern anklicken....
Es gibt diverse mathematische Methoden um Korrektheit von Programmen zu beweisen. Das bekannteste, weil 1. oder 2. Semester Informatikstudium ist das Hoare-Kalkül. Automatische Testverfahren existieren auch noch. Mit denen lassen sich recht zuverlässig so Sachen wie Bufferoverflows etc finden.
 
pdr2002 schrieb:
Davon abgesehen, ist es für kriminelle einfacher eine Schwachstelle in OpenSource zu finden und anzugreifen, bevor sie gefixt ist, die sind bestimmt nicht so freundlich verraten diese freiwillig den Programmierern der Lösung.
Zum Vergrößern anklicken....

Diese Fehler kann aber auch ein guter finden und dann fixen. Bei closedsource ist das eben nicht so einfach. Try and error ist nunmal Glücksache wärend bei opensource methodisch vorgegangen werden kann.
Auch sind absichtliche Bugs wie backdors in opensource wesentlich schwieriger zu realisieren. Wäre das OS vom iphone opensource, dann wäre diese "ich lösche programme die mir nicht gefallen weil ich bin steve-backdor" vermutlich wesentlich früher aufgefallen.

pdr2002 schrieb:
Ich habe nichts gegen OpenSource, aber diese Verherrlichungen gehen mir kräftig auf die Nerven. :rolleyes:
Zum Vergrößern anklicken....
Wie gesagt, kerkoffs' Prinzip ist eins der Grundprinzipiern für security/Verschlüsselung. Das lässt sich nunmal nicht mit closedsource vereinbaren.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten