FileVault ist unsicher geworden

pdr2002 schrieb:
Es gibt keine fehlerfreie Software, daher kann man das auch nicht beweisen, das widerspricht sich. ;)
Zum Vergrößern anklicken....

nö, nur weil es keine fehlerfreie Software gibt bedeutet das noch lange nicht dass man theoretisch fehlerfreie Software nicht beweisen kann. Da widerspricht sich gar nix.

pdr2002 schrieb:
Es gibt keinen Beweis, das FV unsicher ist, da es bis jetzt noch niemand geschafft hat ein korrekt konfiguriertes FV zu knacken. Solange das nicht gelungen ist, bleibt eine mögliche Unsicherheit reine Spekulation.
Zum Vergrößern anklicken....

Eben, und solange man über die Sicherheit von VF spekulieren muss sollte es als UNSICHER gelten.
Was tust du wenn du denkst dein Böser Nachbar kennt deinen EC-PIN? Wenn du nicht beweisen kannst das er ihn kennt oder das er ihn nicht kennt (es genügt zu beweisen dass er keine Möglichkeit hatte an den PIN zu kommen)?
Ich würde die Karte sperren lassen und ne neue Bestellen.
 
pdr2002 schrieb:
Davon abgesehen, ist es für kriminelle einfacher eine Schwachstelle in OpenSource zu finden und anzugreifen, bevor sie gefixt ist, die sind bestimmt nicht so freundlich verraten diese freiwillig den Programmierern der Lösung. Ich habe nichts gegen OpenSource, aber diese Verherrlichungen gehen mir kräftig auf die Nerven. :rolleyes:
Zum Vergrößern anklicken....

Du glaubst also, weil bei TC der SourceCode offenliegt, es einfacher als bei FV ist, eine Luecke zu finden? Bestechende Logik. Du weisst, das diese Luecke aber fuer alle offenliegt..
 
sven77 schrieb:
Du glaubst also, weil bei TC der SourceCode offenliegt, es einfacher als bei FV ist, eine Luecke zu finden? Bestechende Logik. Du weisst, das diese Luecke aber fuer alle offenliegt..
Zum Vergrößern anklicken....
Wenn der Fehler im Code begründet ist, natürlich, bei FV kennst Du den Code nicht und muss Revers Engeneering betreiben, was natürlich komplizierter ist. Kannst ja mal die beim CCC fragen. :D
 
magheinz schrieb:
Es gibt diverse mathematische Methoden um Korrektheit von Programmen zu beweisen. Das bekannteste, weil 1. oder 2. Semester Informatikstudium ist das Hoare-Kalkül. Automatische Testverfahren existieren auch noch. Mit denen lassen sich recht zuverlässig so Sachen wie Bufferoverflows etc finden.
Zum Vergrößern anklicken....
Und das Verfahren funktioniert natürlich nur bei OpenSource Programmen, natürlich... :rolleyes:
 
pdr2002 schrieb:
Wenn der Fehler im Code begründet ist, natürlich, bei FV kennst Du den Code nicht und muss Revers Engeneering betreiben, was natürlich komplizierter ist. Kannst ja mal die beim CCC fragen. :D
Zum Vergrößern anklicken....

mag Spam sein. aber du glaubst doch bestimmt auch, das das Flugzeug nicht abhebt, oder?

Wenn Luecken geschlossen werden, dann doch am ehesten die, die fuer alle ersichtlich sind. Eben weil diese so einfach zu finden sind. Und schon das ausschliessen von Backdoors, schraenkt die Wahl auf Open Source Programme ein. Oder fuehlst du dich bei dem Gedanken wohl, das da draussen einer einen Generalschluessel fuer deine Wohnung hat?
 
Und deswegen soll ich lieber ein Schloss benutzen, dass jeder aufschließen kann, oder wie? Ich liebe diese rethorischen Fragen. :rolleyes:
 
magheinz schrieb:
Es gibt diverse mathematische Methoden um Korrektheit von Programmen zu beweisen. Das bekannteste, weil 1. oder 2. Semester Informatikstudium ist das Hoare-Kalkül. Automatische Testverfahren existieren auch noch. Mit denen lassen sich recht zuverlässig so Sachen wie Bufferoverflows etc finden.
Zum Vergrößern anklicken....

Theoretisch vielleicht. In der Praxis spielt aber die jeweilige Umgebung eine gewichtige Rolle. Für sich betrachtet läßt sich eventuell eine partielle Korrektheit nachweisen, insgesamt gesehen (im Zusammenspiel mit OS und anderen Komponenten wie z.B. Middleware etc) halte ich das aber für annähernd unmöglich. Mal ganz davon abgesehen ist das Hoare-Kalkül so aufwändig und damit arbeitsintensiv/teuer, daß es wohl gerade im OpenSource-Bereich eher selten angewendet wird, oder ?
 
Deep4 schrieb:
Mal ganz davon abgesehen ist das Hoare-Kalkül so aufwändig und damit arbeitsintensiv/teuer, daß es wohl gerade im OpenSource-Bereich eher selten angewendet wird, oder ?
Zum Vergrößern anklicken....
Siehe Ooo, welches ja nun auch nicht gerade vor Fehlerfreiheit strotzt. :D
 
In meinem Fall hatte das Laptop keine Verschlüsselung, nur ein Anmeldepasswort. Wenn sich jemand auch nur geringfügig auskennt (FW-Target-Modus, OSX DVD, Festplatte ausbauen), hat er die Daten.

Jetzt muss er sich zusätzlich zu dem noch um FileVault arbeiten, damit dauert das ganze etwas länger.

Und wenn jemand mein iBook klaut und bei eBay reinsetzt, muss ich wenigstens nicht fürchten, dass meine Emails bald im Netz für alle stehen...
 
Deep4 schrieb:
Theoretisch vielleicht. In der Praxis spielt aber die jeweilige Umgebung eine gewichtige Rolle. Für sich betrachtet läßt sich eventuell eine partielle Korrektheit nachweisen, insgesamt gesehen (im Zusammenspiel mit OS und anderen Komponenten wie z.B. Middleware etc) halte ich das aber für annähernd unmöglich.
Zum Vergrößern anklicken....
Alles nur eine Frage des Aufwandes. Wenn man ein Atomkraftwerk mit OS betreiben möchte oder ein Spaceshuttle,

Deep4 schrieb:
Mal ganz davon abgesehen ist das Hoare-Kalkül so aufwändig und damit arbeitsintensiv/teuer, daß es wohl gerade im OpenSource-Bereich eher selten angewendet wird, oder ?
Zum Vergrößern anklicken....
Denke ich auch, war ja auch nur ein Beispiel. Es gibt wesentlich modernere Methoden.

Der Punkt ist halt einfach das es bei OS geht, bei CS nicht. Ob sich der Aufwand rechnet ist dann natürlich wieder eine andere Sache und hängt vom konkreten Projekt ab. Hoare hat allerdings vermutlich eher keine wirkliche praktische Relevanz. Es ist halt mit das simpelste um Studenten eine einführung zu geben.

Aber schon der einfache code-review durch externe Leute steigert mein Vertrauen in OS-Verschlüsselung weit über das Maß des Vertrauens in CS-Cryptotool.
 
martinibook schrieb:
Jetzt muss er sich zusätzlich zu dem noch um FileVault arbeiten, damit dauert das ganze etwas länger.
Zum Vergrößern anklicken....
Wenn Du ein vernünftiges PW nimmst, daas Notebook unterwegs immer auschaltesst und den virtuellenb Speicher veschlüsseln läßt, sollte es sogsr eine ganze Weile dauern, zumindest ist bis heute kein Fall bekannt, wo es erfolgreich genackt wurde. :cool:
 
magheinz schrieb:
Denke ich auch, war ja auch nur ein Beispiel. Es gibt wesentlich modernere Methoden.

Der Punkt ist halt einfach das es bei OS geht, bei CS nicht.
Zum Vergrößern anklicken....
Ach und Du meinst CS-Hersteller können diese Methoden nicht einsetzen?
 
pdr2002 schrieb:
Ach und Du meinst CS-Hersteller können diese Methoden nicht einsetzen?
Zum Vergrößern anklicken....
Natürlich KANN er, aber tut er es auch?
Ist das eigentlich wirklich so schwer zu verstehen?

Du hast KEINE Möglichkeit selber die Korrektheit des codes zu überprüfen. Bei security-software ist das ein nogo. Ich würde mich jedenfalls nicht auf die Werbeaussagen des Hersteller verlassen müssen wollen.

Spätestens wenn ein dritter Ansprüche an dich stellt weil du ein Datenleck hast wirst du dein Sicherheitskonzept erklären müssen. Das wird aber schwer wenn du es überhaupt nicht kennst.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Quaoar
Ich bin der einzige Benutzer auf meinem System. Sollte ich freigewordenen Speicherplatz beim herunterfahren freigeben oder lohnt sich das nicht?
 
magheinz schrieb:
Natürlich KANN er, aber tut er es auch?
Ist das eigentlich wirklich so schwer zu verstehen?

Du hast KEINE Möglichkeit selber die Korrektheit des codes zu überprüfen. Bei security-software ist das ein nogo. Ich würde mich jedenfalls nicht auf die Werbeaussagen des Hersteller verlassen müssen wollen.

Spätestens wenn ein dritter Ansprüche an dich stellt weil du ein Datenleck hast wirst du dein Sicherheitskonzept erklären müssen. Das wird aber schwer wenn du es überhaupt nicht kennst.
Zum Vergrößern anklicken....
Das ist ja das schöne bei Closed software. Da weiss man eben, wen man fragen muss. Bei OpenSource ist das nicht so eindeutig, deswegen hat OpenSource bei uns auch kein gutes Standing. Du stellst das al so banal da, man kann sich ja den Code ansehen, aber einem selber fehlt ja in der Regel das KnowHow und Du bist auf Informationen von Dritten angewiesen und da weiss man in der Regel nie wie Vertrauenswürdig diese Informationen sind. Bei einer Firma hat man einen Vertrag, dass ist ein ganz anderes Vertrauensverhältnis, also ich habe in OpenSource eher weniger Vertrauen. :noplan:
 
pdr2002 schrieb:
Bei einer Firma hat man einen Vertrag, dass ist ein ganz anderes Vertrauensverhältnis, also ich habe in OpenSource eher weniger Vertrauen. :noplan:
Zum Vergrößern anklicken....
Dann frag doch mal bei apple ob sie dir sagen ob es einen Bug gibt. Du wirst da nix erfahren und das nächste 60MB Update einspielen.

ok, jedem das sein. Wer einem Profitorientierten Unternehmen mehr vertraut als einer community bestehend aus 1000en von Leuten der hats nicht anders verdient.
Was passiert wenn rauskommt das die Werbeabteilung "etwas" übertrieben hat als sie dir das "ultra-krasse-und-vollsichere-system" verkauft hat dass dann doch geknackt wird?
Wer sagt dir das nicht noch jemand anderes einen Vertrag mit dem Unternehmen hat, z.B. die Staatsanwaltschaft.

Bei closedsource MUSST du einem Unternehmen vertrauen, bei opensource kannst du einen Programmierer deiner Wahl mit einem codereview beauftragen.

Vertrauen in closedsourcesoftware ist blindes Vertrauen, und blindes Vertrauen hat mit Sicherheit genau gar nix zu tun.

Vermutlich ist diese iphone-backdor für dich auch ein feature statt ein handfester Skandal.

Für mich ist hier EOD zu dem Thema. Leute die Kerckhoffs’ Prinzip nicht verstanden haben kann ich beim Thema Verschlüsselung wirklich nicht ernst nehmen.
 
  • Gefällt mir
Reaktionen: Quaoar und starbuckzero
Kerckhoffs Prinzp besagt, dass der Verschlüsselungsalgorhytmus offen sein sollte und der Key geheim. Das ist bei FV gegeben, aber das verstehst Du anscheinend nicht. :noplan:
 
pdr2002 schrieb:
Kerckhoffs Prinzp besagt, dass der Verschlüsselungsalgorhytmus offen sein sollte und der Key geheim. Das ist bei FV gegeben, aber das verstehst Du anscheinend nicht. :noplan:
Zum Vergrößern anklicken....
Wo kann ich den Verschlüsselungsalgorhytmus sehen?
Nach Kerckhoffs Prinzip muss der Quellcode offen sein.
Woher soll man auch sonst wissen welcher Verschlüsselungsalgorhytmus verwendet wird. Und nein, ein buntens Prospekt in dem das drin steht ist NICHT ausreichend. Nicht nur der Algorhytmus, sondern auch seine Implementierung MUSS offengelegt sein.
 
starbuckzero schrieb:
Das ist schon deutlich länger her und zu 99,99999% FUD, wurde auch von MS Mitarbeitern sofort dementiert, siehe hier. Trotzdem nicht überprüfbar, siehe Absatz weiter oben.
Zum Vergrößern anklicken....

Ja, ein bißchen länger her ist es, von Juni 2008 (zumindest ist es da aufgefallen)

Kann man z.B. hier nachlesen.

Soviel dann zur sicheren Verschlüsselung. Da ist nämlich genau der Key, der zur Verschlüsselung der Daten benutzt wird, immer gleich.
 
sutz2001 schrieb:
Soviel dann zur sicheren Verschlüsselung. Da ist nämlich genau der Key, der zur Verschlüsselung der Daten benutzt wird, immer gleich.
Zum Vergrößern anklicken....
Aus genau dem Grund reicht es eben nicht nur den Algorithmus zu kennen, sondern auch seine Implementierung.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten