Vertrauenswürdig?



  • Wie sehr vertraut ihr gpg4win www.gpg4win.de? Staatstrojaner inklusive?



  • -lowbyte- schrieb:

    Wie sehr vertraut ihr gpg4win www.gpg4win.de? Staatstrojaner inklusive?

    Das Vertrauen in GPG4Win ist relativ hoch, da es open-Source ist. Ich würde mich darauf verlassen, dass durch die Möglichkeit jederzeit CodeReviews machen zu können da nichts schädliches drin ist. Wer ganz viel Paranoia hat kann ja selbst nachgucken.
    Ich schätze aber das Risiko, das Windows eventuell selbst Spähsoftware enthalten könnte, relativ hoch ein. Insgesamt ist also die Verschlüsselungskette auch mit "geprüftem" gpg4win trotzdem nicht vertrauenswürdig.



  • Morle schrieb:

    Das Vertrauen in GPG4Win ist relativ hoch, da es open-Source ist.

    https://xkcd.com/1181/

    Morle schrieb:

    Ich würde mich darauf verlassen, dass durch die Möglichkeit jederzeit CodeReviews machen zu können da nichts schädliches drin ist. Wer ganz viel Paranoia hat kann ja selbst nachgucken.

    Ja, klar, kann man mal eben nachgucken. 🤡

    Um ein Stück Software für vertrauenswürdig erklären zu können, muß es auditiert sein. Am besten mehrfach. Wenige katastrophale Sicherheitslücken sind so offensichtlich wie ein goto fail , da muß man sich schon sehr eingehend mit dem Code beschäftigen, und das ist ein Vollzeitjob.

    Weder von GnuPG noch TrueCrypt habe ich gehört, daß ausführliche Code-Reviews gemacht worden wären. Also nicht vertrauenswürdig. Vielleicht ein bißchen mehr als BitLocker und die S/MIME-Implementation in Outlook oder Windows Mail, aber vertrauenswürdig immer noch nicht.



  • audacia schrieb:

    Morle schrieb:

    Das Vertrauen in GPG4Win ist relativ hoch, da es open-Source ist.

    https://xkcd.com/1181/

    Morle schrieb:

    Ich würde mich darauf verlassen, dass durch die Möglichkeit jederzeit CodeReviews machen zu können da nichts schädliches drin ist. Wer ganz viel Paranoia hat kann ja selbst nachgucken.

    Ja, klar, kann man mal eben nachgucken. 🤡

    Um ein Stück Software für vertrauenswürdig erklären zu können, muß es auditiert sein.

    Du hast vollommen Recht, aber das Problem mit Sicherheit ist, dass je nach eigener Paranoia jeder außer einem selbst vertrauensunwürdig sein kann. Weißt Du, ob nicht alle Firmen, die Audits machen, gekauft sind? Kannst Du sicher ausschließen, dass ein Compiler nach dem Source-Code-Audit nicht doch wieder irgendwas in die Executable einbaut? Aber so lange der ganze Rest des Betriebssystems nicht aus geprüfter Software besteht, ist das doch eh müßig.

    Deswegen schrieb ich, für mich ist die Tatsache "open source" genug. Ob das für den OP reicht, muss er selbst wissen. So lange er Windows nutzt muss er sich aber über gpg4win sowieso keine Gedanken machen.



  • Morle schrieb:

    Das Vertrauen in GPG4Win ist relativ hoch, da es open-Source ist.

    Das ist wertlos, wenn fast keiner einen Code Audit macht.
    Selbst in einer sehr bekannten Seite der Linux Szene gibt's kaum Leute, die einen Code Audit gemacht haben und was hat das schon zu bedeuten, wenn diese Leute vielleicht nur eine einzige Anwendung sich angeschaut haben, während es über 30000 Pakete allein in Debian gibt:

    http://www.pro-linux.de/umfragen/2/193/haben-sie-schon-einmal-einen-code-audit-von-freier-software-durchgefuehrt.html



  • Morle schrieb:

    Das Vertrauen in GPG4Win ist relativ hoch, da es open-Source ist.

    Das halte ich auch für einen Mythos. Man schaue nur dieses Beispiel:

    http://www.heise.de/security/meldung/Schwache-Krypto-Schluessel-unter-Debian-Ubuntu-und-Co-207332.html

    Im Jahr 2006 ist der Fehler entstanden, 2008 wurde er entdeckt.

    Dieses "open Source = Sicher" basiert auf reinem Wunschdenken. Die Frage ist nicht ob man reingucken könnte, sondern ob es auch tatsächlich passiert. (und natürlich ob der, der reinguckt überhaupt ausreichend qualifiziert ist um Fehler zu entdecken)

    Wahrscheinlicher ist das ein Malware-Programmierer in den Source reinguckt um nach potentiellen Schwachstellen zu suchen, weil dieser dazu eine konkrete Motivation hat die nicht selten in $$$ ausgedrückt werden kann. Im Gegensatz dazu gibt es keinerlei finanzielle Motivation einen Bug zu schließen... Jetzt fragt euch selber mal im Stillen was ihr machen würdet mit einem Exploit den ihr entdeckt. Beseitigen und einchecken oder für 50k verkaufen...

    http://www.heise.de/security/meldung/Spekulationen-ueber-Schwarzmarktpreise-fuer-Exploits-1190694.html



  • Ja das weiss ich das pgp4win open source ist. Aber von dem Quelltext zur binarie ist es ein langer Weg! Dass das ganze noch das BSI finanziert macht es nicht gerade besser...



  • Morle schrieb:

    Du hast vollommen Recht, aber das Problem mit Sicherheit ist, dass je nach eigener Paranoia jeder außer einem selbst vertrauensunwürdig sein kann. Weißt Du, ob nicht alle Firmen, die Audits machen, gekauft sind?

    Das sind oft genug auch Einzelpersonen. Außerdem ist die Wahrscheinlichkeit, daß alle gekauft sind, gering.

    Morle schrieb:

    Kannst Du sicher ausschließen, dass ein Compiler nach dem Source-Code-Audit nicht doch wieder irgendwas in die Executable einbaut?

    Beziehst du dich auf "Reflections on Trusting Trust"? 🙂

    Morle schrieb:

    Aber so lange der ganze Rest des Betriebssystems nicht aus geprüfter Software besteht, ist das doch eh müßig.

    Denke ich nicht. Ich sehe da einen klaren Unterschied zwischen der System- und der Kommunikationssicherheit. Man kann davon ausgehen, daß die Geheimdienste irgendwie auf deinen Rechner Zugriff erlangen können, wenn sie wirklich wollen; das dürfte aber ein personalintensiver Vorgang sein und das Risiko bergen, daß die Methoden entdeckt werden (siehe Bundestrojaner), so daß sie es wohl nur in begründeten Einzelfällen tun werden. Wenn aber wegen einer hinreichend schweren Sicherheitslücke in deiner PGP-Implementation die Verschlüsselung deiner Kommunikation gebrochen werden kann, können die Dienste deine gesammelte Korrespondenz – möglicherweise mit einigem Rechenaufwand, aber dafür vollautomatisch – entschlüsseln und ihren Analyse-Datenbanken zuführen. Über Ersteres mußt du dir sicherlich Gedanken machen, wenn du beim Guardian arbeitest oder so, aber letzteres ist für jeden eine Katastrophe.

    Praktisch gesehen hast du natürlich recht, und man tut wohl besser daran, quelloffene Software zur Verschlüsselung zu benutzen. Aber gerade GPG4Win und TrueCrypt kommen mir für Open-Source-Projekte recht obskur vor; ich habe höchstens weniger Mißtrauen als bei der Closed-Source-Konkurrenz. Von Vertrauen kann da gar keine Rede sein.


Log in to reply