Rolf B: Anzeige-Box bei Safari zu klein

Beitrag lesen

Hallo TooLate,

hoffentlich bist du bei deinem(*) Cryptosystem weniger traditionsbewusst. Tradition ist etwas, worauf man stolz sein kann…

Dein Bild einer Enigma auf der Hardwareseite ist durchaus traditionsvoll, die Enigma war eine ganze Zeit lang ein starkes Stück Datenschutz. Bis Alan Turing kam und die Kryptoanalyse erfand. Seitdem weiß man, dass sichere Verschlüsselung nach den Prinzipien der Enigma nicht geht.

Es wird wieder eine Zeit kommen, an dem man sich die alten "Werte" zurück wünscht.

Die Zeit und die Werte der Leute, die die Enigma verwendet haben, hoffentlich nicht. Diese „1000 Jahre“ brauchen wir nicht mehr. Wenn es um Werte geht wie „frag Dich, was Du für deine Mitmenschen tun kannst und nicht, was deine Mitmenschen für Dich tun können“, und „sei respekt- und rücksichtsvoll“ - ok, bin dabei. Oder einfach Markus 12,30-31. 30 ist eine persönliche Sache, aber an Vers 31 hängt unsere ganze Ethik.

Allerdings klingt dein Konzept, genau wie die Enigma, nach Security by Obscurity und muss darum erst einmal angezweifelt werden. Als sicher bezeichnen kann man es dann, wenn ein Peer Review - sprich: andere Krypto-Experten - es begutachtet hat und als sicher beurteilt. Wer hat das getan? Welche Referenzen als Krypto-Experte hast DU? Welche Algorithmen verwendest Du? Welche Schlüssellängen nutzt Du, welches Verfahren siehst Du zum Schlüsselaustausch vor? Diese Informationen sollten öffentlich sein, damit dein System bewertbar ist.

Ohne eine Verbindung in das Internet kann die Verschlüsselungssoftware nicht "online" entführt und der Cryptocode geknackt werden.

Dieser Satz deutet auf Schlangenöl in deiner Box hin. Krypto-Software kann gerne öffentlich sein. Die Stärke eines Kryptosystems muss in den Schlüsseln liegen.

Auffällig ist, was der Screenshot deiner Software nicht zeigt: den Schlüsselaustausch mit dem Kommunikationspartner, oder die Angabe einer Empfänger-ID. Wenn Du für alle Kommunikationen, egal mit wem, den gleichen Schlüssel nutzt, ist die Box sinnlos. Ich kaufe eine, fange fremde Nachrichten ab und schwupps, kann ich sie entschlüsseln.

Ich lasse mich gerne überzeugen, deine Beschreibungen fehlgedeutet zu haben. Bis dahin betrachte ich - sehr traditionsbewusst - Cäsar als dein Vorbild, mit aus heutiger Sicht unwesentlich anderer Sicherheit. Eine schöne und elegante Box nützt nichts, wenn der Inhalt nicht das hält, was er für die Stärke heutiger Angriffe zusichern muss.

Nimm mir die harten Worte bitte nicht übel. Sieh sie vielmehr als Prüfstein für die Tauglichkeit deines Konzepts. ICH bin ein Krypto-Laie, mit einem Achtel- bis Viertelwissen über die heutigen Verfahren (zum Halbwissen reicht's bei mir nicht). Wenn dann schon bei mir die Alarmglocken klingeln, wie arg muss es dann bei jemandem sein, der Ahnung davon hat. Und wenn Leute deine Box kaufen, die keine Ahnung von Kryptologie haben, aber darauf vertrauen, dass Du weißt was Du tust - und es dann nicht so ist; wenn wegen Schwächen deiner Box jemand richtig Geld verliert, dann bist Du möglicherweise sogar mit einem Bein vor dem Richter, wegen Betrugs. Bestimmt willst Du das nicht.

Gruß Rolf

--
sumpsi - posui - clusi