Proprietäre Software gegen Open-Source-Verschlüsselung / Sicherheit

2875
Felix Dombek

Ich hatte gerade einen Streit mit Kollegen über die Nützlichkeit der Microsoft BitLocker- Laufwerkverschlüsselung, um Vertreter des Staates (FBI usw.) von Daten fernzuhalten. Sie waren überzeugt, dass Hersteller von proprietärer Software Hintertüren in ihren Algorithmen haben, die in schweren Fällen verwendet werden können, z. B. bei Verdacht auf Terrorismus usw.

Die Alternative ist natürlich TrueCrypt, weil der Code theoretisch offen ist und von der Öffentlichkeit eingesehen werden kann. Obwohl ich die Programmiersprache beherrsche, habe ich in der Praxis nicht genügend Kenntnisse des Algorithmus, um eine mögliche Hintertür oder ein Merkmal erkennen zu können, das einem absichtlichen kryptografischen Angriff einen Vorteil verschaffen könnte. Weiß jemand, ob der Code von einer vertrauenswürdigen dritten Partei überprüft wurde? Und wenn ja, wie wird ihre Vertrauenswürdigkeit festgestellt?

Um zu den allgemeinen Fragen zu kommen:

  1. Wie würde sich ein Unternehmen, das seine Dateien wirklich geheim halten möchte, für seine kryptographische Lösung entscheiden? Sie können nicht zu 100% sicher sein, dass BitLocker sicher ist, oder? Würden sie in der Praxis jedoch sicherstellen, dass TrueCrypt ist?

  2. Wie schätzen Sie die Chance ein, dass Microsoft und ähnliche Unternehmen mit Regierungsbehörden zusammenarbeiten, und ihnen einen Vorteil verschaffen, wenn sie ihre Sicherheit brechen, so dass es nicht Tausende von Jahren dauert, bis sie kaputt gehen können (wie lange sollte BitLocker dauern)?

1
"Ich kenne die Programmiersprache, ich habe nicht genug Kenntnisse über den Algorithmus, um eine mögliche Hintertür oder eine Funktion erkennen zu können, die einem absichtlichen kryptografischen Angriff einen Vorteil verschaffen könnte." Kein Problem, denn es gibt wahrscheinlich Hunderte von Menschen auf der ganzen Welt, die dieses Wissen für Sie tun. Linker3000 vor 13 Jahren 3
Haben Sie von dem "Underhanded C Contest" gehört? Wenn es eine vorsätzliche Fälschung gab, gibt es keine Garantie, dass jemand sie erkennen würde. Felix Dombek vor 13 Jahren 3

3 Antworten auf die Frage

5
William Hilsum

Microsoft hat ziemlich genau erklärt, dass es in Bitlocker keine Hintertür gibt, und ich denke nicht, dass dies in ihrem besten Interesse ist, da die Rückwirkung enorm sein würde.

Das Leck der Microsoft COFFEE-Tools enthält im Wesentlichen eine Vielzahl von Methoden, die der Sicherheitsbranche bereits bekannt sind, und zwar in einem einfach zu verwendenden Produkt für die Strafverfolgung, aber keine Stelle für Hacklocker.

Ich sage nicht, dass es nicht existiert, aber ich finde es höchst unwahrscheinlich.

Es gibt nichts, was Sie davon abhält, ein Bitlocker-Laufwerk zu verwenden und dann eine Truecrypt-verschlüsselte Datei darin zu haben!

Ich denke, die wahrscheinlichste Art, wie eine Verschlüsselung gebrochen wird, ist reine Brachialkraft durch Supercomputerleistung.

4
LawrenceC

Um Ihre erste Frage zu beantworten, könnte das Unternehmen:

  • Erstellen Sie ein eigenes Verschlüsselungssystem (sehr schwierig)
  • Beauftragen Sie einen Berater oder einen vertrauenswürdigen / rechtlich haftenden Dritten, um öffentlich verfügbaren Code zu überprüfen
  • Melden Sie sich für das SharedSource-Programm von Microsoft an, und überprüfen Sie den Code von Microsoft
  • Mehrere Verschlüsselungsebenen verwenden (zB Bitlocker und Truecrypt zusammen)

Ich überlasse die Beantwortung der zweiten Frage jemandem, der sich mit BitLocker auskennt.

1
surfasb

Ich finde es höchst unwahrscheinlich, dass es eine Hintertür zu Bitlocker gibt. Wenn man bedenkt, wie viel Kontrolle Microsoft immer unter Kontrolle hat, gibt es viele großartige Programmierer, die in der Lage sind, Microsofts Versuche einer Hintertür auszuloten. Darüber hinaus gibt es viele hochkarätige Clients, die Microsoft verlassen würden.

Es klingt einfach nach einem insgesamt schlechten Geschäftsplan.

Microsoft ist auch eine US-amerikanische Firma mit vielen Regierungsaufträgen - es würde sehr schwierig sein, eine Anfrage für einen speziellen Zugriff abzulehnen. Martin Beckett vor 13 Jahren 4

Verwandte Probleme