1 up | 2 up | 3 up | 4 up | 5 up | 6 up | 7 up | 8 up | 9 up | 10 up | 11 up | 12 up |
^^^ Additional posts ^^^
zorg.ch
#14952 by @ 27.11.2002 23:02 - nach oben -
aso. das ist ne gute frage, weil dieser post in den tiefen unserer db liegt... werd ihn aber mal suchen.
zorg.ch
#14975 by @ 28.11.2002 08:37 - nach oben -
hm... habe es gestern nicht gefunden. es ging aber um einen trojaner in einer linux-software, wozu du gemeint hast, dass man doch keine unbekannte software benutze, dass man immer den code lesen und verstehen solle... daraufhin wollte ich halt wissen, ob du das machst, aber du hast leider nicht mehr geantwortet.
zorg.ch
#14976 by @ 28.11.2002 09:13 - nach oben -
Okay.
Nun, ich hab die Sache selbst gesucht, aber nicht gefunden. Ich bin mir aber durchaus bewusst, das ich mal so eine Aeusserung gemacht habe. Allerdings denke ich nicht, das ich sie ernst gemeint habe.
(Ist durchaus moeglich, das man das bei mir nicht merkt, mein Chef meinte mal, ich sei ernsthaft von XML begeistert).
Gegen Trojaner in Software hilft nur eines. GPG Sigs pruefen.
zorg.ch
#14977 by @ 28.11.2002 09:25 - nach oben -
es hat sich dort doch recht ernsthaft angelesen...
aber dir sei verziehen.

dennoch: auch sigs prüfen bringt ja nicht absolute sicherheit, es ist nur ein anhaltspunkt... zwar ein seeeehr triftiger, aber nicht absolut.
zorg.ch
#14978 by @ 28.11.2002 10:24 - nach oben -
Nicht absolut, nein. Aber der Aufwand, eine GPG Sig zu faelschen ist unglaublich hoch, so das es ueberhaupt nicht mehr lohnenswert ist, dies zu probieren.

Wir bedenken:
Fuer das faelschen einer GPG Sig braucht man
a) Mehr Rechenzeit als wir im moment haben
b) den Private Key des Authors und ein paar Jahre Zeit
c) den Private Key des Authors MIT passphrase

Moeglichkeit a) nehmen wir in den naechsten 10 Jahren als unmoeglich an.
Moeglichkeit b) ist unrealistisch, ein Schluessel laeuft normalerweise nach 2 Jahren ab.
Moeglichkeit c) bleibt als einzige. Hier ist wieder der Schwaechste Faktor bei IT-Sicherheit im Mittelpunkt. Der Mensch. Dies ist die einzig realistische Variante. Erfolgreicht praktizitiert wurde sie, iirc, jedoch noch nie.

Als Schlussfolgerung:
GPG Sigs schuetzen vor Trojanern.
Nicht jedoch vor boeswilligen Authorenr.

Sicherheit kann absolut sein, wenn man einen Angriff definiert.
zorg.ch
#14984 by @ 28.11.2002 12:08 - nach oben -
Soweit ich mich erinnenr kann, waren grad vor ein paar Wochen Files von sendmail Trojaner infoziert, weil die Jemand in den Current-tree eingeschläust hat. Da nützt die keine einzige GPG Sig irgend was. Daraus folge ich, es gibt keine Sicherheit.
zorg.ch
#14988 by @ 28.11.2002 13:00 - nach oben -
http://www.theregister.co.uk/content/55/27511.html

[x] du redest bullshit
[x] du willst jetzt lieber ruhig sein