[linux-l] Re: Useablility / was 1024 bit RSA Encryption compromized

[Steffen Dettmer]

* Ralf Cirksena wrote on Mon, Apr 01, 2002 at 10:27 +0000:
> Am 2002-03-31 23:23 CEST, schrieb Steffen Dettmer:
> 
> > Na ja, nur leider ist POP ja so viel tausendmal dümmer als
> > IMAP...
> 
> Manchman ist Dummheit ein echter Vorteil. Die Möglichkeiten, mit pop3
> Blödsinn zu veranstalten, sind aber auch geringer.

Ja, das stimmt schon, aber bei großen Foldern... Na ja, Du kennst
die Vor-/Nachteile sicherlich selbst genug, brauchen wir nicht zu
diskutieren. Schon klar.

[24 vs. 2 Stunden update]
> > Hast Du da einen Link oder so? Einen, dessen Infos am besten auch
> > für Chefs verständlich sind? ;) u know...
> 
> Nein, leider nur meine eigenen Erfahrungen.

Schade, damit kann ich meine Kollegen wohl nicht überzeugen...

> Ich bekomme auch immer die Virenwarn-Mails von Sophos. Maximal
> 1,99 Stunden danach sind unsere Scanner aktualisiert.

Wieviel bringt denn das so i.d.R.? Ich meine, komme die Viren
i.d.R. z.B. 12 Stunden nach dem "Alarm"? Oder eher schon oft 2
Stunden vorher? Ich hatte schon öfter mal Viren, die dann ein,
zwei Stunden später erst in bugtraq (oder so) beschrieben wurden.
Aber ich hab dafür auch nicht die richtigen Newsletter.

> > Jedenfalls finde ich es krank, sich auf Systeme zu verlassen, die
> > nichtmal die zwei RSA und eine oneway-Hash Operationen
> > durchführen...
> 
> Na ja, ich habe nicht die Zeit und mein Arbeitgeber nicht das Geld daß
> ich mir die Virenscanner-Updates direkt in GB abholen kann.

Wieso aus GB?! Man kann doch FTP verwenden, nur eben das File die
128 oder 160 Bit (nichtmal Byte! BIT!) länger machen, wem schadet
das denn? Und wenn der verschlüsselte Hash mal nicht stimmt, haut
eben was nicht hin, man verschickt ne Mail an den Admin, und
ignoriert das kompromitierte File einfach, oder probiert es dann
einfach per HTTP von woanders etc.

> Das zwingt zu Kompromissen.

Wieso, das wäre doch völlig transparent?!

> Virenscanner bieten ja sowieso nur eine relative Sicherheit.

Ja, klar. Aber so ein Hash ist ja nu auch nicht der
Riesenaufwand. Ein Witz, wenn man die Rechenleistung vergleicht,
die man für einen einzigen Scan benötigt!

> > Häh? Wieso? Wenn er die Manipulation von ziemlich einfach auf
> > ziemlich schwierig erhöht? Erklär mal!
> 
> Wenn er die zumutbaren Maßnahmen zur Absicherung nicht getroffen hat,
> kann er (oder sein Admin) Ärger bekommen.

Na ja, aber ein Hash von 128 Bit ist ja nu auch sehr gut zumutbar
(für den Hersteller), oder?

> Genauere Infos findest Du unter <http://www.lessing.de/misc-dl.htm>,
> dort v.A. das Dokument 074.pdf, Seite 18ff (Außenhaftung).

Sehr interessant, danke für den Link! Hab's erstmal nur
überflogen... Muß man wirklich mal genau lesen und sich auch mal
die Referenzen angucken. Denn wenn mal was schiefgeht, sucht man
ja immer einem, dem man das in die Schuhe schieben kann...

> Nicht, daß Du Deinen Job sofort hinschmeißt, wenn Du den gesamten Text
> gelesen hast ;-)

Ich hab meinem Chef öfter auf diverse Probleme hingewiesen. Damit
sollte ja mein Teil erfüllt sein :)

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.