[linux-l] Sicherheit oder irgendwas, hauptsache einfach?

[Lutz Willek]

Mike Dornberger wrote:
> Hallo,

[fachsimpeln über die beste Art der Verschlüsselung nebst dem 
unschlagbarsten Programm dazu, dann Abschweifen zu Exploits und anderen 
Ungetieren]

> Du willst wirklich auf einem Rechner, den du nicht hinreichend (sagen wir:
> in Bezug auf dein Paranoia-Level *g*) genau kontrollierst, deine geheimen,
> vierfach verschlüsselten Daten einlesen? ;)

Definitiv- Nein. Aber um mich geht es hier gar nicht, auch nicht um 
meinen Paranoia-Level.

Es geht mir darum, einen vernünftigen Umgang mit sensiblen Daten zu 
erreichen, und das mit minimalen Aufwand. Beispiele, einige von Dir:
Was mache ich, wenn mein Kumpel Windows hat..
Oder BSD, oder...
Oder mal schnell über eine unsichere Leitung sensible Daten...
Oder mein Laptop geklaut wird, mit meinen persönlichen Daten...
Oder meine MP3 Sammlung auf externer Festplatte...
Oder ich eine Email verschlüsseln will...
Oder ich eine Überweisung per Internet...

Das alles will verschlüsselt werden. Es gibt kein Programm, das alle 
diese Sachen oben beherscht. Je nachdem was Du erreichen willst benutzt 
Du unterschiedliche Technologien, unterschiedliche Programme. Deswegen 
hat es wenig Sinn, sich über technische Vor und Nachteile von Proggi X/Y 
zu streiten.

Was aber sehr wohl Sinn macht ist den Benutzer der Umgang mit irgend 
einem dieser Programmen zu erklären, so das er *versteht* was er tut, 
warum er diese Programme einsetzen soll, warum es dennoch keine
> Ultimative Sicherheit[TM]
gibt. ^^-gefällt mir übrigens :-)

> [Vortrag]
> Falls nicht eh schon geplant: Gehe auch mal darauf ein, daß der Mensch/
> Anwender oftmals das schwächste Glied ist und die schönste Verschlüsselung/
> Sicherheit "kaputt macht".
[ Dein Beispiel mit dem Physik-Professor]
> Ich habe es bis dahin nicht glauben wollen, daß es so viele Leute gibt, die
> schlechte Paßwörter einsetzen. Also gerade auch bei denen, "die das denken
> gelernt haben" (sage ich mal ketzerisch). (Stichwort hierzu: Social
> Engineering)

Ja, eigentlich müsste man genau an diesen Punkt ansetzen, ich erlebe das 
so oft... Ok, es gibt noch einen Kurzeinschub, zum ausdrucken und an die 
Wand heften:
"wie merke ich mir mein Passwort? Wie komme ich überhaupt auf mein 
Passwort? Warum gebe ich es nie weiter? Warum schreibe ich es nicht auf? 
Warum hat es mindestens neun Stellen und so komische Sonderzeichen?"
Dauer: 5-8 Minuten, das lohnt sich.
> 
> Viele denken ja sowas, wie: "Hey, jetzt habe ich nen Fingerabdruck- und
> Netzhautscanner! Jetzt habe ich die Ultimative Sicherheit[TM] erreicht!"
> ohne nochmal genau darüber nachzudenken.

Du sprichst mir aus der Seele. Das verbreitetste Beispiel dafür sind 
Windowsbenutzer, die sich eine Firewall nebst Vierenscanner installiert 
haben und alle automatischen Updates mitmachen. Und dann denken Sie: 
"Ich habe die
> Ultimative Sicherheit[TM], jeah!

Sicherheit ist ein Prozess, kein Zustand. Aber das Thema nehme ich nicht 
noch mit ins Programm, sonst kommen die Leute nicht vor 22:00 Uhr nach 
Hause.

> Wichtig ist vielleicht auch, daß du erwähnst, daß sobald die Platte
> gemountet ist, der Schutz durch die Verschlüsselung nahezu aufgehoben ist -

Das werde ich auf jeden Fall tun. Das habe ich ja in meiner letzten Mail 
schon mal kurz angeschnitten. Nur eine kalte (Fest)Platte ist eine gut 
verschlüsselte Platte. Sobald Sie gemountet ist hat das Betriebssystem 
wieder die Macht über die Daten.

> jedenfalls wenn es jemanden gelingt, in das laufende System einzudringen.
> Die schlechten Account-Paßwörter von oben lassen wieder grüßen, z. B. Von
> ausnutzbaren Lücken in laufenden Programmen (Servern) oder dem Kernel mal
> ganz zu schweigen. Keylogger hast du ja selbst schon angesprochen, bzw.
> kamen schonmal. Im übrigen nicht nur als Programm: Die Signale, die von der
> Tastatur kommen, könnten ja auch aufgezeichnet/per Funk weitergegeben
> werden.

hmm, wer von uns beiden war nochmal paranoid? ;-)

> Grüße,
>  Mike
s/Mike/Lutz