Herzlich Willkommen im Gästebuch von www.repges.net!

Ihr Moderator ist Markus




Seite zurück |Zurück zur Homepage| Nächste Seite


 Einträge: 49 | Aktuell: 38 - 29Neuer Eintrag
 
38


Name:
Markus Repges (markus@repges.net)
Datum:So 29 Mär 2009 21:09:32 CEST
Betreff:Ich danke!
 Vielen Dank, das freut mich. :-)

Markus Repges
 
 
37


Name:
Sigrid (sigrid@nospam.at)
Datum:Sa 28 Mär 2009 19:49:54 CET
Betreff:Danke!
 Vielen Dank für die schön aufbereiteten Informationen zu SSL/TLS. Sie haben mir geholfen, mich ein Stück im Kryptodschungel weiterzubewegen. Sigrid
 
 
36


Name:
Markus Repges (markus@repges.net)
Datum:Mi 07 Jan 2009 22:35:52 CET
Betreff:Das ist wohl wirklich eine Frage der Philosophie
 Hallo,
aus der eigenen beruflichen Praxis weiß ich, dass die Frage, ob AES, Serpent oder Twofish meist das geringste Problem ist. Eine Kette reißt immer am schwächsten Glied. Und das dürfte in den seltensten Fällen eine korrekte Implementierung des AES sein. Ich würde mich freuen, wenn 50 % der geschäftlichen E-Mails verschlüsselt wären, bei denen das eigentlich erforderlich wäre.
Der Gegner ist auch nicht immer die NSA oder Profihacker aus China. Und nicht immer gilt es, VS-klassifizierte Informationen zu schützen. Der Schutzbedarf ist der Schlüssel zu einem vernünftigen und wirtschaftlichen Konzept. Bei erhöhtem Schutzbedarf sollte man dann eine Risikoanalyse durchführen, die zu einem umfassenden Sicherheitskonzept führt, das deutlich mehr beinhaltet als die Auswahl eines geeigneten Verschlüsselungsalgorithmus. So kann man genau die Maßnahmen auswählen, die erforderlich sind. Und wenn das heißt, dass man alle Register ziehen muss, dann ist das meintwegen so. Aber bitte mit einer fundierten Begründung und nicht nur, weil man glaubt, das Maximum erreichen zu müssen. Schließlich muss auch jemand die Rechnung für die Maßnahmen bezahlen.

Noch einmal: Ich bestreite nicht, dass Twofish oder Serpent sicherer als Rijndael sind. Aber die Diskussion führt meines Erachtens an den realen Problemen vorbei.
Viele Grüße
Markus Repges
 
 
35


Name:
PIK (nö@laßt.mal)
Datum:Mi 07 Jan 2009 01:30:08 CET
Betreff:p.s.
 "Ich finde die Frage, ob Serpent sicherer als AES / Rijndael ist, für nicht so wichtig, so lange AES als hinreichend sicher betrachtet werden kann. Warum soll man sein Ziel übererfüllen, wenn man das mit einer deutlich schlechteren Performance erkauft? Man kann ja statt AES-128 auch AES-256 einsetzen." Nachdem Compusec mit der v5 FDE von AES-128 auf AES-256 umgestellt hat, will es kaum noch jemand haben (privat). Weil es genauso lahm oder lahmer als andere Produkte wurde. Das war nicht erst seit TrueCrypt 5.x so, denn in der Zeit fing erstmal die Jagd der Newbies nach Links zu Compusec v4, da es auf der Herstellerseite nicht mehr verfügbar war (4.24 und 5.2 sind momentan aktuell). Twofish war (bis Gladman) ungefähr so schnell wie hypot. AES-200 und so sicher wie hypot. AES-300 (sehr einfach ausgedrückt). DAS ist ein trade off ;-) Selbst mit dem Kode von Gladman ist AES auf x86 ~10% schneller als der aktuelle Twofish-Kode. Wobei man davon auf Systemen von spätestens 2007 real nichts bemerkt. In Sicherheitsfragen wird das Ziel oft entweder leicht höher als nötig gesetzt bzw. eben überfüllt. Eben wegen der Sicherheit. Denn man kennt zum Zeitpunkt nicht alle "skills" der Welt die einem gefährlich sein könnten. Selbst die Welt kennt sie manchmal nicht, da manche "skillvolle" Kreise sich gerne so lange es geht aus dem Weltlichen raushalten. Das ist die Philosophie auf welcher ausreichend gute Sicherheitstechnik basiert. Die kenn ich ja berufswegen... Ok. Das reicht nun. Viel Spaß noch mit der Seite bzw. viel Spaß den Lesern mit den Inhalten. Sie sind nämlich ohne Frage alle sehr interesant.
 
 
34


Name:
PIK (nö@laßt.mal)
Datum:Mi 07 Jan 2009 01:09:50 CET
Betreff:Seite / MEthoden
 Hallo Seite gefällt. Wie schon viele andere gesagt haben. Da mit den Algos ist natürlich "spannend". gut, daß es mehr als nur einen gibt ;-) Ob Serpent 3x oder 4x sicherer als AES ist, spielt vielleicht keine große Rolle, aber Twofish ist 2x sicherer (die Zahlen nur als Beispiel) und war - bis Gladman einen sehr schnellen x86 Kode hingelegt hat - auch merkbar schneller. Hinreichend heute, hinreichend vielleicht auch noch morgen. Ich mag keine Sicherheit die auf Kompromissen aufbaut. Vor allem da Twofish sich in 2 Versionen implementieren läßt. Die eine ist sehr schnell beim Kodieren, die andere beim KeyManagment. Jedem das seine und für jeden genug dabei. AES ist nicht mehr als das wofür es erklärt wurde. Ausreichend sicher mit 14 Runden und den Erwartungen entsprechend schnell. Den Sieg haben ihm aber eher SmartDevices beschert. Wo es auf paar KB und µA ankam. Etwas, was daheim keine Rolle spielt. Letztendlich sei die Wahl der Software und der Methoden den eigenen Präferenzen überlassen. Schön, daß es eine Auswahl gibt. NICHT SCHÖN ist es aber, daß man Programme wegen der populären aber undruchdachten Lobhuddelei der Semipros und schlechter Hobbyisten - an den Mann mit dem Schlagwort "AES" bringen möchte. als wäre das ein Garant für irgendetwas. Bekanntlich Blödsinn. Es kommt sowieso auf die Implementierung an. Davon gab es schon genug "schäbige". So ist die Wahl eben kaum eine. Mich wundert es nicht, wenn einige mittlerweile leicht alergisch auf sowas reagieren ;-) Man braucht AES nicht verteidigen, man muß es aber auch nicht künstlich so überstrahlen, daß *Unbedarfte* "AES" und nur AES automatisch mit "sicher" assozieren. Das erinnert an die Hunde von Pavlov. So etwas braucht man nicht forcieren.
 
 
33


Name:
Markus Repges (markus@repges.net)
Datum:Di 06 Jan 2009 17:51:12 CET
Betreff:Links mit Link (?)
 Ich nochmal,
so sollte man (hoffentlich) auch auf die Links klicken können - ist ja etwas komfortabler als kopieren. ;-)
http://www.heise.de/security/artikel/103093
http://www.heise.de/security/artikel/113014
http://www.heise.de/security/news/meldung/119781
Viele Grüße
Markus Repges
 
 
32


Name:
Markus Repges (markus@repges.net)
Datum:Di 06 Jan 2009 17:45:08 CET
Betreff:AES-Lobhudelei
 Hallo,
was genau stört Sie denn an der abschließenden Bewertung des AES bzw. wie würden Sie es anders schreiben? Ich dachte eigentlich, das recht neutral formuliert zu haben, lasse mich aber gerne verbessern - wenn ich einsehen kann warum. ;-)
Ich wollte damit auch nicht andeuten, dass die Mannen um Bruce Schneier kompletten Blödsinn geschrieben haben. Dennoch muss man bei dem Paper berücksichtigen, dass es in der heißen Phase der Algorithmenauswahl verfasst wurde (Mai 2000) und das Abschlussplädoyer der Gruppe für Twofish darstellt. Jeder Wissenschaftler sucht primär nach den Argumenten, die seine These stützen. Das halte ich für absolut normal.
Ich finde die Frage, ob Serpent sicherer als AES / Rijndael ist, für nicht so wichtig, so lange AES als hinreichend sicher betrachtet werden kann. Warum soll man sein Ziel übererfüllen, wenn man das mit einer deutlich schlechteren Performance erkauft? Man kann ja statt AES-128 auch AES-256 einsetzen. Viel wichtiger ist doch die Frage, ob ein Algorithmus tatsächlich korrekt umgesetzt wurde. Beispiele gibt es da leider genug:
http://www.heise.de/security/artikel/103093
http://www.heise.de/security/artikel/113014
http://www.heise.de/security/news/meldung/119781
Viele Grüße,
Markus Repges
 
 
31


Name:
Der Schüler (ano@nymus.org)
Datum:So 04 Jan 2009 15:44:07 CET
Betreff:Jou :-)
 Das stimmt. Man sollte sich an so einem Tag um diese Uhrzeit mehr Ruhe beim Lesen gönnen. Oder es sein lassen :-) Serpent ist in der Tat ungefähr so schnell wie DES. Auch wenn mir das hier auf x86 schon ziemlich gefällt http://fp.gladman.plus.com/cryptography_technology/serpent/index.htm Trotzdem sind die von sonstwo übernommenen und wiederholt gleichen Hymnen auf AES oft nicht wirklich 100% richtig. So schlimm kommt mir das nun aber nicht mehr vor hier ;-) Gute Seite, auch wenn sie nicht brandaktuell ist. p.s.: In welchem Masse man die Aussagen der Twofish-Macher ernstnehmen sollte hat wohl nicht mit der Tatsache zu tun, daß sie Twofish-Macher sind. Voreingenommenen Blödsinn erzählen kann man sich in der "Umgebung" nicht leisten. Fergusson hat AES schon recht nah an die Karre gefahren. AES-128 hat ja nur 10 Runden.
 
 
30


Name:
Markus Repges (markus@repges.net)
Datum:Mi 31 Dez 2008 15:28:56 CET
Betreff:Ich bin ja für _qualifizierte_ Diskussionen...
 Hallo "Herr Professor",
wo habe ich denn behauptet, dass Serpent so sicher wie DES bzw. 3DES ist? Ich zitiere mal, und dann dürfen Sie mir gerne Ihre Meinung noch einmal näher bringen:

~~~ Zitat Anfang ~~~
Das Design von Serpent kann als äußerst konservativ angesehen werden, was von den Entwicklern von Serpent auch so beabsichtigt wurde. Die Geschwindigkeit von Serpent entspricht etwa der von DES, wobei die Sicherheit oberhalb von Triple-DES anzusiedeln ist, solange die Schlüssellänge hinreichend groß ist.
~~~ Zitat Ende ~~~

Das von Ihnen angegebene Paper stellt die Begründung der Entwickler von Twofish dafür dar, warum ausgerechnet Twofish für den Advanced Encryption Standard ausgewählt werden sollte. Insofern kann das wohl nicht als unabhängige Literatur gewertet werden - auch wenn wir alle natürlich Bruce anbeten. ;-)
Zur Bewertung der Algorithmen würde ich dann doch eher folgendes Paper vorschlagen:
http://csrc.nist.gov/archive/aes/round2/r2report.pdf

Ich gebe aber zu, dass der Inhalt dieser Website einen ziemlich alten Stand repräsentiert - schließlich wurde IPSec in der Zwischenzeit auch renoviert. Ich habe aber im Moment einfach nicht die Zeit, die Texte zu aktualisieren. Wenn Sie mir dabei behilflich sein möchten, werde ich Sie auch gerne lobend erwähnen. :-)

Viele Grüße
Markus Repges
 
 
29


Name:
Ja Ich (ano@nymus.org)
Datum:Mi 31 Dez 2008 03:54:54 CET
Betreff:Auffrischen
 Die Behauptung, daß Serpent ungefähr so sicher wie DES bzw. 3DES ist, läßt einem die Haare zu Berge stehen. Bitte einlesen und einige der Beschreibungen der AES-Finalisten vernünftig überdenken. Sonst eine recht feine Seite. Vor allem SSL und IPsec gefallen. mfG. der Prof ;-) p.s.: http://www.schneier.com/paper-twofish-final.html
 
 


Seite zurück |Zurück zur Homepage| Nächste Seite