News Google Cloud Storage wird verschlüsselt

[guillome]

Ich weiß nicht was schlimmer ist... die Paranoia vor US-Dienstleistungen oder die Naivität in hiesige Gesetze...

Am schlimmsten ist gar nichts zu machen und alles über sich ergehen zu lassen. Auch dann nicht wenn es sowas von offensichtlich ist was gerade passiert. Wenn dumme Menschen einem "Neuland" erklären wollen und die Masse es auch noch glaub. Das ist das aller schlimmste!

@duskk
seh ich auch so!
Nur Quantencomputer gibt es bisher nur in Studien / Forschung und was die aktuell "noch" leisten ist eher mau

 

[Hito]

AES-128 ist leichter zu knacken als Viele denken. Wenn Google die Sicherheit oder Privatsphaere der Kunden wichtig waere, wuerde die gleich mit AES-256 beginnen und in nem Jahr auf 512bit umstellen.


Naja aber bei Google ist man inzwischen froh wenn man dann doch kein Android4.3 Update mehr erhaelt...

 

[etking]

Für den Kunden wird die Sache dadurch nur erheblich komplizierter und für die NSA ändert sich nichts.

 

[Trefoil80]

Mich kotzt eigentlich der typische Opportunismus an.
Erdbeben und Tsunami zerstören AKWs in Japan - oh Gott, wir müssen unsere AKWs abschalten!
Snowden enthüllt Geheimdienst-Aktivitäten - oh Gott, wir müssen unsere Daten sicher halten!

Gutes Beispiel für Schwarz/Weiss-Denken!

Da ich mich seit meiner Kindheit für Kernkraftwerke interessiere habe ich mich nicht am Fukushima-Hype beteiligt (sondern für Freunde mehrere Besichtigungen organisiert, um sich selbst ein Bild zu machen).
Tepco wurde ja schon 2008 von der IAEO drauf hingewiesen, dass die Flutschutzmaßnahmen nicht ausreichen.
Und deswegen, weil ein japanischer KKW-Betreiber Mist baut (war übrigens nicht das erste Mal, Stichwort: Gefälschte Berichte) soll ich jetzt in Deutschland auf eine sichere und bezahlbare Energieversorgung verzichten?!

Bezügl. der Verschlüsselung: Klar, eine 100%ige Sicherheit gibt es nicht. Finde es aber erschreckend, dass man der heutigen "Ist-mir-doch-Latte-Generation" ein Grundrecht nehmen kann (Fernmeldegeheimnis), und die finden das auch noch gut und alle Andersdenkenden sind einfach paranoid. *Kopfschüttel*

 

[N43]

Egal wo man sich befindet - sobald der Stecker am netz ist, gibt es keine Privatsphäre. Gesetze hin oder her - ist auch das meiste nur zum Schein. Leute lassen sich bestechen und da spielt das ganze nur eine kleine Rolle.

 

[1668mib]

@NuminousDestiny: Übrigens ein Punkt, der Vertrauen in die Verschlüsselung schafft. Die NSA würde keine Schlüssel fordern, wenn sie alles eh so leicht knacken könnten.

Mag sein dass "Paranoia" überspitzt formuliert ist. Aber die Wörter der "Schnüffel-Gegner" werden sicher auch nicht alle auf die Goldwaage gelegt, oder? Aber wer denkt, nur weil er keine US-Dienste mehr nutzt, sei sein E-Mail-Verkehr plötzlich sicher dank deutscher Gesetze, der ist schlicht und einfach naiv.

Aber die meisten scheinen eh gar kein Interesse zu haben, sich richtig zu informieren oder sinnvoll aufzuklären. Sonst würden auch keine sinnlosen Aussagen wie "AES in 5 Jahren eh knackbar" kommen... Im Grunde kann sich die NSA über solche Verunsicherung nur freuen, hält die Leute davon ab, Verschlüsselung einzusetzen.


@guillome: "Am schlimmsten ist gar nichts zu machen und alles über sich ergehen zu lassen."
Ich finde es schlimm, dass immer erst gehandelt wird, wenn etwas passiert... Ich zahle seit längerem meine 13 Euro im Monat für mein E-Mail-Konto, dass es nicht bei Google liegt. Deshalb sind die Mails nicht unbedingt absolut sicher. Aber ich hab da schon gesagt "Google weiß schon zu viel".
Meine Meinung zu Firmen wie Google hat sich durch Snowden wirklich in keiner Weise geändert. Google hab ich eh noch nie vertraut... gerade Google waren Gesetze eh immer schon egal... aber schön, dass auch da mal die öffentliche Stimmung kippt, dann gibt's vielleicht in Zukunft mal objektive Diskussionen zu YouTube vs GEMA usw...

 

[schneeland]

Serverseitige Verschlüsselung ist ja nett - aber solange Google den Schlüssel hat, hat die NSA den im Zweifelsfall auch. Gegen die Geheimdienstspäherei hilft das also ziemlich genau gar nicht.

 

[blacktnt]

Wer wirklich paranoid ist, kann sich auch seinen eigenen Cloudspeicher aufsetzen; Stichwort owncloud. Zusätzlich kann der- oder diejenige auch noch verschlüsselte Archive hochladen. Alles kein Problem. Doch hätte ich solche sensiblen Daten, die eine solche Verschlüsselung erfordern, würde ich sie niemals iwo hochladen. Die bleiben dann verschlüsselt bei mir zu Hause!

Ich gehe mal davon aus, dass es den Meisten hier ähnlich geht wie mir. Also kann sich die Diskussion nur darum drehen, dass man aus Prinzip nicht ausspioniert werden möchte - ohne wie gesagt überhaupt sensible Daten in der Cloud zu haben. Und genau da sollte auch die Aufklärung in der Bevölkerung ansetzen, damit eine maximal Anzahl an Menschen den größtmöglichen Druck auf diverse Regierungen aufbauen kann, die dann wieder durch Gesetze ein Ausspionieren verhindern können.

 

[Doom Squirrel]

Am schlimmsten ist gar nichts zu machen und alles über sich ergehen zu lassen. Auch dann nicht wenn es sowas von offensichtlich ist was gerade passiert. Wenn dumme Menschen einem "Neuland" erklären wollen und die Masse es auch noch glaub. Das ist das aller schlimmste!
[...]

Nur weil man nicht in die gleiche Kerbe holzt wie Du heisst es noch lange nicht, dass man "alles über sich ergehen" lässt. Erweitere mal dein Horizont bezüglich anderer Meinungen.

Ich habe in den Forenregeln noch nichts gelesen, dass man sofort sich rechtfertigen muss, wie man bei bestimmten Themen vorgeht, wenn man sich nicht der allgemeingültigen Meinung des aktuellen Mobs anschliesst.

1668mib hat schon Recht. Spionage gab's schon früher, ob das nun die NSA ist oder der israelische Mossad, spielt keine Rolle. Sich jetzt darüber aufzuregen, nur weil ein Anfangdreissiger seine "15 Minuten Ruhm" sucht, ist völlig Banane. Was hast Du denn vor dem aufgebauschten Skandal gemacht? Bestimmt dein Android-Phone mit einem Google-Account eingerichtet? OK, wahrscheinlich nicht. Aber mit Sicherheit tausend andere User, die aktuell in Foren "protestieren".

Das einzige was Du als User machen kannst, ist Firmen die es mit dem Datenschutz nicht so ernst nehmen oder generell deren Geschäftsmodell mit dem Handeln der Userdaten darstellt, zu boykotieren. Aber bitte nicht erst dann, wenn ein vermeintlicher Skandal das politische Sommerloch in Deutschland füllt.

Bevor ich es vergesse, hier meine Rechtfertigung, warum ich deine Meinung nicht teile.

Ich persönlich habe Google von Anfang an gemieden. Immer versuche ich auf Alternativen auszuweichen. Ich werde auch nie ein G+Account haben oder meine Urlaubsfotos und -videos bei irgendeinem Cloud-Anbieter hochladen. Egal, ob mit oder ohne Verschlüsselung. Und das werde ich auch beibehalten. Firmen, die mir von Anfang an suspekt sind werden gemieden. Da muss ich nicht erst auf den nächsten Skandal warten.

 

[Bogeyman]

AES-128 ist leichter zu knacken als Viele denkent...

Eine Atombombe mit einfachen Haushaltsmittel herzustellen ist einfacher als viele Denken! Ein Auto zu starten mit einem einfachen Handy ist einfacher als viele denken!

Wasn Schwachsinn hier gepostet wird. Auf solche dummen Aussagen ganz ohne Quelle gib ich schon lange nix mehr. Man trifft im Leben halt ständig auf irgendwelche Idioten die irgendwas behaupten.


Clouds sind in meinen Augen nur dann sicher wenn derjenige der meine Daten verschlüsselt und derjenige der meine Daten speichert nicht ein und dieselbe Person bzw. Anbieter ist. Wünschenswert wäre eine offene Schnittstelle sodass man die Daten genausobequem mit tools von drittanbieter und opensource Software hochladen könnte.

Zumindest den Quellcode der Clientprogramme sollten die Anbieter wenn sie schon verschlüsselung anbieten freigeben. Ansonsten läuft das ganze wieder nur auf Vertrauen hinaus.

Und wenn gewisse Onlinedienste jetzt schon unter Druck gesetzt werden, dann muss man nicht meinen dass die NSA einfach Tatenlos zuguckt wenn Anbieter xy plötzlich End-to-End-Verschlüsselung einsetzt.

Die werden schon dafür gesorgt haben dass sie weiterhin Zugriff haben. Und google ist nen riesiger Konzern, da wird der Manager nicht einfach sagen können "dann machen wir halt dicht".

 

[Lens187]

Zum Thema "nur AES-128". Nach aktuellem Wissensstand ist AES-128 sicherer als AES-192 und AES-256, da beide bekannte kryptologische Schwächen haben. Siehe Wikipedia und die dort verlinkten Artikel:

http://de.wikipedia.org/wiki/AES-256#Weitere_Angriffe
https://cryptolux.org/FAQ_on_the_attacks
http://eprint.iacr.org/2009/317

 

[GrambleX]

Das ist eine Maßnahme, die schon vor dem Skandal nötig gewesen wäre. Ein Mindestmaß an Sicherheit sollte man seinen Kunden schon bieten - und dabei geht es jetzt gar nicht mal um die NSA.
Wer wirklich eine Verschlüsselung seiner Clouddaten braucht ist auch in Zukunft bei Google an der falschen Adresse. Und auch bei allen amerikanischen Diensten. Die Datenschutzrichtlinien sind einfach anders und dass der BND deutsche Firmen so unter Druck setzten könnte wie es die NSA mit US Firmen macht glaube ich nicht.
Und generell gehört halt etwas Fachwissen dazu seine Daten zu verschlüsseln. Wer wirklich wichtige Daten hat und die blind an den nächsten Anbieter weitergibt der in irgendeiner Art und Weise verschlüsselt - dem kann auch nicht mehr geholfen werden. Dabei kommt es nicht darauf an, dass man jetzt in die Glaskugel guckt und sich überlegt ob in 20 Jahren irgendein Quantencomputer die Verschlüsselung knacken könnte oder nicht! Viel wichtiger ist immer auf dem neusten Stand zu bleiben und auf Sicherheitsrisikos flexibel und effizient reagieren zu können. Wie schnell eine Verschlüsselung (theoretisch) vollkommen wirkungslos werden kann sieht man an der ganzen Diskussion um die "bevorstehende Cryptopocalypse". Wer so wichtige Daten hat, dass er Angst hat dass sich die jetzt einer schnappt und in 20 Jahren da gefährliche Sachen mit anstellt sollte sich nen Stollen in Berg graben und die Daten auf Datenträgern speichern die keine Verbindung zur Außenwelt haben.

 

[nissl]

Was kann man eigentlich als Alternative zu Dropbox, GoogleDrive etc. von AeroFS halten?

Wie ich das verstehe ist das eine art P2P netz aus 'eigenen' Rechnern.

Kommt da - ein vernünftiges Passwort vorausgesetzt - dann auch wieder überhaupt einer rein ?

 

[mensch183]

Außerdem finde ich, dass AES-128 nicht so der Bringer ist. Warum nicht AES-256 (wie bei Wuala)?

Für AES-256 ist ein Angriff mit Komplexität 2^119 bekannt [1]. AES-256 ist deshalb nach aktuellem Stand der Wissenschaft bereits schwächer als AES-128, für welches keine Attacke bessser als BruteForce bekannt ist. Doch selbst 2^119 ist viel zu komplex, um praktische Angriffe zu fahren. Es ist jedoch ziemlicher Unfug, heutzutage beim Entwickeln neuer Systeme das mehr Rechenzeit verschlingende, weniger harte AES-256 gegenüber AES-128 zu bevorzugen.

Der Glaube vieler, daß längere Schlüssel automatisch schwerer zu knacken sind, ist Blödsinn. Der Algorithmus muß nämlich an die andere Schlüssellänge angepasst werden, wobei einiges in die Hose gehen kann, wie das Beispiel AES-256 zeigt.

Bei der Bewertung der Sicherheit von Systemen wie dem hier von Google sind die low level Cryptoalgorithmen sowieso nicht die interessante Stelle. Die Konstruktion des Systems an sich ist der spannende Punkt. Der tollste Cryptoalgorithmus bringt nichts, wenn die Schlüsselverwaltung am Problem vorbei geht.

Das im CB-Artikel thematisierte Verschlüsselungssystem bringt dem Cloud-Kunden gar nichts, denn Google hat die Schlüssel. Das Problem für Googles Cloud-Kunden ist doch nicht, daß pausenlos böse Kriminelle bei Google einbrechen, Festplatten klauen und dann zu Hause Kundendaten kopieren. Dagegen würde das neue System helfen. Das Problem der Cloud-Kunden ist viel mehr, daß Google mit US-Regime, -Geheimdiensten und FBI unter einer Decke steckt. Verschlüsselung mit Schlüsselerzeugung und -haltung bei Google verbessert an dieser Lage absolut nichts. Die Meldung ist eine reine Ente.

[1] https://cryptolux.uni.lu/mediawiki/uploads/1/1a/Aes-192-256.pdf

 

[Beatmaster A.C.]

Da können die so viel verschlüsseln wie die wollen. Die sind trotzdem dazu verpflichtet sämtliche Daten an Geheimdienste weiterzugeben ohne wenn und aber. Bei der Sammelklage gegen Google wegen Gmail hat Google ganz klar gesagt dass, wer die AGB von Gmail aktzeptiert, hat kein Recht auf Privatsphäre.

 

[Lens187]

Für AES-256 ist ein Angriff mit Komplexität 2^119 bekannt [1].

Tatsächlich ist die Komplexität sogar schon auf 2^99,5 reduziert worden.

http://eprint.iacr.org/2009/317

 

[fethomm]

Das im CB-Artikel thematisierte Verschlüsselungssystem bringt dem Cloud-Kunden gar nichts, denn Google hat die Schlüssel. Das Problem für Googles Cloud-Kunden ist doch nicht, daß pausenlos böse Kriminelle bei Google einbrechen, Festplatten klauen und dann zu Hause Kundendaten kopieren. Dagegen würde das neue System helfen. Das Problem der Cloud-Kunden ist viel mehr, daß Google mit US-Regime, -Geheimdiensten und FBI unter einer Decke steckt. Verschlüsselung mit Schlüsselerzeugung und -haltung bei Google verbessert an dieser Lage absolut nichts. Die Meldung ist eine reine Ente.

[1] https://cryptolux.uni.lu/mediawiki/uploads/1/1a/Aes-192-256.pdf

Eine Ente wäre die News allenfalls, wenn sie falsch wäre. Das es dem Kunden wenig bringt hab ich im letzten Satz ja angedeutet.

 

[guillome]

@xuserx
Ich bin wirklich exakt Deiner Meinung und sehe das genauso. Jetzt wunderst du dich bestimmt dass das so ist

Das einzige was nicht passt an deinem Kommentar ist das hier

1668mib hat schon Recht. Spionage gab's schon früher, ob das nun die NSA ist oder der israelische Mossad, spielt keine Rolle. Sich jetzt darüber aufzuregen, nur weil ein Anfangdreissiger seine "15 Minuten Ruhm" sucht, ist völlig Banane.

Das Internet gibt es für Nichforschungseinrichtungen seit 1995. Größere Beachtung durch die Menschheit erlangte es jedoch erst um das Jahr 2000 rum. Die Masse und überhaupt ALLES was wir in unserer Volksswirktschaft unternehmen, basiert mittlerweile auf Internetdatenaustausch (Kommunikation, Geldtransfers, Informationen, Austausch von Wirtschaftsdaten, etc) -> das ging in der heute bekannten Dimension auch so ab dem Jahre 2000 los.

Das bedeutet, dass die Art der Spionage, wie sie erst durch Snowden peu a peu aufgedeckt wird, erst seit sehr sehr sehr sehr kurzer Zeit in der Epoche der Menschheit existiert. Und zwar vollumfänglich und alles erfassend weil ja schließlich erst seit kurzer Zeit alles nur noch in elektronischen Daten durch das Internet geschickt und erfasst wird!

Unsere ganzen Gesetze und Logiken aus zig Jahrhunderten sind heute nicht mehr kompatibel mit einem Netz was alles und jeden erfasst. Somit ist es in meinen Augen ein Witz zu behaupten, dass es diese Art von Spionage schon immer gab.
Wäre das Internet mit all seinen Daten und Auswertungsmöglichkeiten schon zu Zeiten der DDR möglich gewesen, hätte man die Stasi um 90% reduzieren können und die Kohle in Server und Rechenkapazität investiren können. Der Spionage-Apparat wäre um Lichtjahre effizienter gewesen.

 

[karamba]

Ist der Client OpenSource? Wenn nein, ist es nicht mehr als Marketing, wie bei jeder anderen geschlossenen Software auch. Vertrauen gibt es nicht mehr, denn sie haben es nicht verdient.

 

[blacktnt]

Wer so wichtige Daten hat, dass er Angst hat dass sich die jetzt einer schnappt und in 20 Jahren da gefährliche Sachen mit anstellt sollte sich nen Stollen in Berg graben und die Daten auf Datenträgern speichern die keine Verbindung zur Außenwelt haben.

ja oder macht es wie die Russen und kauft euch Schreibmaschinen...