News Microsoft will internen Traffic verschlüsseln

Nun plant auch Microsoft, den Datenverkehr zwischen den weltweit verteilten Rechenzentren nur noch verschlüsselt zu übertragen[...]
Gleich der erste Satz ist ziemlich erschreckend. Das sollte absolute Pflicht für ein Unternehmen und das erste sein, was man bei der Inbetriebnahme eines (weltweit) verteilten Netzwerkes tut.
 
Abgesehen von der Tatsache, dass es schockierend genug ist, dass M$ bisher ernsthaft unverschlüsselte Verbindungen zwischen seinen Rechenzentren hat, bleibt es doch eher wirkungslos gegen die NSA. Jedes Kind weiß doch inzwischen, dass Microsoft, Apple, Google, Yahoo und Co. auf Befehl der NSA Hintertürchen in ihre Software einbauen oder zumindest den entsprechenden US-Geheimdiensten und Behörden an den entscheidenden Stellen Zugriff gewähren.
Selbst wo das nicht zweifelsfrei bewiesen ist, so muss man doch als grenzenlos naiv gelten, wenn man nicht davon ausgeht...

Vor diesem Hintergrund muss ich immer wieder daran denken, wie heise.de noch kurz vor der NSA-Affäre darüber brichtet hat, dass Links, die bei Skype im Chat gepostet wurden, kurze Zeit später von M$-Servern "Besuch" bekamen...
 
naja wenn das nicht mal vergleichsweise moderne und junge Webunternehmen wie Google tun... es ist eben alles eine Frage der BackEnd Performance und die Verschlüsselung kann da ganzschön einhauen. Ich denke die Verbindung zw den Standorten ist wie bei MPLS, "eigene" Leitungen und ich wüsste nicht dass Unsere Firma zb MPLS Standorte zusätzlich mit sozusagen VPN über MPLS absichert.
 
Reglohln schrieb:
Gleich der erste Satz ist ziemlich erschreckend. Das sollte absolute Pflicht für ein Unternehmen und das erste sein, was man bei der Inbetriebnahme eines (weltweit) verteilten Netzwerkes tut.

Nun ja, es sind ja bisher auch interne Netze gewesen, zu denen nicht jedermann Zugriff hat(te). Ist ja nicht so, das es KEINE gesicherte Infrastruktur gab. Aber da die NSA ja den "Datenstrom" mitlesen kann (und es auch tut), kann sie natürlich - grob ausgedrückt - "frei" zugreifen. Wenn der Strom verschlüsselt wird, ist es nicht mehr sooo einfach. Dann müssen sie wieder bei Verisign einsteigen und die neuesten Schlüssel "besorgen".

Am Ende fragt man sich nur, ist es reine PR oder steckt Substanz dahinter?
 
Die Verschlüsselung der Datenverkehre ist nur das Rumdoktoren an den Symptomen , die NSA greift die Daten doch auch ganz legal vor der Verschlüsselung ab indem Sie dafür bei dem Unternehmen Zusatz Hardware bezahlen die diese Unternehmen dann vll. noch per Beschluss einbauen muss.
Das eigentliche Problem sind die Antiterrorismus Gesetze nach 2001 die ein Massenscanning ein Generalverdacht jeder Infrastruktur erlauben.
 
Was will Microsoft mit diesen fast täglichen "wir verschlüsseln" Meldungen erreichen ?
Jedes kleine Kind weiß das die so oder so die Keys der NSA auf dem goldenen Tablett servieren.
Wer einmal lügt dem glaubt man nicht!
 
Krautmaster schrieb:
naja wenn das nicht mal vergleichsweise moderne und junge Webunternehmen wie Google tun... es ist eben alles eine Frage der BackEnd Performance und die Verschlüsselung kann da ganzschön einhauen. Ich denke die Verbindung zw den Standorten ist wie bei MPLS, "eigene" Leitungen und ich wüsste nicht dass Unsere Firma zb MPLS Standorte zusätzlich mit sozusagen VPN über MPLS absichert.

Oft werden sogar eine reine Fiber (Dark Fiber) angemietet, die ist komplett dediziert. Dafür braucht es aber keine Verschlüsselung, denn es ist kein shared Medium. Ein Letter und ist eh Wurscht ob verschlüsselt oder nicht..da kann man es sich gleich ganz sparen.

Aber recht haste, xx oder xxx Gbit/s zu verschlüsseln macht auch heute keinen Spaß trotz Cisco TrustSec, die Linecards sind nicht billig.
 
Reglohln schrieb:
Gleich der erste Satz ist ziemlich erschreckend. Das sollte absolute Pflicht für ein Unternehmen und das erste sein, was man bei der Inbetriebnahme eines (weltweit) verteilten Netzwerkes tut.

wannabe_nerd schrieb:
Abgesehen von der Tatsache, dass es schockierend genug ist, dass M$ bisher ernsthaft unverschlüsselte Verbindungen zwischen seinen Rechenzentren hat,...

Ihr habt beide leider kein passendes Hintergrundwissen.
Genau wie bei Google (und anderen sehr großen Unternehmen) laufen diese unverschlüsselten Datenströme eben NICHT über das Internet, das Hinz und Kunz benutzt und kennt. Hier werden dedizierte Bereiche des globalen Glasfasernetzes genutzt, die Dark Fibre. Es gibt keine Berührungspunkte mit dem StiNo - Internet, man mietet exklusiven Zugriff auf Teile des Leitungsnetzes.

Wenn sich also nicht gerade jemand in die Knotenpunkte des Glasfasernetzes einklinkt (und das können nur Regierungsbehörden und uuuuunglaublich gute Hacker) ist die Kommuniktion abgesichert.

Es ist nur fraglich, ob im Rahmen des PATRIOT ACT überhaupt eine Chance besteht, dass die intern verwendeten Schlüssel auch intern bleiben, und nicht der NSA per Gerichtsbeschluss auf dem Silbertablett geliefert werden müssen.
 
0815*Sir Tom schrieb:
Wenn der Strom verschlüsselt wird, ist es nicht mehr sooo einfach. Dann müssen sie wieder bei Verisign einsteigen und die neuesten Schlüssel "besorgen".

Müssen Sie nicht, ein Letter reicht und Microsoft und co. muss die Daten öffnen bzw. den Schlüssel überreichen.
 
Reglohln schrieb:
Das sollte absolute Pflicht für ein Unternehmen und das erste sein, was man bei der Inbetriebnahme eines (weltweit) verteilten Netzwerkes tut.
Verschlüsselt du auch dein LAN daheim? Ist doch hier nichts Weiteres als ein etwas größeres Intranet.
 
Ich denke das hört sich eher nach PR an als das es was bringen könnte. Gerade die Regierungsstellen in den USA habe durch die dort herrschenden gesetzlichen Grundlagen immer die Möglichkeit an die Daten zu kommen, welche sie haben möchten. Die Nutzer sollen mal wieder in Sicherheit gewogen werden, während hinter den Kulissen alles beim alten bleibt.
 
strex schrieb:
Oft werden sogar eine reine Fiber (Dark Fiber) angemietet, die ist komplett dediziert. Dafür braucht es aber keine Verschlüsselung, denn es ist kein shared Medium. Ein Letter und ist eh Wurscht ob verschlüsselt oder nicht..da kann man es sich gleich ganz sparen.

Dark Fiber wird aber nur in max. städtischen Netzen verwendet. Dark Fiber heißt nur, dass du beide Enden einer Glasfaserverbindung bis zum Kunden ins Haus legst. Da ist dann keine Providertechnik dazwischen. Über größere Distanzen geht das nicht mehr weil das Signal aufgefrischt werden muss. Nach den neuesten Enthüllungen muss man leider auch hier über Verschlüsselung nachdenken. Denn Abhören ist hier genauso einfach, wie bei anderen Wire Area Verbindungen, die dir dein Provider zur Verfügung stellt (hier wird ja nur logisch getrennt).

strex schrieb:
Aber recht haste, xx oder xxx Gbit/s zu verschlüsseln macht auch heute keinen Spaß trotz Cisco TrustSec, die Linecards sind nicht billig.

TrustSec ist auch nur ein Buzzword. Die meisten Features davon funzen eh nur im LAN. Und die Linecards sind eher Peanuts für größere Unternehmen. Die kaufen sowieso Karten die den Kram können - unabhängig von TrustSec oder anderen Marketing Features.
 
0815*Sir Tom schrieb:
...
Dann müssen sie wieder bei Verisign einsteigen und die neuesten Schlüssel "besorgen".
...

Entschuldige, falls ich die Ironie übersehen haben sollte, aber das ist so schlicht und einfach nicht möglich. Der private Schlüssel der bei einer asymmetrischen Verschlüsselung verwendet wird sollte nie das Unternehmen verlassen und wird im Gegensatz zum öffentlichen Schlüssel auch nicht von Verisign signiert (deshalb heißt er ja privat). Verisign hat auch keinen Rootschlüssel, mit dem sämtliche SSL Kommunikation überwacht werden könnte.

Was man mit Verisigns Rootschlüssel (genauer mit dem privaten Schlüssel der Root CA) machen kann ist seinen eigenen öffentlichen Schlüssel als den eines anderen ausgeben und damit einen MITM Angriff starten. Das ist allerdings noch mal deutlich komplizierter als einfach "nur" passiv zu lauschen. Btw.: Hat MS nicht seine eigene Root CA?

Außerdem würde ich für die Kommunikation zwischen Rechenzentren den Schlüsselaustausch ohnehin offline vornehmen. D.h. der Schlüssel für ein symmetrisches Verfahren wird auf einem - wie auch immer - gesicherten Computer generiert, auf einen bzw. mehrere USB Sticks kopiert und von einem vertrauenswürdigen Mitarbeiter in die verschiedenen Rechenzentren gebracht - die Sticks sollten danach natürlich zerstört werden. Ich bin aber kein Experte auf dem Gebiet und kann nicht sagen, wie das in Wirklichkeit abläuft.

Noch mal sorry, falls das von dir eh nicht ernst gemeint war, aber ich habe diese (oder ähnliche) Aussagen jetzt schon so oft gehört, dass ich das mal klar stellen wollte.
 
microsoft will jetzt also ihren internen traffic verschlüsseln?! aha :)
die nsa hat doch schon bereits den masterkey für die hintertür zu windows. die nsa hat doch längst die nötigen gelder,supercomputer und expertise für bruteforce um alles zu knacken. die etablierten verschlüsselungen haben auch schon alle hintertüren für die nsa/staat sonst würde eine verschlüsselungstechnologie erst gar nicht auf dem markt kommen. oder wollen die jetzt or benutzen? :) ... das ebenfalls der regierung und somit der nsa gehört, mit freundlichen grüßen von darpa :)

hier sind die news die sich längst beawarheitet haben :) nur mal ein paar :)

http://recentr.com/2013/09/nsa-verfolgt-quantencomputer-zum-codebrechen-bereits-seit-1994/

http://recentr.com/2013/10/die-nsa-...rolle-uber-verschlusselung-selbst-ermachtigt/

http://recentr.com/2013/07/die-nsa-...ologien-firewalls-und-anonymisierungsdienste/
 
QUAD4 schrieb:
Deine Paranoia geht auch etwas mit dir durch. Erstens sagen die News bloß, dass die NSA and Quantencomputern interessiert sind, was ja nicht gerade überraschen sollte und zweitens selbst wenn es schon funktionierende Quantencomputer gäbe kann man mit denen noch längst nicht alles knacken. Es gibt nur einen gewissen Typ nämlich RSA das unsicher würde und dazu müsste der Quantencomputer auch erstmal funktionieren und schnell genug sein. Die NSA hat nicht soviel Geld wie alle glauben. Der zweite Artikel ist schlicht falsch und scheint von jemandem geschrieben worden zu sein der diverse Verschlüsselungstechniken mal eben so verwechselt. AES selbst von 256 bit auf 128bit reduziert würde immer noch jeder Bruteforceattacke standhalten.
Die NSA hat ihren Cryptowar geführt und im wesentlichen aufgegeben. Vieles müssen sie nicht entschlüsseln.
Supercomputer helfen weit weniger für Entschlüsselung als einem Filme und Romane weiß machen wollen. Entweder man hat eine Hintertür oder nicht. Per Bruteforce knackt man nur Algorithmen wie DES die schon lange als unsicher gelten und für die braucht es auch keinen Supercomputer.

Wenn man eine Hintertür einbaut kann die auch wer anders entdecken. Die NSA würde damit sicherstellen, dass eigene Geheimhaltung auch gefährdet ist. Es gibt bis heute keinen Beweis auch nicht in Snowden's Unterlagen, das AES z.B. bekannte gravierende Sicherheitslücken hat. Wenn man diese Ausnutzt dann müssten eine ordentliche Anzahl an Personen zumindest über deren Existenz bescheid wissen. Alles was Snowden gezeigt hat, deutet nur darauf hin das die NSA und die Briten kreativ waren im Umgehen von Verschlüsslung aber nicht, dass sie die Entschlüsselungsgötter sind für die sie alle halten.


Zum Thema Aufwand. Ich sehe nicht ganz warum einen Datenstromverschlüsseln so ein Problem sein soll. Was zwischen Client und Server geht, geht auch zwischen Server und Server. Diverse Datenbank Cluster erlauben die einfache Aktivierung wenn man sie z.B. in der Amazon Cloud platziert. Warum sollte das so schwierig mit großen Bandbreiten sein. So ein Kabel kostet sicher viel und es gibt ja genug spezielle Chips die Menge Daten im Nu verschlüsseln können. Festplatten schaffen in ihren kleinen Controllern hunderte MB/s. Ich sehe nicht wo, das Problem für riesige teure Serverfarmen untereinander stehen soll. Erscheint mir ein No-Brainer. Ohne ist sicher einfacher (Latenzen und Hardware), aber machbar sollte es allemal ein.
 
Zuletzt bearbeitet von einem Moderator:
Da Geheimdienste Glasfaser unbemerkt anzapfen können, ist das hier sicher eine gute Idee. Ich verstehe gar nicht, wieso hier in den Kommentaren zu jeder Meldung immer nur gemeckert und besser-gewusst wird. Seid doch froh, schadet doch niemandem. Natürlich gibt es noch die Fälle, wo die Unternehmen zur Kooperation mit den Geheimdiensten genötigt werden, aber zumindest wird das nun quasi transparent. Heimliches lauschen auf Glasfaser ist nicht transparent, das ist durchaus noch eine Stufe bedenklicher.
 
QUAD4 schrieb:
die nsa hat doch schon bereits den masterkey für die hintertür zu windows.
Möglich, aber brauchen sie durch den PATRIOT ACT nicht. Die müssen nur mit einem Zettel wedeln, dann müssen in den USA ansässige Unternehmen nicht nur alle Daten rausrücken, sie dürfen sich noch nicht einmal öffentlich darüber beschweren.
die nsa hat doch längst die nötigen gelder,supercomputer und expertise für bruteforce um alles zu knacken.
Falsch. Spätestens gegen AES256 ist noch lange kein Kraut gewachsen. Um EINE AES256-Botschaft in brauchbar kurzer Zeit zu entschlüsseln wäre so viel Energie notwendig, wie dei halben USA im Jahr verbraten. Auch Buzzword-Spam wie "Quantencomputer" helfen da nicht weiter. AES256 ist sicher!

die etablierten verschlüsselungen haben auch schon alle hintertüren für die nsa/staat sonst würde eine verschlüsselungstechnologie erst gar nicht auf dem markt kommen.
Blöd nur, dass die wirklich beliebten und guten Verschlüsselungen allesamt OFFEN sind.
Die mathematische Theorie hinter AES ist z.B. überraschend einfach (für ein Crypto-Verfahren). Eine Hintertür existiert nicht in der Verschlüsselung sondern der Implementierung. Wenn selbige Implementierung durch eine vertrauenswürdige Partei erfolgt (z.B. die Open Source Community), dann kann die NSA sich auf den Kopf stellen und mit den Füßen wackeln.
Auch andere wirklich robuste Verschlüsselungen wie z.B. Elgamal enthalten keine Hintertürchen in der zugrunde liegenden Logik. Ihre Knackbarkeit ist ein reines Zeitproblem, der Aufwand wächst logarithmisch über die Schlüssellänge.

Und spätestens wenn PFC z.B. per Diffie-Hellman verwendet wird hilft es einen feuchten Furz, einen Key zu knacken.

In deiner verqueren Weltverschwörer-Logik hinsichtlich der NSA vergisst du 2 wichtige Faktoren:
1.) Es gibt eine riesige weltweite Open Source Community, die ebenfalls nach sicheren Verfahren sucht.... zu dieser Community gehören die klügsten Köpfe der Welt.
2.) Selbst wenn diese Community scheitert, dann gibt es nicht nur die USA auf der Welt. Andere Nationen haben auch schlaue Köpfe. Wenn z.B. die Russen (die wirklich höllisch gute Programmierer haben) oder Chinesen einer amerikanischen Verschlüsselung nicht trauen, dann entwerfen sie eine eigene. Und allein aus lauter Gehässigkeit veröffentlichen die das Ding, damit alle Fraktionen weltweit diese Verschlüsselung gegen die USA wenden können.

oder wollen die jetzt or benutzen? :) ... das ebenfalls der regierung und somit der nsa gehört, mit freundlichen grüßen von darpa :)
Blöd nur, dass sogar die US-Regierung AES256 als so sicher ansieht, dass es genau diese Verschlüsselung für hochgeheime Dokumente verwendet.
Wenn AES256 durch die NSA geknackt wäre, meinst du nicht dass auch die Chinesen oder Russen hinter das Geheimnis kommen könnten und dann hochgeheime AES256-verschlüsselte US-Dokumente entschlüsseln würden? Die USA würden, wenn sie wüssten, das AES256 nciht sicher ist, diese Verschlüsselung nicht einsetzen.

Simple Logik besiegt Weltverschwörer.
 
duskkk schrieb:
Und wenn jemand Quantencomputer hat, benutzt man halt einfach Quantenkryptographie. Die Geräte dafür gibts heute schon kommerziell zu kaufen, ist halt blöd, dass man das Signal nicht verstärken kann zwischendurch und die Dinger recht teuer sind.

AES256 ist defacto sogar "unsicherer" als 128, weil es bei der Implementierung eine Lücke gibt. Praktisch nicht relevant, da der Angriff immer noch eine Komplexität von 2^99,5 hat (AES 128 hat 2^126). Beides bisher selbst vom dicksten Superrechner nicht machbar.

Allerdings würde die Verschlüsselung sämtlichen Traffics schon einiges an Rechenleistung schlucken, selbst wenn es mit AES Instructions o.ä. gemacht wird. Es muss trotzdem noch viel gerechnet werden.

@Topic: Ich hoffe, sie machen es direkt ordentlich, also alle SSL Verbindungen nur mit PFS etc. Wenn die Implementierung da ordentlich ist, gibt es nach Ablauf der Session nicht mal mehr einen Key, der ausgehändigt werden kann. Kritisch sind aber weiterhin die Daten auf den Servern, den Key kann man ja nicht mal eben löschen...
 
Zuletzt bearbeitet von einem Moderator:
Zurück
Oben