Du tust so als ob es keine Angriffe auf Rechnersysteme gäbe. Und als ob alte und neue Softwarelücken/ Programmierfehler in sich weiterentwickelnder Software nicht die Regel wären.Termy schrieb:
Das man bei der installation von Software vorsichtig sein sollte ist nur eine Seite der Angelegenheit. Im Prinzip ist jede Software auch die aus den allerbesten Quellen (das einzige Anzeichen für "gute" Software.. und "aufpassen") durch die Softwarelücken ein wenig verdorben und man sollte sie besser nicht installieren. Also sicherer wär's keine Computer zu verwenden. Andererseits haben die natürlich gewisse Vorteile die uns das Leben/Überleben durch Automatisierung doch einfacher machen ..
Mit jeder Weiterentwicklung z.B. dem Update jedes Jahr kommen tolle neue Funktionen. Aber eben auch ne Ladung neuer nicht behobene Softwarefehler/schwächen. Hastige von der Zeit getriebene Programmierer, Programmierteams mit Kommunikationsschwächen. Wenn man Glück hat ist auch ein Sicherheitsupdate bei dem Update - das einige bekannt gewordene Softwarefehler ausrangiert. Das gilt für Software - aber auch für (nur vermeintliche) reine Hardware wie Prozessoren.
Die heutige(?) Lösung für das Dilemma ist dann halt die Secure Enclave - klare einzige Aufgabe: Sicherheitsprozesse - eher nie Funktionsupdates, bestenfalls Sicherheitsupdates. Einfache Software, Einfache langsame Hardware. Keine neuen Fehler - aber alte werden weggeräumt. Und die beste PIN oder der beste Fingerabdruckk ist der der in dieser Sicherheitsenklave bleibt. Und nie eine App oder einen hochgemotzten Systemprozessor zu Gesicht bekommt.
Die AusweisApp dürfte eigentlich keine App auf dem Systemprozessor sein - sondern sie sollte eine Sicherheitsprozedur in der Secure Enclave sein. Vom Korrekturlesen der Transaktionsbeschreibung ("login auf..", "Zahlung an ..", "ID an..") auf dem sicheren (!) Display bis hin zur Bestätigung mit der PIN Eingabe auf der sicheren (!) Tastatur.
Sicher heißt dabei sicher an den Secure Enclave Chip angeschlossen. Jedenfalls so das der Systemprozessor nicht dazwischefunken kann. Kein Belauschen von PINs kein Faken con PINs oder Displayausgaben durch verseuchte Systemprozessoren, OS, Apps. Hardwaremäßig durch pyhsische Trennung der Stromwege unmöglich gemacht. Sozusagen der Klasse3 Leser eingebaut als zusätzliche physische Hardware ins Smartphone oder den Computer. (Klasse3 Leser = Secure Enclave Chip + Tastatur + Display kein Systemprozessor/OS/Apps + irgendein sicherer (verschlüsselbarer) Kanal nach draußen mit private Keys die ausschließlich in der Secure Enclave bleiben)
Auch wenn das dann Apple oder Google Scheiß ist. Es steht zu hoffen das das irgendwann auch zertifizierter Scheiß wird. Oder zumindest welcher zu dem unabhängige Sicherheitsforscher Zutritt haben. Smartphone Hersteller haben aber ein geschäftliches Eigeninteresse ihre Sicherheitslücken in den Griff zu kriegen - und die haben das Geld auch die richtigen Leute dafür dauerhaft zu bezahlen. Um insbesondere an Verschlüsselungtechniken, Secure Engine, sicherer Verbindung mit Display und Tastatur und Sicherheitsprozeduren zu arbeiten. Deswegen ist das aus Sicherheitstechnische Sicht eine eher gute Quelle für verläßliche Systeme und Software .. die bestmögliche wenn du mich fragst. Da wären wir wieder beim Gehirn einschalten beim Software installieren. Und du kannst beim Installieren der Software so vorsichtig sein wie du willst - am Appstore (Apple oder Google Sch..) und das der dabei alles richtig macht kommst du bislang nicht vorbei.
Zuletzt bearbeitet:
