News Yahoo will internen Datenverkehr verschlüsseln

Andy

Tagträumer
Teammitglied
Registriert
Mai 2003
Beiträge
7.938
Dass die NSA die Cloud-Netzwerke von Google und Yahoo anzapft, um an die Nutzerdaten der Internetdienste zu gelangen, wurde von den Tech-Firmen scharf kritisiert. Nachdem Google bereits angekündigt hatte, den internen Datenverkehr zu verschlüsseln, folgt nun auch Yahoo.

Zur News: Yahoo will internen Datenverkehr verschlüsseln
 
wenn man nun alles komplett verschlüsselt und ultrasicher macht, das OS aber bereits angezapft werden kann, wo die Daten nun zumindest unverschlüsselt eingegeben werden und entschlüsselt werden, ist es doch ziemlich nutzlos oder?

Natürlich nur, wenn man der Annahme folgt, dass alle Betriebssysteme backdoors haben.
 
Krautmaster schrieb:
is die Yahoo nichte in Amerikanisches Unternehmen -> gesetzlich sozusagen zur "NSA Backdoor" verpflichtet?
Alles Spekulationen.
Ich denke nein, sie werden weiterhin in konkreten Verdachtsfällen zusammenarbeiten, um mögliche Terroristen aufzuspüren, aber keinen automatischen Scan ihrer gesamten Daten zulassen.
 
es ist fein das sie ihren datenverkehr verschlüsseln wollen und email nur noch per ssl .
ist aber augenwischerei , denn spätestens wenn die mails nur noch per ssl verschickt werden , müssen sie die ssl-schlüssel rausrücken , ende gelände :thumbsup:
 
man muss mal ausrechnen was so ein "gerettetes Leben" durch aufgespürten "möglichen Terrorismus" kostet... würde man dieselbe Summe in den Aufbau dieser Terrorländer oder gar in den Straßenverkehr/Infrastruktur, Gesundheitssystem, Bildung investieren, wären mit Sicherheit 1000x mehr Leben gerettet.

So makaber es klingt, aber nur weil sich mal einer alle 5 Jahre hochjagt und dabei 10 Menschen mit in den Tot reißt rechnen sich keine 11Mrd jährlich um hier von 10 auf 5 Tote (pro Jahr) zu reduzieren. Was die NSA / USA betreibt hat schon lange nichts mehr mit Terrorbekämpfung zu tun - das ist Rüstung im modernen Cyberkrieg mit zu 99,9% wirtschaftlichen Interessen dahinter.

Eure Kontonummer, Passwort, Emailadresse, eure Termin, das juckt doch kein Mensch und die NSA erst recht nicht. Bei CAD Zeichnungen, Patente auf Medikamente, Forschung, Militär etc sieht das schon ganz anders aus.

Verkaufen tut man das natürlich schön als Terrorismussbekämpfung, damit fischt man gerade in den USA wohl viele Wähler ab da der Großteil der Bevölkerung offensichtlich mehr Angst davor hat vor der Grundschule "weggebomt" zu werden als mit dem Auto bei Glatteis von der Straße zu kommen. :o

Edit: HTTPS ist super, schön mit Zertifikaten von amerikanischen CAs die eh alles an Schlüsseln rausrücken wenn es sein muss. Wenn man verschlüsselt dann sollte man was Eigenes aufbauen, selbst die Schlüssel tauschen (am besten physikalisch) und dann ein symmetrisches Verfahren (vielleicht (eigenes) AES ) anwenden... bei PKIs würde ich heute kaum einer CA wirklich vertrauen.
Selbst RSA weiß man heute nicht ob das mathematische Problem der Primfaktorzerlegung nicht vllt. schon gelöst ist - ausreichend gelöst.
 
Zuletzt bearbeitet:
Krautmaster schrieb:
is die Yahoo nichte in Amerikanisches Unternehmen -> gesetzlich sozusagen zur "NSA Backdoor" verpflichtet?

Ich war vor ein paar Tagen deswegen auf einer Veranstaltung. Es war sehr interessant, in welchen Bereichen man über den Backdoor Zwang bescheid wusste. Es sind die Amerikanischen Router und Switch Hersteller - darunter auch "the Big C" -, sowie die Mobilfunkhersteller. Eigentlich ist es so, dass fast alle für Amerika zugelassenen Geräte diese Backdoor haben. Es gibt nur einen deutschen Hersteller (aus Aachen) der die Zulassung für Amerika ohne Backdoor bekommen hat. Und der hat uns versichert in dieser Richtung nicht zu entwickeln und die Software und Hardware nach dem 6 Augen Prinzip entwickelt, damit sowas auch nicht zufällig passieren kann.

Diese Backdoors sollen aber offiziell nur für Amerika und auf amerikanischen Boden von den Behörden genutzt werden. Aber klar ist auf jeden Fall, wenn ein Europäer den Router oder den Switch kauft wird die Backdoor nicht ausgebaut.
 
Zuletzt bearbeitet:
Vertrauen kann man in Yahoo nicht haben.

Es sind Amerikaner, selbst wenn die nicht freiwillig der NSA Zugriff gewähren, in der USA kann kein Unternehmen überleben das die NSA in irgendeiner Weise behindert.

Alles andere ist Realitätsferne
 
Künftig will Yahoo den Datenverkehr zwischen den einzelnen Rechenzentren nur noch verschlüsselt übermitteln, schreibt Yahoo-Chefin Marissa Mayer in einem Blog-Beitrag.

Ich frage mich, warum dies a) an die Öffentlichkeit getragen wird und b) nicht schon längst so gemacht wird.
Wo und wie Daten verschlüsselt werden, wird in einem internen Dokument definiert, nicht in einem Blog-Beitrag.
Und Datenverbindungen, die den Campus/das DC verlassen, kenne ich nur chiffriert. Machen bei Yahoo die Azubis die Netzwerkarchitektur?!
 
Das sind private Kabel wo die Daten drüber laufen. Denke mal Konzerne die groß genug sind um solche Kabel ihr eigen zu nennen, werden das bisher wohl fast alle so gehandhabt haben. Der Aufwand und Leistungsverlust für eine solche Verschlüsselung ist enorm und es hatte wohl keiner damit gerechnet, dass da einer die Leitungen ausbuddelt oder gar mit einem U-Boot anzapft.
 
Dann suchet sich der NSA eben ne andere Stelle, an der sie die Daten abgreifen können. Bei einem großen Unternehmen kann man nicht jeden Winkel überwachen und irgend ein IT Dienstleister schaft es schon rein......
 
Du denkst, ich weiss es. Jedenfalls, was die Grossfirmen der Schweiz betrifft.
Mir bekannte Leitungen dieses Typs werden mit 3DES oder AES verschlüsselt. Der Aufwand (Blueprints ausarbeiten, danach Templates zur Konfiguration) und Leistungsverlust ist zu vernachlässigen. Die Erwartungshaltung an die Geschwindigkeit ist eine andere als bei Privatpersonen.
 
estros schrieb:
Alles Spekulationen.
Ich denke nein, sie werden weiterhin in konkreten Verdachtsfällen zusammenarbeiten, um mögliche Terroristen aufzuspüren, aber keinen automatischen Scan ihrer gesamten Daten zulassen.
Du meinst Terroristen wie Merkel, Hollande und alle anderen, die überwacht werden? Wer an die Terror-Aussage glaubt, der glaubt auch noch an den Weihnachtsmann.

Terrorüberwachung schließt keine Überwachung von befreundeten oder sogar hörigen Regierungen ein. Terrorschutz würde auch bedeuten, daß man gerade dort, wo am meisten Anschläge vorkommen, überwachen würde, nämlich im Irak.

Es ist keine Spekulation, es geht um automatische Scans der gesamten Daten, siehe Lavabit.

Eigentlich erwarte ich vielmehr von den Anbietern eine Lösung Richtung Torrent. Etwas dezentrales, wo nur Fragmente abgefangen werden könnten.
 
ich sehe das hier wie einige wenige ...
Es geht hier hauptsächlich um Interessenspionage, egal ob politisch oder wirtschaftlich.
Ich bin kein Freund von Anti-Amerikanismus. Das Problem aktuell ist, dass die Bürger der USA vom Terrorismus gebeutelt sind und die Lobby dies dort so stark als Vorwand für den Patriot-Act, etc. nimmt. Die Menschen dort drüben muss man mitnehmen und Ihnen klar machen, dass Sicherheit nicht durch Einschränkung der Freiheiten ermöglicht wird. Sicherheit säht man auch nicht, indem man die Souveränität anderer Länder mit Drohnen(Mordanschläge auf Staatsfeinde, Entführung(z.B. ist ein deutscher Bürger verschwunden, den die USA gesucht hat), Verhaftung(Soll an deutschen Flughäfen durch den Secret Service auch schon passiert sein) und natürlich auch dem Abhören von Staatsbürgern und Vertretern anderer Länder (z.B. abgehörte franzosen, sodass sich Amerikaner Vorteile bei Verhandlungen verschaffen konnten).
Die Sicherheitsdienste haben eine Macht erreicht und denken alle sind ihre Mariounetten. Sie denken sie verhindern damit, dass die USA getroffen werden, dabei sähen sie damit Terrorismus.
 
Kommen sie ja mal sehr früh drauf. Unabhängig von der NSA war Verschlüsselung schon immer Pflicht für nur halbwegs sensible Daten, die über das Internet transferiert werden. Aber naja, leichert ists natürlich so, ohne jeglichen Mehraufwand sein Geld zu verdienen ....
 
Yahoo, ein amerikanisches Unternehmen, will den Datenverkehr verschlüsseln, in dem Wissen, das jeder weiß, das sie die Schlüssel eh der NSA aushändigen.
Ist heute 1. April ? :rolleyes:
 
Yahoo... :lol: :rolleyes: :freak:
Bis Ende März 2014 sollen die entsprechenden Schutzmechanismen implementiert sein. Bereits im Oktober hatte Yahoo angekündigt, die SSL-Verschlüsselung für den E-Mail-Dienst ab dem 8. Januar standardmäßig zu aktivieren. Zudem will Yahoo auf internationale Partner einwirken, sodass diese den E-Mail-Verkehr ebenfalls mit HTTPS-Verbindungen sichern.
  • Ende März 2014... nur 6 Monat... ich bin beeindruckt! Oder auch nicht... :rolleyes:
  • SSL-Verschlüsselung für client-Zugriff immer noch nicht aktiviert... das Entsetzen lässt sich hier Worte kaum fassen
  • email-Verkehr per HTTPS schützen? :lol: Aber nur für Webmail-Frontends.
Mal sehen wie weit ihr Commitment geht... Ich hab mir die Freiheit genommen die Login-Seite von Yahoo bei ssllabs zu testen:
https://www.ssllabs.com/ssltest/analyze.html?d=login.yahoo.com&s=98.138.253.138

PFS gibt's schonmal keines, genausowenig wie TLS1.2.
TLS_RSA_WITH_AES_256_CBC_SHA und TLS_RSA_WITH_CAMELLIA_256_CBC_SHA sind aber immerhin etwas.

Anyway... Yahoo untersteht letztlich den Geheimgerichten der USA. Damit könnten sie selbst state-of-the-art encryption bis runter auf die Festplatten verwenden. Spätestens wenn der Mann im schwarzen Anzug kommt und den USB-Stick auf den Tisch legt und "freundlich" um die Daten von Person XY "bittet" dann war's das.

PhilAd schrieb:
Das Problem aktuell ist, dass die Bürger der USA vom Terrorismus gebeutelt sind
Ich glaub Du meinst geblendet. Es gab genau einen nennenswerten Anschlag in den USA und das war 9/11. Alles andere war lächerlich -spätestens verglichen "normalen" Morden und Amokläufen an Schulen. Terrorismus wurde und wird instrumentalisiert. Der Kampf dem Terrorismus (Terrorismus, der so nicht existiert) dient, wie du selbst schreibst, nur als Vorwand. Das bisschen Terrorismus in den USA und UK ist lediglich das Echo ihrer Invasionen.
Dann wieder Ursache und Wirkung umzudrehen ist meiner Meinung der eigentlich verwerfliche Part.

MfG, Thomas
 
Zuletzt bearbeitet:
@Zertifikate rausgeben: Wenn sie SSL richtig anstellen, also in Verbindung mit PFS, sollte da selbst die NSA recht ratlos dastehen. Da reicht abhören der Leitung nicht mehr, dann müssen sie wirklich an die Server ran.

Bei Google ist übrigens PFS schon standardmäßig aktiviert. Nur auf den Servern sind die unverschlüsselten Daten halt etwas unpraktisch....
 
Zurück
Oben