Kryptokalypse?

Hallo,

ich hatte gerade einen längeren Text eingetippt, der dann im Nirwana verschwand (Faktorisierung, große Primzahlen und so...)
Dann eben nicht, lest selbst:
http://blog.fefe.de/?ts=aba62428
Wenn das stimmt und kein unglücklicher Einzelfall ist, dann gute Nacht!

Grüße, muzel

P.S. Es besteht wohl Hoffnung, daß daß der Schlüssel gefälscht ist, also viel Lärm um nichts. Leider kann ja jeder Depp einen public key irgendwo hochladen. Mal schauen, was noch passiert...
Stellt sich die Frage, wer macht so etwas und warum?
Hängt vielleicht damit zusammen: Einbruch bei kernel.org

Hallo,

derzeit sieht es für mich sehr nach einem Fake oder einer defekten Kopie aus. Siehe auch About the supposed factoring of a 4096 bit RSA-key. Dafür spricht aus meiner Sicht vor allem, dass sich dieser Key gar nicht importieren lässt:

Aber, Mircea Popescu hat auf ja angekündigt, dazu Stellung zu nehmen:

Zitat

I will write up an article addressing this particular set of bullshit tomorrow. I promise it will be good. Engage bated breath.

Wir dürfen also gespannt sein.

Nebenbei, Mircea Popescu macht auf mich keinen sehr vertrauenerweckenden Eindruck. Das beginnt damit, dass er sich darüber lustig macht, dass der verwendete Euklid-Algorithmus schon 2500 Jahre alt ist. Was will er damit sagen? Im Gegensatz zur Computertechnik ist es in der Mathematik kein Nachteil, wenn eine Erkenntnis bereits sehr alt ist. Der Satz des Pythagoras ist heute ebenso wichtig und wertvoll wie früher.

Also, entweder Mircea weiß nicht, dass das Eukild-Verfahren oder Abwandlungen davon auch heute noch zu den schnellsten Verfahren zur Bestimmung des ggT zählen, oder er weiß es sehr wohl und betreibt nur reine Polemik. So ist auch der Rest des Artikels geschrieben. Einen Kommentar, der zu mehr Sachlichkeit mahnt, beantwortet er mit

Zitat

Bitch, I don't need any "credence" lent, and especially not from you lot. ...

Objektivität geht anders.

Gruß

Susanne

Moin Susanne,

Zitat

derzeit sieht es für mich sehr nach einem Fake oder einer defekten Kopie aus.

ja, ich denke auch, daß sich die Geschichte in Luft auflöst.
Ich hoffe auch, die Weiterverbreitung der Geschichte wird mir nicht als voreilig angekreidet. Ich fands immerhin interessant, mal wieder etwas über die Grundzusammenhänge zu lesen - die höhere Mathematik dahinter verstehen ja vermutlich nur ein paar Leute.
Um wenigstens noch eine schöne Verschwörungstheorie (es gäbe einige mögliche, z.B. das Vertrauen in PGP soll zerstört werden), zu haben, frage ich mich immer noch, wer ausgerechnet DEM Peter Anvin einen gefälschten Schlüssel unterschieben wollte (bzw. den Linux-Anwendern?). Anderseits hätten Profis sicher gewußt, daß sich der Schlüssel nicht einmal fehlerfrei importieren läßt.
Ansonsten kann man sich vermutlich wieder halbwegs entspannt zurücklehnen und hoffen, daß es mit den Quantencomputern noch etwas dauert...

Grüße, muzel

Hallo muzel,

Zitat von muzel

Ich hoffe auch, die Weiterverbreitung der Geschichte wird mir nicht als voreilig angekreidet.

nein, keine Sorge. Ich finde die Geschichte sehr interessant. Muss gleich mal schauen, ob das versprochene Update schon da ist.

Zitat von muzel

die höhere Mathematik dahinter verstehen ja vermutlich nur ein paar Leute

Die Mathematik dahinter ist nicht einfach, aber ich denke, jeder Mathematiker versteht sie. Für die reine Anwendung, also ohne die Grundlagen dahinter zu betrachten, reduziert es sich eh auf etwas Modulo- und Potenzrechnung, siehe das Beispiel (nur das Beispiel) auf wikipedia: http://de.wikipedia.org/wiki/RSA-Kryptosystem

Das sollte jeder Gymnasiast hinbekommen.

Zitat von muzel

frage ich mich immer noch, wer ausgerechnet DEM Peter Anvin einen gefälschten Schlüssel unterschieben wollte

Naja, wenn man Aufmerksamkeit will, macht sein Schlüssel schon was her. Außerdem haben sie unsere ja nicht auf dem Server gefunden.

Viele Grüße

die Susi

Ich habe heute früh ganz gespannt auf die Seite von Mircea geschaut. Hier scheint seine angekündigte Antwort auf den "bullshit" zu sein.
Der Artikel ist schwer zu lesen, vor allem, weil er meiner Meinung nach erneut voller Polemik ist. Er enthält einige schon fast wirre Sätze und steckt voller zusammengesetzter Kunstwörter. Den Begriff Bullshit sollte er mal reflektieren

Immerhin gesteht er ein, dass dieser wahrscheinlich defekte oder manipulierte Key nicht benutzt werden kann:

Zitat

Sane people did sane things as a result, such as independently verify that the key was factorizable (it was), try and figure out where the key was used (turns out it wasn't), try to figure out how dangerous the situation is (unclear, but it doesn't seem likely that the key can be used as-is in most circumstances), examine the key (turns out it's a fragment of a valid key to which a signature for a different key was attached) and so on.

Was folgt ist dann meiner Meinung nach ein rechtes Geschwafel, sorry, wenn ich jetzt auch subjektiv werde. Irgendwelche Fakten oder neue Erkenntnisse, die zeigen würden, dass PGP/RSA hier eine Lücke hätte, habe ich trotz der Länge seines Textes jedenfalls keine gefunden. Das mag aber daran liegen, dass mein Englisch bei so einem Geschreibsel auch an die Grenzen kommt.

Ah, ein ganz gewichtiges Argument habe ich dann doch noch entdeckt:

Zitat

As it happens however I'm not your random pasty ass geek, afraid of whatever bugaboos and hobgoblins terrorize the geekdom ; nor am I a "scientist"/academitard, entirely, consumately dependent on governmental largesse for life. I am powerhouse in my own right, with an Intel service at my disposal as befitting a proud lord of a sovereign nation and so forth.

Nein, jemanden, der in einem solchem Zusammenhang den Begriff scientist abwertend in Hochkommata setzt und es als aufwertend herausstellen möchten, dass er selbst keiner sei, dafür aber keine Angst vor gar nichts habe, den kann ich nicht ernst nehmen.

Sorry, Mircea, ich hoffe ich tue Dir kein Unrecht, aber ich vertraue doch lieber den oben verlinkten Aussagen von Hanno Böck. Sein Artikel ist sachlich und frei von Polemik. Das mag daran liegen, dass er ein "scientist/academitard" ist, der Informatik mit Schwerpunkt Kryptografie studiert und seine Diplomarbeit im Themenbereich RSA verfasst hat.

Hallo zusammen,

eigentlich war ich gestern nach Lektüre des Artikels von Hanno Böck schon beruhigt, aber der "Bullshit"-Artikel war noch das Sahnehäubchen
Es gibt zwar auch vernünftige Aussagen darin, aber vieles erscheint mir schwer verständlich bis verworren. Das kann natürlich auch an meinen Englischkenntnissen liegen, aber Fachtexte kann ich eigentlich halbwegs lesen.
Sicher könnte man: "Review the various available GPG implementations" und "... find a diddled GPG implementation".
Wahrscheinlich gibt es ja so viele gpg-Implementierungen wie Programmiersprachen multipliziert mit Betriebssystemen, und ich wette fast, daß einige davon versehentlich oder absichtlich fehlerhaft sind.
Ich halte mich an gnupg von Werner Koch, dessen Quellcode man (irgendwer, ich nicht ) untersuchen kann, und etwas anderes als das von ihm signierte oder aus dem Quellcode erzeugte Programm benutze ich nicht. Oder doch, ich hab da irgendeine OpenPGP-App auf meinem Telefon, aber nur zum Spielen. Ein Smartphone kann man ja eh als kompromittiert ansehen, bei WinDosen ist es vermutlich ähnlich.
So, Mittagspause vorbei, muß mal wieder was tun,

Viele Grüße, muzel