Ich finde das lustig, dass man angewiesen wird, spezielle Verschlüsselungsmethoden zu nutzen, aber in diesen Docs nirgendwo steht, WIE man diese Methoden nutzen kann.
Welche Bibliotheken für welche Sprachen auf welchen Betriebssystemen werden empfohlen und/oder überhaupt unterstützt (von Upstream und/oder Unternehmen).
Einige Jahre zuvor gab es doch bei Debian diesen Vorfall wo ein kleiner Patch ziemlich viel kaputt gemacht hatte. Hätte man als Entwickler auf diese Gepatchen Methoden gesetzt, hätte man ohne zu wissen, keine sichere Applikation mehr.
Sich überhaupt keine Gedanken um Verschlüsselung/Sicherheit zu machen, ist bei all dem undurchsichtigem Hin und Her - trotz offener Entwicklung dank freier SW - , die beste Methode durch den Entwickler Tag zu kommen.
Kommt darauf an, auf welcher Ebene Du entwickelst...
GnuTLS unterstützt seit 3.2.4 den Priority String 'PFS', bei älteren Versionen wäre das 'NORMAL:-RSA'. Das lässt sich natürlich auch auf TLS1.2 einschränken.
Bei OpenSSL ist es etwas komplizierter, Wget benutzt z.B. HIGH:MEDIUM:!RC4:!SRP:!PSK:!RSA:!aNULL@STRENGTH als Cipher List.
In der git Version von Wget kannst Du PFS mit --secure-protocol=PFS nutzen, oder gleich als Default in /etc/wgetrc oder ~/.wgetrc eintragen. Bei Problemen mit älteren Servern, kannst Du mit --secure-protocol=auto wieder auf Default schalten.
Was das BSI empfiehlt, darf - angesichts des dubiosen Beziehungsgeflechts zwischen BSI und den Geheimdiensten - wohl als bereits unterwandert gelten....
Ich finde das lustig, dass man angewiesen wird, spezielle Verschlüsselungsmethoden zu nutzen, aber in diesen Docs nirgendwo steht, WIE man diese Methoden nutzen kann.
Welche Bibliotheken für welche Sprachen auf welchen Betriebssystemen werden empfohlen und/oder überhaupt unterstützt (von Upstream und/oder Unternehmen).
Einige Jahre zuvor gab es doch bei Debian diesen Vorfall wo ein kleiner Patch ziemlich viel kaputt gemacht hatte. Hätte man als Entwickler auf diese Gepatchen Methoden gesetzt, hätte man ohne zu wissen, keine sichere Applikation mehr.
Sich überhaupt keine Gedanken um Verschlüsselung/Sicherheit zu machen, ist bei all dem undurchsichtigem Hin und Her - trotz offener Entwicklung dank freier SW - , die beste Methode durch den Entwickler Tag zu kommen.
Kommt darauf an, auf welcher Ebene Du entwickelst...
GnuTLS unterstützt seit 3.2.4 den Priority String 'PFS', bei älteren Versionen wäre das 'NORMAL:-RSA'. Das lässt sich natürlich auch auf TLS1.2 einschränken.
Bei OpenSSL ist es etwas komplizierter, Wget benutzt z.B. HIGH:MEDIUM:!RC4:!SRP:!PSK:!RSA:!aNULL@STRENGTH als Cipher List.
In der git Version von Wget kannst Du PFS mit --secure-protocol=PFS nutzen, oder gleich als Default in /etc/wgetrc oder ~/.wgetrc eintragen. Bei Problemen mit älteren Servern, kannst Du mit --secure-protocol=auto wieder auf Default schalten.
Nicht mal TLS 1.2 scheint noch sicher zu sein.
Was das BSI empfiehlt, darf - angesichts des dubiosen Beziehungsgeflechts zwischen BSI und den Geheimdiensten - wohl als bereits unterwandert gelten....
Solange Du nicht schlauer als alle anderen bist, musst Du das so hinnehmen oder wieder nackt im Wald leben
Wir warten aber gerne auf konkrete Vorschläge...
und liefert falsche Informationen
http://www.golem.de/news/mindeststandards-bsi-haelt-sich-nicht-an-eigene-empfehlung-1310-102042.html
