[Sg-presse] Presse - Input von außen - Von Bundesregierung geförderte Verschlüsselungs-Software mit mieser Qualität wird als Super-Duper-vertrauenswürdig ausgeliefert

[Anita Möllering <anita.moellering@piratenpartei.de>]

Hallo zusammen

ich habe eine Information reinbekommen zum Thema von der Bundesregierung geförderte Verschlüsselungsprojekte. 

Im Grunde geht es darum: Unternehmen lassen sich mit viel Geld die Entwicklung von Verschlüsselungs-Software von der Bundesregierung bezahlen, liefern eher mäßige Ergebnisse,  verkaufen die dann aber als voll vertrauenswürdig - und weil dann da irgendwo nen „gefördert von Ministerium lalala“-Autoritäts-Stempel drauf ist, bekommen sie das Vertrauen der Endanwender. Verkaufen können sie das von Steuergeld gezauberte Zeug dann natürlich auch noch einmal.

„Wirkliche“ OpenSource-Projekte gehen dann eher unter.

Also diese Förderpolitik ist jetzt eigentlich nix neues, passiert alle Tage, irgendwie spricht da aber niemand drüber.

Wollen wir dazu was machen?

…………………….
Im Konkreten Fall geht es um:

* Sirrix AG und Fraunhofer SIT haben 640.000 Euro Steuergeld (Förderung Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz  (BMELV)) bekommen, um PanBox zu entwickeln. Die Software PanBox soll kommerziell durch die Sirrix AG vertrieben werden (Vorstand Ammar Alkassar, CDU Saarland, [1]).

* PanBox ist eine Verschlüsselungssoftware für beliebige Cloud-Storage-Dienste um eine Client-seitige Verschlüsselung von Dateien. http://www.sirrix.de/content/pages/65589.htm

* Die Version “1.0” (siehe Reviews auf diversen Seiten) scheint dabei ziemliche Bananaware zu sein [2] und wurde “zufällig” einen Tag nach Erscheinen des Artikels über Cryptomator auf t3n  [3] veröffentlicht. Auch erst dann erschien der Source Code des angeblichen “Open Source Projekts”.

* Jetzt gerade habe ich einen Sicherheitsfehler in der Software gefunden (Ermöglicht Kompromittierung der verschlüsselten Dateien durch Timing-Attacken). Das ist ein Anfängerfehler und PEINLICH für das SIT sowie Alkassar, der sich mit einer 15-jährigen Karriere in der Kryptographie rühmt.

Wobei selbst wenn: Fehler an sich sind menschlich. Aber das ganze als 1.0 zu veröffentlichen und dem Endanwender zu suggerieren, dass es sich um eine Ausgereifte Version handelt, DAS ist das eigentlich verwerfliche.

* Hinweisgeber ist Initiator von Crpytomator. Das sollte man zur Einordnung natürlich wissen

https://pressesprecherteam.piratenpad.de/PM-Sicherheit

……………………….

LG, Anita

Anita Möllering

Bundespressesprecherin 
Piratenpartei Deutschland 

Pflugstr. 9a
10115 Berlin

anita.moellering@piratenpartei.de
Tel. 030 60 98 97 510
Mobil. 0176 / 84 28 90 11

Die Piratenpartei Deutschland (PIRATEN) beschäftigt sich mit den
entscheidenden Themen des 21. Jahrhunderts.
Das Recht auf Privatsphäre, eine transparente Verwaltung, eine
Modernisierung des Urheberrechtes,
freie Kultur, freies Wissen und freie Kommunikation sind die
grundlegenden Ziele der PIRATEN.

Attachment: signature.asc
Description: Message signed with OpenPGP using GPGMail