Antonov 225 - größtes Flugzeug der Welt, mit 640 t Startgewicht - Zerstört!...

[Arno Welzel]

Helmut Schellong:

On 04/05/2022 14:25, Arno Welzel wrote:
Helmut Schellong:

On 04/01/2022 18:33, Hanno Foest wrote:
On 01.04.22 18:20, Helmut Schellong wrote:

Ich bin ein hochprofessioneller Programmierer/Implementierer.
Wohl besser als die meisten Entwickler von kryptographischen  Algorithmen.

Q. Wie größenwahnsinnig kann man sein?
A. Ja.



Du hast offenbar keine Kenntnisse über die Zusammensetzung von Entwicklungsteams.
Zum Kontext passend:
Drei Personen sind die Entwickler des Algorithmus.
Eine Person schreibt die Dokumentationen.
Eine Person ist ein fähiger Programmierer/Implementierer.

Nur eine Person? Ernsthaft? In meinem beruflichen Umfeld wäre das ein
Kündigungsgrund, wenn jemand glaubt, mit lediglich *einer* Person
irgendwas sicherheitsrelevantes implementieren zu können.


Das deutet auf Deine wohl eher geringe Kompetenz und Talent, Du Hampelmann.

Nein, das ist meine praktische Erfahrung.

Es geht hier um Firma mit über 500 Mitarbeitern, die Systeme entwickelt,
die eine Freigabe für den Einsatz in kritischer Infrastruktur haben.

Es handelt sich oben um ein Entwicklungsteam, was Du offenbar nicht realisiert hast.
Da reicht (nach jahrelanger Entwicklungszeit) locker ein Implementierer aus.

Ich implementiere allein an einem einzigen Tag einen typischen Algorithmus,
der dann auf Anhieb korrekt funktioniert.
Ich habe 15 Jahre lang auch sicherheitskritische Software entwickelt - allein.

Du leidest massiv an Selbstüberschätzung, wenn Du glaubst, dass die Welt
genau so gut funktioniert, in dem Leute wie Du ausschließlich alleine
Dinge entwickeln und dann davon ausgehen, dass sie immer fehlerfrei sind.

--
Arno Welzel
https://arnowelzel.de

 

[Theo Bomba]

Am 06.04.2022 um 18:20 schrieb Arno Welzel:

Helmut Schellong:
Ich habe 15 Jahre lang auch sicherheitskritische Software entwickelt - allein.

Du leidest massiv an Selbstüberschätzung,

Das ist ja nun wahrlich nichts neues.

 

[Arno Welzel]

Gerrit Heitsch:

On 4/5/22 18:42, Helmut Schellong wrote:
On 04/05/2022 17:16, Marc Haber wrote:
Helmut Schellong <rip@schellong.biz> wrote:
Diese hatte ich aufgelistet:
    |Die Kern-Algorithmen sind nicht selbst entwickelt.
    |Ich habe u.a. die Algorithmen Rabbit, Spritz, sha2_256, sha2_512,
    |sha3_256, sha3_512 (Keccak) in meine Shell bish implementiert.
    |Diese Algorithmen sind alle kryptographisch.

Warum eigentlich kein AES? Hat es irgendwelche Auswirkungen auf die
Sicherheit, dass Rabbit nur für 128-bit-Keys spezifiziert zu sein
scheint?


AES ist älter und gilt als _theoretisch_ \'gebrochen\'.

Quelle?

<https://www.cl.cam.ac.uk/~rja14/serpent.html>

<https://eprint.iacr.org/2002/044>

Bruce Schneier hat über Angriffe auf AES auch schon mal geschrieben:

<https://www.schneier.com/blog/archives/2011/08/new_attack_on_a_1.html>

<https://www.schneier.com/blog/archives/2009/07/another_new_aes.html>



--
Arno Welzel
https://arnowelzel.de

 

[Helmut Schellong]

On 04/06/2022 18:11, Arno Welzel wrote:

Helmut Schellong:

On 04/05/2022 14:11, Arno Welzel wrote:
Helmut Schellong:

On 04/02/2022 15:26, Theo Bomba wrote:
Am 02.04.2022 um 13:54 schrieb Helmut Schellong:
Ich beschäftige mich seit den 1990ern mit kryptografischen Algorithmen.
Und zwar theoretisch als auch konkret praktisch.
Deshalb verstehe ich viel davon.
Belegen kann ich das nicht und muß es auch nicht.
Ich kann\'s halt und mache mir dieses Wissen zu Nutze - das reicht mir.

Bist bestimmt ein Experte für rot13.



Das habe ich sogar schon in den 1980ern kennengelernt, im Zusammenhang
mit base64 auf Betriebssystemen von SCO.

Worin genau besteht jetzt der besondere Verdienst, dass Du so alt bist?

Mit SCO Unix habe ich auch schon in 1980ern zu tun gehabt. Und?



Welcher Verdienst? Verdienst wegen Alters? Hää?!

Ja, das habe ich mich bei Dir gefragt, wozu diese Aussage von Dir kam.
Auf mich wirkte das halt, wie deine übliche Profilierungsneurose, dass
Du beweisen musst, was Du für eine große Berufserfahurng hast.

Das ist falsch.
Ich habe lediglich auf die Frage \"Bist bestimmt ein Experte für rot13.\" geantwortet.
Deine Antwort darauf ist abwegig.
Was soll man sonst auf solch eine Frage antworten, wenn es gar nicht um ROT13 geht und ging?


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/rand.htm http://www.schellong.de/htm/bsd.htm

 

[Arno Welzel]

Helmut Schellong:

On 04/05/2022 15:00, Arno Welzel wrote:
Helmut Schellong:

On 04/02/2022 15:25, Theo Bomba wrote:
Am 02.04.2022 um 13:45 schrieb Helmut Schellong:
Fazit:
Angesichts des andauernden und wiederholten Ignorierens, der massiv falschen (erlogenen)
Behauptungen, Nichtverstehens und Ähnlichem, spare ich mir die Mühe, alle weiteren Quellen
zusammenzusuchen und aufzubereiten.

Logisch, da ist ja auch nichts.


Nichts?
Das ist gelogen!
Im gelöschten Text vor dem Fazit habe ich Quellen gepostet und gezeigt, wann ich sie postete.

Welcher \"gelöschte Text\"?

Der Text, der vor dem hier oben gequoteten Text in meinem Posting steht 04/02/2022 13:45.

Wirst Du jemals lernen, was Message-IDs sind?


--
Arno Welzel
https://arnowelzel.de

 

[Helmut Schellong]

On 04/06/2022 18:14, Arno Welzel wrote:

Helmut Schellong:

On 04/05/2022 14:09, Arno Welzel wrote:
Helmut Schellong:

On 04/02/2022 11:52, Arno Welzel wrote:
[...]
Wo hast Du genau belegt, dass Du von Kryptografie viel verstehst?
Quellen bitte.

Ich beschäftige mich seit den 1990ern mit kryptografischen Algorithmen.
Und zwar theoretisch als auch konkret praktisch.
Deshalb verstehe ich viel davon.
Belegen kann ich das nicht und muß es auch nicht.

Dachte ich mir.


Bla Bla.
Um so etwas zu beweisen, müßte man einen längeren Film drehen und veröffentlichen.

Nö - es würde genügen, wenn Du Beispiele oder Arbeiten vorlegen
könntest, die deine Expertise in diesem Bereich zeigt. Und damit meine
ich mehr, als nur die Implementierung von Rabbit.

Bis dahin ist deine Aussage eben nur eine Behauptung - die kann man
glauben oder auch nicht.

Du begreifst einfach nicht!
Ich habe das betreffende Wissen weitgehend im Kopf.
Denk mal nach, wie man so etwas beweisen soll.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/rand.htm http://www.schellong.de/htm/bsd.htm

 

[Helmut Schellong]

On 04/06/2022 18:17, Arno Welzel wrote:

Helmut Schellong:

On 04/05/2022 15:01, Reinhardt Behm wrote:
On Tue, 5 Apr 2022 14:25:00 +0200, Arno Welzel wrote:


Du hast offenbar keine Kenntnisse über die Zusammensetzung von
Entwicklungsteams.
Zum Kontext passend:
Drei Personen sind die Entwickler des Algorithmus.
Eine Person schreibt die Dokumentationen.
Eine Person ist ein fähiger Programmierer/Implementierer.

Nur eine Person? Ernsthaft? In meinem beruflichen Umfeld wäre das ein
Kündigungsgrund, wenn jemand glaubt, mit lediglich *einer* Person
irgendwas sicherheitsrelevantes implementieren zu können.

Ohne unabhängigen Software-Tester und unabhängige QM-Person gibt es mit
Sicherheit keine Zulassung irgendeiner Avionik-Software. Da kann irgend
so ein Schellong-Dummschwätzer der EASA/FAA noch so oft erzählen, er
würde keine Fehler machen. Deshalb sagte ich schon mal in diesem Thread,
dass solche Großmäuler aus jedem enrsthaften Team von Entwicklern
sicherheitskritischer Software rausfliegn würden.


Du bist offenbar ein Plappermaul und Dummschwätzer.
Die Software, die ich in der Industrie für ukrainische und russische Kernkraftwerke
entwickelte, wurde in der Schweiz etwa 3 Wochen lang getestet und wurde danach freigegeben.

Und die Tests waren ein reine Blackbox-Test? Glaube ich nicht.

Du hast stark eingeschränkte Kenntnisse über die Verfahren in der Industrie.
Die Software steht dem Kunden über einen Treuhänder zur Verfügung, falls nötig.
Es wurde die ganze Netzschaltanlage geprüft, Hardware und Software, wochenlang.
Es wurde geprüft, ob die Anlage dem Lastenheft entspricht.
Ohne Software macht die Anlage keinen Mucks.
Die Hardware läßt sich über die Software bedienen und per Monitoring überwachen.
Wenn Du das alles nicht glaubst, dann höre auf, hier sinnlos zu labern!


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/rand.htm http://www.schellong.de/htm/bsd.htm

 

[Theo Bomba]

Am 06.04.2022 um 18:39 schrieb Helmut Schellong:
> Ich habe das betreffende Wissen weitgehend im Kopf.

Der ist aber krank.

 

[Helmut Schellong]

On 04/06/2022 18:20, Arno Welzel wrote:

Helmut Schellong:

On 04/05/2022 14:25, Arno Welzel wrote:
Helmut Schellong:

On 04/01/2022 18:33, Hanno Foest wrote:
On 01.04.22 18:20, Helmut Schellong wrote:

Ich bin ein hochprofessioneller Programmierer/Implementierer.
Wohl besser als die meisten Entwickler von kryptographischen  Algorithmen.

Q. Wie größenwahnsinnig kann man sein?
A. Ja.



Du hast offenbar keine Kenntnisse über die Zusammensetzung von Entwicklungsteams.
Zum Kontext passend:
Drei Personen sind die Entwickler des Algorithmus.
Eine Person schreibt die Dokumentationen.
Eine Person ist ein fähiger Programmierer/Implementierer.

Nur eine Person? Ernsthaft? In meinem beruflichen Umfeld wäre das ein
Kündigungsgrund, wenn jemand glaubt, mit lediglich *einer* Person
irgendwas sicherheitsrelevantes implementieren zu können.


Das deutet auf Deine wohl eher geringe Kompetenz und Talent, Du Hampelmann.

Nein, das ist meine praktische Erfahrung.

Es geht hier um Firma mit über 500 Mitarbeitern, die Systeme entwickelt,
die eine Freigabe für den Einsatz in kritischer Infrastruktur haben.

Und ich habe für einen Konzern gearbeitet, der mehrfach mehr Mitarbeiter hat.
Es ist vollkommen egal, wie bei Deinem Arbeitgeber gearbeitet wird!
Bei meinem wird so gearbeitet, wie ich es berichtete.
Paßt Dir das nicht?

Es handelt sich oben um ein Entwicklungsteam, was Du offenbar nicht realisiert hast.
Da reicht (nach jahrelanger Entwicklungszeit) locker ein Implementierer aus.

Ich implementiere allein an einem einzigen Tag einen typischen Algorithmus,
der dann auf Anhieb korrekt funktioniert.
Ich habe 15 Jahre lang auch sicherheitskritische Software entwickelt - allein.

Du leidest massiv an Selbstüberschätzung, wenn Du glaubst, dass die Welt
genau so gut funktioniert, in dem Leute wie Du ausschließlich alleine
Dinge entwickeln und dann davon ausgehen, dass sie immer fehlerfrei sind.

Es war aber so - auch wenn das Dir nicht paßt!
Soll ich lügen?
Meine Software hatte auf Anhieb funktioniert.
Ich habe unserem Mitarbeiter - ein Rußland-Deutscher - lediglich ein paar
korrigierende Mappings der kyrillischen Zeichen mitgeteilt.
Mehr war da nicht.
Etwa 10 Jahre später wurde allerdings die Hardware geändert.
Der Kunde wollte 30 Jahre Lebensdauer zertifiziert haben.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/rand.htm http://www.schellong.de/htm/bsd.htm

 

[Helmut Schellong]

On 04/06/2022 18:37, Arno Welzel wrote:

Helmut Schellong:

On 04/05/2022 15:00, Arno Welzel wrote:
Helmut Schellong:

On 04/02/2022 15:25, Theo Bomba wrote:
Am 02.04.2022 um 13:45 schrieb Helmut Schellong:
Fazit:
Angesichts des andauernden und wiederholten Ignorierens, der massiv falschen (erlogenen)
Behauptungen, Nichtverstehens und Ähnlichem, spare ich mir die Mühe, alle weiteren Quellen
zusammenzusuchen und aufzubereiten.

Logisch, da ist ja auch nichts.


Nichts?
Das ist gelogen!
Im gelöschten Text vor dem Fazit habe ich Quellen gepostet und gezeigt, wann ich sie postete.

Welcher \"gelöschte Text\"?

Der Text, der vor dem hier oben gequoteten Text in meinem Posting steht 04/02/2022 13:45.

Wirst Du jemals lernen, was Message-IDs sind?

Kenne ich, aber ich verwende sie nicht, weil die meisten mit den Zeitstempeln besser zurecht kommen.
Es gab hier entsprechende Postings.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/rand.htm http://www.schellong.de/htm/bsd.htm

 

[Helmut Schellong]

On 04/06/2022 19:03, Theo Bomba wrote:

Am 06.04.2022 um 18:39 schrieb Helmut Schellong:
Ich habe das betreffende Wissen weitgehend im Kopf.

Der ist aber krank.


Zwischendurch erhole ich mich aber immer wieder - schnell.

--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/rand.htm http://www.schellong.de/htm/bsd.htm

 

[Theo Bomba]

Am 06.04.2022 um 19:10 schrieb Helmut Schellong:

On 04/06/2022 19:03, Theo Bomba wrote:
Am 06.04.2022 um 18:39 schrieb Helmut Schellong:
Ich habe das betreffende Wissen weitgehend im Kopf.

Der ist aber krank.


Zwischendurch erhole ich mich aber immer wieder - schnell.

Nimm deine Medikamente einfach regelmäßig.

 

[Marc Haber]

Helmut Schellong <rip@schellong.biz> wrote:
>Bei AES sind unter dem Thema \'Sicherheit\' viiiel mehr Texte zu finden

Das liegt daran dass AES in etwa eine Million mal verbreiteter ist.

--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | \" Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom \" |
Nordisch by Nature | Lt. Worf, TNG \"Rightful Heir\" | Fon: *49 621 72739834

 

[Helmut Schellong]

On 04/06/2022 22:38, Marc Haber wrote:

Helmut Schellong <rip@schellong.biz> wrote:
Bei AES sind unter dem Thema \'Sicherheit\' viiiel mehr Texte zu finden

Das liegt daran dass AES in etwa eine Million mal verbreiteter ist.

===========================================================================================Rijndael überzeugte im AES-Wettbewerb durch seine mathematisch elegante und einfache Struktur
sowie durch seine Effizienz.
Allerdings sahen manche Kryptographen gerade darin ein Problem:
Die S-Boxen lassen sich algebraisch einfach beschreiben, und sie sind die einzige
nichtlineare Komponente der Chiffre.
Dadurch lässt sich der gesamte Algorithmus als Gleichungssystem beschreiben.
Durch die einfache Schlüsseleinteilung würden mit einem beliebigen Rundenschlüssel
auch 128 Bit des Verfahrensschlüssels kompromittiert.
Ein weiterer Kritikpunkt war die relativ geringe Sicherheitsmarge, die nach damaligem Stand
der Analyse nur drei (bei 128 Bit Schlüssellänge) bis fünf Runden (bei 256 Bit Schlüssellänge) betrug.
===========================================================================================
Diese Kritik gehört in die Kategorie \'Beurteilung und Analyse\', hat also nichts
oder kaum etwas mit Verbreitung zu tun.
Vergleichbare Kritikpunkte gibt es bei Rabbit jedoch gar nicht.
Dessen Analyse sieht gut aus.

Ich habe mich für Rabbit als meinen Hauptalgorithmus entschieden, weil der in einem
offiziellen Wettbewerb unter 34 Algorithmen Platz 1 belegte und zu den 4 empfohlenen gehört.
Wie http://www.schellong.de/htm/rabbit_kern.c.html zeigt, ist Rabbit angenehm zu implementieren.
Und Rabbit ist sehr schnell und kompakt.



--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/rand.htm http://www.schellong.de/htm/bsd.htm

 

[Arno Welzel]

Helmut Schellong:

On 04/06/2022 18:11, Arno Welzel wrote:
Helmut Schellong:

On 04/05/2022 14:11, Arno Welzel wrote:
Helmut Schellong:

On 04/02/2022 15:26, Theo Bomba wrote:
Am 02.04.2022 um 13:54 schrieb Helmut Schellong:
Ich beschäftige mich seit den 1990ern mit
kryptografischen Algorithmen. Und zwar theoretisch als
auch konkret praktisch. Deshalb verstehe ich viel davon.
Belegen kann ich das nicht und muß es auch nicht. Ich
kann\'s halt und mache mir dieses Wissen zu Nutze - das
reicht mir.

Bist bestimmt ein Experte für rot13.



Das habe ich sogar schon in den 1980ern kennengelernt, im
Zusammenhang mit base64 auf Betriebssystemen von SCO.

[...]

Ja, das habe ich mich bei Dir gefragt, wozu diese Aussage von Dir
kam. Auf mich wirkte das halt, wie deine übliche
Profilierungsneurose, dass Du beweisen musst, was Du für eine große
Berufserfahurng hast.


Das ist falsch. Ich habe lediglich auf die Frage \"Bist bestimmt ein
Experte für rot13.\" geantwortet. Deine Antwort darauf ist abwegig.

Ja - damit, dass Du schon in den 1980ern mit \"Betriebssystemen von SCO\"
zu tun hattest und auch base64 da kenngelernt hast.

Was soll man sonst auf solch eine Frage antworten, wenn es gar nicht
um ROT13 geht und ging?

Die Frage war offensichtlich nicht ernstgemeint. Aber für Dich keine
Grund nicht doch irgendwas über dein großes Fachwissen auszubreiten,
selbst wenn es völlig irrelevant ist, ob Du 1980 irgendwas mit SCO-Unix
gemacht hast.


--
Arno Welzel
https://arnowelzel.de

 

[Arno Welzel]

Helmut Schellong:

On 04/06/2022 18:14, Arno Welzel wrote:
[...]
Nö - es würde genügen, wenn Du Beispiele oder Arbeiten vorlegen
könntest, die deine Expertise in diesem Bereich zeigt. Und damit meine
ich mehr, als nur die Implementierung von Rabbit.

Bis dahin ist deine Aussage eben nur eine Behauptung - die kann man
glauben oder auch nicht.


Du begreifst einfach nicht!
Ich habe das betreffende Wissen weitgehend im Kopf.
Denk mal nach, wie man so etwas beweisen soll.

Deswegen ist die Aussage darüber, was man im Kopf hat, auch nur eine
Behauptung. Um nichts anderes ging es mir.


--
Arno Welzel
https://arnowelzel.de

 

[Arno Welzel]

Helmut Schellong:

On 04/06/2022 18:17, Arno Welzel wrote:
[...]
Und die Tests waren ein reine Blackbox-Test? Glaube ich nicht.


Du hast stark eingeschränkte Kenntnisse über die Verfahren in der Industrie.

Ähm - nein, eher umgekehrt. Deswegen ja meine Frage. Dass man Kunden
einfach nur eine fertiges System hinstellt ohne Einblick in die Interna
der Software ist gerade bei sicherheitsrelevanten Systemen nicht üblich.

Die Software steht dem Kunden über einen Treuhänder zur Verfügung, falls nötig.
Es wurde die ganze Netzschaltanlage geprüft, Hardware und Software, wochenlang.
Es wurde geprüft, ob die Anlage dem Lastenheft entspricht.
Ohne Software macht die Anlage keinen Mucks.
Die Hardware läßt sich über die Software bedienen und per Monitoring überwachen.
Wenn Du das alles nicht glaubst, dann höre auf, hier sinnlos zu labern!

Das war nicht das Thema! Es ging um die Frage, ob es genügt, dass *eine*
Person irgendwas implementiert und allein deren Urteil über ihre eigene
Unfehlbarkeit ausreicht, um den Nachweis über die korrekte Funktion
einer Software zu erbringen.


--
Arno Welzel
https://arnowelzel.de

 

[Arno Welzel]

Helmut Schellong:

On 04/06/2022 18:20, Arno Welzel wrote:
Helmut Schellong:

On 04/05/2022 14:25, Arno Welzel wrote:
[...]
Nur eine Person? Ernsthaft? In meinem beruflichen Umfeld wäre das ein
Kündigungsgrund, wenn jemand glaubt, mit lediglich *einer* Person
irgendwas sicherheitsrelevantes implementieren zu können.


Das deutet auf Deine wohl eher geringe Kompetenz und Talent, Du Hampelmann.

Nein, das ist meine praktische Erfahrung.

Es geht hier um Firma mit über 500 Mitarbeitern, die Systeme entwickelt,
die eine Freigabe für den Einsatz in kritischer Infrastruktur haben.

Und ich habe für einen Konzern gearbeitet, der mehrfach mehr Mitarbeiter hat.
Es ist vollkommen egal, wie bei Deinem Arbeitgeber gearbeitet wird!

Nicht ganz - wenn es egal wäre, wäre die Firma nicht in der Position, wo
sie ist und weitgehend konkurrenzlos.

> Bei meinem wird so gearbeitet, wie ich es berichtete.

Wirklich *wird*? Auch heute noch?

> Paßt Dir das nicht?

In keiner ernstzunehmenden Firma wird man einem einzigen Entwickler in
einem Team die Umsetzung einer sicherheitskritischen Software komplett
alleine überlassen.

[-...]

Ich implementiere allein an einem einzigen Tag einen typischen Algorithmus,
der dann auf Anhieb korrekt funktioniert.
Ich habe 15 Jahre lang auch sicherheitskritische Software entwickelt - allein.

Du leidest massiv an Selbstüberschätzung, wenn Du glaubst, dass die Welt
genau so gut funktioniert, in dem Leute wie Du ausschließlich alleine
Dinge entwickeln und dann davon ausgehen, dass sie immer fehlerfrei sind.

Es war aber so - auch wenn das Dir nicht paßt!
Soll ich lügen?

Was auch immer das für eine Firma war - mag sein, dass sowas vieleicht
vor 30 Jahren möglich war. Zwischenzeitich hat man dazugelernt. Stuxnet
& Co. schon vergessen?


--
Arno Welzel
https://arnowelzel.de

 

[Arno Welzel]

Helmut Schellong:

On 04/06/2022 18:37, Arno Welzel wrote:
Helmut Schellong:
[...]
Der Text, der vor dem hier oben gequoteten Text in meinem Posting
steht 04/02/2022 13:45.

Wirst Du jemals lernen, was Message-IDs sind?



Kenne ich, aber ich verwende sie nicht, weil die meisten mit den
Zeitstempeln besser zurecht kommen. Es gab hier entsprechende
Postings.

Mit brauchbaren Newsreader kann einen Posting anhand der Message-ID
einfach direkt direkt öffnen. Aber weil das nicht jeder kann, lässt Du
sie lieber ganz weg, statt den Zeitpunkt einfach zusätzlich anzugeben?

Ok, dann eben nicht.


--
Arno Welzel
https://arnowelzel.de

 

[Helmut Schellong]

On 04/01/2022 12:54, Helmut Schellong wrote:

On 04/01/2022 11:48, Volker Bartheld wrote:
On Fri, 1 Apr 2022 11:18:41 +0200, Hanno Foest wrote:
On 01.04.22 11:03, Volker Bartheld wrote:
Oder ob in der Hardware eine Backdoor eingebaut wurde.
[URLs]
Da fehlt noch der Klassiker:
https://sharps.org/wp-content/uploads/BECKER-CHES.pdf

Richtig. Danke! Den hatte ich vergessen. Eine echte Perle. Sind natürlich
in der Gesamtschau alles recht ausgefuchste Sachen, derer sich Experten
annehmen müssen und meilenweit von der Aussage entfernt, man könnte anhand
einer Stichprobe die \"korrekte\" Implementierung eines Algorithmus (was auch
immer unter korrekt zu verstehen ist, das Stichwort \"Seitenkanalattacke\"
wurde ja bereits gegeben und nicht verstanden) beweisen.

Ein Algorithmus ist korrekt implementiert, wenn für jede mögliche Eingabe
dessen Ausgabe übereinstimmend mit der Referenz-Implementation ist.
Vorstehend die allgemeine Antwort.

Bei ganz bestimmten Algorithmen können aufgrund von deren spezifischen Eigenschaften
Stichproben beweiskräftig die Korrektheit einer Implementation bestätigen.
Die jeweiligen Entwickler können eine geeignete Testprozedur festlegen.
Die allgemeinen Regeln sind dann im betreffenden Kontext nicht anwendbar.

Die Angelegenheit mit den beweiskräftigen Stichproben ist nun genügend geklärt.
Am Beispiel des dragon-Algorithmus.

Der Key hat 256 Bits, kann also 2^256 = 2^(2^8) verschiedene Werte annehmen.
Zu jedem dieser Werte gehört ein bestimmter jeweils komplett unterschiedlicher Keystream.
Der Keystream hat eine maximale Länge von 2^64 Bit, kann also <2^(2^64) verschiedene Werte annehmen.
Die Testausgabe umfaßt 1024 Bit (Stichprobe).
Das ist also der kurze Beginn eines Keystreams.

Diffusor:
|All the keystream words and feedback words are dependent on all input words,
|both at the bit level and word level. A single bit change in any of the six input
|words results in completely different keystream and feedback words.

Zu beachten ist hier das Wort \'completely\'.

Es liegt ein deterministischer Keystream von Bit 0 bis Bit 2^64-1 vor.
Die Testausgabe hat 1024 Bit (Stichprobe).
Wenn diese übereinstimmt, muß auch der Rest übereinstimmen, weil der
Algorithmus es nicht hergibt, daß die ersten 1024 Bit übereinstimmen, jedoch
danach fehlende Übereinstimmungen vorkommen können.
Jedenfalls nicht bei mehreren Stichproben.
Das ist dem Algorithmus inhärent.
Es geht um den Beweis einer korrekten Implementation!
Beispiel:
Zuweisung von \'b\' und \'c\' nach dem Schieben statt vor dem Schieben
hat nur die ersten 4x64 Bit von 1024 gleich belassen (256).
Die restlichen 12x64 Bit der Ausgabe waren bereits völlig anders!

Es wurden etwa 40 subtile Änderungen (Fehler) am Algorithmus vorgenommen.
Key und Iv blieben dabei konstant.
Fast alle Änderungen hatten einen vollkommen anderen Keystream zur Folge.
Eine Änderung am Algorithmus wirkt (etwa) so, als wäre ein anderer Key eingesetzt.

Je näher eine Änderung der Erzeugung des Endresultates kam [1], desto länger
wurde der beginnende Teil der Stichprobe, der gegenüber dem Zustand vor
der Änderung gleich blieb.
Maximal blieben genau 256 Bits zu Beginn der Stichprobe gleich, die restlichen
1024-256 waren dann bereits komplett unterschiedlich.
Manchmal blieben nur 64 Bits vorne gleich, 1024-64 komplett unterschiedliche folgten.
Meistens blieben nicht mal 8 Bits vorne gleich.

Der Diffusor des Algorithmus läßt es nicht zu, daß /Brüche/ innerhalb eines Keystreams vorkommen.
Bei echtem Zufall ist das vorstellbar, aber nicht bei einer deterministischen Pseudo-Zufallsfolge.

Beweiskräftige Stichproben liegen hiermit nur für den dragon-Algorithmus vor.
Es wird jedoch so sein, daß dies auf alle kryptographischen Stromverschlüsselungen
und Hash-Algorithmen ausgedehnt werden kann.

Wenn von mehreren Referenz-Dateien Hash-Werte gezogen werden und alle diese Werte
übereinstimmend mit den Referenz-Werten sind, ist die Korrektheit der Implementation bewiesen.
Eine fehlerhafte Implementation kann nicht solche Übereinstimmungen in Gesamtheit generieren.

[1] Position im Implementations-Code.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/rand.htm http://www.schellong.de/htm/bsd.htm