Technische Diskussion zu KNOX - Sammelthread

[Nightly]

Steb ...die Google Brille solltest du dir in Pink bestellen *

 

[Steb]

Jaja schon klar

Aber im Ernst: man kann diese Knox-Angelegenheit doch auf zwei einfach Punkte herunterbrechen.
1. Wer Knox nicht will, rootet. (Vergleichbar mit: Wer System-Apps einiger Anbieter nicht will, rootet.)
2. Wer ein funktionierendes Sicherheitssystem haben will, rootet nicht. (Vergleichbar mit: Wer nicht will, dass auf alle System-Partitionen und -ordner zugegriffen werden kann, rootet nicht.)

 

[HaPe1968]

eine eFuse kann auch anderweitig lustig sein: Stellt euch eine Schad-app vor, die dem Knox (ohne root zu brauchen) nur irgendwie eine Kompromitierung des Systems vorgauckelt, nachdem jemand die Überprüfungen durch Knox analysiert hat.

Eine Verbreitung diese Schad-app in einer Firma, die in breiter Front Knox einsetzt produziert auf einen Schlag z.B. 1000 Stück e-Schrott, da der Firmen-Admin keinerlei weg hat, auf diesen S4 jemals wieder Knox zum laufen zu bringen.

Und jetzt stellt euch vor, das ist gar keine Schad-App, sondern eine App, die unwissentlich irgendetwas macht, das Ausversehen den Knox-Bluthund scharf macht.

 

[MSD183]

Mein Browser funktioniert immer noch nicht im Knox modus hat den niemand eine Lösung? hab immer nur eine weiße Seite die nichts lädt

hab Knox bereits neu installiert, ohne erfolg. Cache und Daten Löschen kann man von dem Samsung Knox Apps nicht will ja nicht extra das ganze System neu machen wegen dem blöden browser

 

[mrx]

In dem vom mir verlinkten Artikel und hier im Forum wird die eFuse so gesehen, dass sie einen Mehrwert für Sicherheit bringt. Das halte ich allerdings für sehr fragwürdig. Wenn man temporär ohne Internetverbindung mit Root de la vega rooten konnten ohne die Flag zu setzen, dann ist doch im Prinzip die ganze Sicherheit dahin und geknackt. Damit ist das System kompromitiert.

Wenn es nur ein Sicherheitsfeature ist um den Container unlesbar zu machen, dann müsste das System mit der eFuse eigentlich auch nur "scharf" gestellt werden, wenn der Container auch verwendet wird. Man hat aber keine Wahlmöglichkeit. Da scheint mit schon der als paranoid bezeichnete Gedankengank mit der Backdoor plausibel, dass man nie rooten können soll um sich nicht diesen Mechanismen entziehen zu können.

Jedenfalls eine "richtige" Lösung gibt es nicht, wenn man den Anspruch hat sein Gerät entweder mit Root oder "sicher" zu betreiben. Man kann nicht mehr wechseln mit der eFuse.

Mir persönlich scheint auch die Lösung mit der eFuse als Sicherheits-Feature sehr "lazy". Beispielsweise, wenn es gelinkt dem gebooteten System vorzeugauckeln dass die eFuse nicht geflagt ist würde sich der Container wahrscheinlich mounten lassen. Bzw. könnte man den Container vielleicht auch anders mounten. Da ist der Ansatz von Sony kryptographische Schlüssel zu löschen, die mit der Geräte-ID verbunden sind.

 

[Hilfe!]

Ich glaube seit dem Bekanntwerden der NSA-Affaire ist eine regelrechte Paranoia ausgebrochen .
Jeder scheint sich verfolgt zu fühlen und fürchtet ein Entdecken von Leichen im Keller !
Da ich weder mit Terrorristen kooperiere und auch nicht selbst vor habe ein Flugzeug in den neugebauten World-Trade Center zu steuern, glaube ich das die Amerikaner an mir herzlich wenig Interesse haben.

Schoen. Dein Glaube.
So aehnlich glaubten auch viele, vor 1933. Die sich in der Zeit von 33-45 eines 'besseren' belehren lassen mussten.

um mal mit dem Holzhammer.....!

Es geht nicht um Leichen im Keller, es geht um gezieltes speichern von allem.
Und, eventuell, wenn's grad passt, dann 'zufaellig' benutzt zu werden.
Auch um Wirtschaftsspionagemoeglichkeiten. Quasi 'von Amts wegen' !
Es geht um die Moeglichkeit, der ausgeweiteten Generalausforschung der Welt durch eine Organisation, deren Praktiken seit Snowdens whistleblowing (Ein Vorgang, der normalerweise in den USA von Gesetzes Wegen geschuetzt ist (Sarbanes-Oxley-Act), nur leider auf 'Firmen' beschraenkt, und nicht bei ausposaunen von illegalen Aktivitaeten der Regierung) relativ offen liegen.
Einer Organisation, die relevanten Anteil an der Entwicklung von KNOX hatte.
Einer Entwicklung, die Samsung jetzt den Markt oeffnet, um (nicht nur) in USA Smartphones in Regierungsbereiche verkaufen zu koennen.
Eine Innovation, die diese Smartphones nichtmal teurer macht, als vorher.
Eine Sicherheitstechnik, die sich andere (sichere?) Hersteller recht deutlich bezahlen lassen.

Nur damit moeglichst viele diese Technik auch nutzen, spaeter?
Ich denke, die Phones haetten sich auch ansonsten gut genug verkauft.
Nur halt vielleicht im Wirtschaftssektor nicht.
Wrrden jetzt Samsung Smartphones bei Einreise in die USA 'kurz im verschlossenem Bereich 'gescant'? Oder 'na, gehen sie durch, wissen wir schon'?
Und eine Technik, die so eng eingebunden ist, das niemand sicher sein kann, ob Knox deinstalliert/deaktiviert wird, bei 'Befehl' des users, oder ob nur die fuer den user sichtbaren Teile abgeschaltet werden.

Ganz ehrlich, jeder System Admin, der jetzt auf Samsung und Knox um/einsteigt, um die Enterprisekommunikation 'abzusichern', der muss sehr Obrigkeitsglaeubig sein!

Meiner Meinung nach!

Der ursprüngliche Beitrag von 16:45 Uhr wurde um 16:56 Uhr ergänzt:

@Steb

Sagen wir es mal provokativ: Du verwischt meine Punkte recht gezielt.
Ich koennte jetzt auf das rech neue 'angemeldet sein' eingehen, das auch bei anderen 'sehr pro' Knox Postern schon gesichtet wurde, aber das waere populistisch und VT

Ich finde es nur bewundernswert, wie du entweder keinen Bezug zwischen den Punkten herstellen kannst, oder willst:

Ich: "Mit der Verzweigung kann der 'Staats'Trojaner im OS sein, unauffindbar fuer jedwede andere Sicherheitsprogramme.

Steb: Das ist nur eine Vermutung! Oder er kann auch dadurch komplett vom System ausgeschlossen sein. Oder er ist auffindbar und daher leicht zu beseitigen.

Ich:Sicherheitssoftware, die eventuell kompromittiert wurde. Und damit die E-Fuse nicht ausloest! "

Steb:"Und damit"? Das klingt wie eine unausweichliche Folge. Ist es aber nicht.
Die eFuse erfüllt doch genau diesen Zweck: "Markiere Gerät als kompromittiert, wenn Manipulationsversuche unternommen werden."

Weil in diesem Fall wird die Sicherheitssoftware im OS ausgeliefert.
Weisst du, warum 'gehackte' Win Versionen so gefaehrlich sein koennen?
Kein Antivir und Co. wuerde ausschlagen, wenn ein Trojaner IN dem OS ist.
Und bei KNOX auch keine efuse!

Das die NSA im Boot sitzt, bei den 'Nicht-Aussenstehenden', kann nun wirklich nur, eh, ja, keinen beruhigen

 

[Steb]

eine eFuse kann auch anderweitig lustig sein: Stellt euch eine Schad-app vor, die dem Knox (ohne root zu brauchen) nur irgendwie eine Kompromitierung des Systems vorgauckelt, nachdem jemand die Überprüfungen durch Knox analysiert hat.

Eine Verbreitung diese Schad-app in einer Firma, die in breiter Front Knox einsetzt produziert auf einen Schlag z.B. 1000 Stück e-Schrott, da der Firmen-Admin keinerlei weg hat, auf diesen S4 jemals wieder Knox zum laufen zu bringen.

Interessanter Gedanke...das wäre natürlich für die Firma ein absoluter SuperSU...äh...GAU

@Steb

Sagen wir es mal provokativ: Du verwischt meine Punkte recht gezielt.
Ich koennte jetzt auf das rech neue 'angemeldet sein' eingehen, das auch bei anderen 'sehr pro' Knox Postern schon gesichtet wurde, aber das waere populistisch und VT

Naja, das mit dem Verwischen nehme ich als Kompliment: ich diskutiere halt gerne (sachlich!)
Wie gesagt: ich bin nun wirklich kein Fan von Knox. Mir ist lediglich die mehrheitlich stark ablehnende Haltung Knox gegenüber aufgefallen,
und da wollte ich lediglich ein paar Gegenpunkte darstellen, einfach weil ich glaube, dass es nicht sinnvoll ist das so "einseitig" zu betrachten
Ich würde auch lieber ein Phone haben, bei dem ich nach Lust und Laune modden kann, aber bei Bedarf auch den letzten Rest Mods wieder entfernen und zum Werkszustand zurückgehen kann.
Was das angeht ist Knox ein absoluter Klotz am Bein.

 

[Hilfe!]

[...]
Ich würde auch lieber ein Phone haben, bei dem ich nach Lust und Laune modden kann, aber bei Bedarf auch den letzten Rest Mods wieder entfernen und zum Werkszustand zurückgehen kann.
Was das angeht ist Knox ein absoluter Klotz am Bein.

Und das ist nun mit Sicherheit nur ein (vermutl. beabsichtigter) Nebeneffekt. Wenn ueber Knox Nutzen und Problem(moeglichkeit) ge'redet' wird. Allerdings macht Knox aus einem Open source Projekt das genaue Gegenteil. Ueber kurz oder lang, jedenfalls. Haetten sie das mal besser in das ATIV eingebaut! Ich sehe nicht so wirklich einen Vorteil, ein absolut sicheres System an moeglichst viele Menschen zu verteilen. Ich meine, wenn die NSA an dem Projekt beteiligt ist, ist das doch etwas kontraproduktiv fuer deren Hauptbetaetigungsfeld, oder?

Fort Knox als Namensgeber, fuer das 'sicherste" System seit es Schokolade', eh, na, da bring ich jetzt was durcheinander.
Aber ist nicht Fort Knox im Gespraech, seit einigen Jahrzehnten, das niemand weiss, was da wirklich drin vorgeht?
Also ob das Gold, das da 'so sicher' gelagert ist, nicht ueber die Jahre immer weniger wurde? Ein Golddatendrain, sozusagen?

Nun koennte natuerlich unterstellt werden, der Namensgeber/Vorschlaeger (NSA?) haette Humor gehabt.
Oder wollte einen Wink geben.

 

[Steb]

Ich meine, wenn die NSA an dem Projekt beteiligt ist, ist das doch etwas kontraproduktiv fuer deren Hauptbetaetigungsfeld, oder?

Dass die National Security Agency beteiligt war, ist doch sogar irgendwie sinnig
Dass die in letzter Zeit nicht gerade geglänzt haben, ist wohl jedem klar. Aber Spionage und Sicherheit bedingen sich ja auch irgendwie gegenseitig.
Und nein, ich unterstütze keineswegs deren Abhöraktion als Rechtfertigung für Sicherheit.

Allerdings macht Knox aus einem Open source Projekt das genaue Gegenteil. Ueber kurz oder lang, jedenfalls.

Da stimme ich Dir völlig zu. Knox nimmt Android doch genau das, was es unter anderem ausmacht.

Aber ist nicht Fort Knox im Gespraech, seit einigen Jahrzehnten, das niemand weiss, was da wirklich drin vorgeht?
Also ob das Gold, das da 'so sicher' gelagert ist, nicht ueber die Jahre immer weniger wurde? Ein Golddatendrain, sozusagen?

Das ist wohl etwas zu weit hergeholt. Ich sage nicht, dass es nicht möglich wäre! Lediglich hinkt der Vergleich etwas

 

[rysalf]

Hallo ich hab auf xda gelesen das einer nur Original stock geflasht hat und der Knox hat sich auf x0.1 gesetzt, blöd die neu samsung Knox bla bla.

 

[Cysign]

Kommt vermutlich auch drauf an, WIE er es geflasht hat.

 

[rysalf]

Ich wollte nur root verpassen um alle große spiele auf externe Card verschieben,
blöd das der speicher um 3gb kleiner ist als beim s3, wehre er 32gb muste nix machen
Flag schiff und so ein kleiner speicher, neee bin enttäuscht vom Samsung seit gestern hab das s4 und ich mag es nicht mehr!!!

 

[frank_m]

Also ich muss ehrlich sagen, dass ich vom Diskussionsstil der letzten Tage hier schon massiv enttäuscht bin. Ich hatte mich vermehrt zurückgehalten, da offensichtlich niemand mehr ein ernsthaftes Interesse an einer technischen Auseinandersetzung hatte. Mittlerweile haben aber die meisten Argumente - vor allem der Knox Gegner - nicht mal mehr Stammtischniveau, das muss ich leider so deutlich sagen. Was hier an Spekulationen und Klischees auf den Tisch gehauen wird, da würde sich die Bildzeitung in Grund und Boden schämen, sowas zu schreiben. Einem Forum mit unserem Anspruch ist es jedenfalls nicht angemessen! Und an dieser Art der ... "Meinungsäußerung" ... beteiligen sich auch verdiente Mitglieder, das tut besonders weh.

Ich dachte, es geht darum, die Sache ordentlich zu analysieren: Aufklärung zu betreiben, technische Hintergründe zu ermitteln und konkret beraten zu können. Daran beteiligen sich in den letzten Tagen nur noch sehr wenige. Stattdessen lese ich Polemik und frei aus dem blauen Himmel zusammengeschusterte Phantasiegerüchte. Teilweise ist das schon paranoid - oder schlimmeres.

Was soll aus diesem Thread werden? Soll es so weitergehen? Dann werde ich hier meine neuen Erkenntnisse definitiv nicht mehr mitteilen, denn ich hab keine Lust, mich anschließend mit Antworten auf dem Niveau auseinandersetzen zu müssen. Ich denke auch, dann hat der Thread in diesem Forum gar keine Zukunft mehr. Vielleicht findet sich irgendwo ein Forum über den nächsten Besuch von Außerirdischen oder gefährliche Strahlen aus der Kanalisation - da passt der Thread besser hin.

 

[ollborg]

Da hier immer angezweifelt wird, dass in und mit den USA entwickelte Kryptographie ( auch aus dem Smartphon Bereich) einer Exportkontrolle unterliegen und offen gelegt werden müssen, empfehle ich diesen Artikel auf N-TV zu Blackberry. Insbesondere den Abschitt "Blackberry unter NSA Kontrolle?".

Dieser Exportkontrolle unterliegt auch Samsung Knox, da es mit der NSA gemeinsam entwickelt wurde. Das bewirbt Samsung so im Whitepaper.

http://www.n-tv.de/11603781

Wo ist da an den Haaren herbeigezogener Inhalt?

Jedem, der sich darüber lustig macht, werde ich diese Frage nocheinmal in ein paar Wochen stellen.

Der heutige Tag und die Ereignisse, rund um das Merkel Handy, sollten doch jetzt jedem klar machen, dass der amerikanische Überwachungswahn keine Grenzen kennt.

 

[Steb]

Also ich muss ehrlich sagen, dass ich vom Diskussionsstil der letzten Tage hier schon massiv enttäuscht bin. Ich hatte mich vermehrt zurückgehalten, da offensichtlich niemand mehr ein ernsthaftes Interesse an einer technischen Auseinandersetzung hatte.

Schade, dass das so gesehen wird. Ich für meinen Teil diskutiere sachlich, und möchte das auch so beibehalten.

Was die technische Auseinandersetzung angeht, muss man aber dazu sagen,
dass Informationen teils etwas unzuverlässig sind, da niemand so genau weiß, was da bei Knox eigentlich vor sich geht.
Nicht jeder kann z.B. den Quellcode dekompilieren oder hat Zugriff auf tiefergehende Informationen, die bei der ganzen Problematik weiterhelfen.

 

[frank_m]

Wo ist da an den Haaren herbeigezogener Inhalt?

Es ist kein amerikanisches Produkt, sondern ein koreanisches. Damit unterliegt das S4 und Knox an sich definitiv nicht einer US Exportbeschränkung. In wie weit die vorher von der NSA für Samsung entwickelten Komponenten dieser Einschränkung unterliegen und welche Rolle diese Komponenten (abseits der reinen Zertifizierung) im Knox überhaupt konkret spielen, ist aber nicht bekannt. Daneben nimmt die NSA verschiedene Rollen wahr. Sie übernimmt u.a. auch die gleiche Rolle, die in Deutschland das BSI hat, und diese Abteilung hat nichts mit den eigentlichen Schnüffelattacken zu tun, die in letzter Zeit in der Presse wahren. Darauf habe ich auch bereits schon früher hingewiesen, und das hat auch Snowden mehrfach bestätigt. Diesem Umstand wird aber überhaupt keine Rechnung getragen.

An deiner Aussage kann was dran sein, sie ist aber auf Basis der bislang bekannten Faktenlage extrem unsicher, und mit einfachsten Argumenten können zumindest Teilaspekte davon zum Wanken gebracht werden. Eine fundierte Analyse sieht anders aus. Du kannst hier die Fakten erwähnen, dass es die US Ausfuhrbeschränkungen gibt und was sie beinhalten usw., aber daraus den Schluss zu ziehen, dass Knox definitiv ein System ist, auf dessen Dateninhalte die NSA uneingeschränkten Zugriff hat, halte ich für drastisch überzogen. So jedenfalls tut man der Knox Diskussion keinen Gefallen.

Was die journalistische Qualität des n-tv Artikels angeht: Nun ja. Rohde&Schwarz im Zusammenhang mit Mobilfunksystemen als "Kryptographieexperten" hinzustellen ... sagen wir mal: Oberflächlich, bestenfalls populärwissenschaftlich, aber keinesfalls fundiert. Und das ist nur ein Beispiel.
R&S hat zwar Produkte in dem Umfeld, aber nur die Kommunikationskomponenten kommen von R&S selber, die Kryptographiekomponenten kommen von externen Unternehmen bzw. Joint Ventures.

 

[My1]

Der heutige Tag und die Ereignisse, rund um das Merkel Handy, sollten doch jetzt jedem klar machen, dass der amerikanische Überwachungswahn keine Grenzen kennt.

was war denn los?

 

[ollborg]

Knox ist kein rein koreanisches Produkt. SE Android ist von Samsung und von der NSA gemeinsam entwickelt und für amerikanische Behörden zertifiziert worden.

Das steht im Knox Whitpaper und kann jeder lesen, daher muss man diesen Punkt nicht diskutieren.

Deine Kritik an den N-TV Journalisten, ist rein persönliche Meinung. In deren Redaktion sieht man das eben anders als du.

Der ursprüngliche Beitrag von 23:28 Uhr wurde um 23:31 Uhr ergänzt:

@My1 Mach am besten nacherher mal die Tagesschau oder Heute Nachrichten an. Die NSA wurde wohl beim Spionieren des Kanzler Telefons ertappt. Alle (auch Herr Profalla sind jetzt böse)

 

[frank_m]

Knox ist kein rein koreanisches Produkt.

Knox ist von Samsung und damit definitiv ein koreanisches Produkt. Samsung ist Inverkehrbringer und damit für die regulatorischen und gesetzlichen Auflagen sowie Haftungsfragen verantwortlich, das lässt sich leicht über öffentlich einsehbare Zertifizierungsdokumente nachsehen. Alles andere ist schlicht falsch. Darüber kann man nicht mal geteilter Meinung sein.

Wenn an diesem Fall überhaupt etwas der US Exportkontrolle unterliegt, dann ist es der Beitrag der NSA zu Knox, der wahrscheinlich im Rahmen eines Werkvertrages zwischen Samsung und der NSA entwickelt wurde. Welchen Status die Lieferung der NSA an Samsung dabei hatte, können wir nur spekulieren. Das kann von einem Dokument über Algorithmen, Binärcode, Sourcecode bis hin zu einem Gesamtsystem aus Hard- und Software alles gewesen sein. Es ist aber definitiv kein Produkt, dass die NSA da an Samsung verkauft hat, denn die NSA vertreibt diese Lösung nicht kommerziell über etablierte Marktzugänge, sondern es ist eine individuelle Entwicklung gewesen, eine Dienstleistung. Deshalb stelle ich noch mal fest: Wie genau sich die US Exportkontrolle für NSA Komponenten auswirkt und welche Rolle diese Komponenten im finalen Knox spielen, können wir nicht seriös beurteilen.

Das ist einer der Punkte, die mich an dieser Diskussion massiv stören. Jeder pickt sich seine Aspekte aus dem großen bunten Kuchen heraus, den einen die Boulevardpresse vor die Füße wirft, und glaubt dann daraus seine Schlüsse ziehen zu können. Dabei werden aber häufig wichtige Randbedingungen vernachlässigt oder nicht ausreichend in Betracht gezogen, dass in vielerlei Hinsicht einfach gar keine Informationen verfügbar sind, die eine Beurteilung zulassen. Bei dem Wust an Informationen, die einem da momentan aufgetischt wird, ist es schwierig, den Überblick zu behalten, ich behaupte sogar: Unmöglich. Um so wichtiger ist es, dass man sich nicht zu übereilten Schnellschüssen hinreißen lässt. Diese Sache mit der US Exportkontrolle hab ich mir jetzt mal herausgepickt, für zahllose andere Äußerungen der letzten Tage trifft das gleiche zu. Auch die Äußerungen zum Merkelphone sind ja mehr als nebulös im Moment. Man weiß ja noch nicht mal, welches Telefon angeblich abgehört worden sein soll. Daraus jetzt wieder Schlüsse für Knox zu ziehen, ist einfach sehr weit hergeholt.

Statt sich auf technische Fakten zu konzentrieren, die man selber beobachten, analysieren, messen oder reverse engineeren kann, wird hier im Nebel gestochert. Sowas kann man zum Zeitvertreib machen, aber es hat faktisch keinen Wert. Absolut Null belastbare Aussagekraft. Es sind nur Spekulationen. Statt dessen versucht man diejenigen, die über diese Fakten reden wollen und vielleicht sogar zur Verfügung stellen können, gezielt und unseriöse oder polemische Unterstellungen zu vergraulen. So stellt sich dieser Thread im Moment für mich dar. Wer Dinge äußert, die nicht ins allgemeine Bashing auf Knox oder die NSA passen, der wird rausgeekelt.

Gut, tobt euch aus auf eurer Spielwiese. Das letzte, was hier bei herauskommen wird, sind fundierte oder nützliche Hinweise in Bezug auf Knox, die den privaten Anwender und Leser dieses Forums konkret weiterbringen oder ihm Hinweise oder Tipps für seine Verhaltensweise liefern können.

 

[ollborg]

OK, habe mal recherchiert. Fakten sind wirklich noch viel mehr nötig.

Dann will ich das auch nicht so falsch stehen lassen. Frank hat Recht. Samsung Knox ist tatsächlich formal rein koreanisch.
Samsung hat das System aber von der US Firma General Dynamics lizensiert, samt strategischer Partnerschaft. Die Partnerschaft wird auf der Webseite beworben. Das Produkt für Knox heisst dort GD Protected.

GD Protected? Secure Smartphones

Die NSA selbst sagt SE Android ist kein Produkt

What is... Security Enhanced (SE) Android? | What is...? | Eyes On Android

General Dynamics unterliegt dann aber ganz Gewiss US Export Kontrollen, immerhin stellen sie neben anderem amerikanischen Kriegsgerät auch den Abrams Panzer her. Das ist die US Waffenschmiede.

Ich weiss ja nicht welche Abgründe sich da noch auftun aber das ist doch jetzt schon ziemlich heftig...

Glaubt jetzt immernoch jemand das Knox Samsung Smartphones sicherer macht und das amerikanische Behörden keinen Zugriff haben?