https://volksverschluesselung.de/ Hat das schon jemand untersucht? So nutzlos wie DE-Mail?
Freiberufler schrieb: > Hat das schon jemand untersucht? was soll man da noch untersuchen? S/MIME sind doch ausreichend untersucht. Wozu man das tool braucht ist mir nicht ganz klar, Outlook kann ja schon ewig S/MIME.
glaubt da wirklich noch einer an sowas? BTW wie wird das "Fraunhofer-System" finanziert?
Peter II schrieb: > S/MIME sind doch ausreichend untersucht. Wozu man das tool braucht ist > mir nicht ganz klar, Outlook kann ja schon ewig S/MIME. S/MIME verwendet klassische X.509 Zertifikate und die waren zumindest bisher kein Spass für Jedermann und seine Oma. Jedenfalls wenn man es ernst meint. Der Anspruch hier ist wohl, diesen Aspekt zu vereinfachen. Interessant bei Zertifikaten war bisher, wie einfach jemand sich eines auf eine falsche Identität besorgen kann. Je einfacher die Abwicklung ist, desto einfacher ist es oft auch, an dieser Stelle zu bescheissen.
:
Bearbeitet durch User
S/MIME generell: Eine gewisse Skepsis mag im Vertrauen liegen. Jeder innerhalb der Branche dürfte davon ausgehen, dass einige Dienste Hintertüren zu Zertifikatsstellen und in darauf basierenden Verfahren haben. Hier wird nahegelegt, dass eine staatlich finanzierte Institution ihrem Finanzier Knüppel zwischen die Beine wirft. Jenem Finanzier der immer wieder mal offenen und unkontrollierten Einblick in sämtliche elektronische Kommunikation des Bürgers fordert. Ist das glaubhaft? Oder ist es bloss besser getarnt als in De-Mail, wo eine inhaltliche Überwachung offiziell drinsteht. Das sieht also erst einmal nur nach "besser als nichts" aus. Im Zeitalter vor Snowden wär das vielleicht anders gewesen. Aber heute, wo Paranoia keine Krankheit mehr ist, sondern Grundvoraussetzung für sichere Kommunikation, ist das anders. Darwin lässt grüssen. Veränderte Umweltbedingungen können vormals kranke Mutationen überlebenswichtig machen.
:
Bearbeitet durch User
A. K. schrieb: > S/MIME generell: Eine gewisse Skepsis mag im Vertrauen liegen. Jeder > innerhalb der Branche dürfte davon ausgehen, dass einige Dienste > Hintertüren zu Zertifikatsstellen und in darauf basierenden Verfahren > haben. Schlüssel werden ja im Gegensatz zu DE-Mail Lokal erzeugt und gespeichert. Es besteht also mehr oder weniger nur die Unsicherheit das man nicht zu 100% Sagen kann von wem man die Daten bekommen hat. Auch eine nachträgliche Manipulation ist nicht möglich, dann es fällt auf wenn jemand auf einmal einen andere Public-Key hat. Man müsste also von der ersten Kommunikation mit einen neuen Kontakt schon MITM spielen. Vermutlich wird es sich aber auch nicht durchsetzen.
In den Lizensbestimmungen steht das die personenbezogenen Daten nur zum Zwecke der Verschlüsselung eingesetzt werden... ...außer bei Gesetzesänderungen o.ä.. Des weiteren bleibt die Software deren Eigentum und man darf nichts davon, auch nicht teilweise weitergeben. Was ist aber wenn Win10 das erledigt??
A. K. schrieb: > Jenem Finanzier der immer > wieder mal offenen und unkontrollierten Einblick in sämtliche > elektronische Kommunikation des Bürgers fordert. Ist das glaubhaft? Rhetorische Frage. :-b
Peter II schrieb: > Vermutlich wird es sich aber auch nicht durchsetzen. Davon gehe ich auch aus. Ist auch nicht der erste Ansatz, und er setzt mit Email auf eine Kommunikationstechnik, die im privaten Umfeld längst auf dem absteigendem Ast ist. Seit WhatsApps verschlüsselt, und sogar die Inder dazu bringt, lauthals Krach zu schlagen damit es echt wirkt, dürfte die Motivation, in privatem Umfeld olle Emails unbedingt zu verschlüsseln, nicht sehr hoch sein. genervt schrieb: > Rhetorische Frage. :-b Wenn jetzt unser Innenminister wenigsten lauthals dagegen protestieren würde, mit der Drohung, den Laden dicht zu machen, dieser den Terror fördernden Institution den Hahn abzudrehen, ja dann ... Aber so? ;-)
:
Bearbeitet durch User
A. K. schrieb: > S/MIME generell: Eine gewisse Skepsis mag im Vertrauen liegen. https://bugzilla.mozilla.org/show_bug.cgi?id=647959
Also ich halte das Ganze schon für recht bedenklich: 1.) Zitat FAQ: ... Ist der Quelltext der Volksverschlüsselungs-Software frei einsehbar? Ja. Wir wollen allen Interessierten freie Einsicht in den Source Code ermöglichen. So können sich alle davon überzeugen, dass keine Hintertüren (Backdoors) in der Software existieren. ... Nun ja, auf der Webseite habe ich nirgendwo den Download-Link zum Quellcode gefunden. Wird vielleicht noch kommen. So, wie sie in ihren FAQ herumdrucksen glaube ich nicht an kompletten Quellcode, mit dem man ein identisches Binary erzeugen kann. Aber ich lasse mich auch gern eines Besseren belehren... 2.) Die Schlüsselgenerierung geht nur über ihre Software. Lt. Anfrage werden anderweitig generierte Schlüssel nicht zertifiziert. Der Zwang zu einer Software, die (bisher) nur angeblich offen ist, stärkt das Vertrauen in das gesamte Verfahren nicht unbedingt. >Auch eine nachträgliche Manipulation ist nicht möglich, dann es fällt >auf wenn jemand auf einmal einen andere Public-Key hat. Man müsste also >von der ersten Kommunikation mit einen neuen Kontakt schon MITM spielen. Dazu müsste man jedes einzelne Zertifikat einmalig als vertrauenswürdig einstufen. Das werden wohl aber die wenigesten machen, spätestens nach den 3. Zertifikat wird "Vertrauensstellung des Ausstellers übernehmen" eingestellt. Dann ist zwar endlich Ruhe, aber mit dem geheimen Schlüssel der Zertifizierunsstelle lassen sich "Zweit-Zertifikate" für beliebige Mailadressen ausstellen. >Vermutlich wird es sich aber auch nicht durchsetzen. Vermute ich auch. Jörg
Das X.509 und S/MIME sind etablierte Standards über die auch ein paar Leute mit Cryto-Knowhow drübergesehen haben. Da mache ich mir weniger Sorgen drum. Der Knackpunkt an sowas ist doch die Erstellung und der Abruf der Zertifikate. Die Volksverschluesselungsleute setzen da auf Class 3, hochwertig authentifiziert mit Personalausweis etc. Damit ist das Ganze sofort zum Sterben verurteilt weil sich keiner diesen riesigen Aufwand macht das Cert dort von denen signiert zu bekommen. Hätten die dagegen ein Protokoll entwickelt, mit dem alleine der Zugriff auf die Emailadresse verifiziert wird, sähe das Ganze schon anders aus. Dann wäre es für jeden ganz einfach und schnell dort anzufangen. Sowas ähnliches wie Letsencrypt es für Webserver macht, nur eben für Emails. Vielleicht nicht ganz so sicher, aber eben deutlich besser als gar nichts. Und wenn sich das erst mal etabliert hat, dann kann man immer noch mit "Volksverschlüsselung+" oder ähnlichem eine optionale, bessere Variante nachrüsten.
Was ist jetzt der Vorteil zu gpg? gpg gibts schon lange, ist bewährt, wird von jeder ernstzunehmender Software unterstützt, ist einfach zu bedienen...
Arndt schrieb: > Was ist jetzt der Vorteil zu gpg? gpg gibts schon lange, ist bewährt, > wird von jeder ernstzunehmender Software unterstützt, ist einfach zu > bedienen... das man den Absender auch vertrauen kann. Bei gpg kann jeder unter jeden Namen sein public-key veröffentlichen. S/MIME gibt es sogar noch länger und die Unterstützung in Clients ist auch mehr als bei PGP vorhanden - wird aber auch nicht genutzt.
Peter II schrieb: > das man den Absender auch vertrauen kann. Bei gpg kann jeder unter jeden > Namen sein public-key veröffentlichen. Das erkläre mir mal wie du auf dem Keyserver meinen Schlüssel löschen und durch einen anderen ersetzen willst. Und selbt wenn, welchen Vorteil hätte der Betrüger wenn ich die für mich bestimmten Mails nicht mehr lesen könnte und deshalb den Autor kontaktieren würde? Und wie willst du meinen Fingerprint faken? > S/MIME gibt es sogar noch länger und die Unterstützung in Clients ist > auch mehr als bei PGP vorhanden - wird aber auch nicht genutzt. Die Nutzung scheitert da doch schon an der Beschaffung der notwendigen Zertifikate.
Arndt schrieb: > Das erkläre mir mal wie du auf dem Keyserver meinen Schlüssel löschen > und durch einen anderen ersetzen willst. Und selbt wenn, welchen Vorteil > hätte der Betrüger wenn ich die für mich bestimmten Mails nicht mehr > lesen könnte und deshalb den Autor kontaktieren würde? es reicht schon das die Leute verwirrt sind, und den falschen Schlüssel auswählen. > Und wie willst du meinen Fingerprint faken? warum sollte man den Faken, der anderen weiss ja gar nicht welcher der richtige ist. > Die Nutzung scheitert da doch schon an der Beschaffung der notwendigen > Zertifikate. kann man bequem selber erzeugen, dann hat man das gleiche wie bei PGP.
Peter II schrieb: > es reicht schon das die Leute verwirrt sind, und den falschen Schlüssel > auswählen. > >> Und wie willst du meinen Fingerprint faken? > warum sollte man den Faken, der anderen weiss ja gar nicht welcher der > richtige ist. Siehe http://www.heise.de/ct/ausgabe/2015-6-Gefaelschte-PGP-Keys-im-Umlauf-2549724.html ?
Matthias L. schrieb: > Peter II schrieb: >> es reicht schon das die Leute verwirrt sind, und den falschen Schlüssel >> auswählen. >> >>> Und wie willst du meinen Fingerprint faken? >> warum sollte man den Faken, der anderen weiss ja gar nicht welcher der >> richtige ist. > > Siehe > http://www.heise.de/ct/ausgabe/2015-6-Gefaelschte-PGP-Keys-im-Umlauf-2549724.html > ? Web of Trust, man sieht ja wer den Key alles bereits gesigned hat zudem bieten ja auch bekannte Stellen Keysigning an und wenn die den eigenen Key signiert haben ist das schon ein sehr gutes Zeichen...
willi schrieb: > Web of Trust, man sieht ja wer den Key alles bereits gesigned hat zudem > bieten ja auch bekannte Stellen Keysigning an und wenn die den eigenen > Key signiert haben ist das schon ein sehr gutes Zeichen... und wenn die Unterschriften auch alles von gefälschten accounts sind?
Peter II schrieb: > willi schrieb: >> Web of Trust, man sieht ja wer den Key alles bereits gesigned hat zudem >> bieten ja auch bekannte Stellen Keysigning an und wenn die den eigenen >> Key signiert haben ist das schon ein sehr gutes Zeichen... > > und wenn die Unterschriften auch alles von gefälschten accounts sind? Die Idee ist das es ein Web ist man kann sehen über wie viele Ecken man den anderen Kennt ggf. hat man auch seinen Schlüssel von der selben Person signieren lassen. (je weiter die andere Person entfernt ist, d. h. über mehr signs, umso weniger kann man diese trauen) Zudem gibt es bekannte Stellen bei den man sich seinen Key signieren lassen und diese Stellen veröffentlichen Ihre Keys auch z. B. beim Heise Verlag stehen diese auch im Heft etc. Du kannst aber deinen eigenen Fingersprint selbst auch verteilen z. B. auf deiner Vistenkarten und deinen Intranet-Profil, sollte dann jemand eine Signatur erhalten die von eimem Key mit einen anderen Key stammt weiss er dass etwas ggf. nicht stimmt.
OMG. Wenndu sicher mit jemandem Post machen willst ohne das der staat da mit reinguckt dann schick einfach dein dukument per anhang als 7-zip verschlüsselt. Ja, man muss sich vorher auf sicheren weg ein Passwort vereinbaren. müsst ihr halt kurz in der Schule aufm Klo austauschen. fertig.
NeunMalKlug schrieb: > OMG. Wenndu sicher mit jemandem Post machen willst ohne das der staat da > mit reinguckt dann schick einfach dein dukument per anhang als 7-zip > verschlüsselt. > > Ja, man muss sich vorher auf sicheren weg ein Passwort vereinbaren. > müsst ihr halt kurz in der Schule aufm Klo austauschen. fertig dann könnte sie ja gleich eine public-key austauschen - dann können sie Danach immer sicher Daten übertragen.
aber public key döns iss den meisten zu schwer. weil dann werden die noch mit zertifikaten und web of trust zugeschütet und schon gehen die in den TILT-State.
NeunMalKlug schrieb: > aber public key döns iss den meisten zu schwer. weil dann werden die > noch mit zertifikaten und web of trust zugeschütet und schon gehen die > in den TILT-State. Wenn Du bei vorher ein Password austauscht kannst du auch den Key austauschen und brauchst kein Web of Trust mehr (für idesen Kontakt) da Du die Identität ja überprüfen kannst (du könnst dann auch seinen Key signieren und ihm den signierten Key geben da mit diesen hochladen kann und du quasi bestätigst seine Identität überprüft zu haben). Bei publickey geht es ja nicht nur um Verschlüsselung (verschlüsseln erfolgt mit dem Publickey deines Partners, dh. zum verschlüssekn brauchst du selber keine Key und wenn jemmand seinen publickey gefälscht, kann er die Daten halt nur nicht entschlüsseln)
Moby A. schrieb im Beitrag #4631763: > Freiberufler schrieb: >> So nutzlos wie DE-Mail? > > Ja, und zwar aus Prinzip. > Welcher normale Mensch treibt privat diesen Aufwand, um i.d.R. > belanglose Mails zu verschlüsseln? Anhänge lassen sich ja auch so > separat verschlüsseln, wenns die Nerven beruhigt. > Nein- das Ganze ist nicht nur überflüssig wie ein Kropf, es führt auch > in die Irre. Kein Geheimdienst der Welt wird sich von einer wie auch > immer gearteten "Volksverschlüsselung" aufhalten lassen. Die macht > höchstens interessant und verdächtig. Wenn das nicht direkt geknackt > werden kann dann halt auf dem PC des "Opfers". Dazu müsste man dann aber priorisieren anstatt einfach massenhaft alles zu überwachen. Wenn man wirklich interessant ist, ist E-Mail vermutlich aufgrund der Metadaten nicht zu empfehlen.
Moby A. schrieb im Beitrag #4631763: > Welcher normale Mensch treibt privat diesen Aufwand, um i.d.R. > belanglose Mails zu verschlüsseln? Anhänge lassen sich ja auch so > separat verschlüsseln, wenns die Nerven beruhigt. Dazu müsste man zumindest bei symmetrischer Verschlüsselung einmal das Passwort vereinbart haben, Openpgp und publickey-Verschlüsslung erfordert dies aber nicht, zudem können heutige Computer Milliarden von Passwörtern in einer Sekunde auf eine Datei testen und hier ist halt der Vorteil bei Publickey encyption, dass der Angreifer (solange er nicht die Datei mit den Secretkey hat), die volle Verschlüsselung angreifen muss und nicht nur ein Passwort raten muss, was m. E. der Vorteil von asymmetrischer Verschlüsselung für das senden von Daten über einNetzwerk darstellt.
willi schrieb: > was m. E. der Vorteil von > asymmetrischer Verschlüsselung für das senden von Daten über einNetzwerk > darstellt. Daten werden aber sehr selten asymmetrischer Verschlüsselt. Sie werden z.b. per AES verschlüsselt und das ist am ende wieder nur ein "Passwort". Dafür muss man nicht mal mit Primzahlen rumrechnen.
willi schrieb: > Wenn man wirklich interessant ist, ist E-Mail vermutlich > aufgrund der Metadaten nicht zu empfehlen. Das ist sicher für Geschäftsgeheimnisse relevant aber nicht private "Volks"Kommunikation. Da fühlen sich freilich viel mehr Leute interessant und wichtig als sie es wirklich sind ;-)
Peter II schrieb: > willi schrieb: >> was m. E. der Vorteil von >> asymmetrischer Verschlüsselung für das senden von Daten über einNetzwerk >> darstellt. > > Daten werden aber sehr selten asymmetrischer Verschlüsselt. Sie werden > z.b. per AES verschlüsselt und das ist am ende wieder nur ein > "Passwort". Dafür muss man nicht mal mit Primzahlen rumrechnen. Das ist quatsch, die wohl häufigste Form der Verschlüsselung ist ssl/tls (auch für E-Mails) und auch hier werden die Daten asymmetrisch Verschlüsselt. Wenn Du Primzahlen nicht magst kein Problem der Trend geht zu elliptischen Kurven (GPG unterstützt diese auch fürden OpenPGP-Standard). Aber für Festplattenverschlüsslung bei der Daten nicht über ein Netzwerk versendet haben sieht es wieder anders aus.
willi schrieb: > Das ist quatsch, die wohl häufigste Form der Verschlüsselung ist ssl/tls > (auch für E-Mails) und auch hier werden die Daten asymmetrisch > Verschlüsselt. nein, auch dort wird per z.b. AES verschlüsselt. Der Schlüssel wird asymmetrisch verschlüsselt aber nicht die Daten. Der Aufwand ist viel zu hoch, wenn man die Daten so verschlüsseln würde. https://de.wikipedia.org/wiki/Transport_Layer_Security [...] bevorzugt TLS mit RSA- und AES- oder Camellia-Verschlüsselung [...]
Übrigens macht es kaum einen Unterschied ob man mit openssl nun ein s/MIME oder ssl-Zertifikate erzeugt (auch die SSL-Zertifikate für DNS haben Fingerprints die man ggf. vergleichen sollte um MIM-Angriffe zuerkennen und wenn man sich einige der Zertifizierungstellen ansieht die bei Windows standard sind sollte man das wirklich machen;))
Da vertraue ich doch lieber dem Web of trust mittels gpg Thomas-leister.de/internet/warum-die-volksverschluesselung-mit-x-509-nic ht-die-loesung-sein-kann/
willi schrieb: > auch die SSL-Zertifikate für DNS > haben Fingerprints die man ggf. vergleichen sollte Genau durch die VIELZAHL der Zertifikate überwiegt heute schon Unübersichtlichkeit. Zum Schluss sind noch 1000 faule Eier unter den gespeicherten, vorinstallierten Zertifikaten, die kein gebildeteter Mitteleuropäer erkennen kann.
heute muss man sich wieder am Meer, direkt an der Brandung treffen. Und, wie beim Fussball, die Hand vor'n Mund!
Also die Sache mit den Zertifizierungsstellen ist schon etwas blöd, wenn das bei der E-Mail-Verschlüsselung ähnlich läuft, viel Spaß mit "gültig" signiertem Spam;) http://www.heise.de/newsticker/meldung/Gratis-CA-StartEncrypt-beginnt-mit-Sicherheitsproblemen-3252904.html https://www.heise.de/security/meldung/Symantec-hantiert-mit-falschem-Google-Zertifikat-2822333.html
Email Verschlüsselung wird erst dann Massentauglich, wenn sie standardmäßig immer aktiviert ist und voll automatisch unsichtbar im Hintergrund arbeitet. Wie bei Whatsapp. Aber: Dann müssen wir die Verwaltung der Schlüssel zwangsläufig in die Hände einer vertrauenswürdigen Firma übergeben. Rhetorische Frage: Gibt es überhaupt eine Firma, der die ganze Welt vertraut? Außerdem haben wir das ja schon längst. Unsere Email Clients kommunizieren verschlüsselt mit den Mailservern, und diese kommunizieren verschlüsselt miteinander. Die Schlüssel werden automatisch erstellt und sie basieren auf Zertifikaten, die von einer Hand voll Unternehmen zentral erstellt, verwaltet und automatisch über Softwareupdates verteilt werden. Wenn ich der Telekom und ihren Partnern vertraue, dann genügt das. Dann ist es schnurz egal, ob die meine Mails temporär verschlüsselt oder unverschlüsselt speichern. Die gehen mit Kundendaten schon vertrauenswürdig um. Oder etwa nicht? Und wenn nicht, warum sollte ich ihnen dann gerade meinen Email-Schlüssel anvertrauen? Das wäre doch absurd! Was will man mehr? Ganz einfach, einige Menschen (aber das ist wirklich nur ein winzige Prozentsatz der Gesamtbevölkerung) wollen, dass weder Behörden noch Firmen in unsere Mails hinein schauen können. Sie vertrauen ihnen nicht, und sie haben nachvollziehbare Gründe dafür. Aber wie soll das gehen? Um allen Firmen und Behörden auszuschließen bräuchte man: - Endgeräte, an die Behörden nicht heran kommen und wo Google/Microsoft/Apple/... (und kostenlose Spiele-Apps) nicht mitlesen. - Schlüssel/Zertifikate, die nicht kompromittierbar sind und daher eben nicht zentral verwaltet werden. Die Vorkommnisse der letzten Jahre haben und das gelehrt. - Open-Source Software, die von der Community geprüft und verbessert wird, damit sie (soweit möglich) nicht angreifbar ist und keine Hintertüren hat. Und so nimmt uns die Volsverschlüsselung in Wahrheit lediglich die sichere Identifikation eines Absender ab. Mehr nicht. Wenn dann demnächst eine Bombendrohung verschickt wird, kann der Staat zweifellos den Absender identifizieren. Dann kannst du nicht mehr sagen "Ich war's nicht, da kann jeder meinen Namen drüber schreiben". Warum wohl fördert der Staat nach De-Mail nun auch dieses Projekt? Eben weil er will, dass wir NICHT Software wie PGP verwenden, mit selbst verwalteten Schlüsseln außerhalb der Reichweite der Geheimdienste. Noch ein wichtiger Aspekt dabei, der weiter oben schon kurz erwähnt wurde: Sowohl der Staat als auch Firmen wollen wissen, wer mit wem Kontakte hat. Das ist bei der Kripo immer das allererste, was die Leute zusammen Tragen. Und wegen dem Kommerziellen Interesse an Kontaktdaten dürfen wir kostenlos Webmailer, Whatsapp, Facebook, Apps usw. benutzen. Die Kontaktdaten werden mit so viel Geld gehandelt, dass man sich damit nicht nur eine goldene Nase verdient, sondern nebenbei auch noch jede Menge kostenlose Dienste und Spiele entwickeln und betreiben kann. Inwiefern beschränkt De-mail, PGP, Volksverschlüsselung und wie sie alle heissen, den Zugriff auf diese Daten? Gar nicht!
Stefan U. schrieb: > Sowohl der Staat als auch Firmen wollen wissen, wer mit wem Kontakte > hat. > … > Inwiefern beschränkt De-mail, PGP, Volksverschlüsselung und wie sie alle > heissen, den Zugriff auf diese Daten? > > Gar nicht! die technischen aspekte mal beiseite lassend… dreht sich die diskussion hier meiner meinung nach um die frage der vertrauenswürdigkeit. das problem ist: man kann nicht vertrauen, man muss vertrauen. das ist hier bei der "volksverschlüsselung" genau so wie z.b. bei SSL zertifikaten. da muss man auch vertrauen das die certificate authority (verisign, thawte und konsorten) ihre zertifikate "richtig" ausstellen, keine bugs haben, nicht gehackt wurden, oder irgendwelchen "sicherheitsbehörden" zweitschlüssel ausstellen (etc). bei der "volksverschlüsselung" ergibt sich meiner meinung nach ein schwerwiegendes problem: der staat hat seine hände drin - das ist *für mich* ein no-go, weil ich die staatsorgane nicht für vertrauenswürdig halte.
Das sehe ich auch so. Mit Genugtuung hatte ich zur Kenntnis genommen, dass Apple dem Amerikanischen Statt Zugriff auf das Handy eines Kunden verweigert hat. Ebenso haben sich diverse Kommunikationsdienstleister in der Vergangenheit verhalten. Andererseits kann man Hilfe vom Staat erwarten, wenn mal eine Firma mit unseren Daten groben Unfug treibt. Aber wenn Statt und Kommunikationsdienstleister zusammen böse werden, wer hilft uns dann? Also sollte man Sachen getrennt lassen, die nicht zusammen gehören.
Stefan U. schrieb: > Außerdem haben wir das ja schon längst. Unsere Email Clients > kommunizieren verschlüsselt mit den Mailservern, und diese kommunizieren > verschlüsselt miteinander. Nach wie vor kommunizieren viele Mailserver miteinander unverschlüsselt. Und viele jener Mailserver, die TLS verwenden, nutzen selbst-signierte Zertifikate. Weshalb auch jene mit offiziellen Zertifikaten nicht auf solchen bestehen.
Tja, die Volksverschlüsselung nutzt angeblich auch ein selbst signiertes Zertifikat.
Stefan U. schrieb: > Außerdem haben wir das ja schon längst. Unsere Email Clients > kommunizieren verschlüsselt mit den Mailservern, und diese kommunizieren > verschlüsselt miteinander. Die Mailserver handeln mit Startls im besten Fall eine tls/ssl-Verschlüsselung aus die nach heutigem Standard sicher ist, diese kann aber von einem externen Angreifer geschwächt werden oder gar unterdrückt werden oder aber der andere Server unterstützt diese nicht und es kommt keine Verschlüssekung zustande. Auch diese Verschlüsselung basiert auf Zertifizarten die durch CAs signiert wurde und wie wir wissen gibt es X aussteller und einige in Ländern in denen bereits der ÖD extrem korrupt ist. Und all das beinhaltet noch keine Angriffe auf die DNS, da die wenigsten Nutzer mit Dane die Verbindung zu Ihrem Mailbox Provider sicherstellen, gibts da noch wesentlich mehr Angrifspunkte um eine Mögliche Verschlüsselung zu umgehen.
camikusch schrieb: > das ist hier bei der "volksverschlüsselung" genau so wie z.b. bei SSL > zertifikaten. > da muss man auch vertrauen das die certificate authority (verisign, > thawte und konsorten) ihre zertifikate "richtig" ausstellen, keine bugs > haben, nicht gehackt wurden, oder irgendwelchen "sicherheitsbehörden" > zweitschlüssel ausstellen (etc). Also eine Windows Standardinstalltion enthält "Gvernment Root Certification Authority" "Deutsche Telekom CA 2" (mehrheitlich im Besitz des Bundes) Firefox und Thunderbird bringen eine eigene Zertifikate Datenbank mit und zumindes im Thunderbird sollte man die ja quasi alle löschen können und nur die drinne lassen können die sein eigener Mailboxprovider benötigt. Firefox z. B. Staat der Nederlanden EV Root CA TÜRKTRUST Elektronik Sertifika Hizmet Sağlayıcısı H6 WoSign/CA 沃通根证书
willi schrieb: > nur die drinne lassen können die sein eigener Mailboxprovider > benötigt. Genau so ist es. Nur weiß heute keiner genau ob er morgen doch eins davon braucht und lässt zu 98% den restlichen Mist drin.
Ihr seht, dass die Volksverschlüsselung bis auf die gesicherte Identität die Lücken der bereits vorhandenen Technik nicht schließt. Von einem sicheren Kommunikationskanal kann da also nicht die Rede sein. Und unsichere bzw ein bisschen sichere haben wir schon. Ich sehe keinen Bedarf für einen neuen Kanal, der ein bisschen sicherererer ist.
Stefan U. schrieb: > Ihr seht, dass die Volksverschlüsselung bis auf die gesicherte Identität > die Lücken der bereits vorhandenen Technik nicht schließt. die gesicherte Identität ist eigentlich das größte Problem bei der aktuellen Verschlüsselung.
Ich habe jetzt einen OPENPGPKEY und einen CERT PGP Record auf meinem eigenen DNS-Server. DNS-Sec ist noch ausstehend. Falls jemand lust hat kann mir ja mal jemand eine PGP Verschlüsselte Mail an public@danielabrecht.ch senden, damit ich das testen kann. Damit bin ich vor der NSA und co. mal wieder etwas sicherer. Ich habe auch kurzzeitig einen openpgpkey-milter[1] ausprobiert, der Mails automatisch verschlüsselt, der scheint aber ein par kleinere Bugs zu haben, die ich noch melden sollte. Damit sind nun die einzigen gravierenden verbleibenden Sicherheitslücken auf meinem Server, dass ich die Harddisk noch nicht verschlüsselt habe, und noch kein BIOS Passwort gesetzt. Wieso braucht man denn externe Firmen für Mail, Hosting und co., wenn man das alles selbst machen kann? Ist es zu kommpliziert? Vielleicht sollte ich eine Distribution machen, bei der man Mail, Webserver, DNS Backup & co. ganz einfach per Consolen-GUI bei der Installation konfigurieren kann... 1) https://github.com/letoams/openpgpkey-milter
Arndt schrieb: > Wer ist Fraunhaufer? Der Fraunhaufer ist der, der sämtliche Frauen auf einmal in das Schuhgeschäft lockt. MfG Paul
Daniel A. schrieb: > Wieso braucht man denn externe Firmen für Mail, Hosting und co., wenn > man das alles selbst machen kann? Ist es zu kommpliziert? Vielleicht > sollte ich eine Distribution machen, bei der man Mail, Webserver, DNS > Backup & co. ganz einfach per Consolen-GUI bei der Installation > konfigurieren kann... Damit man Zeit hat sich auf sein Kerngeschäft zu konzentrieren. Biete das doch als Appliance inklusive Beratungsdienstleistungen an oder werde entsprechender Anbieter. Einen Markt könnte ich mir dafür vorstellen.
machts dem Überwachungsstaat doch nicht zu einfach. machts doch wie früher mit Füllfunk. klappt natürlich nur mit "festem" Empfangskreis. Täglich zig Mails versenden. In einer ist dann die kritische Information. Muss man sich nach Plan verabreden, in welcher die dann steckt. Zudem könnte man noch jedes Wort buchstabieren und jeden Buchstaben als ganzes Wort übertragen aus "Auto" wird dann "Alpha Uniform Tango Oskar" -Alternativ eigene Worte als Buchstabenplatzhalter ausdenken. den ganzen Kram dann per text2voice ausgeben und dann mit nem Voicescrambler zerhacken. die Tondatei dann zum PDF umbenennen Und so überträgt man alles als Anhang. Diese Mails dann mit irgendeinem Volkscode verschlüsseln.
>> Ihr seht, dass die Volksverschlüsselung bis auf die gesicherte Identität >> die Lücken der bereits vorhandenen Technik nicht schließt. > die gesicherte Identität ist eigentlich das größte Problem bei der > aktuellen Verschlüsselung. Wenn du das so siehst, dann ist dieses Produkt für Dich wie gemacht. Habe ich nichts gegen. Mich stört bei gewöhnlichen Emails mehr, dass der Staat jederzeit mitlesen kann (und es vermutlich auch tut).
Stefan U. schrieb: > Mich stört bei gewöhnlichen Emails mehr, dass der Staat jederzeit > mitlesen kann (und es vermutlich auch tut). und wo ist das technische Problem die email zu verschlüsseln? du hast geschrieben: > Von einem sicheren Kommunikationskanal kann da also nicht die Rede sein. Und das stimmt so nicht, es gibt mehr als genug verfahren um Emails sicher zu verschlüsseln. Das Problem ist nur an den Key vom Empfänger zu kommen und das ist zum Schluss ein Problem der "gesicherte Identität".
● J-A V. schrieb: > machts dem Überwachungsstaat doch nicht zu einfach. > > machts doch wie früher mit Füllfunk. > klappt natürlich nur mit "festem" Empfangskreis. > > > aus "Auto" > wird dann > "Alpha Uniform Tango Oskar" > -Alternativ eigene Worte als Buchstabenplatzhalter ausdenken. > Und so überträgt man alles als Anhang. > Diese Mails dann mit irgendeinem Volkscode verschlüsseln. Neuer Vorschlag, sogar ohne Verschlüsselung - der Text-Zwirbler ;-) http://www.psychometrica.de/twirler.html Kgeirst halt nur Ksmrfceepzohn beim Eamil leesn.
>> Mich stört bei gewöhnlichen Emails mehr, dass der Staat jederzeit >> mitlesen kann (und es vermutlich auch tut). > und wo ist das technische Problem die email zu verschlüsseln? Ich habe damit kein Problem, ich komme mit PGP zurecht. Bei der Volksverschlüsselung hingegen mangelt es mir an Vertrauen zu den beteiligten Firmen und ich möchte nicht meinen Perso zur elektronischen Identifikation verwenden - schon gar nicht im Internet.
Peter II schrieb: > und wo ist das technische Problem die email zu verschlüsseln? Das 99% der Leute außerhalb mc.net keinen Schimmer haben was das ist, wie es funktioniert oder es gar einsetzen (wollen). Ich hatte das in Thunderbird eingerichtet und über ein halbes Jahr per Signatur beworben. Kein einziger Kontakt ist darauf eingegangen. M.E. weil es zwar technisch möglich, aber für den gemeinen Nutzer zu umständlich ist. Das müssten schon die Anbieter gemeinsam allen Kunden überstülpen. Sie sollten aber vorher ihre Türen aufmachen damit sie nicht von den Datenabstaubern und ihren Helfern eingerannt werden...
gmx bietet doch direkt mailenvelope (openpgp browser plufin) support an und mail.de erlaubt es seinen openpgp puplic key hoch zuladen und so mit anderen zuteilen (man kann auch einstzellen, dass alle einkommenden nachrichten mit den puplickey verschlüyselt werden etc) -- es liegt also auch an den nutzern. am besten du sprichst deine gmx-kontakte darauf an.
Peter II schrieb: > und wo ist das technische Problem die email zu verschlüsseln? Es gibt genug technische Lösungen. Aber welche davon würdest du deiner Oma (o.Ähnl.) raten, ohne es selbst einzurichten?
naja wenn der Mossad mneine Omma abhört, ham die offenbar nicht wirklich Probleme mit dem Islam. das kann sooo schlimm dann also nicht sein.
● J-A V. schrieb: > naja wenn der Mossad mneine Omma abhört, > ham die offenbar nicht wirklich Probleme mit dem Islam. > das kann sooo schlimm dann also nicht sein. Es geht darum, dass über kurz oder lang jede Mail verschlüsselt werden sollte, nicht nur die Verabredungen zum Bombenanschlag. Ausserdem muss man heute davon ausgehen, dass mindestens die Metadaten aller Gespräche und Mails automatisch gescreened werden. Oma inklusive. Diese bei klassischer Email auch mit Verschlüsselung anfallenden Daten sind deshalb auch das Hauptproblem.
:
Bearbeitet durch User
> Metadaten aller ... Mails > Diese bei klassischer Email auch mit Verschlüsselung > anfallenden Daten sind deshalb auch das Hauptproblem. So sehe ich das auch. Deswegen biete ich keinen Konatkten die Nutzunbg von PGP verschlüsselung an, nutze sie selbst jedoch standardmäßig nicht (nichtmal Signaturen). Wer mit wem zu tun hat, ist vermutlich derzeit wichtiger und interessanter, als die Inhalte. Ich nehme an, dass das nicht immer so blieben wird. Deswegen finde ich die Bemühungen um Vollverschlüsselung Ende-zu-Ende grundsätzlich richtig.
Oh mann, was habe ich da bloss geschrieben. Es sollte heissen: Deswegen biete ich meinen Kontakten die Nutzung
wili schrieb: > gmx bietet doch direkt mailenvelope (openpgp browser plufin) > support an Diese Begriffe, geschweige den die Technik dahinter soll der Normalsterbliche verstehen? > und mail.de erlaubt es seinen openpgp puplic key hoch zuladen Der Normalsterbliche soll verstehen was ein OpenPGP Public Key ist, wozu er gut ist, wie er sich einen erzeugt und den dann hochladen (und nicht versehentlich seinen Private Key auch öffentlich verteilen)? > es liegt also > auch an den nutzern. Nein, es liegt ehrlich nicht an den Nutzern. Du kannst dich natürlich auf den Standpunkt stellen, dass die alle einfach zu dumm sind. Sind sie aber nicht. Du bist hier in einem Bereich indem sogar den Experten regelmäßig schwere Fehler passieren (gerade http://www.heise.de/newsticker/meldung/Heftiger-Schlag-fuer-Android-Verschluesselung-3254136.html), indem guten, mit den Gebiet vertrauten Programmierern, immer wieder schwere Fehler unterlaufen (https://de.wikipedia.org/wiki/Heartbleed) und sich die Experten in einer Wolke aus Techno-Blabla einhüllen, damit ja kein Laie einen einfachen Zugang findet. Der Normalsterbliche Nutzer hat einfach gar keine Chance das zu verstehen und richtig zu handeln. Er wird sogar abgeschreckt und verhält sich genau richtig: Den Schiet nicht anfassen, macht nur Ärger. So, und jetzt gehe ich mich weiter mit einer vermurksten DTLS-Implementierung für ein IoT Ding beschäftigen. In der Hoffnung ein paar Fehler zu beseitigen und möglichst keine neuen einzubauen.
wili schrieb: > gmx bietet doch direkt mailenvelope (openpgp browser plufin) support an > und mail.de erlaubt es seinen openpgp puplic key hoch zuladen und so mit > anderen zuteilen (man kann auch einstzellen, dass alle einkommenden > nachrichten mit den puplickey verschlüyselt werden etc) -- es liegt also > auch an den nutzern. am besten du sprichst deine gmx-kontakte darauf an. Dann muss man gmx aber dennoch vertrauen. Wärend man die Mail im Browser schreibt, darin Anzeigt, oder beim Empfang mit dem Key verschlüsselt, sind die Daten nähmlich noch unverschlüsselt vorhanden. Jay schrieb: > Du bist hier in einem Bereich indem sogar den Experten regelmäßig > schwere Fehler passieren (gerade > http://www.heise.de/newsticker/meldung/Heftiger-Schlag-fuer-Android-Verschluesselung-3254136.html), Weil alle Phonehersteller mal wieder ihre eigene Suppe kochen, statt das Phone einfach mit z.B. Luks zu verschlüsseln. > indem guten, mit den Gebiet vertrauten Programmierern, immer wieder > schwere Fehler unterlaufen (https://de.wikipedia.org/wiki/Heartbleed) Das war was anderes, nur ein Buffer overflow, welcher mit der gewöhnlichen vorgehensweise erfasst und behoben wurde. Die hersteller, die ihre geräte nicht updatebar gemacht haben, sind selber schuld. Ausserdem sind das Dinge, die man einfach schnell übersieht. Ungefär so wie der letzte Punkt im letzten Satz, nur mit etwas gravierenderen Folgen. > und sich die Experten in einer Wolke aus Techno-Blabla einhüllen, damit > ja kein Laie einen einfachen Zugang findet. So komplex ist deren Techno-Blabla auch wieder nicht. Android Sicherheitslücke: Einfach alle möglichkeiten durchchecken, das cert gibts quasi for free. Heartbleed: https://xkcd.com/1354/ Wie kann man soetwas simples nicht verstehen?
Volksverschlüsselung für unfreie Bürger https://netzpolitik.org//2016/volksverschluesselung-fuer-unfreie-buerger/
1 | Mit dieser SOFTWARE werden personenbezogene Daten des LIZENZNEHMERS |
2 | im Sinne des § 3 Absatz 1 des Bundesdatenschutzgesetzes (BDSG) zum |
3 | Zwecke der Verarbeitung erhoben. |
Daniel A. schrieb: > Wie kann man soetwas simples nicht verstehen? Klar, die Standardhaltung - alle sind doof. Das ist die Haltung die dazu beiträgt dass keine besser handhabbare, kommunizierbare und verständliche Lösungen entwickelt werden. So wirst du noch in 20 Jahren jammern müssen, dass einfach alle User zu doof sind. Übrigens brauche ich keine Erklärungen für die Beispiele von durch Experten verursachte Sicherheitsprobleme. Es geht um die Tatsache dass regelmäßig nicht mal Experten die Technik im Griff haben. Natürlich darfst du die auch alle für doof erklären, nur gehen dir dann langsam die Leute aus, die überhaupt noch was verstehen.
Jay schrieb: > Daniel A. schrieb: >> Wie kann man soetwas simples nicht verstehen? > > Klar, die Standardhaltung - alle sind doof. > > Das ist die Haltung die dazu beiträgt dass keine besser handhabbare, > kommunizierbare und verständliche Lösungen entwickelt werden. So wirst > du noch in 20 Jahren jammern müssen, dass einfach alle User zu doof > sind. Du reisst das komplett aus dem Zusammenhang. Meine Aussage bezog sich auf: Jay schrieb: > Du bist hier in einem Bereich indem sogar den Experten regelmäßig > schwere Fehler passieren ... > und sich die Experten in einer Wolke aus Techno-Blabla einhüllen, damit > ja kein Laie einen einfachen Zugang findet. Ich sage nur, das die Fehler die den Experten passiert sind trivial sind, und für den Leien einfach zu erklären & verstehen sind. Darin, dass diese Technologien für den bequemen 0815 Bürger zu kompliziert sind kann ich dir nur zustimmen. Jay schrieb: > Übrigens brauche ich keine Erklärungen für die Beispiele von durch > Experten verursachte Sicherheitsprobleme. Aber genau um Diese ging es mir doch... > Es geht um die Tatsache dass > regelmäßig nicht mal Experten die Technik im Griff haben. Natürlich > darfst du die auch alle für doof erklären, nur gehen dir dann langsam > die Leute aus, die überhaupt noch was verstehen. Ich sage doch, das sind meistens flüchtigkeitsfehler, sowas passiert jedem mal: Daniel A. schrieb: > Ausserdem sind das Dinge, die man einfach schnell übersieht. Ungefär so > wie der letzte Punkt im letzten Satz, nur mit etwas gravierenderen > Folgen.
Kaj schrieb: > Volksverschlüsselung für unfreie Bürger > https://netzpolitik.org//2016/volksverschluesselung-fuer-unfreie-buerger/ > >
1 | > Mit dieser SOFTWARE werden personenbezogene Daten des LIZENZNEHMERS |
2 | > im Sinne des § 3 Absatz 1 des Bundesdatenschutzgesetzes (BDSG) zum |
3 | > Zwecke der Verarbeitung erhoben. |
4 | > |
... und gleich darunter steht: (2) Fraunhofer speichert und verarbeitet die vom LIZENZNEHMER angegebenen personenbezogenen Daten wie Vorname(n), Name, ggf. akademischer Titel , E-Mail-Adressesowieden öffentlichen Schlüssel bzw. das Zertifikat ausschließlich für die Zwecke der Zertifikatserstellung und Zertifikatsverwaltung und sichert diese vor dem Zugriff unbefugter Dritter. (3) Die Zertifikate werden über ein zentrales Verzeichnis nur dann veröffentlicht, wenn der LIZENZNEHMER hierzu mittels der SOFTWARE ausdrücklich seine Einwilligung erteilt hat. Ich empfehle, sich umfänglich zu informieren. Manche Medien verbreiten nur Info-Splitter, die der eigenen Argumentation dienlich sind.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.