Wirds mit Verschlüsselung wirklich sicherer?

Internet Internet Sicherheit
#21

Hallo,

je mehr Menschen ihre Mails verschlüsseln, je höher wird der technische Aufwand der Schnüffler. Einmal eingerichtet, kostet die Erstellung und der Versand einer verschlüsselten Mail nicht mehr Zeit als der Versand einer unverschlüsselten Mail.

Ein interessanter Nebenaspekt ist die Möglichkeit einer digitalen Signatur. Ich versende fast täglich Mails mit einer Reihe von Links. Eine Fälschung der Absenderadresse ist eine Kleinigkeit. Die Empfänger gehen davon aus, daß die von mir verlinkten Inhalte „sicher“ sind, da sie mir vertrauen. Nur kommen diese wirklich von mir?

Für alle, denen „dieser ganze Technikkram“ zu kompliziert scheint, gibt es eine kurze Anleitung u.a. auf Spiegel-Online:

http://www.spiegel.de/netzwelt/netzpolitik/so-versch…

Grüße

fribbe

P.S.: Ebenso wie du halte ich die von dir zitierte Aussage für nicht verifiziert und fragwürdig.

#22

Hallo

Offenbar sind wie gerade dabei, dies zu erleben. Sicherlich
mit richterlichem Beschluß werden terrorelavante
Organisationen wie EU-Behörden und deutsche Bundesorgane
belauscht.

Ehrlich gesagt, bin ich keineswegs erstaunt, dass auch Deutschland, die EU etc. belauscht werden. Es hätte mich eher gewundert, wenn es nicht so wäre. Denn das Sammeln von Daten und Informationen aller Art ist ja eine der Grundaufgaben jeglicher Spionagebehörde.

Es ist auch völlig logisch, dass NSA und Co. grundsätzlich alle und jeden abhören. Denn es geht ja erstmal einfach nur darum, die Informationen zu sammeln. Denen ist es grundsätzlich egal, wer ‚Freund‘ oder ‚Feind‘ ist. Denn das kann ja auch ändern. Bzw. sind diejenigen, welche diese Sachen anordnen, durch und durch paranoid und gehen davon aus, dass auch die ‚Freunde‘ irgendwas machen, was sie interessieren könnte.

CU
Peter

#23

Who Can You Trust …?
Hallo,

Ehrlich gesagt, bin ich keineswegs erstaunt, dass auch
Deutschland, die EU etc. belauscht werden. Es hätte mich eher
gewundert, wenn es nicht so wäre. Denn das Sammeln von Daten
und Informationen aller Art ist ja eine der Grundaufgaben
jeglicher Spionagebehörde.

Tja, die herkömlichen Konstrukte von „Demokratie“ sahen dabei allerdings eine wie auch immer organisierte öffentliche Kontrolle vor.

Außerdem sehen wir, wie große IT-Firmen in die Aufgabe mit eingespannt werden. Wem möchte man noch vertrauen?

Sich einerseits zu weigern, Daten „in die Cloud“ zu laden, andererseits aber Windows oder Mac OS zur Bearbeitung und den Umgang mit den Daten zu nutzen erscheint mir ziemlich inkonsequent.

Gruß,

Sebastian

#24

Ich halte diese Aussage für Quatsch. Wenn das wahr wäre, wäre
Snowden nie aus den USA herausgekommen, sondern säße schon
seit Monaten in Guantanamo…

Alles eine Frage des Timings. Er ist schlauerweise erst ausgereist, und hat erst danach von Honkong aus geplaudert. Würde ich an seiner Stelle auch so machen :smile:

Gruss,

Armin.

#25

Hi auch,

je mehr Menschen ihre Mails verschlüsseln, je höher wird der
technische Aufwand der Schnüffler. Einmal eingerichtet, kostet
die Erstellung und der Versand einer verschlüsselten Mail
nicht mehr Zeit als der Versand einer unverschlüsselten Mail.

Frage: von welcher „vertrauenswürdigen Zertifizierungsinstanz“ hast Du Dir Dein Zertifikat für PGP ausstellen lassen?

Gruss

Armin.

#26

Alles eine Frage des Timings. Er ist schlauerweise erst
ausgereist, und hat erst danach von Honkong aus geplaudert.
Würde ich an seiner Stelle auch so machen :smile:

Das ist nicht richtig. Er ist zwar ausgereist, bevor die Informationen veröffentlicht wurden. ‚Ausgeplaudert‘ bzw. an Journalisten weitergegeben hat er die Informationen aber bereits ab Februar, also lange vor der Ausreise.

Gruß

#27

Frage: von welcher „vertrauenswürdigen Zertifizierungsinstanz“
hast Du Dir Dein Zertifikat für PGP ausstellen lassen?

Du hast dich mit PGP noch nie auseinandergesetzt, oder?

Gruß

#28

Hi Herrmann,

Frage: von welcher „vertrauenswürdigen Zertifizierungsinstanz“
hast Du Dir Dein Zertifikat für PGP ausstellen lassen?

Du hast dich mit PGP noch nie auseinandergesetzt, oder?

Beantworte meine Frage, und ich beantworte danach Deine.

Gruss Armin.

#29

Hi …

Alles eine Frage des Timings. Er ist schlauerweise erst
ausgereist, und hat erst danach von Honkong aus geplaudert.
Würde ich an seiner Stelle auch so machen :smile:

Das ist nicht richtig. Er ist zwar ausgereist, bevor die
Informationen veröffentlicht wurden. ‚Ausgeplaudert‘ bzw. an
Journalisten weitergegeben hat er die Informationen aber
bereits ab Februar, also lange vor der Ausreise.

Wichtig dürfte doch sein - so lese ich jedenfalls Dein Posting - ob den behörden seine identität sowie seine Absicht, die Bombe platzen zu lassen, bereits vor seiner Ausreise bekannt war. Ich gehe davon aus, dass er seiner Enttarnung durch die NSA sehr wohl zuvor gekommen ist, und deshalb unbehelligt ausreisen konnte, so wollte ich meinen Satz verstanden haben.

Und ich gehe nicht davon aus, dass er seine Informationen ausgerechnet per Mail (sei es verschlüsselt oder unverschlüsselt) an seine Kontaktperson(en) übermittelt hat :smile: Rate mal, wie ich auf diese Idee komme :smile:

Armin.

#30

Und ich gehe nicht davon aus, dass er seine Informationen
ausgerechnet per Mail (sei es verschlüsselt oder
unverschlüsselt) an seine Kontaktperson(en) übermittelt hat

-) Rate mal, wie ich auf diese Idee komme :smile:

Rate mal, warum ich deiner Argumentation in keiner Weise folgen kann:

_So how did this all begin?

I was originally contacted in January, anonymously.

By Edward Snowden?

Well, I didn’t know who it was.

What was the format?

Via email. It said, I want to get your encryption key and let’s get on a secure channel._

http://www.salon.com/2013/06/10/qa_with_laura_poitra…

#31

Beantworte meine Frage, und ich beantworte danach Deine.

Deine Frage geht schlicht und einfach an der Sache vorbei. Du könntest genausogut fragen, warum die Haferpreise fallen, obwohl doch die Autos immer mehr Pferdestärken haben.

Gruß

#32

Hallo,

Frage: von welcher „vertrauenswürdigen Zertifizierungsinstanz“
hast Du Dir Dein Zertifikat für PGP ausstellen lassen?

Du hast dich mit PGP noch nie auseinandergesetzt, oder?

Das, was man bei PGP nutzt um Schlüssel zu verifizieren nennt sich „Signatur“, nicht „Zertifikat“. Das ist insofern spannend, als man einen Schlüssel von (nahezu) beliebig vielen Personen signieren lassen kann. Als Journalist, der in dem Bereich arbeitet, wäre es sicher eine gute Idee, dafür zu sorgen, daß der eigene Schlüssel von vielen Leut en signiert wird.

Das hat Glenn Greenwald alllerdings wohl zu spät erkannt.

Beantworte meine Frage, und ich beantworte danach Deine.

Und jetzt kommst Du.

Gruß,

Sebastian

#33

Hi Sebastian,

Hallo,

Frage: von welcher „vertrauenswürdigen Zertifizierungsinstanz“
hast Du Dir Dein Zertifikat für PGP ausstellen lassen?

Du hast dich mit PGP noch nie auseinandergesetzt, oder?

Antwort: das ist völlig richtig :smile:

Ich habe eine bestimmte Vorstellung davon, wie Authentifizierungssysteme mit Zertifikaten arbeiten, und hatte irgendwoher die Vorstellung, dass PGP das ebenso macht. Das war wohl ein Irrtum, und ich streue mir hiermit Asche aufs Haupt

Wer sich noch nie geirrt oder zu weit aus irgendeinem Fenster gelehnt hat darf auch gerne irgendeinen ersten Stein werfen.

Dein Posting war immerhin ein wenig informativ, aber ehrlich gesagt, mangels Grundlagen zu PGP, kann ich mit dem was Du schreibst herzlich wenig bis gar nichts anfangen. Was wie gesagt nicht an Dir liegt, sondern daran dass ich mich mit PGP nie auseinandergesetzt habe.

Ein Versuch meinerseits, mich *mal eben schnell* schlau zu machen ist kläglich gescheitert, nach einem Abend Studium der Anfängerquellen (Wikipedia und Konsorten) hatte ich lediglich den Eindruck, dass das Ganze ausgesprochen kompliziert zu sein scheint.

Was mich wundert … Zertifikate und PKI versuchen das Problem zu lösen, eine sichere Kommunikation mit jemandem zuwege zu bringen, den man weder kennt noch je getroffen hat. PGP macht das wohl anders. Gut. Aber wie? Woher wusste der Whistleblower S, dass der Public Key, den ihm Frau P zum Aufbau des sicheren Kanals geschickt hat, auch wirklich von Frau P. stammte, und nicht von einem NSA Kollegen? Kannst Du mir bei diesem Detall ein wenig auf die Sprünge helfen?

Schönen Abend noch,

Armin.

#34

Hätte man sich auch denken können, bei Windows NT wurde schon
1999 eine recht suspekter Schlüssel gefunden, und die
Erklärungen für dessen Vorhandensein wirkten schon damals
etwas dünne,

Mist. Link vergessen:

Weil es ja so schön ist: noch einen: http://www.heise.de/newsticker/meldung/PRISM-Ueberwa…

#35

Moin,

Was mich wundert … Zertifikate und PKI versuchen das Problem
zu lösen, eine sichere Kommunikation mit jemandem zuwege zu
bringen, den man weder kennt noch je getroffen hat. PGP macht
das wohl anders. Gut. Aber wie?

Man hat keine zentrale Instanz, die Schlüssel beglaubigt, sondern immer nur einzelne Nutzer untereinander; den unterschreibdenden kann man dann Vertrauen entgegenbringen (in dem Sinne, daß sie ihrerseits andere Schlüssel sorgfältig signieren) oder auch eben nicht.

Damit kann ein „Netz aus Vertrauen“ entstehen, das „Web Of Trust“. Das geht eben dann besonders gut, wenn wirklich viele Leute GnuPG/PGP nutzen,

Woher wusste der Whistleblower
S, dass der Public Key, den ihm Frau P zum Aufbau des sicheren
Kanals geschickt hat, auch wirklich von Frau P. stammte, und
nicht von einem NSA Kollegen? Kannst Du mir bei diesem Detall
ein wenig auf die Sprünge helfen?

In dem Fall ist das in der Tat schwer, zumal Glenn Greenwald neu in PGP war, noch keinen Schlüssel hatte und daher vermutlich nicht die Zeit und Gelegenheit, diesen von hinreichend vielen Leuten beglaubigen zu lassen.

„Mal eben PGP“ ist schwer, wenn man für den Schlüsselaustausch keinen sicheren Kanal hat, ein „Web Of Trust“ muß man sich erst aufbauen. Aber das Problem existiert ja bei allen Verfahren: woher weißt Du, ob die (Root-)Zertifikate, die Dein Browser mit installiert echt sind?

Gruß,

Sebastian