Zum Inhalt springen

Computernerds unter sich - Der Computerschwampf


Empfohlene Beiträge

Klar. Aber wenn du dir das Urteil durchliest, kannst du das ja gar nicht mehr wirklich prüfen. Da ging es um ein Bild, das sogar grundsätzlich nach Lizenz freigegeben war. Aber es wurde wohl eine leicht veränderte Version auf einer Homepage verlinkt, sodass keine Lizenz dafür bestand.

Wer soll denn sowas prüfen? Das ist doch absurd.

Link zu diesem Kommentar
  • 1 Monat später...

Man muss sich im Klaren darüber sein, dass jeder Dienstbetreiber mitlesen kann, falls der Benutzer seine Nachrichten nicht selbst unabhängig vom Dienstbetreiber verschlüsselt. Egal ob WhatsApp, Facebook oder Threema.

 

Solange der Dienst die Nachrichten verschlüsselt, hat er die Gewalt über Schlüssel und Verschlüsseltes und kann somit alles lesen, wenn er möchte. Jede Meldung nach dem Motto "Ihre Kommunikation ist jetzt verschlüsselt. Sie müssen nichts dafür tun." bezieht sich niemals auf den Dienstbetreiber.

Link zu diesem Kommentar

@dabba: Signal von Open Whisper Systems ist quelloffen. Ich bin kein Fachmann, aber ein Sicherheitsfachmann hat mir bestätigt, dass hier eine saubere Verschlüsselung auf den Endgeräten stattfindet, die eben nicht mitgelesen werden kann. Edward Snowden empfiehlt das ja auch.

 

Weitere Experten (siehe auch bei netzpolitik.org) halten Threema ebenfalls für sicher.

 

Ich denke, dass du die Aussage "jeder Dienstbetreiber" nicht belegen kannst? Oder hast du mir irgendwelche Artikel, bei denen entsprechende Experten die Lücken offenlegen?

 

Deine Aussage klingt so verallgemeinert und ohne jegliche Belege oder Links wie Bauchgefühl oder eine Verschwörungstheorie.

Bearbeitet von Rosendorn
Link zu diesem Kommentar

@dabba: Signal von Open Whisper Systems ist quelloffen. Ich bin kein Fachmann, aber ein Sicherheitsfachmann hat mir bestätigt, dass hier eine saubere Verschlüsselung stattfindet, die eben nicht mitgelesen werden kann. Edward Snowden empfiehlt das ja auch.

 

Weitere Experten (siehe auch bei netzpolitik.org) halten Threema ebenfalls für sicher.

 

Ich denke, dass du die Aussage "jeder Dienstbetreiber" nicht belegen kannst? Oder hast du mir irgendwelche Artikel, bei denen entsprechende Experten die Lücken offenlegen?

 

Deine Aussage klingt so verallgemeinert und ohne jegliche Belege oder Links wie Bauchgefühl oder eine Verschwörungstheorie.

Ganz allgemein gesprochen: findet die Verschlüsselung auf Deiner Seite statt - unkontrolliert von Dritten - ist sie sicherer. Verschlüsselt sie der Dienstanbieter, weiss der wie, und muss sie auch für den Empfänger entschlüsseln - der tut es ja nicht.

 

Wenn ich Dir über Treema oder WhatsApp eine Nachricht sende, kannst Du sie lesen, obwohl wir nie (private) Schlüssel ausgetauscht haben.

Für Vierte ist sie verschlüsselt - gilt nicht für kriminelle investierte Energie durch unbefugte Vierte.

Bearbeitet von Lukarnam
Link zu diesem Kommentar

Der Drittanbieter braucht ja auch einen "Wartungszugang".

 

Moderne Cloudanbieter brauchen den auch nicht mehr. Die "zählen" welche Art Pakete mit welcher Funktionalität wohin gesendet werden und können mit KI, Big Data, etc, auf dem Inhalt schließen. Die grosse Menge der gleichartigen Pakete erlaubt sehr gute Rückschlüsse.

Link zu diesem Kommentar

Das ist keine Lücke, sondern prinzipbedingt. Sobald Du nicht selbst verschlüsselst, vertraust Du jemand anderem, das er das für Dich macht.
 
Wer seine Nachrichten von seinem Dienstleister verschlüsseln lässt, der gibt faktisch seinen Liebesbrief einem Boten und sagt ihm: "Schreib den Brief hier verschlüsselt ab und verbrenne das Original. Dann bring den verschlüsselten Text zu Kunigunde und schreib den Text für sie wieder unverschlüsselt auf." Das ist wirklich ein wenig sicherer: Wenn der Bote auf dem Weg bestohlen oder ausspioniert wird, kann der Dieb/Spion die Nachricht nicht lesen. Es sei denn, derjenige kann erfolgreich Druck auf den Boten ausüben, dass er den Schlüssel preis gibt. Staatliche Ermittlungsbehörden können das möglicherweise. Der Bote selbst hingegen kann wissen, was in der Nachricht steht.
 
Man könnte das System natürlich noch verfeinern.

Bspw. könnte man zwei Boten beschäftigen, einer verschlüsselt und entschlüsselt nur (und reist ohne Brief im Gepäck zu Kunigunde), der andere trägt nur den Brief. Wird der Verschlüssler geschnappt, hat er den Brief nicht dabei. Wird der Briefträger geschnappt, hat er den Schlüssel nicht dabei. Der Verschlüssler kann Dir auch auch Offenheit anbieten: "Du kannst gerne dabei zusehen, wenn ich Dein Original verbrenne, nachdem ich den Text verschlüsselt habe."

Aber: Wenn beide geschnappt und unter Druck gesetzt werden, ist die Verschlüsselung wieder ausgehebelt. Außerdem kennt zumindest der Verschlüssler wieder den Inhalt des Briefes.

 

@dabba: Signal von Open Whisper Systems ist quelloffen. Ich bin kein Fachmann, aber ein Sicherheitsfachmann hat mir bestätigt, dass hier eine saubere Verschlüsselung auf den Endgeräten stattfindet, die eben nicht mitgelesen werden kann. Edward Snowden empfiehlt das ja auch.

Weitere Experten (siehe auch bei netzpolitik.org) halten Threema ebenfalls für sicher.

Wie von Lukarnam geschrieben: Irgendwer muss die Schlüssel verwalten und verteilen, wenn Du das nicht selbst machst.

 

Threema hat den Vorteil, dass sie nicht in den USA sitzen (und deshalb nicht dem Zugriff der amerikanischen Ermittlungsbehörden ausgesetzt sind). Aber auch hier gilt: Du musst Ihnen vertrauen.

Bearbeitet von dabba
Link zu diesem Kommentar

Was ist mit der asymmetrischen Verschlüsselung, die bei Signal eingebaut ist? (https://de.wikipedia.org/wiki/Signal-Protokoll)

 

Hier haben wir definitiv eine reine Ende-zu-Ende-Verschlüsselung. Public Keys werden automatisch ausgetauscht (was IMHO völlig unproblematisch und sinnvoll ist), die Private Keys bleiben sicher auf den Endgeräten. Somit lasse ich per Signal also nicht den Dienstleister, sondern tatsächlich mein eigenes Gerät ver- und mit dem Private Key entschlüsseln. Das sollte doch sicher sein (wenn nicht mein Endgerät unter fremder Kontrolle ist).

 

Threema hat angeblich ebenfalls eine Ende-zu-Ende-Verschlüsselung. Das kann leider nicht direkt im Quellcode bestätigt werden, da dieser nicht offen liegt. Trotzdem wird in Sicherheitskreisen ebenfalls Threema empfohlen.

 

Wie gesagt, bitte postet mir doch die entsprechenden Links, wo konkret belegt wird, dass die Ende-zu-Ende-Verschlüsselung von Threema oder Signal nicht funktionieren.

 

Theoretische Überlegungen und Kunigunde-Beispiele sind zwar nett, aber ich bräuchte schon ein wenig mehr, was ich dann ggf. zu meinen Freunden, die tatsächlich beruflich mit Computersicherheit zu tun haben, weiterleiten kann. Es dürfen auch gerne Fachartikel sein! Wäre sogar sinnvoller.

Bearbeitet von Rosendorn
Link zu diesem Kommentar

Bitte versteht mich nicht falsch, wenn ich kritisch nachfrage. Ich wäre echt dankbar, wenn ich mehr Hilfestellung und Background zur Kommunikationssicherheit bekäme! Ich habe halt ein klein wenig Basiswissen und Beratung durch meine Freunde.

 

Sollten die sich irren oder etwas übersehen, sind die sicher auch dankbar! Momentan gilt halt die Verwendung von Threema und Signal als unproblematisch.

Bearbeitet von Rosendorn
Link zu diesem Kommentar

Wie geschrieben: Die Schwachstelle ist die Tatsache, dass man Verschlüsselung aus der eigenen Hand gibt - und in gewisser Weise der Software und ihren Entwicklern und Netzwerkbetreibern vertraut. Ich sag mal: Heartbleed hat gezeigt, dass nicht mal böse Absicht dahinter stecken muss, wenn das Vertrauen unberechtigt ist.

 

Punkte wie asymetrische Verschlüsselung und regelmäßig geänderte Schlüssel habe ich in meiner Geschichte oben bewusst ausgelassen (weil die sich schwer in eine Bildgeschichte gießen lassen). Ich stimme ja zu, dass Threema und Signal weniger wahrscheinlich ausgeschnüffelt werden - aber der Grundgedanke beim Verschlüsseln ist eben eigentlich, dass die Verschlüsselung getrennt abläuft und idealerweise vom Absender selbst vorgenommen wird.

Link zu diesem Kommentar

Und wie soll man das deiner Ansicht nach konkret machen? Welche App schalte ich der Kommunikationssoftware vor? Ich habe Android.

 

Klar, im Thunderbird auf dem PC kann man einfach PGP installieren. Wobei ich da aber auch wieder einem "Anbieter" vertrauen muss. Bei Signal wird der offene Quellcode von Experten gecheckt und Fehler ausgemerzt. Das dürfte also so vollkommen sicher sein wie nur irgend möglich, wenn du keinen Trojaner mit Keylogger oder so auf dem Handy hast - aber in dem Falle ist ja eh jedwede Verschlüsselung vollkommen nutzlos.

 

Oder meinst du mit "idealerweise vom Absender selbst vorgenommen", dass ich mein eigenes Verschlüsselungsprogramm schreiben soll?

Link zu diesem Kommentar

@dabba: Darf ich kurz nach deiner Expertise fragen? In deinem Vorstellungsthread steht ja nur, dass du Softwareentwickler bist - arbeitest du da auch im Bereich der Computersicherheit oder Verschlüsselung? Oder hast du entsprechende Hobbyprojekte zur Sicherheit/Verschlüsselung am Laufen?

 

Hast du dich schon mal mit Signal und dem Quellcode auseinander gesetzt?

Bearbeitet von Rosendorn
Link zu diesem Kommentar

Nein, mit Verschlüsselung hab ich noch nicht viel gemacht. Das sind theoretische Überlegungen von mir.

 

Verstehe mich nicht falsch. Die Verschlüsselung an sich funktioniert: Es nur sehr aufwendig möglich, die Nachrichten zu lesen, indem man nur die Leitung anzapft und nicht direkt auf den Dienstbetreiber zu geht. Das ist der Hauptzweck von Verschlüsselung: Wer nur die Verbindung zwischen den Kommunizierenden überwachen kann, sieht nichts.

Man sollte sich nur im Klaren darüber sein, dass man letztlich immer seine Nachrichten im Klartext der Software übergibt (falls man sie nicht selbst und unabhängig verschlüsselt) und ihr vertraut, dass sie wirklich verschlüsselt und keinen Blödsinn damit macht. Das mit OpenSource ist auch so eine Sache - kaum jemand baut seine Binärfiles wirklich selbst und noch weniger Leute kontrollieren wirklich den Quellcode auf Schwachstellen. ;)

 

Dann bleiben Meta-Informationen: Selbst wenn er die Nachrichten nicht lesen kann, kann der Abhörer mindestens sehen, dass Da jemand mit Signal kommunziert. In der Praxis gibt es zudem die Schwachstelle Mensch: Es kann passieren, dass einer der Beteiligten eine Hausdurchsuchung über sich ergehen lassen muss - und die Polizei so an das Smartphone oder den Rechner kommt, auf der die gesamte Kommunikation vom Messenger abgespeichert wurde. Natürlich hat er die nicht verschlüsselt oder (noch besser) gelöscht - ist ja viel zu aufwendig, bei jedem Start das Passwort einzugeben. ;)

 

Fazit:

Wer ernsthaft vertrauliche Daten austauschen möchte (die wirklich begehrt sind und/oder einem in den falschen Händen ernsthaft Probleme bereiten würden), sollte sie selbst verschlüsseln. Das muss nicht aufwendig sein: Packt die Datei mit 7Zip in eine 7Z-Datei mit Passwort. Schickt dem Empfänger die 7Z-Datei. Teilt ihm das Passwort für den 7Z-Datei auf einem anderen Kommunikationskanal (am besten gar nicht elektronisch ;) ) mit.

Bearbeitet von dabba
Link zu diesem Kommentar

Alles klar, danke für die Infos. Wobei mir zugetragen wurde, dass gerade Signal von sehr vielen Unabhängigen (u.a. vom CCC) ständig kontrolliert wird.

 

Zudem muss man wohl das mit der Backdoor in WhatsApp relativieren:

https://www.heise.de/newsticker/meldung/Krypto-Experte-Keine-Backdoor-in-WhatsApp-3596359.html

 

Es scheint doch eher ein (etwas strittiges) Feature zu sein, durch das wenn überhaupt nur zukünftige Kommunikation abgefangen werden kann.

 

Das Problem mit den Meta-Daten ist mir natürlich bekannt und auch, dass man da nur wenig machen kann. Das TOR-Netzwerk wäre da wohl eine Möglichkeit, aber dann wird der Aufwand größer als es meine Kommunikationsinhalte meiner Ansicht nach benötigen. Wobei es mit der Orbot-App recht einfach ist, die allerdings einen Root-Zugriff braucht, den ich auf meinem aktuellen Handy (noch) nicht eingerichtet habe. Auf meinem alten mit Cyanogen-Mod war das kein Problem und lief echt problemlos ...

Bearbeitet von Rosendorn
Link zu diesem Kommentar

Das Problem mit den Meta-Daten ist mir natürlich bekannt und auch, dass man da nur wenig machen kann. Das TOR-Netzwerk wäre da wohl eine Möglichkeit, aber dann wird der Aufwand größer als es meine Kommunikationsinhalte meiner Ansicht nach benötigen. Wobei es mit der Orbot-App recht einfach ist, die allerdings einen Root-Zugriff braucht, den ich auf meinem aktuellen Handy (noch) nicht eingerichtet habe. Auf meinem alten mit Cyanogen-Mod war das kein Problem und lief echt problemlos ...

Bei Tor vertraust du irgendwelchen Exit-Knoten-Betreibern. Von denen einige bekanntermaßen nicht vertrauenswürdig sind.
Link zu diesem Kommentar
  • 2 Monate später...
  • 3 Wochen später...

Voriges Wochenende sah ich übrigens einen realen Microsoft Store, also so echt zum Reingehen und Anfassen. Im kleinen Yanjiao - das deutsche Äquivalent von der Bedeutung her wäre vielleicht Andernach. Sie hatten auch was zu zeigen, XBox, Surface, ...

Wenn mir vor 25 Jahren, als wir eine größere Fallstudie über MSFT bearbeiten durften, jemand gesagt hätte, dass es Microsoft Stores für Endkunden gäbe, hätte ich gefragt, wozu denn das, um endlich die vielen Nutzerprobleme in Windows zu erklären?

Link zu diesem Kommentar

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
  • Wer ist Online   0 Benutzer

    • Keine registrierten Benutzer online.
×
×
  • Neu erstellen...