Freigeisterhaus Foren-Übersicht
 FAQFAQ   SuchenSuchen   MitgliederlisteMitgliederliste   NutzungsbedingungenNutzungsbedingungen   BenutzergruppenBenutzergruppen   LinksLinks   RegistrierenRegistrieren 
 ProfilProfil   Einloggen, um private Nachrichten zu lesenEinloggen, um private Nachrichten zu lesen   LoginLogin 

(Open)PGP - Risiken und Nebenwirkungen

 
Neues Thema eröffnen   Neue Antwort erstellen   Drucker freundliche Ansicht    Freigeisterhaus Foren-Übersicht -> DAU's Paradise
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
Frank
registrierter User



Anmeldungsdatum: 31.07.2003
Beiträge: 6643

Beitrag(#1857879) Verfasst am: 12.08.2013, 14:01    Titel: (Open)PGP - Risiken und Nebenwirkungen Antworten mit Zitat

Ich habe erst kürzlich im hpd Artikel "Eine Frage des Vertrauens" OpenPGP als Eierlegende Wollmilchsau empfohlen, da man S/MIME wegen der Probleme mit den „vertrauenswürdigen Zertifizierungsstellen“ nicht (mehr) trauen kann. Dabei hatte ich ein altes (Open)PGP immanentes Problem, welches mich im letzten Jahrtausend vom Web of Trust abgehalten hatte, komplett aus den Augen verloren. Das Problem sind die öffentlichen PGP Keyserver.

dfn-cert.de pgp-key-server faq hat folgendes geschrieben:

Ein einmal ins PGP-Keyserver-Netz eingespeister Schlüssel ist nicht mehr zu entfernen, da die Server ihren Schlüsselbestand untereinander abgleichen und hierbei nur eingespeiste Schlüssel verbreitet werden, nicht jedoch Anforderungen zum Löschen von Schlüsseln.


Das Löschen von PGP-Keys sollte kein unüberwindbares technisches Problem sein. Das eigentliche Problem sind die (Open)PGP Fundamentalisten, die das nicht wollen. Es gab schon viele Requests von (Open)PGP-Usern, dies zu ändern. Primär wohl aus Angst vor Spam. Was spricht gegen nichtlöschbare öffentliche PGP Schlüssel auf PGP Schlüssel Servern?

Einen Eindruck vom Ausmaß des Problem gewann ich vor Jahren durch Vorträge von Chris Cebelenski und Dan Nathan (Harvard University)

nathande-ccbelenski_paper.doc

Im Gegensatz zu sig2dot, wo nur die Trusted Relationships aus dem lokalen GPG Key Ring visualisiert werden, ziehen Cebelenski und Nathan ihre Daten aus den öffentlich erreichbaren PGP Keyservern. Hier kann einfach festgestellt werden, wer mit wem in Verbindung steht. Also ein ähnlich gelagertes Problem wie bei Facebook, welches dort von den (Open)PGP Fundamentalisten in der Regel vehement kritisiert wird. Im Gegensatz zu Facebook&Co sind die Daten auf den PGP Key Servern für jeden anonymen Internetuser frei zugänglich und können von den Betroffenen auch nicht wieder gelöscht werden. Sprich, PGP Keys eignen sich hervorragend für Social Engineering. Das schlimmste am Konzept der PGP Keyserver ist, das jeder jeden PGP Key hochladen kann. Der Eigentümer des Keys kann sich dagegen nicht wehren oder die ungewollte Veröffentlichung rückgängig machen. Was sagen die (Open)PGP Fundis zum Problem:

„If you are concerned about having your name associated with your e-mail address, you could always use a bogus name.”

Man empfiehlt beim “Web of Trust” den Einsatz von falschen Namensangaben. Geschockt

Mit der Option, pgp Keys auf Key Servern nur von dessen Eigentümern hinzufügen und löschen zu lassen wäre das Problem zum größten Teil entschärft. Jeder sollte selbst entscheiden können, ob sein (Open)PGP Key (nebst Signierungen von Freunden und Bekannten) jedem totalitären Regime oder Kriminellen in der Welt freihaus geliefert wird. Aber die PGP Fundis wollen das partu nicht, da es ihrem Glauben widerspricht.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Höhlenbär
saisonaler Einzelgänger



Anmeldungsdatum: 04.03.2007
Beiträge: 147

Beitrag(#1857890) Verfasst am: 12.08.2013, 16:04    Titel: Re: (Open)PGP - Risiken und Nebenwirkungen Antworten mit Zitat

Frank hat folgendes geschrieben:

Mit der Option, pgp Keys auf Key Servern nur von dessen Eigentümern hinzufügen und löschen zu lassen wäre das Problem zum größten Teil entschärft. Jeder sollte selbst entscheiden können, ob sein (Open)PGP Key (nebst Signierungen von Freunden und Bekannten) jedem totalitären Regime oder Kriminellen in der Welt freihaus geliefert wird. Aber die PGP Fundis wollen das partu nicht, da es ihrem Glauben widerspricht.


Nenn mich PGP-Fundi, aber dieses Problem kann ich ebenfalls nicht nachvollziehen. Der Key, den man auf Key-Server hochladen kann, heißt nicht ohne Grund Public Key. Wenn man seinen Public Key nicht veröffentlichen will, hat das Konzept des Web of Trust keinen Sinn mehr.

Gegenwärtig ist PGP mit Web of Trust immer noch das Mittel der Wahl für email, aber diese Methode hat schon beträchtliche Fehler, die im Rahmen der Snowden-Enthüllungen ins Bewußtsein gerückt worden sind:


    Auch wenn die Verschlüsselung des Inhaltes im Moment sicher ist, das Bewegungsprofil landet bei der NSA.
    Dazu benötigen sie nicht einmal den Netzverkehr zum PKI-Server, sie bemerken jede verschlüsselte email.

    Die Aufbewahrung der Public Keys in den PKI-Servern bewirkt, daß die NSA die verschlüsselten Inhalte aufbewahren kann, bis man die Rechenkapazität für das Entschlüsseln technisch erreicht oder man die Herausgabe der Private Keys erschleichen oder erpressen kann.

    S/MIME sowie SSL mit ihren hierarchischen PK-Infrastrukturen verschärfen dieses Problem. Man muß davon ausgehen, das der NSA die Root-Certificates bekannt sind.


Vielversprechend scheint mir ein Ansatz von der Free Software Foundation (Richard Stallman ist wohl allgemein bekannt?) zu sein:
Video: You broke the Internet. We're making ourselves a GNU one. (Vorträge aus Berlin, aber in Englisch)
Dabei werden Routing, Namensauflösung, Suche und Websurfen/Messaging komplett dezentralisiert und Ende zu Ende verschlüsselt. Dieses GNUnet ist allerdings noch im alpha-Stadium.
_________________
Macht ist geil. Humor ist Pflicht. Skepsis ist eine Tugend.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Frank
registrierter User



Anmeldungsdatum: 31.07.2003
Beiträge: 6643

Beitrag(#1857921) Verfasst am: 12.08.2013, 17:59    Titel: Antworten mit Zitat

Höhlenbär hat folgendes geschrieben:

Nenn mich PGP-Fundi, aber dieses Problem kann ich ebenfalls nicht nachvollziehen. Der Key, den man auf Key-Server hochladen kann, heißt nicht ohne Grund Public Key.


Das Problem ist, das an zentraler Stelle alle Public Keys vorgehalten werden und diese nicht nur den Key und die damit verbundene E-Mailadresse des Key Owners enthalten, sondern auch Hinweise auf Leute zulassen, die diesen Key mit ihrer eigenen Signatur beglaubigt haben. Damit können Verbindungen offengelegt werden. z.B. Bei der Identifikation von anonymen Whistleblowern. Oder in totalitären Staaten, wo man das Umfeld eines Dissidenten gleich mit einsperren/foltern will. Metadaten sind meistens interessanter für Geheimdienste als der Inhalt der verschlüsselten Nachricht selbst. Wer PGP einsetzt muß es derzeit hinnehmen, das seine E-Mailadresse (inklusive mit dem damit verbundenen Namen) öffentlich zentral erfasst werden (kann) und er sich dagegen nicht wehren kann. Man sollte die Internetnutzer darauf hinweisen, bevor man ihnen OpenPGP empfiehlt. S/MIME verlangt diesen erzwungenen Key Exhibitionismus nicht.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Höhlenbär
saisonaler Einzelgänger



Anmeldungsdatum: 04.03.2007
Beiträge: 147

Beitrag(#1857932) Verfasst am: 12.08.2013, 18:43    Titel: Antworten mit Zitat

Frank hat folgendes geschrieben:
Höhlenbär hat folgendes geschrieben:

Nenn mich PGP-Fundi, aber dieses Problem kann ich ebenfalls nicht nachvollziehen. Der Key, den man auf Key-Server hochladen kann, heißt nicht ohne Grund Public Key.


Das Problem ist, das an zentraler Stelle alle Public Keys vorgehalten werden und diese nicht nur den Key und die damit verbundene E-Mailadresse des Key Owners enthalten, sondern auch Hinweise auf Leute zulassen, die diesen Key mit ihrer eigenen Signatur beglaubigt haben. Damit können Verbindungen offengelegt werden. z.B. Bei der Identifikation von anonymen Whistleblowern. Oder in totalitären Staaten, wo man das Umfeld eines Dissidenten gleich mit einsperren/foltern will. Metadaten sind meistens interessanter für Geheimdienste als der Inhalt der verschlüsselten Nachricht selbst. Wer PGP einsetzt muß es derzeit hinnehmen, das seine E-Mailadresse (inklusive mit dem damit verbundenen Namen) öffentlich zentral erfasst werden (kann) und er sich dagegen nicht wehren kann. Man sollte die Internetnutzer darauf hinweisen, bevor man ihnen OpenPGP empfiehlt. S/MIME verlangt diesen erzwungenen Key Exhibitionismus nicht.


Bei PGP muß der Anwender sich eben entscheiden. Man ist ja nicht gezwungen, PK-Server zu verwenden, man kann das in kleinem Kreis auch "zu Fuß" erledigen. GNUnet wird diesen Nachteil auch vermeiden, ich habe vergessen zu erwähnen, dass auch der Schlüsselaustausch als Web of Trust funktioniert, aber ebenfalls dezentral.
_________________
Macht ist geil. Humor ist Pflicht. Skepsis ist eine Tugend.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Frank
registrierter User



Anmeldungsdatum: 31.07.2003
Beiträge: 6643

Beitrag(#1857936) Verfasst am: 12.08.2013, 19:15    Titel: Antworten mit Zitat

Höhlenbär hat folgendes geschrieben:

Bei PGP muß der Anwender sich eben entscheiden. Man ist ja nicht gezwungen, PK-Server zu verwenden,


Der Anwender hat bei PGP keinen Einfluß darauf, ob jemand seinen Public Key auf einen PGP Keyserver unlöschbar hochlädt. Es sein den, er hält seinen Public Key 100% geheim, was bei einem "Public Key" irgendwie widersinnig ist. Ein Personalausweis ist auch in einer weise "public" und muß bei Bedarf unterschiedlichsten Personenkreisen vorgezeigt werden. Daraus ergibt sich aber nicht der Anspruch, daß seine Ausweisdaten weltweit zentral für jeden anonymen Internetbenutzer jederzeit abrufbar sind und jeder unautorisiert diese Daten hochladen darf. Genau das mutet (Open-)PGP seinen Usern zu.

Apropos Arroganz der PGP-Fundis

Wikipedia Schlüsselserver

Wikipedia hat folgendes geschrieben:

Vermeintliche Problematik Unerfahrene Nutzer kritisieren häufig, dass es bei praktisch allen Schlüsselservern beziehungsweise Schlüsselserver-Verbunden nicht möglich ist, einen Schlüssel oder Teile davon zu löschen, sobald diese erst einmal publiziert wurden ... Die weitere Existenz der alten öffentlichen Schlüssel ist nicht weiter problematisch, im Gegenteil sogar nötig, denn diese älteren öffentlichen Schlüssel werden zur Verifikation der Signaturen bereits empfangener Nachrichten benötigt.


"Vermeintliche Problematik", "ist nicht weiter problematisch" - der Duktus erinnert stark an religiöse Pamphlete. Aber zumindest wird im selben Artikel zugegeben:

Wikipedia hat folgendes geschrieben:

Schlüsselserver können als Quelle von E-Mail-Adressen beispielsweise für den Versand von Spam missbraucht werden.

Ferner können angefügte Signaturen (siehe Web of Trust) analysiert und somit die Beteiligung des Schlüsselinhabers an sozialen Netzwerken identifiziert werden.

...

Verschärfend kommt hinzu, dass eine große Gefahr von verlegten oder missbräuchlich genutzten Zertifikaten ausgeht. Missbräuche können unter keinen Umständen rückgängig gemacht werden, sodass hier die Informationelle Selbstbestimmung verletzt werden kann.


Jetzt, wo alle Welt dazu gedrängt wird, OpenPGP einzusetzen, sollte man die unerfahrenen Internetnutzer über die Risiken und Nebenwirkungen aufklären. Gerade Nutzer in totalitären Staaten sollten hier vorsichtig sein, da sie im Gegensatz zu deutschen Nutzern weit mehr zu verlieren haben.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
sponor
registrierter User



Anmeldungsdatum: 16.05.2008
Beiträge: 1712
Wohnort: München

Beitrag(#1858206) Verfasst am: 14.08.2013, 09:25    Titel: Antworten mit Zitat

Ich störe euer Geplauder ja nur ungern, aber es mutet schon ein kleines bisschen akademisch (um nicht zu sagen: scholastisch) an, etwaige Fehler oder Detailprobleme von GPG etc. zu diskutieren.*

In guter erster Näherung gilt nämlich immer noch: Kein Mensch verschlüsselt seine Mails...
( Deprimiert Ich habe auch gerade erst angefangen damit. – Naja, immerhin läuft jetzt mein Raspberry mit Owncloud, da kann ich schon mal aus der überwachten Cloud ausziehen.)

Es scheint mir "politisch" unklug, sich da in "kleinlichen" Streitereien zu verlieren – das schwächt die "Guten" und stärkt die "Bösen".
Ganz typisches Verhalten von diesen linken, nachdenklichen Leuten, die immer alles diskutieren müssen und nichts einfach so glauben wollen. zwinkern Ist aber mMn wirklich einer der Hauptgründe, dass wir immer wieder von den Rechten regiert werden; die habe solche "Probleme" nicht...


__________
* Ohne jetzt sagen zu wollen, dass irgendjemand recht oder unrecht habe. Darauf will ich nicht hinaus. Solange es keine echt grundlegenden Probleme gibt (Kompromittierung der ganzen Technik o.ä.), würde ich z.B. die Darstellung aus strategischen Gründen möglichst bis zur Schmerzgrenze vereinfachen usw. Lieber ein schlechtes selbstsigniertes Zertifikat als gar keins...
_________________
Unsere Welt wird noch so fein werden, daß es so lächerlich sein wird, einen Gott zu glauben als heutzutage Gespenster.
(G. Chr. Lichtenberg)
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
Frank
registrierter User



Anmeldungsdatum: 31.07.2003
Beiträge: 6643

Beitrag(#1858231) Verfasst am: 14.08.2013, 12:09    Titel: Antworten mit Zitat

sponor hat folgendes geschrieben:
Ich störe euer Geplauder ja nur ungern, aber es mutet schon ein kleines bisschen akademisch (um nicht zu sagen: scholastisch) an, etwaige Fehler oder Detailprobleme
von GPG etc. zu diskutieren.*


Es geht hier nicht um unwichtige Detailprobleme. Sondern um die Gefahren von gefühlter Sicherheit durch den Einsatz von gehypten Lösungen (lass uns zu einer geilen Cryptoparty gehen und wir sind sicher), die einen unvorsichtig werden lässt.


sponor hat folgendes geschrieben:

Es scheint mir "politisch" unklug, sich da in "kleinlichen" Streitereien zu verlieren – das schwächt die "Guten" und stärkt die "Bösen".


Das Thema Verschlüsselung hat nichts mit Links und Rechts zu tun. Atheisten und andere Regimegegner in totalitären/religiotischen Staaten verlassen sich auf Verschlüsselung. Islamisten und Kriminelle weltweit auch. Wer hier ein „der Zweck heiligt die Mittel“ propagiert, wird auch bei Folter und Drohnen basierenden Remote Exekutionen nicht halt machen, wenn es der „guten Sache“ dient.


sponor hat folgendes geschrieben:
In guter erster Näherung gilt nämlich immer noch: Kein Mensch verschlüsselt seine Mails...


OpenPGP ist gut beim Verschlüsseln. Das Problem liegt hier woanders. Das ungewollte offen-legen von persönlichen sozialen Netzwerken. Und zum Thema Verschlüsselung. Es reicht nicht nur PGP & Co zu installieren und alles ist sicher, wie von den Mainstream Medien suggeriert wird.

Verschlüsselung auf kompromittierten Systemen ist sinnlos

Zorko: "Diese physische Trennung der Bearbeitung vertraulicher Daten von ihrer verschlüsselten Übertragung durch das Internet ist für viele erst mal gewöhnungsbedürftig ... aber es ist der einzige Weg zu wirklich sicher verschlüsselten Daten. Nur wenn die Endpunkte der Kommunikation, an denen ver- und entschlüsselt wird, sicher sind, kann man sich auf die Verschlüsselung verlassen".

Diese Lösung ist hinreichend sicher und frei für jeden Internetnutzer verfügbar. Nur leider umständlich. Aber wer es (Abseits der gefühlten Sicherheit) tatsächlich sicher haben will, muss auf Bequemlichkeit verzichten. Ansonsten ist der Einsatz von Verschlüsselung immer eine gute Idee, wenn man sich der Risiken und Nebenwirkungen voll bewusst ist und sich nicht auf trügerische Sicherheit verlässt.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
mat-in
registrierter User



Anmeldungsdatum: 03.12.2011
Beiträge: 782
Wohnort: Heidelberg

Beitrag(#1858333) Verfasst am: 14.08.2013, 21:37    Titel: Antworten mit Zitat

Key mit Ablaufdatum. Nach dem Datum (z.B. 3 Jahre) taugt der nicht mehr zum verschlüsseln, man kann aber alles Alte noch entschlüsseln... Wiederrufszertifikate sind ohnehin so eine Sache, wenn man die - um einen Schlüssel ungültig zu machen dessen Schlüsseldateien oder Passwort man verloren hat - vorsorglich erstellt kann man die eigentlich nur ausgedruckt im Garten vergraben aufbewahren. Wer auch immer die hat, kann den Schlüssel ungültig machen auf den Servern.

Gefahren sehe ich eher insofern, als das man - wenn es nicht alle machen - auffällt wenn man verschlüsselt. Man wird vermutlich eher "auserkoren" für Quellen-TKÜ und ähnliche Späße und das beim permanenten Risiko irgend wann seine eigenen Sachen nicht mehr lesen zu können.

Ich verschlüssele derzeit nicht (obwohl ich Claws so eingerichtet habe, daß es standardmäßig verschlüsselt), weil einfach keiner dazu zu motivieren ist. Ich verstehe nicht warum. Ich kenne Leute die aus dem Urlaub Briefe statt Postkarten schicken, damit es der/die Briefträger nicht lesen kann, aber man schickt Kontodaten und sonstwasalles per E-Mail und das kann dann JEDER lesen.

P.S.: Vielleicht sollte ich mal schauen, ob ich mit Pine und Co vom Commodore C64 aus online komme. Der rechnet zwar ne Woche beim ver/entschlüsseln, aber führ mal einen Trojaner in 64kB RAM aus Sehr glücklich
_________________
Holz ist ein nachwachsender Rohstoff - auch in den Köpfen der Leute.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden ICQ-Nummer
Frank
registrierter User



Anmeldungsdatum: 31.07.2003
Beiträge: 6643

Beitrag(#1858355) Verfasst am: 15.08.2013, 02:18    Titel: Antworten mit Zitat

mat-in hat folgendes geschrieben:
Wer auch immer die hat, kann den Schlüssel ungültig machen auf den Servern.


Es geht bei dem von mir angesprochenen Problem nicht darum, einen PGP Key ungültig zu machen (Revoke), sondern um das Löschen des Keys. Dabei geht es weniger um den Key selbst, als um die mit ihm verbundenen Metadaten.


mat-in hat folgendes geschrieben:
Ich verstehe nicht warum.


Zu umständlich zu bedienen bzw. kein Komfort.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
mat-in
registrierter User



Anmeldungsdatum: 03.12.2011
Beiträge: 782
Wohnort: Heidelberg

Beitrag(#1858356) Verfasst am: 15.08.2013, 05:01    Titel: Antworten mit Zitat

Welche Metadaten hat der Key? Doch nur, was du an name und comment dazu eingegeben hast und eine E-Mail Adresse? Und es hällt dich doch niemand davn ab, deinen öffentlichen nur über deine E-Mail signatur und Homepage oder so zu verbreiten?

Über unkomfortabel kann ich eigentlich nicht klagen. Ich erstell mit 5 Mausclicks ein neues Schlüsselpaar direkt aus meinem E-Mail Program, das kümmert sich dann um alles weitere. Oder meinst du, daß Passworteintippen nervt? Das mag sein, aber Haustüraufschließen nervt auch und kostet Zeit und manchmal hat man die Hände voll. Trotzdem benutze ich das Türschloß.
_________________
Holz ist ein nachwachsender Rohstoff - auch in den Köpfen der Leute.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden ICQ-Nummer
fwo
Caterpillar D9



Anmeldungsdatum: 05.02.2008
Beiträge: 25808
Wohnort: im Speckgürtel

Beitrag(#1858364) Verfasst am: 15.08.2013, 07:51    Titel: Re: (Open)PGP - Risiken und Nebenwirkungen Antworten mit Zitat

mat-in hat folgendes geschrieben:
Welche Metadaten hat der Key? Doch nur, was du an name und comment dazu eingegeben hast und eine E-Mail Adresse? Und es hällt dich doch niemand davn ab, deinen öffentlichen nur über deine E-Mail signatur und Homepage oder so zu verbreiten?....

@ mat-in
Es wäre ein Akt der Freundlichkeit, wenn Du wenigstens die Seite des Threads lesen würdest, in die Du einsteigst:
Frank hat folgendes geschrieben:
....
Einen Eindruck vom Ausmaß des Problem gewann ich vor Jahren durch Vorträge von Chris Cebelenski und Dan Nathan (Harvard University)

nathande-ccbelenski_paper.doc

Im Gegensatz zu sig2dot, wo nur die Trusted Relationships aus dem lokalen GPG Key Ring visualisiert werden, ziehen Cebelenski und Nathan ihre Daten aus den öffentlich erreichbaren PGP Keyservern. Hier kann einfach festgestellt werden, wer mit wem in Verbindung steht. Also ein ähnlich gelagertes Problem wie bei Facebook,....

Frank hat folgendes geschrieben:
....
Das Problem ist, das an zentraler Stelle alle Public Keys vorgehalten werden und diese nicht nur den Key und die damit verbundene E-Mailadresse des Key Owners enthalten, sondern auch Hinweise auf Leute zulassen, die diesen Key mit ihrer eigenen Signatur beglaubigt haben. Damit können Verbindungen offengelegt werden. z.B. Bei der Identifikation von anonymen Whistleblowern. ....

Frank hat folgendes geschrieben:
.....
Wikipedia hat folgendes geschrieben:

....
Ferner können angefügte Signaturen (siehe Web of Trust) analysiert und somit die Beteiligung des Schlüsselinhabers an sozialen Netzwerken identifiziert werden.
...

....

_________________
Ich glaube an die Existenz der Welt in der ich lebe.

The skills you use to produce the right answer are exactly the same skills you use to evaluate the answer. Isso.

Es gibt keinen Gott. Also: Jesus war nur ein Bankert und alle Propheten hatten einfach einen an der Waffel (wenn es sie überhaupt gab).
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
esme
lebt ohne schützende Gänsefüßchen.



Anmeldungsdatum: 12.06.2005
Beiträge: 5667

Beitrag(#1858370) Verfasst am: 15.08.2013, 09:05    Titel: Antworten mit Zitat

mat-in hat folgendes geschrieben:
Ich kenne Leute die aus dem Urlaub Briefe statt Postkarten schicken, damit es der/die Briefträger nicht lesen kann, aber man schickt Kontodaten und sonstwasalles per E-Mail und das kann dann JEDER lesen.

Den Vergleich finde ich nervig und die ständige unreflektierte Wiederholung macht es nicht besser. Es kann nicht JEDER einfach so E-mails lesen. Der "kriminelle" Aufwand dazu ist nicht höher als einen Brief mit Dampf zu öffnen, für die allermeisten Leute ist das geheime Briefelesen einfacher als das Emaillesen.
_________________
Gunkl über Intelligent Design:
Da hat sich die Kirche beim Rückzugsgefecht noch einmal grandios verstolpert und jetzt wollen sie auch noch Haltungsnoten für die argumentative Brez'n, die sie da gerissen haben.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Höhlenbär
saisonaler Einzelgänger



Anmeldungsdatum: 04.03.2007
Beiträge: 147

Beitrag(#1858397) Verfasst am: 15.08.2013, 10:43    Titel: Antworten mit Zitat

Frank hat folgendes geschrieben:

Es geht bei dem von mir angesprochenen Problem nicht darum, einen PGP Key ungültig zu machen (Revoke), sondern um das Löschen des Keys. Dabei geht es weniger um den Key selbst, als um die mit ihm verbundenen Metadaten.


Keys von Servern löschen zu können bringt doch höchstens eine Scheinsicherheit. Für die Public Keys gilt genau das selbe wie für alles andere: Was einmal veröffentlicht worden ist, kann nicht wieder gelöscht werden. Es gibt immer genügend Leute die Datensammeleien betreiben.

Das Web of Trust sorgt dafür, dass man als zuverlässig wiedererkannt wird. Das ist nun einmal die gegensätzliche Anforderung dazu, anonym bleiben zu wollen.
_________________
Macht ist geil. Humor ist Pflicht. Skepsis ist eine Tugend.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Frank
registrierter User



Anmeldungsdatum: 31.07.2003
Beiträge: 6643

Beitrag(#1858398) Verfasst am: 15.08.2013, 10:47    Titel: Antworten mit Zitat

mat-in hat folgendes geschrieben:
Welche Metadaten hat der Key?


Wie fwo bereits ausführte, sollte man einen Thread wenigsten überfliegen um zu verstehen, worum es geht, bevor man bereits mehrfach beantwortete Fragen immer wieder stellt. Es sei den man ist Religiös und setzt auf Zermürbungstaktik, da man keine sinnvollen Argumente hat.

mat-in hat folgendes geschrieben:
Und es hällt dich doch niemand davn ab, deinen öffentlichen nur über deine E-Mail signatur und Homepage oder so zu verbreiten?


Frank hat folgendes geschrieben:

Das schlimmste am Konzept der PGP Keyserver ist, das jeder jeden PGP Key hochladen kann. Der Eigentümer des Keys kann sich dagegen nicht wehren oder die ungewollte Veröffentlichung rückgängig machen.


Frank hat folgendes geschrieben:

Wer PGP einsetzt muß es derzeit hinnehmen, das seine E-Mailadresse (inklusive mit dem damit verbundenen Namen) öffentlich zentral erfasst werden (kann) und er sich dagegen nicht wehren kann. Man sollte die Internetnutzer darauf hinweisen, bevor man ihnen OpenPGP empfiehlt. S/MIME verlangt diesen erzwungenen Key Exhibitionismus nicht.


Das ignorieren eines real existierenden Problems durch fundamentalistische Technik Ajatollahs sah man bereits im letzten Jahrtausend bei Diskussionen um die Realname Pflicht in Newsgroups und dem noch älteren Fidonet. Vor diesen Leuten verblassen sogar christliche Prediger hinsichtlich Ignoranz und Penetranz. Damit man das Dogma aufrecht erhalten kann haben diese Technik Ajatollahs Post-Privacy etabliert. Wenn „Web of Trust“ tatsächlich Post-Privacy voraussetzt, bleibe ich bei S/MIME & Co.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Frank
registrierter User



Anmeldungsdatum: 31.07.2003
Beiträge: 6643

Beitrag(#1859575) Verfasst am: 20.08.2013, 11:50    Titel: Antworten mit Zitat

Höhlenbär hat folgendes geschrieben:

Das Web of Trust sorgt dafür, dass man als zuverlässig wiedererkannt wird. Das ist nun einmal die gegensätzliche Anforderung dazu, anonym bleiben zu wollen.


In einer solchen Krise zeigt sich die Doppelmoral

Sueddeutsche hat folgendes geschrieben:

Verschlüsselte Mails werden empfohlen; aber auch der Weg verschlüsselter Mails ist nachvollziehbar, und oft reicht ja schon die Wegbeschreibung, um zum Beispiel Whistleblower zu enttarnen. Wer verschlüsselt, markiert sich außerdem selbst als Ziel.


Dank PGP wird dann unter Umständen auch gleich weit mehr verraten, als es der unverschlüsselte E-Mail-Header her gibt. Es gibt einen Bedarf für "anonym". Dazu muss man kein Whistleblower sein. Wenn „Web of Trust“ Post-Privacy voraussetzt, ist es für viele User eher schädlich als nützlich. Dabei müsste man im Grunde nur auf die kontraproduktiven Keyserver verzichten, die PGP-Nutzer zwangsweise zu Key Exhibitionismus zwingen.

Höhlenbär hat folgendes geschrieben:

Was einmal veröffentlicht worden ist, kann nicht wieder gelöscht werden. Es gibt immer genügend Leute die Datensammeleien betreiben.


Effektiv Datensammeln kann man nur an zentraler Stelle. Google kann das, die NSA kann das. Sammeln bedeutet nicht, dass man die gesammelten Daten mit jedem anonymen Internetuser teilt. Das besondere Problem bei PGP ist, dass man die Datensammlung in eine zentrale Datenbank packt, die für jeden anonymen Internetuser jederzeit öffentlich abrufbar ist und sich betroffene dagegen nicht wehren können. Selbst Gott Google ermöglicht es in vielen Fällen aus Privacy Gründen problematischen Content aus dem Google Suchindex löschen zu lassen.

Dazu kann der PGP Key auch durch jeden anonymen Internetuser nach belieben verunstaltet werden:

Wikipedia hat folgendes geschrieben:

Außerdem ist ein Denial of Service-Angriff denkbar, indem jemand in riesiger Zahl Signaturen einem Schlüssel hinzufügt und diesen damit unbrauchbar macht.


Man stelle sich vor, der PGP Key eines in der Öffentlichkeit stehenden "AntiFa Kämpfers" (persönliche E-Mailadresse und Realname) wird von "Beate Zäpsche" beglaubigt und er kann sich dagegen nicht wehren. Dann stürmt das SWAT Team in seine Wohnung und überprüft den "potentiellen NSU Sympathisanten". Oder er bekommt Probleme mit seinen eigenen Leuten. Andere Personen aus seinem Umfeld, die nicht in der Öffentlichkeit stehen, können von Arbeitgebern bzw. Vermietern dank "Web of Trust" hinsichtlich ihrer Kontakte vorab durchleuchtet werden. Das machen die via Facebook sowieso. Bei Facebook kann man sich seine "Freunde" wenigsten selbst aussuchen und bei Bedarf löschen. Bei den PGP Fundis geht das aus dogmatischen Gründen nicht.


Wikipedia hat folgendes geschrieben:

Der OpenPGP-Standard unterstützt mit dem Flag Keyserver no-modify bereits die formale Möglichkeit, dieses Problem zu lösen. Allerdings ist dies bisher folgenlos, da die Masse der Keyserver dieses Flag nicht beachtet, weil die kryptografische Prüfung mit einem vergleichsweise hohen Aufwand an Rechenleistung verbunden wäre[1]. Außerdem leben die Keyserver von ihrer gegenseitigen Synchronisation, was mit gravierenden Problemen verbunden wäre, wenn innerhalb eines Verbunds nur ein Teil der Server dieses Flag beachtete[2].


Sicherheit wird nicht implementiert, weil "hoher Aufwand an Rechenleistung" und die Keyserver "leben wollen". Mit ähnlichen Argumenten könnte man auch gegen den https Einsatz argumentieren.

OpenPGP ist sicher unproblematisch für Leute, die nichts zu verbergen haben und die ansonsten auch ihr gesamtes Privatleben exhibitionistisch bei Facebook, Google Plus & Co ausleben. Dann stellt sich mir aber die Frage, warum diese überhaupt verschlüsseln? Bei Medikamenten gibt es immer den obligatorischen Beipackzettel mit den Risiken und Nebenwirkungen. Dieser fehlt vollends bei OpenPGP und dem "Web of Trust" Konzept.


Höhlenbär hat folgendes geschrieben:

Dabei werden Routing, Namensauflösung, Suche und Websurfen/Messaging komplett dezentralisiert und Ende zu Ende verschlüsselt. Dieses GNUnet ist allerdings noch im alpha-Stadium.


"dezentralisiert" - genau darauf kommt es an. Müssen wir auf GNUnet genau so lange warten wie auf IPv6? Und was machen wir in der Zwischenzeit?
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Frank
registrierter User



Anmeldungsdatum: 31.07.2003
Beiträge: 6643

Beitrag(#1861778) Verfasst am: 26.08.2013, 16:16    Titel: Antworten mit Zitat

Frank hat folgendes geschrieben:
Wenn „Web of Trust“ tatsächlich Post-Privacy voraussetzt, bleibe ich bei S/MIME & Co.


SPON: Abgeordnete wollen sich vor Spionen schützen

SPON hat folgendes geschrieben:
Stattdessen bietet der Bundestag seit 2003 die E-Mail-Verschlüsselung mit S/MIME an


Eine Lösung, die für Parlamente durchaus sinnvoll sein kann, wenn man sie vernünftig einsetzt, aber das hier:

SPON hat folgendes geschrieben:

Gerade hat die Kommission beschlossen, das Open-Source-Mailprogramm Thunderbird abzuschaffen - übrigens auch eine freie Software, die auf vielen Cryptopartys installiert und erklärt wird. Der Bundestag setzt stattdessen auf Microsoft Outlook für alle.


ist krank. Wer solche Politiker hat, braucht keine Feinde. Nein Besser kann man die NSA und anderen Geheimdienste bei ihren Abhör Bemühungen nicht unterstützen.

Entschieden hat dies die "IuK-Kommission des Ältestenrats". Eine Dr. Susanne Kastner leitet diese Kommission und ihre Qualifikation besteht aus Erzieherin und Religionslehrer für Haupt und Mittelschulen. Gerade für solche Fragen wäre doch das Das Bundesamt für Sicherheit in der Informationstechnik der richtige Ansprechpartner. Als Ratgeber für Privatpersonen ist das BSI wegen bestehender Interessenkonflikte problematisch, aber für den Bundestag wäre es die richtigen Leute. Trendige Cryptopatrties sind da in meinen Augen eher lächerlich.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Frank
registrierter User



Anmeldungsdatum: 31.07.2003
Beiträge: 6643

Beitrag(#1946309) Verfasst am: 31.08.2014, 04:15    Titel: Googles neues System zur Schlüsselverwaltung Antworten mit Zitat

http://www.golem.de/news/mailverschluesselung-googles-neues-system-zur-schluesselverwaltung-1408-108897.html

Zitat:

Die zentrale Idee: Das Schlüsselverzeichnis ist öffentlich und es handelt sich um ein endloses Logbuch. Das bedeutet: Informationen können nur hinzugefügt, jedoch keine daraus gelöscht werden, zumindest nicht ohne dass es anderen auffällt.


Wieder so ein krankes Konzept.

Zitat:

Ein mögliches Problem: Die Schlüsselverzeichnisse würden Mailadressen enthalten, diese könnten von Spammern gesammelt werden.


Und nicht nur Spammer

Zitat:

Da sich dank des ewigen Logs keine Informationen aus dem Schlüsselverzeichnis löschen lassen, könnten dadurch auch rechtliche Probleme mit dem Datenschutz entstehen


Genau, hier liegt der Hund begraben. Genau wie bei PGP und seinen Keyservern.

Zitat:

Zentralisierte Zertifizierungsstellen, wie sie für S/MIME und auch für HTTPS-Webseiten eingesetzt werden, sind in der Vergangenheit so oft missbraucht und angegriffen worden, dass es kaum Anlass gibt, ihnen noch zu trauen.


Stimmt, aber sie haben nicht die Privacy und Missbrauchsprobleme von PGP.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Frank
registrierter User



Anmeldungsdatum: 31.07.2003
Beiträge: 6643

Beitrag(#1987057) Verfasst am: 25.02.2015, 13:24    Titel: Antworten mit Zitat

http://www.heise.de/ct/ausgabe/2015-6-Editorial-Lasst-PGP-sterben-2551008.html

Zitat:

Jedes Forum überprüft bei einer Anmeldung meine E-Mail-Adresse. Aber auf einen PGP-Key-Server kann Hinz & Kunz ohne jegliche Überprüfung Schlüssel für meine E-Mail-Adresse hochladen. Noch immer fallen reihenweise Anwender auf solche simplen Fakes rein.


Das ist wie beim Islam&Co. Gott (die PGP-Entwickler) wollte das so. Auch wenn es noch so schwachsinnig und schädlich ist. Augen zu und durch.

Zitat:

PGP ist technisch veraltet, schon auf PCs schwer zu bedienen und auf Smartphones ein nahezu hoffnungsloser Fall. Allein die Existenz dieses Dinosauriers blockiert die Entwicklung neuer, innovativer E-Mail-Verschlüsselungstechniken.


Zustimmung!
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
sponor
registrierter User



Anmeldungsdatum: 16.05.2008
Beiträge: 1712
Wohnort: München

Beitrag(#1987192) Verfasst am: 26.02.2015, 09:36    Titel: Antworten mit Zitat

Frank hat folgendes geschrieben:
http://www.heise.de/ct/ausgabe/2015-6-Editorial-Lasst-PGP-sterben-2551008.html

Zitat:

Jedes Forum überprüft bei einer Anmeldung meine E-Mail-Adresse. Aber auf einen PGP-Key-Server kann Hinz & Kunz ohne jegliche Überprüfung Schlüssel für meine E-Mail-Adresse hochladen. Noch immer fallen reihenweise Anwender auf solche simplen Fakes rein.


Das ist wie beim Islam&Co. Gott (die PGP-Entwickler) wollte das so. Auch wenn es noch so schwachsinnig und schädlich ist. Augen zu und durch.

Zitat:

PGP ist technisch veraltet, schon auf PCs schwer zu bedienen und auf Smartphones ein nahezu hoffnungsloser Fall. Allein die Existenz dieses Dinosauriers blockiert die Entwicklung neuer, innovativer E-Mail-Verschlüsselungstechniken.


Zustimmung!

Ich sehe es ähnlich, wenngleich ich einigen der kritischeren Kommentare unter dem Editorial auch was abgewinnen kann. (Sinngemäß: Man erkauft sich eine einfachere Lösung oft mit einem Verlust an Sicherheit... z.B. ist ja das ganze Zertifikatsgeraffel [S/MIME, aber auch TLS] im Grunde komplett kompromittiert. CAs aus China und von der NSA, "PrivDog" via Comodo, ... )

Kennst du übrigens Qabel oder PEP?
Ich drücke den beiden die Daumen, aber die Chancen stehen vmtl. nicht so gut, dass sich eines davon wirklich durchsetzen kann.
_________________
Unsere Welt wird noch so fein werden, daß es so lächerlich sein wird, einen Gott zu glauben als heutzutage Gespenster.
(G. Chr. Lichtenberg)
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
sponor
registrierter User



Anmeldungsdatum: 16.05.2008
Beiträge: 1712
Wohnort: München

Beitrag(#2060835) Verfasst am: 05.07.2016, 10:04    Titel: Antworten mit Zitat

p≡p (pEp) ist jetzt mit der Android-Version raus gekommen (ein K-9-Fork).
Bei Google Play mit 2 € "Spende", über FDroid umsonst (Paketquelle: https://fdroid.pep-security.net/).

Außerdem als Outlook-Plugin für 20 € / Jahr (Support; die Software ist GPL. Man kann sie also auch runterladen und selbst kompilieren.)

Wenn sie umsetzen können, was sie alles als nächstes so planen, könnte das sehr vielversprechend werden.
_________________
Unsere Welt wird noch so fein werden, daß es so lächerlich sein wird, einen Gott zu glauben als heutzutage Gespenster.
(G. Chr. Lichtenberg)
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
Beiträge der letzten Zeit anzeigen:   
Neues Thema eröffnen   Neue Antwort erstellen   Drucker freundliche Ansicht    Freigeisterhaus Foren-Übersicht -> DAU's Paradise Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.



Impressum & Datenschutz


Powered by phpBB © 2001, 2005 phpBB Group