Mail & kommunikationsverschlüsselung

Mail & kommunikationsverschlüsselung (43 Beiträge, 1094 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Hallo leute!
Ich bin auf den thread http://forum.geizhals.at/t829159.html gestossen und frage mich von technischer Sicht her wie man eine mail bzw. kommunikationsverschlüsselung technisch machen könnte so dass die NSA oder andere Geheimdienste nicht mitlesen können.

Welche rechtliche Konsequenzen drohen wenn so ein Service in Europa (EU-Staat) betrieben wird?

Wie sicher ist der aktuellen zeit eigentlich noch TOR?

Danke für eure Inputs..

Oh mein Gott! Durch Deine Frage hast Du Dich gerade zum Verdächtigen gemacht.

Ich geb Dir noch 10min. Dann werden SIE Dich abholen!

Zum Thema:
Könnte meiner Meinung nur funktionieren, wenn von Anfang bis Ende verschlüsselt wird.
Also z.B. DU verschlüselst eine email, und der Empfänger (Lokal) entschlüsselt sie.
Niemand anderer darf den Schlüssel kennen.

Denn auf Server des email-Anbieters können die Geheimdienste ja zugreifen.

Rechtliche Konsequenzen?
Warum sollten rechtliche Konsequenzen drohen, wenn man einen verschlüsselten Service betreibt?
Ist ja nicht illegal.
Das Problem ist ja eher, dass der Betreiber, obwohl es LEGAL ist, Besuch vom Geheimdienst bekommt.
Man liest ja einiges darüber. Z.B. das der Guardian gezwungen wurde Festplatten zu zerstören usw.

Also z.B. DU verschlüselst eine email, und der Empfänger (Lokal) entschlüsselt
sie.Niemand anderer darf den Schlüssel kennen.

Gut das ist mir auch schon in den Sinn gekommen ALLERDINGS wie soll die Verteilung des Schlüssels erfolgen, dieser dürfte dann ja auch nicht von einem Server generiert werden sondern müsste von den Teilnehmern selbst erstellt werden?

Naja, den Schlüssel könntest Du per Post verschicken.

Die aber auch gescannt wird.

Und er Scanner kann den Schlüssel vom USB Stick extrahieren oder wie?
...

Apple Fans sind wie Zeugen Jehovas. Es ist sinnlos mit ihnen zu reden..

Why not ZOIDBERG? (V)_(°,,,°)_(V)
(-.(-.(-.(-.-).-).-).-)

Ja sicher.
Backdoor.

Ich hoffe das war nicht ernst gemeint..
...

Apple Fans sind wie Zeugen Jehovas. Es ist sinnlos mit ihnen zu reden..

Why not ZOIDBERG? (V)_(°,,,°)_(V)
(-.(-.(-.(-.-).-).-).-)

23.08.2013, 11:00 Uhr - Editiert von thE, alte Version: hier

Du hast mit dem Spaß angefangen einen USB-Stick mit der Post zu senden.

Und ja, ich kann mir vorstellen, dass die NSA Mittel und Wege hat, den Stick auszulesen.
Bzw. das Password. Und sie somit an die Daten des e-mail-Verkehrs ran kommt.
Man halte mich für paranoid.

Wie sicher ist der aktuellen zeit eigentlich noch TOR?

http://www.chip.de/news/TOR-Kinderporno-Skandal-im-anonymen-Internet_63681797.html

Kaum ein Thema ist in seiner Theorie (mathematisch, informationstechnisch und auf höheren Ebenen) so gut erforscht, in seiner Relevanz so zeitlos aktuell, politisch und soziologisch ein Spiegelbild der Gesellschaft und wird gleichzeitig von so vielen Mißverständnissen, grundlegendem Unwissen der Anwender und fallweise so .... seltsamen ... Fehlern seitens derjenigen, die sie anbieten, verkaufen, implementieren, testen und betreiben, begleitet, daß es eigentlich wehtut.

Die Theorie und grundlegendsten Schlagworte, die notwendig ist, um die üblichen Fehlerquellen und Schwächen durchzudiskutieren, läßt sich kaum auf die Schnelle vermitteln (symmetrische <-> asymmetrische Verfahren, Schlüsseltausch, chain of trust, Authentifizierung, Man-in-the-Middle, replay, brute force / rainbow tables usw. usf.).

Dazu kommt dann eben die höhere Ebene wie eben social engineering, backdoors, sidechannel attacks, ... oder schlicht: der attack tree.

WO ein Server/Service betrieben wird / werden sollte / darf, kann leidlich debattiert werden - wenn er irgend jemandem nicht paßt, wird es sowieso - vgl. die Piratenbucht - latent in die "cloud" wandern und dort als verteiltes Service (eben wie es auch TOR tut) arbeiten müssen, was aber die Verifizierbarkeit seiner Eigenschaften auf abstrakteste Weise verkompliziert.

Bei einer klassischen End-to-end-Verbindung (Tunnel, VPN) bei der man alle Komponenten im Source hernimmt und die Schlüssel höchstpersönlich oder per Diffie-Hellman austauscht und womöglich noch mit Steganographie tarnt - da bleiben die Angriffspunkte überschaubar, aber die Variante hakt eben an der geringen Skalierbarkeit = jede Gegenstelle ein Schlüsselpaar (Verschlüsselung + Authentifizierung).

Im anderen Fall, mit Zertifikaten (bis hin zu SSL 3.0) ergibt sich eben das Problem, daß die chain of trust an sich immer umstrittener wird, weil eben einerseits kaum ein unbedarfter User die Warnungen bei Zertifikaten versteht und genauso reflextartig bestätigt oder wegklickt, wie er es mit ALLEN Windows-Meldungen (Papier nicht gefunden, Server-Timeout, Anwendung X abgestürzt, Treiber Y muß aktualisiert werden, Toolbar Z möchte folgenden Scareware nachinstallieren, .....) und andererseits die Zertifikatsserver an sich in ihrer Fülle, der Unverfrorenheit, mit der Cyberverbrecher oder Staaten sich in diese Infrastruktur einschleichen (können) und fallweisen Leaks von signing keys an sich eben keine Garantie mehr bieten.

All diese Effekte wird man bei jedem neuen Ansatz wieder antreffen - die Aluhutträger werden der naiven Argumentation von Kryptochef folgen, die Versierteren die Publikationen von Bruce Schneier verfolgen und die Praktiker sich auf die älteste Weisheit überhaupt dahinter verlassen:

"Sicherheit ist kein Zustand, sondern ein Prozess"

20.08.2013, 17:16 Uhr - Editiert von user86060, alte Version: hier

Selten so was schwachsinniges gelesen: So ganz spontan sind da schonmal 2 Angriffspunkte:
* Am Server selbst - die Mail liegt ja irgendwo
* Wenn du den Webmail Account aufrufst, wird schonmal die gesamte Mail übertragen - vom Mailserver zum Webserver und von dem zu dir auf den PC. Da geht also einiges über den "Äther"

Wenn der Sturm losbricht,
verstummen die Einen vor Schrecken,
und die Anderen breiten, einem Adler gleich, die Flügel aus
und schwingen sich empor.

Herzlichen Dank an Raydoo für die Fotos

Danke - hast mir die Tipparbeit erspart

Die Idee ist an und für sich gut, nur müsste man über den Tor Browser einsteigen, sonst ist man ja erst wieder nicht anonym.

Welche rechtliche Konsequenzen drohen wenn so ein Service in Europa (EU-Staat) betrieben wird?

Unangenehme Besuche, Totalverlust der Hardware, falls jemand mal was Illegales damit macht, evtl. Mittäterschaft?

wie man eine mail bzw. kommunikationsverschlüsselung technisch machen könnte so dass die NSA oder andere Geheimdienste nicht mitlesen können.

Mail fällt dabei prinzipiell mal flach, da die Metadaten so oder so exponiert sind (die werden ja schon in Österreich monatelang, möglicherweise unbegrenzt [wenn auch illegal] aufgehoben) - Vorratsdatenspeicherung.

Bleiben noch diverse Messenger-Systeme, die end-to-end verschlüsseln müssten, möglichst mit "offline"-Key-Tausch (z.B. Threema). Da aber sowohl Windows-PCs als auch Mobiltelefone mehr oder weniger offene Scheunentüren für zahlungskräftige Kunden haben, ist die Auswahl der nutzbaren Endgeräte begrenzt.

So etwas ist möglicherweise sicher (hab's mir noch nicht im Detail angesehen): https://freenetproject.org/freemail.html

Allerdings muss man bei Projekten wie Freenet und auch Tor leider in Kauf nehmen, dass man Infrastruktur nutzt, die derzeit wohl hauptsächlich für illegale Zwecke attraktiv ist.

Google-Suchergebnisse, nur mit Privatsphäre? startpage.com!

Mail fällt dabei prinzipiell mal flach, da die Metadaten so oder so exponiert
sind

https://bitmessage.org/wiki/Main_Page
Whitepaper: https://bitmessage.org/bitmessage.pdf

Es gibt einen relativ jungen Service namens Bitmessage, bei dem die Header und Metadaten nicht einsehbar sind. Das geht dadurch, dass jeder Teilnehmer dann jede verschlüsselte Message erhält und natürlich nur die an ihn adressierten Nachrichten dann entschlüsseln kann. Der Hash des öffentlichen Schlüssels dient hier gleichzeitig als Adresse, das macht die Sache dann auch ein wenig benutzerfreundlicher als GPG.

Hat natürlich mit einer normalen Mail nicht mehr viel gemeinsam, ist aber die einzige Möglichkeit, wie man auch die Header schützen kann.

mit fällt auf Anhieb nichts ein, das durch die automatisierte Verarbeitung durch die NSA irgendwie eine Gefährdung für mich oder andere nach sich zieht.

Das groteske ist ja, daß sich ein jeder den Mörderstress mit dieser e-mail Überwachung (die ich nicht gut heiße) macht und dann kann ich ihm im Flieger über die Schultern schauen und gezielt alles mitlesen.

Was auch vergessen wird: auch der Papierbrief wurde schon fallweise kontrolliert. Der Unterschied ist jetzt nur, daß 1) ein Programme das liest (und somit sich nicht eine Person an meinen Daten aufgeilt) und 2) natürlich, daß mehr oder weniger eine lückenlose Überwachung möglich ist

Gegen die Überwachung anzukämpfen halte ich für aussichtslos. Viel wichtiger wäre es, meine Bürgerrechte zu stärken. D.h. wenn ich mal in eine "Rasterfahndung" falle, sollen bei Unschuld keine Nachteile entstehen und es soll auch möglich sein, seine Unschuld ein für alle mal und definitiv festzustellen/feststellen zu lassen. Das geht nämlich komplett unter und das verursacht in Wirklichkeit die Probleme (die realen Probleme, nicht die theoretischen und populistisch hochstilisierten...)

Zum Verschlüsseln: soviel ich weiß gibts überall Hintertüren - PGP eingeschlossen... (?)

Sich gegen Eingriffe durch den Staat in ein Kommunikationssystem zu schützen, ist unmöglich. Selbst wenn du es schaffst ein System zu entwickeln, das technisch komplett perfekt Daten verschlüsselt und Anonymität gewährleistet, hast du spätestens dann ein Problem wenn die Sicherheitsbehörden (mit oder ohne Gerichtsbeschluss) an deine Tür klopfen und verlangen, dass du Teile der (vergangenen oder zukünftigen) Kommunikation offenlegst.
Dann hast du zwei Möglichkeiten: Entweder du gibst nach oder du schließt deinen Dienst!
Siehe: Lavabit.

Europa ist da auch nicht besser als die USA. In Deutschland zB muss jeder E-Mail Anbieter mit mehr als 9.999 Kunden ein Gerät installieren, über das die Behörden Zugriff auf die Kommunikation bekommen (Stichwort: SINA-Box): http://www.bundesnetzagentur.de/cln_1931/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Anbieterpflichten/OeffentlicheSicherheit/TechnUmUeberwMaßnahmen/EMailUeberwachung/EMailUeberwZusInfoBetrServer_node.html

Edit:

Wie sicher ist der aktuellen zeit eigentlich noch TOR?

Mit TOR kann man sich nicht gegen einen Angreifer schützen, der den Großteil des Internetverkehrs abhören kann: Link

21.08.2013, 21:37 Uhr - Editiert von kaufinator1, alte Version: hier

Mit TOR kann man sich nicht gegen einen Angreifer schützen, der den Großteil
des Internetverkehrs abhören kann: Link

Bei Tor kann man ja festlegen, welche Nodes verwendet werden sollen - z.B.: einer aus den USA, einer aus China und einer aus Russland... Damit sollte man sich der Überwachung schon ziemlich entziehen können.

Damit sollte man sich der Überwachung schon ziemlich entziehen können.

Könnte man meinen, wenn TOR nicht zu 60% von der US Regierung finanziert wäre:
https://forum.geizhals.at/t829755,7132576.html#7132576

Ja und? Die Tor-Server in China und Ru gehören ziemlich sicher nicht den USA...

Glaubst du nicht, dass die USA mit dem Einfluss einige Schwachstellen haben einbauen lassen, die es ihnen ermöglichen, TOR Nutzer leichter zu enttarnen?

Nein, glaube ich nicht - denn dann wären in China schon weit mehr Köpfe gerollt...

Tor ist Open Source und der Code wird im Gegensatz zu kleineren, unbedeutenderen Programmen mit sehr hoher Wahrscheinlichkeit haargenau unter die Lupe genommen - außerdem bringe ich (bzw. Leute, die in der Hinsicht meinen Respekt haben) Jacob Appelbaum genügend Vertrauen entgegen, um nicht von absichtlichen Schwachstellen auszugehen. Die Probleme liegen, wie du schon früher angeführt hast, woanders begraben, auch wenn etwa der CCC (womit wir wieder beim Thema Trust sind) einen Haufen Server bereitstellt.

Those who sacrifice privacy for security deserve neither

Die USA haben es auch geschafft Verschlüsselungsstandards so zu beeinflussen, dass sie sie leichter knacken können. Das ist auch eine sehr lange Zeit niemandem aufgefallen obwohl Spezialisten an dem Standardisierungsverfahren beteiligt waren.

Einfach Daten mit Truecrypt - truecrypt.org sichern Polizei & NSA hat Keine Möglichkeit die Daten zu Entschlüsseln

Internet über VPN Server Laufenlassen wie http://de.globalvpn.net/

Firewall Server Installieren wie ipfire.org

und dann ist man sicher!
______________________________________________________________________

Google-Suchergebnisse, nur mit Privatsphäre? startpage.com!

Einfach Daten mit Truecrypt - truecrypt.org sichern Polizei & NSA hat Keine
Möglichkeit die Daten zu Entschlüsseln

bis der snowden die sau rauslässt und verkündet, dass die NSA einen master key für truecrypt besitzt

der echte freak ladet sich den source runter, sichtet ihn und compiliert ihn selber. dann gibts keinen masterkey.

Wenn man will, kann man Truecrypt auch knacken.. Es ist halt ziemlich aufwendig..
...

Apple Fans sind wie Zeugen Jehovas. Es ist sinnlos mit ihnen zu reden..

Why not ZOIDBERG? (V)_(°,,,°)_(V)
(-.(-.(-.(-.-).-).-).-)

natürlich würde man die Nachrichten zuerst mal mit GnuPG, bzw. PGP verschlüsseln müssen.

Hierbei gibt es zwei Schlüssel, den öffentlichen, und den privaten Schlüssel.
Wenn dir jemand eine verschlüsselte Nachricht schicken will, muss er zuerst mit deinem öffentlichen Schlüssel verschlüsseln und dir dann schicken. Lesen kannst diese Nachricht dann nur nach Entschlüsselung mit deinem privaten Schlüssel.

Es ist also wichtig, dass niemand an deinen privaten Schlüssel heran kommt!
Da aber Windows-PCs viele Sicherheitslücken haben, und womöglich auch Hintertüren für Geheimdienste, kann man dort keinen privaten Schlüssel sicher aufbewahren, da man über das Internet angreifbar ist.
Also müsstest dir einen extra Computer zulegen, der NIE direkt ins Internet geht, und zB. mit einer aktuellen Linux Live-DVD betreiben. Die Festplatte selbst, lässt von Linux verschlüsseln, damit es auch niemand lesen kann, wenn er die Festplatte klaut.
Den Datenaustausch mit den verschlüsselten Nachrichten zum Internet-PC machst nur über USB-Speichersticks.

Man könnte sich auch überlegen, am Internet-PC mit DynDNS, damit man über seine DNS immer erreichbar ist, einen SFTP-Server zu installieren, wo dann die Kontaktpersonen mit Zugangskennwort ihre verschlüsselten Nachrichten ablegen, und man auch seinen öffentlichen Schlüssel für GnuPG, bzw. PGP hinterlegen kann.

--- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- ---

<a href="http://de.wikipedia.org/wiki/God_Save_the_South" title="God Save the South">God Save the South

Das ist nur sicher, wenn du dir selbst dein PGP kompilierst und voher die Sourcen reviewst!

C't hat das gemacht, war nicht wirklich easy. Du brauchst z.B. Libraries aus dem jetzten Jahrtausend dazu! Und Compilerversionen aus dem IT-Paläozoikum.

Denn bereits fertig compilierten PGP's kannst du sicher nicht trauen.

Das gleiche gilt für Linux! Das Standard-Treiberset von Linux kommt von diversen namhaften Herstellern, die garantiert schon Besuch von der NSA hatten! IBM, Hp, Oracle... haben Millionen in Linux investiert.

mfg lukas

Wie man im aktuellsten jährlichen Bericht nachlesen kann, wird TOR zu 60% von der US Regierung finanziert:

https://www.torproject.org/about/findoc/2012-TorProject-Annual-Report.pdf (Seite 6)

schaut eigentlich schlecht aus:
http://derstandard.at/1378248237037/Geheimdienste-knacken-verschluesselte-Online-Kommunikation

"Die NSA ist in der Lage, das meiste im Internet zu entschlüsseln", so Schneier - und das nicht auf "mathematischem Weg", sondern "indem sie betrügen"

--- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- ---

<a href="http://de.wikipedia.org/wiki/God_Save_the_South" title="God Save the South">God Save the South

Wie wärs eigentlich, wieder alte Methoden wie zB das Faxgerät zu benutzen?

Eine Modem-Karte kostet ein paar Euro, sodass man zB direkt statt ausdrucken faxen kann - wär also technisch kein Aufwand. Für den Mitleser ist es aber ein beträchtlicher diese "optische" Kommunikation zu elektronifizieren. Denn man muss permanent die Leitung akustisch mitschneiden (bindet Ressourcen) und dann diese optische Nachricht wieder zuverlässig in maschinell weiterverarbeitbares Material umwandeln (speziell bei Schreibschrift mitunter ein extremer Aufwand).

Klingt für Geheimdienste nach mehr Arbeit, denn ein verschlüsseltes Mail beschäftigt "nur" einen Supercomputer soundsoviele Timeslots. Millionen Faxe auszuwerten allerdings ein riesiges Heer an Mitarbeitern mit potentiellen Sicherheitslücken ala Snowden mit Gewissen.

Karawanken

Bär

Auf Zettel schreiben und das dann einscannen und dieses dann AES-256 verschlüsselt (natürlich auf einem Rechner ohne Internet) per Email (mit USB-Stick mitgenommen) schicken.

zwar bist du dann super-verdächtig, aber das bist du, wenn du fax verwendest, auch.

Oder aber Fotos im paket verschicken (oder auf cloud laden), wo eines davon jemanden einen Zettel mit der Botschaft in der Hand hält- alle jemals verschickten Fotos zu analysieren ist auch nicht so einfach.

openPGP

dazu brauchst das e-mail programm thunderbird, die erweiterung enigmail und wenn du einen win rechner hast, auch noch das programm gnupg.

Wie wäre es, wenn Du die Kommunikation ungewöhnlich überträgst?

Beispiel:
- Deine Mail wandelst mal in einen Bitstrom um.
- danach erzeugst Du ein passendes P0rn-Video, in dem Dein Bitstrom wie folgt kodiert wird:
Wenn in einem Frame 0 Brustwarzen zu sehen sind, dann ist das eine "0". Wenn eine zu sehen ist, eine "1", wenn 2 zu sehen sind, eine "10", ...
- Das Video lädst Du dann zu youporn hoch.

Dein Empfänger muss nur deine Kodierung kennen - und gelegentlich auf youp0rn nachsehen, ob es ein neues Video von Dir gibt - wenn ja, kann er es dekodieren.

Der Witz dabei ist nun, dass Du mit dieser Kodierung unterschiedliche Mails an unterschiedliche Empfänger gleichzeitig übertragen kannst: Einem anderen teilst mit, dass er die Anzahl der Penise zählen muss um so zu seiner Mail zu kommen.

Das Erstellen der Mail ist so etwas aufwändig, aber:
- die NSA kommt da nie drauf
- deine Mails werden automatisch gebackuppt
- Mail-erzeugen macht mehr Spaß

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung