GPG für gewöhnliche Leute

Smalltalk
raa
Beiträge: 411
Registriert: 19.12.2013 10:16:19

Re: GPG für gewöhnliche Leute

Beitrag von raa » 04.12.2018 20:33:40

niemand hat geschrieben: ↑ zum Beitrag ↑
04.12.2018 19:05:17
Lohengrin hat geschrieben: ↑ zum Beitrag ↑
04.12.2018 18:42:24
Was ist mit Ermittlungsbehörden? Haben die auch keine Hintertür?
Da verhält’s sich, wie mit allen anderen Anwendungen, deren Quelltext man nicht einsehen kann. Man kann dem Hersteller glauben solange nix Gegenteiliges belegt wurde,
Anwendung? Quelltext? Hersteller? Du hast auch nix verstanden. Hier geht's um Daten, die auf irgendwelchen Servern stehen.

DeletedUserReAsG

Re: GPG für gewöhnliche Leute

Beitrag von DeletedUserReAsG » 04.12.2018 20:46:50

raa hat geschrieben: ↑ zum Beitrag ↑
04.12.2018 20:33:40
Anwendung? Quelltext? Hersteller? Du hast auch nix verstanden. Hier geht's um Daten, die auf irgendwelchen Servern stehen.
Offensichtlich mehr verstanden, als du: ohne den Quelltext kannst du nicht sagen, ob eben die E2E-Verschlüsselung wirklich E2E ist, oder zwischendurch aufgemacht wird. Auf irgendwelchen Servern können die Nutzdaten nunmal nur dann unverschlüsselt sein, wenn der zweite Fall zutrifft. Ohne den Code kann man halt nur glauben, oder auch nicht, was der Hersteller behauptet.

raa
Beiträge: 411
Registriert: 19.12.2013 10:16:19

Re: GPG für gewöhnliche Leute

Beitrag von raa » 05.12.2018 07:49:58

niemand hat geschrieben: ↑ zum Beitrag ↑
04.12.2018 20:46:50
raa hat geschrieben: ↑ zum Beitrag ↑
04.12.2018 20:33:40
Anwendung? Quelltext? Hersteller? Du hast auch nix verstanden. Hier geht's um Daten, die auf irgendwelchen Servern stehen.
Offensichtlich mehr verstanden, als du: ohne den Quelltext kannst du nicht sagen, ob eben die E2E-Verschlüsselung wirklich E2E ist, oder zwischendurch aufgemacht wird. Auf irgendwelchen Servern können die Nutzdaten nunmal nur dann unverschlüsselt sein, wenn der zweite Fall zutrifft. Ohne den Code kann man halt nur glauben, oder auch nicht, was der Hersteller behauptet.
Völlig falsch.

1. Wenn du was von deinem Handy auf ein anderes E2E - verschlüsselt schickst, hängt überhaupt kein Server dazwischen.

2. Die Software muss du mir mal zeigen, die irgendeine verschlüsselte Info "zwischendurch", also auf dem Übertragungsweg "aufmachen" kann.

3. Das Problem sind wie gesagt die Userdaten, die unverschlüsselt auf irgendwelchen Servern stehen. Zwar trotzdem noch lange nicht für jeden einsehbar, für bezahlte "Datenkraken" aber kein unlösbares Problem. Und für die Betreiber dieser Server ein einträgliches Geschäft.

Was also soll das alles mit einer möglichen "Schuld" des Softwareherstellers zu tun haben?

DeletedUserReAsG

Re: GPG für gewöhnliche Leute

Beitrag von DeletedUserReAsG » 05.12.2018 08:43:56

1. faktisch falsch. Tatsächlich sind nahezu immer Server dazwischen. Verwechselst du E2E mit P2P?

2. Jeder Browser, Mailclient, Messenger, etc., sofern jemand im Übertragungsweg passende Schlüssel und ggf. Zertifikate hat. Oder gings um die Software, die das auf dem Server tut? Einfaches Script reicht. Möchtest du dir vielleicht die Netzwerkgrundlagen aneignen?

3. lies am besten nochmal, worum es ging.

Ansonsten: mittlerweile stinkt's doch sehr trollig. Ich hoffe, ich verletze deine Gefühle nicht zu sehr, wenn ich dich auf meine Ignoreliste setze.

raa
Beiträge: 411
Registriert: 19.12.2013 10:16:19

Re: GPG für gewöhnliche Leute

Beitrag von raa » 05.12.2018 09:06:48

niemand hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 08:43:56
1. faktisch falsch. Tatsächlich sind nahezu immer Server dazwischen. Verwechselt du E2E mit P2P?
Erklärst du mir den Unterschied oder fragen wir mal "Lohengrin"? Von dem habe ich diese Weisheit nämlich.
niemand hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 08:43:56
2. Jeder Browser, Mailclient, Messenger, etc., sofern jemand im Übertragungsweg passende Schlüssel und ggf. Zertifikate hat.
Also "wer" soll das sein - bei einer direkten Übertragung irgend einer verschlüsselten Info (also letztlich wohl immer einer Datei) "von Handy zu Handy"?
niemand hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 08:43:56
Oder gings um die Software, die das auf dem Server tut?
Um die, die das auf dem Handy tut, oder?
niemand hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 08:43:56
Einfaches Script reicht.
Bitte, dann zeig' mir das mal. Wenigstens das Prinzip. :wink:
niemand hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 08:43:56
Möchtest du dir vielleicht die Netzwerkgrundlagen aneignen?
Danke, ich beabsichtige in nächster Zukunft weder ein Netz zu administrieren noch mir ein Eierphone zuzulegen. :wink: Und mein "Heimnetzwerk" incl. "Vernetzung" mit meinem bei "server4you" gemieteten Root-Server incl. MariaDB-Server und Apache hab' ich auch so ganz ordentlich hingekriegt, denke ich. Oder versuch' doch mal, an irgendwas 'ranzukommen, was ich nicht öffentlich zur Schau stelle (wie meine "Baustelle Webseite", Link in meiner Signatur). :wink:
niemand hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 08:43:56
3. lies am besten nochmal, worum es ging.
Danke für den Tipp, ungebraucht zurück.

Ach - guten Morgen übrigens. Das sagt man wohl um diese Zeit. :wink:
niemand hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 08:43:56
Ansonsten: mittlerweile stinkt's doch sehr trollig.
Stimmt, aber aus deiner Richtung, und zwar 10m gegen den Wind.
niemand hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 08:43:56
Ich hoffe, ich verletze deine Gefühle nicht zu sehr, wenn ich dich auf meine Ignoreliste setze.
Das ist dein gutes Recht. :wink: Tu', was du für richtig hältst. Ich tu's sowieso.

DeletedUserReAsG

Re: GPG für gewöhnliche Leute

Beitrag von DeletedUserReAsG » 05.12.2018 09:39:53

Okay, einmal versuche ich es noch (wider besseren Wissens - also eher für interessierte Mitleser. Du hast dir deine Meinung offensichtlich bereits gebildet und scheinst nicht geneigt, dich von schnöden Fakten verwirren zu lassen).

E2E bedeutet, dass Daten vom Absender ver-, und erst vom Empfänger wieder entschlüsselt werden. Über den Übertragungsweg wird dabei absolut keine Aussage getroffen. Die Nachricht könnte unterwegs ausgedruckt, mit dem Schiff transportiert, wieder eingescannt und dem Empfänger zugestellt werden. Wenn Sie unterwegs nicht entschlüsselt wurde, ist's immer noch End to End (E2E) verschlüsselt. Wenn ein Herstellers einer App, beispielsweise WhatsApp, nun also sagt, er würde E2E machen, man aber nicht im Code nachsehen kann, ob das wirklich sauber implementiert ist, muss man dem Herstellers glauben, dass er die Daten nicht kurz entschlüsseln kann, während sie über seinen Server laufen. Oder eben auch nicht.

Das Prinzip kannst du z.B. bei de-mail anschauen (da ist's mit Ansage): die Mail geht verschlüsselt zu denen, wird dort aufgemacht und verarbeitet, neu verschlüsselt und dem Empfänger zugestellt.

So, reicht dann auch. Für mehr ist mir meine Zeit echt zu schade, ich werde allerdings sporadisch mal auf “Beitrag des ignorierten Users anzeigen" klicken. Wenn sich zeigt, dass es wieder um Fakten geht, statt um dein Ego, können wir gerne weitermachen. Bis dahin: bye

raa
Beiträge: 411
Registriert: 19.12.2013 10:16:19

Re: GPG für gewöhnliche Leute

Beitrag von raa » 05.12.2018 10:04:34

niemand hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 09:39:53
Okay, einmal versuche ich es noch (wider besseren Wissens - also eher für interessierte Mitleser. Du hast dir deine Meinung offensichtlich bereits gebildet und scheinst nicht geneigt, dich von schnöden Fakten verwirren zu lassen).
Ich weiß ja nicht, wie du zu der Meinung kommst, ich ließe mich nicht gerne eines Besseren belehren. Durch meine anderen Beiträge hier mit Sicherheit nicht.
niemand hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 09:39:53
E2E bedeutet, dass Daten vom Absender ver-, und erst vom Empfänger wieder entschlüsselt werden. Über den Übertragungsweg wird dabei absolut keine Aussage getroffen. Die Nachricht könnte unterwegs ausgedruckt, mit dem Schiff transportiert, wieder eingescannt und dem Empfänger zugestellt werden. Wenn Sie unterwegs nicht entschlüsselt wurde, ist's immer noch End to End (E2E) verschlüsselt. Wenn ein Herstellers einer App, beispielsweise WhatsApp, nun also sagt, er würde E2E machen, man aber nicht im Code nachsehen kann, ob das wirklich sauber implementiert ist, muss man dem Herstellers glauben, dass er die Daten nicht kurz entschlüsseln kann, während sie über seinen Server laufen. Oder eben auch nicht.
Ok, das hatte ich also falsch verstanden / kritiklos von "Lohengrin" übernommen. Such' dir was aus.
niemand hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 09:39:53
Das Prinzip kannst du z.B. bei de-mail anschauen (da ist's mit Ansage): die Mail geht verschlüsselt zu denen, wird dort aufgemacht und verarbeitet, neu verschlüsselt und dem Empfänger zugestellt.
Da tut mir aber was weh. Denen, die das "nutzen", aber offensichtlich nicht.
ich werde allerdings sporadisch mal auf “Beitrag des ignorierten Users anzeigen" klicken.
Na, das hört sich doch schon ganz anders an als "hier stinkt's nach Troll". :wink:
niemand hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 09:39:53
Wenn sich zeigt, dass es wieder um Fakten geht, statt um dein Ego, können wir gerne weitermachen.
Ich wüsste zwar nicht, womit, aber wenn das deine einzige Bedingung ist, müssten wir auch nicht erst aufhören. :wink:

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: GPG für gewöhnliche Leute

Beitrag von MSfree » 05.12.2018 10:15:14

niemand hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 09:39:53
Wenn ein Herstellers einer App, beispielsweise WhatsApp, nun also sagt, er würde E2E machen, man aber nicht im Code nachsehen kann, ob das wirklich sauber implementiert ist, muss man dem Herstellers glauben, dass er die Daten nicht kurz entschlüsseln kann, während sie über seinen Server laufen. Oder eben auch nicht.
Es gibt zumindest genug Indizien dafür, daß sogar WhatsApp nicht in die Nachrichten reinschauen kann, mehr als die Metadaten, also Start- und Zieladressen einer Nachricht, kennt die nicht.

Bisher beissen sich jedenfalls alle Geheimdienste die Zähne an WhatsApp aus und dem Verlangen nach Backdoors für "Ermittlungsbehörden" wurde widerstanden. In DE wurde dafür ein Gesetz geschaffen, das es Ermittlern mittels Quellen-TKÜ, sprich Staatstrojaner, ermöglicht, auf dem Sende- bzw. Empfangsgerät die entschlüsselten Nachrichten abzugreifen.

WhatsApp verschlüsselt übrigens mit der selben Methode wie der Open-Source-Messenger Signal von Moxie Marlinspike. Es handelt sich also nicht um ein dubioses Verfahren, sondern um öffentlich bekannte Verfahren. OK, man könnte natürlich immer noch unterstellen, daß WhatsApp ein "modifizierte" Variante verwendet, die ständigen Forderungen seitens der "Ermittlungsbehörden", doch Einsicht in die Klartextnachrichten zu ermöglichen, deuten jedoch starkt darauf hin, daß das Verfahren nicht trivial knackbar ist. Wer nun behauptet, daß die Geheimdienste alles knacken können und für alles Backdoors oder Masterschlüssel haben, sollte sich mal fragen, ob bei so einem Riesenapparat wie z.B. der NSA solches Wissen nicht schon längst in die Öffentlichkeit hätte dringen müssen, denn Whistleblower und Maulwürfe gibt es überall.

raa
Beiträge: 411
Registriert: 19.12.2013 10:16:19

Re: GPG für gewöhnliche Leute

Beitrag von raa » 05.12.2018 10:18:35

MSfree hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 10:15:14
Es gibt zumindest genug Indizien dafür, daß sogar WhatsApp nicht in die Nachrichten reinschauen kann, mehr als die Metadaten, also Start- und Zieladressen einer Nachricht, kennt die nicht.
Geht's nicht noch ein bisschen verworrener? :wink:

DeletedUserReAsG

Re: GPG für gewöhnliche Leute

Beitrag von DeletedUserReAsG » 05.12.2018 12:42:14

MSfree hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 10:15:14
Es gibt zumindest genug Indizien dafür, daß sogar WhatsApp nicht in die Nachrichten reinschauen kann, mehr als die Metadaten, also Start- und Zieladressen einer Nachricht, kennt die nicht.
Dass sie, wenn sie reinschauen könnten, nicht gleich „wir können alles mitlesen!“ dranschreiben, sondern versuchen würden, es weiterhin sicher und solide aussehen zu lassen, sollte klar sein. Ebenso kann die Sache mit den Forderungen der Unterdrückungsbehörden eine große Nebelkerze sein, etwa „Wenn wir behaupten, nicht drauf zugreifen zu können, sondern stattdessen mit Nachdruck Möglichkeiten vom Anbieter, bzw. Gesetzgeber fordern (Quellenüberwachung) und ’n bisschen rumjammern, dass wir ja sonst total hilflos wären, glauben die aus unserer Sicht bösen Leute, der Kram sei sicher und nutzen es – und weichen nicht etwa auf Sachen aus, die wir tatsächlich nicht aufmachen können“. Ich persönlich halte das Szenario nicht für sehr wahrscheinlich, aber wenn nun jemand kategorisch meint, es sei unmöglich, möge er das bitte belegen, oder zumindest näher ausführen.

Aber, wie schon geschrieben: wenn das Gerät selbst nicht vertrauenswürdig ist, ist’s die ganze Verschlüsselungsgeschichte im Grunde ebenfalls nicht. Und derzeit gibt’s nicht viele Geräte, die ich zumindest als „wahrscheinlich vertrauenswürdig“ einschätzen würde. Auf der anderen Seite: jeder einzelne Punkt mehr, an dem Daten abgegriffen werden könnten, erhöht die Wahrscheinlichkeit, dass es auch geschieht. Ein Telephon mit Hersteller-OS und ’ner offenen, nach aktuellem Kenntnisstand als sicher zu bezeichnenden Kommunikationsapp sehe ich also immer noch als besser an, als ein Telephon mit Hersteller-OS und einer geschlossenen App, von der lediglich der Anbieter behauptet, es wäre sicher (auch, wenn derzeit nichts zwingend auf das Gegenteil hinweist – die Möglichkeit der Überprüfung fehlt halt).


Irgendwie glaube ich, dass das zu weit von „GPG für gewöhnliche Leute“ entfernt ist. Vielleicht mag ein Mod den Thread ja nochmal entsprechend auftrennen?

raa
Beiträge: 411
Registriert: 19.12.2013 10:16:19

Re: GPG für gewöhnliche Leute

Beitrag von raa » 05.12.2018 13:00:03

niemand hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 12:42:14
MSfree hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 10:15:14
Es gibt zumindest genug Indizien dafür, daß sogar WhatsApp nicht in die Nachrichten reinschauen kann, mehr als die Metadaten, also Start- und Zieladressen einer Nachricht, kennt die nicht.
Dass sie, wenn sie reinschauen könnten, nicht gleich „wir können alles mitlesen!“ dranschreiben, sondern versuchen würden, es weiterhin sicher und solide aussehen zu lassen, sollte klar sein. Ebenso kann die Sache mit den Forderungen der Unterdrückungsbehörden eine große Nebelkerze sein, etwa „Wenn wir behaupten, nicht drauf zugreifen zu können, sondern stattdessen mit Nachdruck Möglichkeiten vom Anbieter, bzw. Gesetzgeber fordern (Quellenüberwachung) und ’n bisschen rumjammern, dass wir ja sonst total hilflos wären, glauben die aus unserer Sicht bösen Leute, der Kram sei sicher und nutzen es – und weichen nicht etwa auf Sachen aus, die wir tatsächlich nicht aufmachen können“. Ich persönlich halte das Szenario nicht für sehr wahrscheinlich, aber wenn nun jemand kategorisch meint, es sei unmöglich, möge er das bitte belegen, oder zumindest näher ausführen.
Na bitte.
Und aus dem Chaos sprach eine Stimme zu mir: "Lächle und sei froh, denn es könnte noch viel schlimmer kommen!" Und ich lächelte und war froh - und es kam schlimmer.
Wie befürchtet: Nichts ist so verworren, dass es nicht noch mehr verwirrt (oder verworren gemacht?) :wink: werden könnte. Was soll in diesem Zusammenhang eine "Unterdrückungsbehörde" sein? Überhaupt: Wer ist denn nun "sie", die "da 'reinschauen" könnten, und wohinein denn nun genau, und was "darin" könnte wohl wen interessieren, und warum? Fragen über Fragen. ;)

Aber bevor du mir wieder unterstellst, ich hätte irgendwas nicht verstanden (nur weil du nicht verstehen willst - offensichtlich nicht mal meine Ergüsse richtig gelesen hast), beantworte dir diese Fragen erst mal selber, ok? Steht nämlich alles schon etwas weiter oben - musst nur des verstehenden Lesens mächtig sein.
niemand hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 12:42:14
Aber, wie schon geschrieben: wenn das Gerät selbst nicht vertrauenswürdig ist, ist’s die ganze Verschlüsselungsgeschichte im Grunde ebenfalls nicht. Und derzeit gibt’s nicht viele Geräte, die ich zumindest als „wahrscheinlich vertrauenswürdig“ einschätzen würde.
Kann man so sehen. Und eins, auf dem die populärste mir (und nicht nur mir) bekannte Spionagesoftware "WhatsApp" läuft, wäre als wie vetrauenswürdig einzustufen?
niemand hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 12:42:14
Irgendwie glaube ich, dass das zu weit von „GPG für gewöhnliche Leute“ entfernt ist.
Also steck' dir deinen Glauben irgendwohin, halte dich mal lieber an Fakten. Sorry, wenn ich mit meinem Ton irgendwelche Gefühle von dir verletzt haben sollte. :wink:

Benutzeravatar
novalix
Beiträge: 1908
Registriert: 05.10.2005 12:32:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: elberfeld

Re: GPG für gewöhnliche Leute

Beitrag von novalix » 05.12.2018 13:04:46

MSfree hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 10:15:14
Wer nun behauptet, daß die Geheimdienste alles knacken können und für alles Backdoors oder Masterschlüssel haben, sollte sich mal fragen, ob bei so einem Riesenapparat wie z.B. der NSA solches Wissen nicht schon längst in die Öffentlichkeit hätte dringen müssen, denn Whistleblower und Maulwürfe gibt es überall.
In den Snowden Files gibt es einige Stellen, die sich mit Angriffen auf ssh beschäftigen. Ich habe mir vor ein paar Jahren mal eine Zusammenstellung darüber durchgelesen[*]. Da waren ganz interessante Techniken beschrieben.
Alle "erfolgreichen" Angriffe basierten zu dem Zeitpunkt auf dem vorhergehenden Austausch des ssh server binaries durch eine präparierte Version.

Unter der Voraussetzung, dass die von Snowden veröffentlichten Daten in dieser Beziehung einigermaßen vollständig sind und sich seitdem nichts entscheidendes geändert hat, sollte man sagen können, dass die NSA ssh *nicht* geknackt hat.

Insgesamt scheint der erfolgversprechendste Angriffsvektor auf verschlüsselte Datenübermittlung die gezielte Manipulation der ausführenden Software zu sein.

[*]Habe leider keinen Link mehr dahin.
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.

DeletedUserReAsG

Re: GPG für gewöhnliche Leute

Beitrag von DeletedUserReAsG » 05.12.2018 13:10:27

novalix hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 13:04:46
Insgesamt scheint der erfolgversprechendste Angriffsvektor auf verschlüsselte Datenübermittlung die gezielte Manipulation der ausführenden Software zu sein.
… oder des darunterliegenden Systems. Jemand erinnert sich noch an die Panne mit dem RNG bei Debian?

raa
Beiträge: 411
Registriert: 19.12.2013 10:16:19

Re: GPG für gewöhnliche Leute

Beitrag von raa » 05.12.2018 13:16:16

novalix hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 13:04:46
Insgesamt scheint der erfolgversprechendste Angriffsvektor auf verschlüsselte Datenübermittlung die gezielte Manipulation der ausführenden Software zu sein.
Irgendwie scheint nur leider auch dir überhaupt noch nicht klar zu sein, dass das beschriebene "Geschäftsmodell" absolut nichts mit "Knacken" verschlüsselter Daten zu tun hat.

Nur das Beispiel, das mich kürzlich geschockt hat: Habe mir interessehalber mal "nextcloud" installiert - auf dem Server. Mal abgesehen davon, dass die "automatische" Installation unter Linux absoluter Schrott ist (über die interne "Datenbank" schweigt des Sängers - Verzeihung: Entwicklers :wink: Höflichkeit) - wie ich mir glaubwürdig bestätigen ließ, war das Folgende leider kein böser Traum, sondern harte Realität: Als ich mir den Client installieren wollte, fragte mich der Anbieter doch echt und ernsthaft nach den Zugangsdaten für meinen Server. Für wie blöd halten die ihre "Kunden"? Und will ja gar nicht wissen, wie viel darauf 'reinfallen. Für mich jedenfalls keine Frage mehr, wie nextcloud mit dieser kostenloden Software "Geld verdient". Hoffentlich für dich und andere Mitlesende hier auch bald nicht mehr.

DeletedUserReAsG

Re: GPG für gewöhnliche Leute

Beitrag von DeletedUserReAsG » 05.12.2018 13:26:14

Ups, nun hab ich doch zu früh auf „Beitrag anzeigen“ geklickt. Der User braucht wohl noch einige Zeit, um zu lernen, das er nicht der Mittelpunkt von allem ist. Sei’s drum:
Nextcloud ist Open Source und recht gut dokumentiert. Auch so Sachen, wie dass es ’ne Datenbank braucht. Außerdem ist’s einigermaßen sicher, so dass nicht jeder Client ohne Auth zum Server verbinden kann, und daher die Anmeldedaten benötigt.
raa hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 13:16:16
Irgendwie scheint nur leider auch dir überhaupt noch nicht klar zu sein, dass das beschriebene "Geschäftsmodell" absolut nichts mit "Knacken" verschlüsselter Daten zu tun hat.
Irgendwie scheint’s leider auch nur dir überhaupt noch nicht klar zu sein, worum’s in diesem Thread überhaupt geht. Leute gibt das ….

reox
Beiträge: 2459
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: GPG für gewöhnliche Leute

Beitrag von reox » 05.12.2018 13:44:15

Kann man jetzt eigentlich in gpg einen anderen hash als SHA1 für die fingerprints der keys haben? :P

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: GPG für gewöhnliche Leute

Beitrag von eggy » 05.12.2018 14:07:58

@ novalix meinst du https://www.zeit.de/digital/datenschutz ... sa-skandal ?

Ein ganz anderes Ziel für die nächsten Jahre ist es, kommerzielle und andere Verschlüsselungssysteme zu brechen – mithilfe von Technik oder auch Spionen, die in Unternehmen für Verschlüsselungstechnik eingeschleust werden sollen. Das geht aus einem "mission statement" für die Zeit von 2012 bis 2016 hervor, das die New York Times veröffentlicht hat.
Aus dem oben genannten Link.

Das grundlegende Verfahren gilt wohl als sicher. Soweit ich verstanden habe, das Protokoll basiert auf einem Publickey Verfahren. Die Keys werden auf dem Endgerät, genauer in den meisten Fällen in der App, generiert. Die Keyerzeugungsfunktion sollte deterministisch sein (anderenfalls wären Probleme hier unmöglich zu debuggen, automatisches Testen ebenfalls nicht möglich). Die erzeugten Schlüssel sind zufällig, hängen demnach aber von Eingabewerten ab. Mal ganz sachlich gefragt: was hindert die App daran, diese Eingabewerte vorsichtshalber zu duplizieren? Die Zusage "machen wir nicht"? Ob man sich darauf verlassen will oder nicht muss jeder selbst entscheiden.

https://www.heise.de/mac-and-i/meldung/ ... 23461.html

https://signal.org/blog/there-is-no-whatsapp-backdoor/
Für Aluhutträger und solche, die es werden wollen: manchmal ist viel interessanter was alles nicht gesagt wird, als das was gesagt wurde.
Der eine liest da etwas zwischen den Zeilen der andere nicht. Möge ebenfalls jeder für sich selbst entscheiden.

Mein Humordetektor ist jedenfalls bereits bei "At no time does the WhatsApp server have access to any of the client's private keys.", aus dem im Blog verlinkten Whitepaper, angesprungen. Aus dem Satz kann man so wunderbar auch vieles andere lesen - klar, ist bestimmt nicht so gemeint. Aber ohne Zugang zum Sourcecode kann man das eh nicht nachprüfen. Ahja und selbstkompilieren und vertrauenswürdige Toolchain und und und ... eh egal: die App läuft in den meisten Fällen auf nem Andoid oder IOS ... soviel zu Sicherheit und Privatsphäre.

raa
Beiträge: 411
Registriert: 19.12.2013 10:16:19

Re: GPG für gewöhnliche Leute

Beitrag von raa » 05.12.2018 16:06:05

niemand hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 13:26:14
Leute gibt das …
Richtig, Leute gibt's, die gibt's gar nicht. Glaubst du vielleicht, du bist der erste, der nicht kapieren will und seine Verwirrung (oder Böswilligkeit) mir einreden will?

Also nochmal exclusiv für dich ganz langsam zum Mitmeißeln: Ich hatte mir den Server der Cloud installiert, und zwar auf meinem Root-Server. Ein Blick (mittels MySQL-Workbench) in dieses "Datenbank" genannte Machwerk ließ mir die letzten Haare zu Berge stehen, aber wenn ich die Zeit (und Lust) hätte, dir zu erklären, warum, würde es eine Ewigkeit dauern, bis du das begreifst. Mir jedenfalls war dann klar, warum erst mal so gut wie gar nichts ging, und nach einiger Frickelei und Suche nach Fehlern (die übrigens nirgends dokumentiert sind) auch erst nur "irgendwie" was lief, nur nichts richtig. Nur ein "Zusammentreffen aller günstigsten Umstände" hätte das bewirken können. :wink: Wenn ich als Entwickler (s. mein Profil) :wink: irgendwo angefangen hätte, so einen Schrott zu programmieren - das hätte sich ein Chef mit ein bisschen Ahnung ein Weilchen angeguckt und mich dann 'rausgeschmissen oder erst mal zu ein paar Grundlehrgängen, hauptsächlich zu den Themen "Relationale Datenbanken" und "Strukturierte Programmierung" geschickt. Aber nicht auf Kosten der Firma. :wink: Also diesen "Source" wiil ich gar nicht sehen, der kann höchstens halb durchdacht sein.

Aber das ist nicht ja das einzige Problem, und nicht mal das schlimmste, das du auch nicht erkannt hast - solltest lesen lernen:
raa hat geschrieben:... wie ich mir glaubwürdig bestätigen ließ, war das Folgende leider kein böser Traum, sondern harte Realität: Als ich mir den Client installieren wollte, fragte mich der Anbieter doch echt und ernsthaft nach den Zugangsdaten für meinen Server.
Also zur Sicherheit nochmal für dich: Nicht etwa mein Client brauchte die (so blöd, wie du tust, bin ich nicht) :wink: - so weit kam's ja gar nicht. Schon damit ich mir den Client hätte 'runterladen können, wollte Fa. nextcloud die Zugangsdaten zu meinem Server wissen (den ich mir gerade installiert hatte) - haste das jetzt gefressen?
raa hat geschrieben:Für wie blöd halten die ihre "Kunden"? Und will ja gar nicht wissen, wie viel darauf 'reinfallen. Für mich jedenfalls keine Frage mehr, wie nextcloud mit dieser kostenlosen Software "Geld verdient". Hoffentlich für dich und andere Mitlesende hier auch bald nicht mehr.
Für dich offensichtlich schon, oder? Du hättest denen arglos die Zugangsdaten zu deinem Server gegeben - und damit den für sie wie ein Scheunentor geöffnet - oder vielleicht doch lieber nicht? Das hoffe ich jedenfalls für dich. Anderenfalls halt' jetzt hier bitte 'raus und lass mal Leute zu Wort kommen, die wissen, wovon sie reden.

Benutzeravatar
Lohengrin
Beiträge: 3227
Registriert: 29.08.2004 00:01:05
Wohnort: Montsalvat

Re: GPG für gewöhnliche Leute

Beitrag von Lohengrin » 05.12.2018 16:22:50

raa hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 09:06:48
niemand hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 08:43:56
1. faktisch falsch. Tatsächlich sind nahezu immer Server dazwischen. Verwechselt du E2E mit P2P?
Erklärst du mir den Unterschied oder fragen wir mal "Lohengrin"? Von dem habe ich diese Weisheit nämlich.
raa hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 10:04:34
Ok, das hatte ich also falsch verstanden / kritiklos von "Lohengrin" übernommen. Such' dir was aus.
raa hat recht. Das nehme ich auf meine Kappe.

Ich war in einer anderen Abstraktionsebene, habe mich unpräzise ausgedrückt.
Dieser mein Beitrag an das Debianforum wird von meinem Debianrechner über https ans Debianforum gehen. Ich hänge über mein Smartphone am Netz. Dieser mein Beitrag wird, egal ob in ganzen TCP-Paketen oder in Stücken davon, auf meinem Smartphone sein. Aber mein Smartphone wird ihn hoffentlich nicht entschlüsseln können.
Das habe ich gemeint, als ich sagte, dass das bei Whatsapp, wenn Whatsapp E2E Verschlüsselung macht, von einem Smartphone ans andere ginge. Ich habe da nur die Stationen des Weges als Zwischenstationen betrachtet, die die Daten unverschlüsselt haben.
Dass irgendwer verschlüsselte Daten abgreifen und horten kann, ist sowieso klar. Und dass diese Daten mglw im Nachhinein entschlüsselt werden, nämlich wenn der Angreifer es endlich geschafft hat, einem der Kommunikationspartner die Schlüssel auszuspähen, auch.
Harry, hol schon mal das Rasiermesser!

Benutzeravatar
Lohengrin
Beiträge: 3227
Registriert: 29.08.2004 00:01:05
Wohnort: Montsalvat

Re: GPG für gewöhnliche Leute

Beitrag von Lohengrin » 05.12.2018 16:31:50

niemand hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 12:42:14
MSfree hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 10:15:14
Es gibt zumindest genug Indizien dafür, daß sogar WhatsApp nicht in die Nachrichten reinschauen kann, mehr als die Metadaten, also Start- und Zieladressen einer Nachricht, kennt die nicht.
Dass sie, wenn sie reinschauen könnten, nicht gleich „wir können alles mitlesen!“ dranschreiben, sondern versuchen würden, es weiterhin sicher und solide aussehen zu lassen, sollte klar sein. Ebenso kann die Sache mit den Forderungen der Unterdrückungsbehörden eine große Nebelkerze sein, etwa „Wenn wir behaupten, nicht drauf zugreifen zu können, sondern stattdessen mit Nachdruck Möglichkeiten vom Anbieter, bzw. Gesetzgeber fordern (Quellenüberwachung) und ’n bisschen rumjammern, dass wir ja sonst total hilflos wären, glauben die aus unserer Sicht bösen Leute, der Kram sei sicher und nutzen es – und weichen nicht etwa auf Sachen aus, die wir tatsächlich nicht aufmachen können“. Ich persönlich halte das Szenario nicht für sehr wahrscheinlich, aber wenn nun jemand kategorisch meint, es sei unmöglich, möge er das bitte belegen, oder zumindest näher ausführen.
Schön geschrieben!
Zu beachten ist aber auch, dass es ausreicht, den Eindruck zu erwecken, die Regierung würde sehr viel ausspionieren, um das Volk an die Kandarre zu nehmen. Ich denke da an die Fantastillionen Bytes, die NSA angeblich irgendwo speichert.
niemand hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 12:42:14
Irgendwie glaube ich, dass das zu weit von „GPG für gewöhnliche Leute“ entfernt ist. Vielleicht mag ein Mod den Thread ja nochmal entsprechend auftrennen?
Sehe ich genauso.
Ich würde mich hier viel lieber darüber unterhalten, ob der Fingerprint bei GPG SHA1 sein muss, und was diese Keygrips sind.

Hilfe! Moderator!
Harry, hol schon mal das Rasiermesser!

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: GPG für gewöhnliche Leute

Beitrag von eggy » 05.12.2018 16:40:53

Lohengrin hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 16:31:50
Ich würde mich hier viel lieber darüber unterhalten, ob der Fingerprint bei GPG SHA1 sein muss, und was diese Keygrips sind.
Ich denke ja, scheint fix zu sein, denn irgendwie muss man die Fingerprints ja vergleichen, und da nirgendwo angegeben wird, welche Hashfunktion bei der Erstellung der Fingerprints beteiligt ist, wird es wohl darauf hinauslaufen, dass es diesen einen Standard gibt. Ob im Code noch ne Möglichkeit gibt, das zu ändern, ka. In der Doku hatte ich nichts entsprechendes gefunden, hab aber auch nicht allzulange gesucht. Vielleicht fragst Du einfach mal auf der gpg-Liste, falls hier niemand was genaueres sagen kann.

Zu den Keygrips:
https://lists.gnupg.org/pipermail/gnupg ... 47170.html
https://lists.gnupg.org/pipermail/gnupg ... 51769.html

reox
Beiträge: 2459
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: GPG für gewöhnliche Leute

Beitrag von reox » 05.12.2018 17:25:11

Naja ich hatte das ja schonmal gepostet, zwar versteckt in einem weiteren link... RFC4880 spezifiziert SHA1: https://tools.ietf.org/html/rfc4880#section-12.2

Aber theoretisch sollte man ja selber auch irgendeinen fingerprint verwenden können... Man muss dazu ja nur die richtigen Bytes im DER codierten file hashen. Wäre nur interessant ob das irgendwie eingebaut ist. So wie ich die man page verstehe, geht das (derzeit) nicht.

Auf der anderen Seite: Wenn ich keys austausche vergleiche ich den fingerprint ja mit der person von der ich den key bekommen habe üblicherweise über einen anderen kanal als der key ausgetauscht wurde. Und dort kann ich mir ja noch weitere Verfahren ausdenken um die Authentizität und Integrität sicherzustellen.

DeletedUserReAsG

Re: GPG für gewöhnliche Leute

Beitrag von DeletedUserReAsG » 05.12.2018 18:16:43

Schade, der User scheint immer noch in diesem kindlichen Mindset zu sein :(
Sei’s drum, nun hab ich einmal geklickt:
raa hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 16:06:05
Ein Blick (mittels MySQL-Workbench) in dieses "Datenbank" genannte Machwerk ließ mir die letzten Haare zu Berge stehen, aber wenn ich die Zeit (und Lust) hätte, dir zu erklären, warum, würde es eine Ewigkeit dauern, bis du das begreifst.
Versuch’s einfach mal. Ich komm recht gut mit Datenbanken klar. Ich nutze/brauche z.B. so Bloat wie die Workbench nicht; mit Hilfe des CLI-Clients, des dicken Datenbankdesignbuches, das ich vor einigen Jahren mal durchgegangen bin, und der Doku habe ich eigentlich bislang jede Aufgabenstellung lösen können – und es dabei verstanden. Gerne auch in ’nem neuen Thread. Überhaupt: tausende Leute nutzen den Kram problemlos, bei dir macht er Probleme. Die Wahrscheinlichkeit ist höher für: a) es liegt ein generelles Problem vor, oder für b) du hast es falsch gemacht? Außerdem: da schreiben Leute dran, die’s gelernt haben, aber du, der du nicht mal so Allerweltsbegriffe mit IT-Bezug kennst, weißt natürlich besser, wie es gehen würde. Wie hoch ist die Wahrscheinlichkeit, dass das tatsächlich so ist?
raa hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 16:06:05
Nicht etwa mein Client brauchte die (so blöd, wie du tust, bin ich nicht) - so weit kam's ja gar nicht. Schon damit ich mir den Client hätte 'runterladen können, wollte Fa. nextcloud die Zugangsdaten zu meinem Server wissen (den ich mir gerade installiert hatte) - haste das jetzt gefressen?
Wenn ich deine narzisstischen Ergüsse fressen sollte, müsste ich spucken. Ansonsten: hab’s gerade installiert und gestartet, da fragt erstmal keiner nach irgendwelchen Zugangsdaten, wo ich es nicht erwarten würde. Wer weiß, was du schon wieder falsch oder nicht verstanden, und in Folge was völlig Falsches zusammengedichtet hast?

An den Rest: sorry für die Störung. Ich werd’ mir seine Beiträge in diesem Thread auch nicht mehr anzeigen lassen, versprochen. Steht eh nur selbstverliebte Grütze à la „Ich bin so toll, alle anderen können gar nix, und wenn ich den Zusammenhang nicht erkenne, muss es an der Doofheit der anderen liegen – geht gar nicht anders, so toll bin ich!!k“ drin.

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: GPG für gewöhnliche Leute

Beitrag von eggy » 05.12.2018 18:23:59

@reox: Ein kurzer Blick in den Code sagt auch "ist wohl nicht vorgesehen". Wer selbst nachsehen will: apt-get source gnupg und dann z.B. mal nach fingerprint_from_pk greppen

raa
Beiträge: 411
Registriert: 19.12.2013 10:16:19

Re: GPG für gewöhnliche Leute

Beitrag von raa » 05.12.2018 21:09:38

niemand hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 18:16:43
Gerne auch in ’nem neuen Thread.
Nein, warum? Passt doch zum Thema wie die Faust aufs Auge - auch wenn du den Zusammenhang nicht sehen willst, aber mir Unkenntnis vorwirfst:
niemand hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 18:16:43
Versuch’s einfach mal. Ich komm recht gut mit Datenbanken klar. Ich nutze/brauche z.B. so Bloat wie die Workbench nicht; mit Hilfe des CLI-Clients, des dicken Datenbankdesignbuches, das ich vor einigen Jahren mal durchgegangen bin, und der Doku habe ich eigentlich bislang jede Aufgabenstellung lösen können – und es dabei verstanden. Gerne auch in ’nem neuen Thread. Überhaupt: tausende Leute nutzen den Kram problemlos, bei dir macht er Probleme. Die Wahrscheinlichkeit ist höher für: a) es liegt ein generelles Problem vor, oder für b) du hast es falsch gemacht? Außerdem: da schreiben Leute dran, die’s gelernt haben, aber du, der du nicht mal so Allerweltsbegriffe mit IT-Bezug kennst, weißt natürlich besser, wie es gehen würde. Wie hoch ist die Wahrscheinlichkeit, dass das tatsächlich so ist?
200% - und 300% dafür, dass du voll daneben liegst. :wink: Also wirf erst mal einen kurzen Blick darauf:

http://hkraus.eu/Profil.pdf
raa hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 16:06:05
Wenn ich deine narzisstischen Ergüsse fressen sollte, müsste ich spucken.
Bemühe du dich bitte zunächst mal um einen halbwegs normalen Umgangston. Ich versuch's schließlich auch immer wieder, auch wenn's mir angesichts deiner "Art" reichlich schwerfällt. :wink:
raa hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 16:06:05
Ansonsten: hab’s gerade installiert und gestartet, da fragt erstmal keiner nach irgendwelchen Zugangsdaten, wo ich es nicht erwarten würde.
Hast du versucht, den Client 'runterzuladen? Dann wäre ich froh über die Bestätigung, dass das nur ein böser Traum war. Oder findest du das vielleicht normal, dass einer die Zugangsdaten zu deinem Server will, den die a) absolut nichts angehen, der die b) dazu absolut nicht braucht, der sie also c) höchstens dazu zu gebrauchen kann, sie "hintenrum" meistbietend zu verscherbeln?

Und wenn du dich mit relationalen Datenbanken auskennst (was ich nicht bezweifle - obwohl du mir mal erläutern möchtest, was am MySQL-Workbench "Bloat" sein soll), dann mach mal dasselbe wie ich: Importiere mal nur einen Kalender aus Thunderbird in die Cloud und guck' dir dann mal die Datenbank an, da dürften sich dir auch die Fußnägel hochrollen. Wie gesagt: Als Programmierer würde ich mich damit nicht bis zur QS trauen, geschweige in die "Öffentlichkeit", und dafür noch Geld verlangen.

Weiß leider nicht mehr, wie die Tabelle hieß, und das Feld, wo die dicksten Klopse drin waren (hab' das ganze Ding gelöscht) - aber dass man nicht ...zig Parameter mit Wert in einem einzigen Feld speichert, sollte wohl klar sein. Nur ein Beipiel von vielen - aber auf die anderen war ich dann nicht mehr scharf, logisch?
raa hat geschrieben: ↑ zum Beitrag ↑
05.12.2018 16:06:05
An den Rest: sorry für die Störung. Ich werd’ mir seine Beiträge in diesem Thread auch nicht mehr anzeigen lassen,
Hoffentlich hält er sich also dran, wenn das alles sein Ernst war. :wink:

Antworten