GPG für gewöhnliche Leute

[raa]

Habe mal versucht zumindest die Storry mit dem Zug abzutrennen um etwas beim Thema zu bleiben.
Die gibt es jetzt da:
viewtopic.php?f=15&t=171538

Danke.

[raa]

Man mag von WhatsApp halten, was man will – aber das Ding hat E2E-Verschlüsselung.

Interessant! Womit machen die denn Geld? Die bieten etwas an, und verlangen nicht direkt Geld dafür. Aber irgendwie müssen die doch Geld bekommen, sonst würden sie es nicht tun.

Sorry, diese Frage hätte ich von dir jetzt nicht mehr erwartet.

Ich habe noch nie Whatsapp benutzt, wurde oft genug aufgefordert das zu tun, weil es im Gegensatz zu SMS nichts kosten würde.
Vor ein paar Jahren wurde mir erzählt, dass Whatsapp das gesamte Adressbuch einsehen könne, dass es eine reichhaltige Spielwiese für Datenkraken bereitstelle. Stimmt das denn alles nicht mehr?

Was ist mit Ermittlungsbehörden? Haben die auch keine Hintertür? Das fände ich erstaunlich.

Natürlich, und zwar nicht nur Hintertürchen - aber gegen wen sollten sie denn ermitteln? Gegen eine ganze Mafia, die die Daten gegen schönes Geld weiter "nutzt" - wofür, kannst du dir hoffentlich jetzt denken.

[DeletedUserReAsG]

Womit machen die denn Geld?

Derzeit buttert Facebook wohl ordentlich rein. Allerdings soll wohl irgendwie irgendwas mit Werbung kommen. Abgesehen davon ist’s zwar E2E verschlüsselt, die Metadaten (wer wann mit wem wieviel wie häufig, etc.) fallen ja trotzdem an. Das Problem löst auch GPG nicht, btw. – dazu bräuchte es so Spielereien wie Bitmessage.

Vor ein paar Jahren wurde mir erzählt, dass Whatsapp das gesamte Adressbuch einsehen könne, dass es eine reichhaltige Spielwiese für Datenkraken bereitstelle.

Das will’s immer noch, und wenn man’s nicht zulässt (seit Android 5 oder 6 hat man ja die Möglichkeit), funktioniert’s nicht gescheit. Auf der anderen Seite: der Durchschnittsanwender hat mit Sicherheit noch ein paar mehr Apps drauf, die diese Daten abgreifen. Auf eine mehr oder weniger kommt’s da dann auch nicht mehr an. Wenn man etwas Arbeit reistecken mag, kann man der App auch ’ne Kontakt-Datenbank vorsetzen, die tatsächlich nur die Leute enthält, mit denen man über sie kommunizieren möchte – ist dann aber auch schon eher nix mehr für Durchschnittsanwender.

Was ist mit Ermittlungsbehörden? Haben die auch keine Hintertür?

Da verhält’s sich, wie mit allen anderen Anwendungen, deren Quelltext man nicht einsehen kann. Man kann dem Hersteller glauben solange nix Gegenteiliges belegt wurde, oder man kann ihm misstrauen. Solange die Leute allerdings ’n Stock-ROM vom Telephonhersteller fahren, ist’s sowieso egal. Hat schon seinen Grund, warum unsere Schnüffelbehörden eine sogenannte Quellenüberwachung haben wollen: wenn sie die Daten direkt auf dem Gerät abgreifen können, kann die Transportverschlüsselung noch so sicher sein – dagegen hilft sie nicht.

[Lohengrin]

Was du hingegen nicht ableiten kannst ist, dass ein beliebiger Hamburger 100000 Haare hat, nur weil du von einem anderen Hamburger weißt, dass dieser 100000 Haare hat. Das ginge nur wenn du wüsstest, dass jeder Hamburger 100000 Haare hat.

Richtig. Sowohl "Jeder Mensch hat (mindestens, exakt, ungefähr) hundert tausend Haare." als auch "Es gibt einen Menschen, der (mindestens, exakt, ungefähr) Haare hat." ist hier nicht gemeint.
Ich weiß nicht, wie man das in Worten exakt formulieren kann, ohne dass der Zuhörer komplett den Faden verliert. Da muss ich mich auf dieses für mich schwer verstehbare Konstrukt des "aus dem Zusammenhang ist klar" verlassen.

Ich habe das vor sechs Jahren im Matheunterricht vor einer Klasse 8 gebracht. Es ging um irrationale Zahlen. Und so, wie es im Mathebuch stand, war es sehr kompliziert, daher mMn unverständlich.
Ich habe den ersten Teil, nämlich "Jeder Bruch ist als Kommazahl abbrechend oder periodisch." mit dem Taubenschlag erklärt. (Teilt man durch 1013, dann hat man nach spätestens 1012 Stellen eine Periode.)
Schon die kurze und unpräzise Formulierung mit "Ein Mensch hat hundert tausend Haare." hat zu Unruhe geführt. "Was will der Kerl denn jetzt schon wieder?". Aber bei zumindest einem hat es getroffen. Der fing an zu lachen, meinte "Das kann keiner zählen, aber es ist trotzdem richtig.", wobei die "Was will der Kerl denn jetzt schon wieder."-Fraktion das Lachen dieses Schülers nicht nachvollziehen konnten.
Hätte ich versucht, das so präzise wie möglich zu formulieren, hätte ich gar nichts erreicht.

Dass jemand mit IT-Bezug nicht sofort berücksichtigt, dass meine Oma diesen Computerbezug nicht hat und daher mangels Kontext auf Nagetiere zurückfallen muss, finde ich daher nicht verwerflich - insbesondere wenn das aktuelle Thema nicht "Oma lerrnt IT" sondern "Urlaubsbilder" ist.

Verwerflich ist das nicht. Es zeigt nur, wie betriebsblind man selber ist. Und ich neige bei solchen Beobachtungen dazu, zu versuchen, das fürs nächste mal zu berücksichtigen.

Das Werk ist nach einem Gespräch mit einer Gruppe von 60-Jährigen entstanden, die ein Problem damit hatten, dass sie sich immer mit Whatsapp und Facebook unterhalten und dabei so gehemmt waren, die Schere im Kopf hatten. Die wollten gerne, dass da kein anderer mitlesen kann, aber sie wussten nicht wie.

Damit sind deine 60-Jährigen schon relativ ungewöhnliche Leute, 1. weil sie überhaupt das Spionagepotenzial nicht nur a) erkannt, sondern b) in Form der Schere auch in ihr Leben integriert hatten, und 2. weil sie a) über Gegenmaßnahmen nachgedacht hatten und das b) sogar öffentlich.

Das waren Ossis, genauer, es waren welche aus den alten Bezirken Cottbus und Dresden. Die kannten das noch von früher. Diese Leute berufen sich auch sonst öffentlich auf 1989.
Gewöhnlich sind sie nur in ihrem technischen Verständnis von Smartphone und Computer.

aber schon bei 1.b) hapert es bei den meisten (darunter übrigens auch ein mMn qualifizierter IT-Experte eines mittelständischen Unternehmens), weil sie sich der Übermacht im Interesse ihrer Bequemlichkeit ergeben.

Das ist auch meine Beobachtung.

aber wenn ich von meiner Haltung diesbezüglich erzähle, dann werde ich meist nur deshalb nicht offen als Spinner hingestellt, weil mich meine Bekannten nicht vor den Kopf stoßen wollen.

Auch das entspricht meiner Beobachtung. Allerdings fällt es meinen Bekannten leichter, mir vor den Kopf zu stoßen, weil ich gar nicht erst versuche, das zu verhindern.
Ist der Ruf erst ruiniert, lebt es sich recht ungeniert.

[raa]

Lohengrins 60-Jährige haben es überhaupt mal hingekriegt darüber nachzudenken, ob denn jemand in ihrer Kommuniation rumschnüffelt und das als Anlass genug zu nehmen, mal jemanden zu fragen, der sich wohl damit auskennt (Lohengrin), ob man da was machen könnte oder sollte.
Diese Tiefe der Beschäftigung mit dem Thema ist meiner Erfahrung nach mehr als das Verhalten "gewöhnlicher Leute".

Ähm ja, da magst du wohl Recht haben. Aber was hat er darauf geantwortet - voll am eigentlichen Problem vorbei, oder ...

Und jetzt fröhlich weiter so - ist der immer so?

[raa]

Was ist mit Ermittlungsbehörden? Haben die auch keine Hintertür?

Da verhält’s sich, wie mit allen anderen Anwendungen, deren Quelltext man nicht einsehen kann. Man kann dem Hersteller glauben solange nix Gegenteiliges belegt wurde,

Anwendung? Quelltext? Hersteller? Du hast auch nix verstanden. Hier geht's um Daten, die auf irgendwelchen Servern stehen.

[DeletedUserReAsG]

Anwendung? Quelltext? Hersteller? Du hast auch nix verstanden. Hier geht's um Daten, die auf irgendwelchen Servern stehen.

Offensichtlich mehr verstanden, als du: ohne den Quelltext kannst du nicht sagen, ob eben die E2E-Verschlüsselung wirklich E2E ist, oder zwischendurch aufgemacht wird. Auf irgendwelchen Servern können die Nutzdaten nunmal nur dann unverschlüsselt sein, wenn der zweite Fall zutrifft. Ohne den Code kann man halt nur glauben, oder auch nicht, was der Hersteller behauptet.

[raa]

Anwendung? Quelltext? Hersteller? Du hast auch nix verstanden. Hier geht's um Daten, die auf irgendwelchen Servern stehen.

Offensichtlich mehr verstanden, als du: ohne den Quelltext kannst du nicht sagen, ob eben die E2E-Verschlüsselung wirklich E2E ist, oder zwischendurch aufgemacht wird. Auf irgendwelchen Servern können die Nutzdaten nunmal nur dann unverschlüsselt sein, wenn der zweite Fall zutrifft. Ohne den Code kann man halt nur glauben, oder auch nicht, was der Hersteller behauptet.

Völlig falsch.

1. Wenn du was von deinem Handy auf ein anderes E2E - verschlüsselt schickst, hängt überhaupt kein Server dazwischen.

2. Die Software muss du mir mal zeigen, die irgendeine verschlüsselte Info "zwischendurch", also auf dem Übertragungsweg "aufmachen" kann.

3. Das Problem sind wie gesagt die Userdaten, die unverschlüsselt auf irgendwelchen Servern stehen. Zwar trotzdem noch lange nicht für jeden einsehbar, für bezahlte "Datenkraken" aber kein unlösbares Problem. Und für die Betreiber dieser Server ein einträgliches Geschäft.

Was also soll das alles mit einer möglichen "Schuld" des Softwareherstellers zu tun haben?

[DeletedUserReAsG]

1. faktisch falsch. Tatsächlich sind nahezu immer Server dazwischen. Verwechselst du E2E mit P2P?

2. Jeder Browser, Mailclient, Messenger, etc., sofern jemand im Übertragungsweg passende Schlüssel und ggf. Zertifikate hat. Oder gings um die Software, die das auf dem Server tut? Einfaches Script reicht. Möchtest du dir vielleicht die Netzwerkgrundlagen aneignen?

3. lies am besten nochmal, worum es ging.

Ansonsten: mittlerweile stinkt's doch sehr trollig. Ich hoffe, ich verletze deine Gefühle nicht zu sehr, wenn ich dich auf meine Ignoreliste setze.

[raa]

1. faktisch falsch. Tatsächlich sind nahezu immer Server dazwischen. Verwechselt du E2E mit P2P?

Erklärst du mir den Unterschied oder fragen wir mal "Lohengrin"? Von dem habe ich diese Weisheit nämlich.

2. Jeder Browser, Mailclient, Messenger, etc., sofern jemand im Übertragungsweg passende Schlüssel und ggf. Zertifikate hat.

Also "wer" soll das sein - bei einer direkten Übertragung irgend einer verschlüsselten Info (also letztlich wohl immer einer Datei) "von Handy zu Handy"?

Oder gings um die Software, die das auf dem Server tut?

Um die, die das auf dem Handy tut, oder?

Einfaches Script reicht.

Bitte, dann zeig' mir das mal. Wenigstens das Prinzip.

Möchtest du dir vielleicht die Netzwerkgrundlagen aneignen?

Danke, ich beabsichtige in nächster Zukunft weder ein Netz zu administrieren noch mir ein Eierphone zuzulegen. Und mein "Heimnetzwerk" incl. "Vernetzung" mit meinem bei "server4you" gemieteten Root-Server incl. MariaDB-Server und Apache hab' ich auch so ganz ordentlich hingekriegt, denke ich. Oder versuch' doch mal, an irgendwas 'ranzukommen, was ich nicht öffentlich zur Schau stelle (wie meine "Baustelle Webseite", Link in meiner Signatur).

3. lies am besten nochmal, worum es ging.

Danke für den Tipp, ungebraucht zurück.

Ach - guten Morgen übrigens. Das sagt man wohl um diese Zeit.

Ansonsten: mittlerweile stinkt's doch sehr trollig.

Stimmt, aber aus deiner Richtung, und zwar 10m gegen den Wind.

Ich hoffe, ich verletze deine Gefühle nicht zu sehr, wenn ich dich auf meine Ignoreliste setze.

Das ist dein gutes Recht. Tu', was du für richtig hältst. Ich tu's sowieso.

[DeletedUserReAsG]

Okay, einmal versuche ich es noch (wider besseren Wissens - also eher für interessierte Mitleser. Du hast dir deine Meinung offensichtlich bereits gebildet und scheinst nicht geneigt, dich von schnöden Fakten verwirren zu lassen).

E2E bedeutet, dass Daten vom Absender ver-, und erst vom Empfänger wieder entschlüsselt werden. Über den Übertragungsweg wird dabei absolut keine Aussage getroffen. Die Nachricht könnte unterwegs ausgedruckt, mit dem Schiff transportiert, wieder eingescannt und dem Empfänger zugestellt werden. Wenn Sie unterwegs nicht entschlüsselt wurde, ist's immer noch End to End (E2E) verschlüsselt. Wenn ein Herstellers einer App, beispielsweise WhatsApp, nun also sagt, er würde E2E machen, man aber nicht im Code nachsehen kann, ob das wirklich sauber implementiert ist, muss man dem Herstellers glauben, dass er die Daten nicht kurz entschlüsseln kann, während sie über seinen Server laufen. Oder eben auch nicht.

Das Prinzip kannst du z.B. bei de-mail anschauen (da ist's mit Ansage): die Mail geht verschlüsselt zu denen, wird dort aufgemacht und verarbeitet, neu verschlüsselt und dem Empfänger zugestellt.

So, reicht dann auch. Für mehr ist mir meine Zeit echt zu schade, ich werde allerdings sporadisch mal auf “Beitrag des ignorierten Users anzeigen" klicken. Wenn sich zeigt, dass es wieder um Fakten geht, statt um dein Ego, können wir gerne weitermachen. Bis dahin: bye

[raa]

Okay, einmal versuche ich es noch (wider besseren Wissens - also eher für interessierte Mitleser. Du hast dir deine Meinung offensichtlich bereits gebildet und scheinst nicht geneigt, dich von schnöden Fakten verwirren zu lassen).

Ich weiß ja nicht, wie du zu der Meinung kommst, ich ließe mich nicht gerne eines Besseren belehren. Durch meine anderen Beiträge hier mit Sicherheit nicht.

E2E bedeutet, dass Daten vom Absender ver-, und erst vom Empfänger wieder entschlüsselt werden. Über den Übertragungsweg wird dabei absolut keine Aussage getroffen. Die Nachricht könnte unterwegs ausgedruckt, mit dem Schiff transportiert, wieder eingescannt und dem Empfänger zugestellt werden. Wenn Sie unterwegs nicht entschlüsselt wurde, ist's immer noch End to End (E2E) verschlüsselt. Wenn ein Herstellers einer App, beispielsweise WhatsApp, nun also sagt, er würde E2E machen, man aber nicht im Code nachsehen kann, ob das wirklich sauber implementiert ist, muss man dem Herstellers glauben, dass er die Daten nicht kurz entschlüsseln kann, während sie über seinen Server laufen. Oder eben auch nicht.

Ok, das hatte ich also falsch verstanden / kritiklos von "Lohengrin" übernommen. Such' dir was aus.

Das Prinzip kannst du z.B. bei de-mail anschauen (da ist's mit Ansage): die Mail geht verschlüsselt zu denen, wird dort aufgemacht und verarbeitet, neu verschlüsselt und dem Empfänger zugestellt.

Da tut mir aber was weh. Denen, die das "nutzen", aber offensichtlich nicht.

ich werde allerdings sporadisch mal auf “Beitrag des ignorierten Users anzeigen" klicken.

Na, das hört sich doch schon ganz anders an als "hier stinkt's nach Troll".

Wenn sich zeigt, dass es wieder um Fakten geht, statt um dein Ego, können wir gerne weitermachen.

Ich wüsste zwar nicht, womit, aber wenn das deine einzige Bedingung ist, müssten wir auch nicht erst aufhören.

[MSfree]

Wenn ein Herstellers einer App, beispielsweise WhatsApp, nun also sagt, er würde E2E machen, man aber nicht im Code nachsehen kann, ob das wirklich sauber implementiert ist, muss man dem Herstellers glauben, dass er die Daten nicht kurz entschlüsseln kann, während sie über seinen Server laufen. Oder eben auch nicht.

Es gibt zumindest genug Indizien dafür, daß sogar WhatsApp nicht in die Nachrichten reinschauen kann, mehr als die Metadaten, also Start- und Zieladressen einer Nachricht, kennt die nicht.

Bisher beissen sich jedenfalls alle Geheimdienste die Zähne an WhatsApp aus und dem Verlangen nach Backdoors für "Ermittlungsbehörden" wurde widerstanden. In DE wurde dafür ein Gesetz geschaffen, das es Ermittlern mittels Quellen-TKÜ, sprich Staatstrojaner, ermöglicht, auf dem Sende- bzw. Empfangsgerät die entschlüsselten Nachrichten abzugreifen.

WhatsApp verschlüsselt übrigens mit der selben Methode wie der Open-Source-Messenger Signal von Moxie Marlinspike. Es handelt sich also nicht um ein dubioses Verfahren, sondern um öffentlich bekannte Verfahren. OK, man könnte natürlich immer noch unterstellen, daß WhatsApp ein "modifizierte" Variante verwendet, die ständigen Forderungen seitens der "Ermittlungsbehörden", doch Einsicht in die Klartextnachrichten zu ermöglichen, deuten jedoch starkt darauf hin, daß das Verfahren nicht trivial knackbar ist. Wer nun behauptet, daß die Geheimdienste alles knacken können und für alles Backdoors oder Masterschlüssel haben, sollte sich mal fragen, ob bei so einem Riesenapparat wie z.B. der NSA solches Wissen nicht schon längst in die Öffentlichkeit hätte dringen müssen, denn Whistleblower und Maulwürfe gibt es überall.

[raa]

Es gibt zumindest genug Indizien dafür, daß sogar WhatsApp nicht in die Nachrichten reinschauen kann, mehr als die Metadaten, also Start- und Zieladressen einer Nachricht, kennt die nicht.

Geht's nicht noch ein bisschen verworrener?

[DeletedUserReAsG]

Es gibt zumindest genug Indizien dafür, daß sogar WhatsApp nicht in die Nachrichten reinschauen kann, mehr als die Metadaten, also Start- und Zieladressen einer Nachricht, kennt die nicht.

Dass sie, wenn sie reinschauen könnten, nicht gleich „wir können alles mitlesen!“ dranschreiben, sondern versuchen würden, es weiterhin sicher und solide aussehen zu lassen, sollte klar sein. Ebenso kann die Sache mit den Forderungen der Unterdrückungsbehörden eine große Nebelkerze sein, etwa „Wenn wir behaupten, nicht drauf zugreifen zu können, sondern stattdessen mit Nachdruck Möglichkeiten vom Anbieter, bzw. Gesetzgeber fordern (Quellenüberwachung) und ’n bisschen rumjammern, dass wir ja sonst total hilflos wären, glauben die aus unserer Sicht bösen Leute, der Kram sei sicher und nutzen es – und weichen nicht etwa auf Sachen aus, die wir tatsächlich nicht aufmachen können“. Ich persönlich halte das Szenario nicht für sehr wahrscheinlich, aber wenn nun jemand kategorisch meint, es sei unmöglich, möge er das bitte belegen, oder zumindest näher ausführen.

Aber, wie schon geschrieben: wenn das Gerät selbst nicht vertrauenswürdig ist, ist’s die ganze Verschlüsselungsgeschichte im Grunde ebenfalls nicht. Und derzeit gibt’s nicht viele Geräte, die ich zumindest als „wahrscheinlich vertrauenswürdig“ einschätzen würde. Auf der anderen Seite: jeder einzelne Punkt mehr, an dem Daten abgegriffen werden könnten, erhöht die Wahrscheinlichkeit, dass es auch geschieht. Ein Telephon mit Hersteller-OS und ’ner offenen, nach aktuellem Kenntnisstand als sicher zu bezeichnenden Kommunikationsapp sehe ich also immer noch als besser an, als ein Telephon mit Hersteller-OS und einer geschlossenen App, von der lediglich der Anbieter behauptet, es wäre sicher (auch, wenn derzeit nichts zwingend auf das Gegenteil hinweist – die Möglichkeit der Überprüfung fehlt halt).


Irgendwie glaube ich, dass das zu weit von „GPG für gewöhnliche Leute“ entfernt ist. Vielleicht mag ein Mod den Thread ja nochmal entsprechend auftrennen?

[raa]

Es gibt zumindest genug Indizien dafür, daß sogar WhatsApp nicht in die Nachrichten reinschauen kann, mehr als die Metadaten, also Start- und Zieladressen einer Nachricht, kennt die nicht.

Dass sie, wenn sie reinschauen könnten, nicht gleich „wir können alles mitlesen!“ dranschreiben, sondern versuchen würden, es weiterhin sicher und solide aussehen zu lassen, sollte klar sein. Ebenso kann die Sache mit den Forderungen der Unterdrückungsbehörden eine große Nebelkerze sein, etwa „Wenn wir behaupten, nicht drauf zugreifen zu können, sondern stattdessen mit Nachdruck Möglichkeiten vom Anbieter, bzw. Gesetzgeber fordern (Quellenüberwachung) und ’n bisschen rumjammern, dass wir ja sonst total hilflos wären, glauben die aus unserer Sicht bösen Leute, der Kram sei sicher und nutzen es – und weichen nicht etwa auf Sachen aus, die wir tatsächlich nicht aufmachen können“. Ich persönlich halte das Szenario nicht für sehr wahrscheinlich, aber wenn nun jemand kategorisch meint, es sei unmöglich, möge er das bitte belegen, oder zumindest näher ausführen.

Na bitte.

Und aus dem Chaos sprach eine Stimme zu mir: "Lächle und sei froh, denn es könnte noch viel schlimmer kommen!" Und ich lächelte und war froh - und es kam schlimmer.

Wie befürchtet: Nichts ist so verworren, dass es nicht noch mehr verwirrt (oder verworren gemacht?) werden könnte. Was soll in diesem Zusammenhang eine "Unterdrückungsbehörde" sein? Überhaupt: Wer ist denn nun "sie", die "da 'reinschauen" könnten, und wohinein denn nun genau, und was "darin" könnte wohl wen interessieren, und warum? Fragen über Fragen.

Aber bevor du mir wieder unterstellst, ich hätte irgendwas nicht verstanden (nur weil du nicht verstehen willst - offensichtlich nicht mal meine Ergüsse richtig gelesen hast), beantworte dir diese Fragen erst mal selber, ok? Steht nämlich alles schon etwas weiter oben - musst nur des verstehenden Lesens mächtig sein.

Aber, wie schon geschrieben: wenn das Gerät selbst nicht vertrauenswürdig ist, ist’s die ganze Verschlüsselungsgeschichte im Grunde ebenfalls nicht. Und derzeit gibt’s nicht viele Geräte, die ich zumindest als „wahrscheinlich vertrauenswürdig“ einschätzen würde.

Kann man so sehen. Und eins, auf dem die populärste mir (und nicht nur mir) bekannte Spionagesoftware "WhatsApp" läuft, wäre als wie vetrauenswürdig einzustufen?

Irgendwie glaube ich, dass das zu weit von „GPG für gewöhnliche Leute“ entfernt ist.

Also steck' dir deinen Glauben irgendwohin, halte dich mal lieber an Fakten. Sorry, wenn ich mit meinem Ton irgendwelche Gefühle von dir verletzt haben sollte.

[novalix]

Wer nun behauptet, daß die Geheimdienste alles knacken können und für alles Backdoors oder Masterschlüssel haben, sollte sich mal fragen, ob bei so einem Riesenapparat wie z.B. der NSA solches Wissen nicht schon längst in die Öffentlichkeit hätte dringen müssen, denn Whistleblower und Maulwürfe gibt es überall.

In den Snowden Files gibt es einige Stellen, die sich mit Angriffen auf ssh beschäftigen. Ich habe mir vor ein paar Jahren mal eine Zusammenstellung darüber durchgelesen[*]. Da waren ganz interessante Techniken beschrieben.
Alle "erfolgreichen" Angriffe basierten zu dem Zeitpunkt auf dem vorhergehenden Austausch des ssh server binaries durch eine präparierte Version.

Unter der Voraussetzung, dass die von Snowden veröffentlichten Daten in dieser Beziehung einigermaßen vollständig sind und sich seitdem nichts entscheidendes geändert hat, sollte man sagen können, dass die NSA ssh *nicht* geknackt hat.

Insgesamt scheint der erfolgversprechendste Angriffsvektor auf verschlüsselte Datenübermittlung die gezielte Manipulation der ausführenden Software zu sein.

[*]Habe leider keinen Link mehr dahin.

[DeletedUserReAsG]

Insgesamt scheint der erfolgversprechendste Angriffsvektor auf verschlüsselte Datenübermittlung die gezielte Manipulation der ausführenden Software zu sein.

… oder des darunterliegenden Systems. Jemand erinnert sich noch an die Panne mit dem RNG bei Debian?

[raa]

Insgesamt scheint der erfolgversprechendste Angriffsvektor auf verschlüsselte Datenübermittlung die gezielte Manipulation der ausführenden Software zu sein.

Irgendwie scheint nur leider auch dir überhaupt noch nicht klar zu sein, dass das beschriebene "Geschäftsmodell" absolut nichts mit "Knacken" verschlüsselter Daten zu tun hat.

Nur das Beispiel, das mich kürzlich geschockt hat: Habe mir interessehalber mal "nextcloud" installiert - auf dem Server. Mal abgesehen davon, dass die "automatische" Installation unter Linux absoluter Schrott ist (über die interne "Datenbank" schweigt des Sängers - Verzeihung: Entwicklers Höflichkeit) - wie ich mir glaubwürdig bestätigen ließ, war das Folgende leider kein böser Traum, sondern harte Realität: Als ich mir den Client installieren wollte, fragte mich der Anbieter doch echt und ernsthaft nach den Zugangsdaten für meinen Server. Für wie blöd halten die ihre "Kunden"? Und will ja gar nicht wissen, wie viel darauf 'reinfallen. Für mich jedenfalls keine Frage mehr, wie nextcloud mit dieser kostenloden Software "Geld verdient". Hoffentlich für dich und andere Mitlesende hier auch bald nicht mehr.

[DeletedUserReAsG]

Ups, nun hab ich doch zu früh auf „Beitrag anzeigen“ geklickt. Der User braucht wohl noch einige Zeit, um zu lernen, das er nicht der Mittelpunkt von allem ist. Sei’s drum:
Nextcloud ist Open Source und recht gut dokumentiert. Auch so Sachen, wie dass es ’ne Datenbank braucht. Außerdem ist’s einigermaßen sicher, so dass nicht jeder Client ohne Auth zum Server verbinden kann, und daher die Anmeldedaten benötigt.

Irgendwie scheint nur leider auch dir überhaupt noch nicht klar zu sein, dass das beschriebene "Geschäftsmodell" absolut nichts mit "Knacken" verschlüsselter Daten zu tun hat.

Irgendwie scheint’s leider auch nur dir überhaupt noch nicht klar zu sein, worum’s in diesem Thread überhaupt geht. Leute gibt das ….

[reox]

Kann man jetzt eigentlich in gpg einen anderen hash als SHA1 für die fingerprints der keys haben?

[eggy]

@ novalix meinst du https://www.zeit.de/digital/datenschutz ... sa-skandal ?

Ein ganz anderes Ziel für die nächsten Jahre ist es, kommerzielle und andere Verschlüsselungssysteme zu brechen – mithilfe von Technik oder auch Spionen, die in Unternehmen für Verschlüsselungstechnik eingeschleust werden sollen. Das geht aus einem "mission statement" für die Zeit von 2012 bis 2016 hervor, das die New York Times veröffentlicht hat.

Aus dem oben genannten Link.

Das grundlegende Verfahren gilt wohl als sicher. Soweit ich verstanden habe, das Protokoll basiert auf einem Publickey Verfahren. Die Keys werden auf dem Endgerät, genauer in den meisten Fällen in der App, generiert. Die Keyerzeugungsfunktion sollte deterministisch sein (anderenfalls wären Probleme hier unmöglich zu debuggen, automatisches Testen ebenfalls nicht möglich). Die erzeugten Schlüssel sind zufällig, hängen demnach aber von Eingabewerten ab. Mal ganz sachlich gefragt: was hindert die App daran, diese Eingabewerte vorsichtshalber zu duplizieren? Die Zusage "machen wir nicht"? Ob man sich darauf verlassen will oder nicht muss jeder selbst entscheiden.

https://www.heise.de/mac-and-i/meldung/ ... 23461.html

https://signal.org/blog/there-is-no-whatsapp-backdoor/
Für Aluhutträger und solche, die es werden wollen: manchmal ist viel interessanter was alles nicht gesagt wird, als das was gesagt wurde.
Der eine liest da etwas zwischen den Zeilen der andere nicht. Möge ebenfalls jeder für sich selbst entscheiden.

Mein Humordetektor ist jedenfalls bereits bei "At no time does the WhatsApp server have access to any of the client's private keys.", aus dem im Blog verlinkten Whitepaper, angesprungen. Aus dem Satz kann man so wunderbar auch vieles andere lesen - klar, ist bestimmt nicht so gemeint. Aber ohne Zugang zum Sourcecode kann man das eh nicht nachprüfen. Ahja und selbstkompilieren und vertrauenswürdige Toolchain und und und ... eh egal: die App läuft in den meisten Fällen auf nem Andoid oder IOS ... soviel zu Sicherheit und Privatsphäre.

[raa]

Leute gibt das …

Richtig, Leute gibt's, die gibt's gar nicht. Glaubst du vielleicht, du bist der erste, der nicht kapieren will und seine Verwirrung (oder Böswilligkeit) mir einreden will?

Also nochmal exclusiv für dich ganz langsam zum Mitmeißeln: Ich hatte mir den Server der Cloud installiert, und zwar auf meinem Root-Server. Ein Blick (mittels MySQL-Workbench) in dieses "Datenbank" genannte Machwerk ließ mir die letzten Haare zu Berge stehen, aber wenn ich die Zeit (und Lust) hätte, dir zu erklären, warum, würde es eine Ewigkeit dauern, bis du das begreifst. Mir jedenfalls war dann klar, warum erst mal so gut wie gar nichts ging, und nach einiger Frickelei und Suche nach Fehlern (die übrigens nirgends dokumentiert sind) auch erst nur "irgendwie" was lief, nur nichts richtig. Nur ein "Zusammentreffen aller günstigsten Umstände" hätte das bewirken können. Wenn ich als Entwickler (s. mein Profil) irgendwo angefangen hätte, so einen Schrott zu programmieren - das hätte sich ein Chef mit ein bisschen Ahnung ein Weilchen angeguckt und mich dann 'rausgeschmissen oder erst mal zu ein paar Grundlehrgängen, hauptsächlich zu den Themen "Relationale Datenbanken" und "Strukturierte Programmierung" geschickt. Aber nicht auf Kosten der Firma. Also diesen "Source" wiil ich gar nicht sehen, der kann höchstens halb durchdacht sein.

Aber das ist nicht ja das einzige Problem, und nicht mal das schlimmste, das du auch nicht erkannt hast - solltest lesen lernen:

... wie ich mir glaubwürdig bestätigen ließ, war das Folgende leider kein böser Traum, sondern harte Realität: Als ich mir den Client installieren wollte, fragte mich der Anbieter doch echt und ernsthaft nach den Zugangsdaten für meinen Server.

Also zur Sicherheit nochmal für dich: Nicht etwa mein Client brauchte die (so blöd, wie du tust, bin ich nicht) - so weit kam's ja gar nicht. Schon damit ich mir den Client hätte 'runterladen können, wollte Fa. nextcloud die Zugangsdaten zu meinem Server wissen (den ich mir gerade installiert hatte) - haste das jetzt gefressen?

Für wie blöd halten die ihre "Kunden"? Und will ja gar nicht wissen, wie viel darauf 'reinfallen. Für mich jedenfalls keine Frage mehr, wie nextcloud mit dieser kostenlosen Software "Geld verdient". Hoffentlich für dich und andere Mitlesende hier auch bald nicht mehr.

Für dich offensichtlich schon, oder? Du hättest denen arglos die Zugangsdaten zu deinem Server gegeben - und damit den für sie wie ein Scheunentor geöffnet - oder vielleicht doch lieber nicht? Das hoffe ich jedenfalls für dich. Anderenfalls halt' jetzt hier bitte 'raus und lass mal Leute zu Wort kommen, die wissen, wovon sie reden.

[Lohengrin]

1. faktisch falsch. Tatsächlich sind nahezu immer Server dazwischen. Verwechselt du E2E mit P2P?

Erklärst du mir den Unterschied oder fragen wir mal "Lohengrin"? Von dem habe ich diese Weisheit nämlich.

Ok, das hatte ich also falsch verstanden / kritiklos von "Lohengrin" übernommen. Such' dir was aus.

raa hat recht. Das nehme ich auf meine Kappe.

Ich war in einer anderen Abstraktionsebene, habe mich unpräzise ausgedrückt.
Dieser mein Beitrag an das Debianforum wird von meinem Debianrechner über https ans Debianforum gehen. Ich hänge über mein Smartphone am Netz. Dieser mein Beitrag wird, egal ob in ganzen TCP-Paketen oder in Stücken davon, auf meinem Smartphone sein. Aber mein Smartphone wird ihn hoffentlich nicht entschlüsseln können.
Das habe ich gemeint, als ich sagte, dass das bei Whatsapp, wenn Whatsapp E2E Verschlüsselung macht, von einem Smartphone ans andere ginge. Ich habe da nur die Stationen des Weges als Zwischenstationen betrachtet, die die Daten unverschlüsselt haben.
Dass irgendwer verschlüsselte Daten abgreifen und horten kann, ist sowieso klar. Und dass diese Daten mglw im Nachhinein entschlüsselt werden, nämlich wenn der Angreifer es endlich geschafft hat, einem der Kommunikationspartner die Schlüssel auszuspähen, auch.

[Lohengrin]

Es gibt zumindest genug Indizien dafür, daß sogar WhatsApp nicht in die Nachrichten reinschauen kann, mehr als die Metadaten, also Start- und Zieladressen einer Nachricht, kennt die nicht.

Dass sie, wenn sie reinschauen könnten, nicht gleich „wir können alles mitlesen!“ dranschreiben, sondern versuchen würden, es weiterhin sicher und solide aussehen zu lassen, sollte klar sein. Ebenso kann die Sache mit den Forderungen der Unterdrückungsbehörden eine große Nebelkerze sein, etwa „Wenn wir behaupten, nicht drauf zugreifen zu können, sondern stattdessen mit Nachdruck Möglichkeiten vom Anbieter, bzw. Gesetzgeber fordern (Quellenüberwachung) und ’n bisschen rumjammern, dass wir ja sonst total hilflos wären, glauben die aus unserer Sicht bösen Leute, der Kram sei sicher und nutzen es – und weichen nicht etwa auf Sachen aus, die wir tatsächlich nicht aufmachen können“. Ich persönlich halte das Szenario nicht für sehr wahrscheinlich, aber wenn nun jemand kategorisch meint, es sei unmöglich, möge er das bitte belegen, oder zumindest näher ausführen.

Schön geschrieben!
Zu beachten ist aber auch, dass es ausreicht, den Eindruck zu erwecken, die Regierung würde sehr viel ausspionieren, um das Volk an die Kandarre zu nehmen. Ich denke da an die Fantastillionen Bytes, die NSA angeblich irgendwo speichert.

Irgendwie glaube ich, dass das zu weit von „GPG für gewöhnliche Leute“ entfernt ist. Vielleicht mag ein Mod den Thread ja nochmal entsprechend auftrennen?

Sehe ich genauso.
Ich würde mich hier viel lieber darüber unterhalten, ob der Fingerprint bei GPG SHA1 sein muss, und was diese Keygrips sind.

Hilfe! Moderator!