Schwarzes Hamburg

  • 23 Dezember 2024, 10:21:24
  • Willkommen Gast
Bitte logg dich ein oder registriere dich.

Einloggen mit Benutzername, Passwort und Sitzungslänge
Erweiterte Suche  

Autor Thema: Die Krypto-Krypta - Verschlüsseln für Anfänger und Fortgeschimmelte  (Gelesen 7589 mal)

CommanderChaos

  • > 5000 Posts
  • *****
  • Beiträge: 5316
  • Der Name ist Programm.

Sorry, aber den Titel konnte ich mir nicht verkneifen.

Bin immer noch etwas im Stress, aber werfe schon mal das Grundgerüst in den Raum, ich gedenke bei fortschreitender Diskussion aus diesem Post eine Art Verzeichnis zu machen mit allen relevanten Anleitungen (oder Links dorthin).
Wer sich auskennt, möge bitte Beiträge leisten, wer besondere Fragen hat, möge sie stellen (außer nach dem "warum", das wird in diesem Thread ausreichend geklärt).

E-Mail:
PGP/Gnu-PG

Instant Messaging:
OTR (warum nicht PGP? [insert here])
Plattformen, Clients, Plugins, Netzwerke, ...

SMS
Plattformen, Clients

Telefonie, für die ganz Harten
Plattformen, Clients

Dateien
Systeme, Vor/Nachteile
Gespeichert
Be Strong!
Be Pleasant.
Be Unwavering!
Be Smart.
Be Awesome!
Awareness! It was under ‘E’!
(from Fallout: Equestria by Kkat)
http://www.graphicguestbook.com/madd1n - Mal mir ein Bild!
Mein Senf: http://twitter.com/chaoscommander https://strikeslipvault.org

colourize

  • Gallery Admin
  • > 5000 Posts
  • *
  • Beiträge: 6921
  • Rock this Town!

Und Facebook? Wie verschlüssele ich mein Facebook, sodass es Herr Obama nicht lesen kann? :-X
Gespeichert

RaoulDuke

  • Gallery Admin
  • > 2500 Posts
  • *
  • Beiträge: 3340
  • Non serviam!

Also bevor es konkret wird mit Fragen - so würde ich gerne Tor auf dem Handy nutzen können und einen PGP-fähigen Mailclient mit wirksamer Verschlüsselung auch auf dem Mobiltelefon nutzen - möchte ich nochmals zu bedenken geben, dass derjenige, der nichts zu verbergen hat, auch nichts befürchten muss... *GRINS*

Für wirklich sichere Kommunikation halte ich nur solche, die belanglos erscheint, deswegen nicht in Filtern auftaucht, weder politische noch sonstwie interressante Aussagen enthält und nicht zufällig durch den Gesamtkontext oder statistische Auswertungen doch noch Brisanz bekommt. Am besten sollte man also einfach die Klappe halten. *g*

Denn: Want NSA Attention? Use Encrypted Communications!, sowie Procedures used by NSA to minimize data collection from US persons: Exhibit B – full document (enthält auch die für uns relevanten Passagen, da wir überwiegend nicht-US-Bürger sein werden - "The documents detail the procedures the NSA is required to follow to target 'non-US persons' under its foreign intelligence powers")...

Es kann also sein, dass man gerade ins Visier gerät, weil man nicht ins Visier möchte. Keine Überraschung, und ich melde mich auch gleich freiwillig (bin vermutlich eh schon drin), denn die ganze Überwachungsstaat-Nummer macht mich so sauer, dass ich das dringende Bedürfnis habe, mich dagegen aufzulehnen. Man bekommt ja richtig Lust, sich politisch zu engagieren.
« Letzte Änderung: 03 Juli 2013, 10:43:01 von RaoulDuke »
Gespeichert

CommanderChaos

  • > 5000 Posts
  • *****
  • Beiträge: 5316
  • Der Name ist Programm.

Wie schon auf Facebook gesagt: Wenn man deren "GEFÄHRLICHE HEIMLICHTUENDE TERRORISTEN"-Filter mit jeder Menge verschlüsselter Gespräche über Wetter und Essen und niedlichen Katzenfotos zusetzt, hat das auch einen Effekt - ich erinnere an die Aktion zur Vorratsdatenspeicherung, alle e-Mails in CC ans Innenministerium zu schicken.
Ich hab mich auch auf Twitter heute wohl erst mal beim Verfassungsschutz freiwillig gemeldet, indem ich zusammen mit anderen an @RegSprecher geschrieben habe, dass wir langsam GG Art. 20 IV als anwendbar betrachten.

Colourize: Witz verstanden, aber: Facebookchat ist verschlüsselbar.

Tor aufs Handy: Für Android gibt es https://play.google.com/store/apps/details?id=org.torproject.android - wenn man den gesamten Datenverkehr umleiten will, braucht man aber Root-Zugriff, sonst geht es nur mit einzelnen Apps.
Mail mit PGP: https://play.google.com/store/apps/details?id=com.fsck.k9 - habe ich noch nicht getestet.
Gespeichert
Be Strong!
Be Pleasant.
Be Unwavering!
Be Smart.
Be Awesome!
Awareness! It was under ‘E’!
(from Fallout: Equestria by Kkat)
http://www.graphicguestbook.com/madd1n - Mal mir ein Bild!
Mein Senf: http://twitter.com/chaoscommander https://strikeslipvault.org

Jack_N

  • > 1000 Posts
  • ***
  • Beiträge: 1298

und ich werfe mal ein dezentes "bringt alles nix" in den Raum - so rein von der IT-Seite her.
Warum? Weil bereits vor über 10 Jahren die Telekom an jedem DSL-Verteiler einen Extra-Anschluß montierte damit entsprechende Unternehmen im Auftrag von Behörden direkt dort den gesamten Datenverkehr von verdächtigen Personen mitschneiden können (nein, keine Utopie, Realität).
Weil bereits damals die alte WEP-Verschlüsselung in Minuten per PDA zu knacken war - heute geht das noch wesentlich besser.
Netzwerk-Sniffer-Tools und vieles andere findet man frei im Netz - und jetzt geht mal davon aus dass das, was ihr NICHT so findet, um den Faktor 10 bis 100 leistungsfähiger ist.
Um ein Botnetz auf ein bestimmtes Ziel zu hetzen braucht es heutzutage nur noch Kreditkarteninformationen und ein paar Mausklicks. Gib das Ziel an, wähle ein paar Softwareprodukte aus von denen Du vermutest dass sie dort eingesetzt werden (z.B. über das, womit eine Firma auf ihrer Webseite prahlt), gib ein Ziel an wo ausspionierte Daten abgespeichert werden sollen und FEUER. 2 Wochen später bitte die Resultate einsammeln, Hacken für Dummies.
Und auch diese Demonstration hab ich bereits vor fast 4 Jahren gesehen.

Tor ist sowieso nicht sicher. Das "Darknet" wie man so schön sagt ist nur aus dem Grund kein großes Angriffsziel weil es von Kriminellen die ihre Kanäle schützen wollen genauso genutzt wird wie von Regierungen die unentdeckt bleiben möchten. Keiner kackt vor die eigene Haustür.

Wir müssen damit leben dass keine Verschlüsselung wirklich sicher ist. Am Einfachsten entzieht man sich der Überwachung immernoch in dem man keinen Anlass dafür bietet dass man überwacht wird. Sobald jemand nur noch verschlüsselt kommuniziert wird er interessant, besonders wenn dies schlagartig passiert (die aktuellen Geschehnisse wären ein guter Grund zur Radikalisierung und eröffnen den entsprechenden Diensten eine Fülle neuer Potentieller Zielpersonen).

Man kann eine gewisse "Grundsicherheit" sich zulegen, das ist auch nicht verkehrt. Aber zu überlegen wo man draufklickt und was man an elektronischen Spuren hinterlässt, bzw. dies größtenteils zu vermeiden - das ist der beste Schutz vor allem. Irgendwann wird man aber sicher schon als Verdächtig angesehen wenn man KEIN Facebook-Account hat...
Gespeichert
"Spiel immer nach den Regeln, denn ohne Regeln ist es kein Spiel mehr!"

colourize

  • Gallery Admin
  • > 5000 Posts
  • *
  • Beiträge: 6921
  • Rock this Town!

Irgendwann wird man aber sicher schon als Verdächtig angesehen wenn man KEIN Facebook-Account hat...
Das vermute ich auch.

Also bin ich auf Nummer Sicher gegangen und hab mir direkt zwei Facebug-Accounts angelegt. Haha, supaclever, jaha.
Gespeichert

CommanderChaos

  • > 5000 Posts
  • *****
  • Beiträge: 5316
  • Der Name ist Programm.

Weil bereits damals die alte WEP-Verschlüsselung in Minuten per PDA zu knacken war - heute geht das noch wesentlich besser.
Wer benutzt denn bitte WEP und was hat das mit dem Thema zu tun? PGP z.B. benutzt (wenn man es so konfiguriert) eine Schlüssellänge von 4096bit. Kein bekannter Computer kann das knacken, und was die Telekom mit einem Extrakabel im Verteiler dagegen tun will, möchte ich mal wissen.
Natürlich macht man sich mit so hoher Kommunikationssicherheit verdächtig, aber gerade deswegen wird das Ganze für die Geheimdienste etc. unbrauchbarer, je mehr Leute teilnehmen. Sind plötzlich alle verdächtig UND alle hochverschlüsselt, können sie ja mal vorn anfangen, Codes zu knacken - irgendjemand meinte, ihr bestes Rechenzentrum könnte einen zeitgemäßen Schlüssel innerhalb eines Jahres finden - würde dann aber nichts anderes in der Zeit machen und einige Gigawattstunden an Strom verbrauchen. So lange Quantencomputer nicht anfangen, Schlüssel aus Paralleluniversen zu extrahieren, ist eine solche Verschlüsselung nahezu unangreifbar.

Der einzige Sinn von TOR ist übrigens, zu verbergen, wer und wo du bist. Und das ist, solange du nicht die Kontrolle über Ein- und Ausgangsknoten des Benutzers hast, ebenfalls unangreifbar (sofern man daran denkt, Cookies auszuschalten, Flash, Skripte etc etc).
Gespeichert
Be Strong!
Be Pleasant.
Be Unwavering!
Be Smart.
Be Awesome!
Awareness! It was under ‘E’!
(from Fallout: Equestria by Kkat)
http://www.graphicguestbook.com/madd1n - Mal mir ein Bild!
Mein Senf: http://twitter.com/chaoscommander https://strikeslipvault.org

CubistVowel

  • > 2500 Posts
  • ****
  • Beiträge: 3175
  • The thing on the doorstep

Am Einfachsten entzieht man sich der Überwachung immernoch in dem man keinen Anlass dafür bietet dass man überwacht wird.

Das scheint mir in Zeiten, in denen anlass- und verdachtslos jeder überwacht werden kann und in denen die Überwachung der Kommunikation und des Aufenthaltsortes stets weiterentwickelt und per Gesetz verankert wird, leider ein ziemlich naiver Gedanke zu sein. Oder ist das etwa die Aufforderung zum Duckmäusertum...? ;)
Gespeichert
"Maybe this world is another planet's hell." (Aldous Huxley)

Jack_N

  • > 1000 Posts
  • ***
  • Beiträge: 1298

nope, weit von der Aufforderung entfernt.
Aber da z.B. die Algorithmen zur Email-Auswertung nicht so sehr über den Inhalt der Emails schauen, sondern eher wer mit wem Kontakte hat und wo diese Leute wohnen/was sie tun... Du verstehst was ich meine?

Und Commander: Was ich meine ist dass Du den Otto-Normalbürger nicht dazu bekommst solche Verschlüsselungsalgorithmen zu benutzen solange sie nicht transparent in seine Arbeitsumgebung eingebunden sind und er sie auf allen Geräten (Mobiltelefon, Laptop, und für den Abruf per Webmail unterwegs) nutzen kann. Insofern gehörst Du als Nutzer solcher Verschlüsselungen immer zu einer technikaffinen Minderheit, bist im minderen Fall ein "harmloser Spinner", im höchsten in "interessanter Verdächtiger".
Da sich aber eh viel mehr auch im Falle von Prism um Wirtschaftsspionage als um ersthafte Terrorbekämpfung handelt brauchen wir uns im Großen und Ganzen keine Sorgen machen.
Es interessiert den NSA-Typen wirklich nicht wer auf Deinen Urlaubsfotos drauf ist. Was ihn interessiert ist welche Position Du in welcher Firma inne hast und ob es sich lohnt Dir mal gezielt ein paar Mails zu schicken die so interessant klingen dass Du sie einfach öffnen musst.
Auf Firmengrund fallengelassene USB-Sticks sind auch immer wieder interessant - was da wohl drauf ist?

Ziele ausspähen, mit fachgerechten Methoden infiltrieren und immer wissen was der andere gerade über einen denkt - das ist das Ziel dieser ganzen Geschichte.
Das nebendran riesige Datenmengen von Unfug gesammelt werden ist derzeit noch eher nervig. Das Material ist momentan zu umfangreich und nicht zielgerichtet genug um einen totalitären Überwachungsstaat zu bauen, zumal die USA ja primär Daten von ausländischen Bürgern sammeln.
Was nicht ist kann aber noch werden - ich prohphezeie ja das alles was technisch möglich ist auch gemacht wird.


Die WEP-Verschlüsselung sollte übrigens nur ein Beispiel dafür sein dass ein zu seiner Zeit als sicher geltender Algorithmus auch schon geknackt sein kann. Für eine 4096Bit-Verschlüsselung ist die Rechenpower astronomisch, korrekt. Die Frage ist nur ob alles was wir nutzen so "hintertürchenfrei" ist wie wir es gerne hätten. Auch und gerade im Open Source Umfeld findet ein Code Review oft nicht oder nur unvollständig statt - weil eben ja jeder den Sourcecode einsehen könnte. Tut nur eben nur selten jemand.

Und das mit der Telekom war ein Beispiel dafür dass derartige Überwachunsmethoden nicht neu sind und schon vor langer Zeit von den entsprechenden fast-Monopolisten für staatliche Stellen vorbereitet wurden, wer Microsoft oder Apple jetzt ankackt das sie bei PRISM mitmachen, der hat den Schuss wirklich nicht gehört. Jedes börsennotierte Unternehmen kann sich da garnicht wehren, der Aktienkurs würde schneller in den Keller rasen als ihnen lieb wäre und die Investoren würden Sturm laufen, dafür wird dann gesorgt.

Was TOR macht ist mir sehr wohl bewusst. Dir ist hoffentlich auch bewusst dass viele der Endknoten nur oberflächlich anonym sind...

Mein Fazit nach der Zeit die ich mich mit Computern und deren Sicherheit befasst habe: Irgendwann wird jeder Schutz geknackt, der beste hält ein paar Jahre, dann ist es soweit. Jeder Kopierschutz ist umgehbar, jede Verschlüsselung irgendwann aufhebbar.
Die einzige Ausnahme wäre eine Verschlüsselung deren Nutzung so kompliziert ist dass niemand sich darum kümmern würde.

Diese Panikmache die jetzt von allen Seiten aufgefahren wird finde ich lächerlich. Nein, ich melde mich nicht überall im Web mit meinen Realdaten an. Das ist schonmal ein simpler Startpunkt. Dann noch möglichst wenig oder keine Bilder von sich hochladen wäre das Nächste. Das sind aber Grundregeln die gelten seit es das Internet gibt. Firmen, die jetzt aus den aufgeschreckten Bürgern Kapital schlagen wollen halte ich für Gauner und Halsabschneider.
Den Versuch, dem einfachen Bürger Verschlüsselungssachen aufzudrücken, für eine Panikmache erster Güte.
Zuerst muss der Normalbürger verstehen was seine Handlungen im Netz für Spuren und Konsequenzen hinterlassen. Erst dann kann man mit den Sicherheitsmöglichkeiten kommen. Und dann muss jeder für sich selbst abwägen wie die Balance zwischen Sicherheit und Benutzerfreundlichkeit für ihn ausfällt, bzw. welche Kompromisse er eingehen möchte.
Gespeichert
"Spiel immer nach den Regeln, denn ohne Regeln ist es kein Spiel mehr!"

banquo

  • > 2500 Posts
  • ****
  • Beiträge: 2582
  • utterly amoral in the service of his own curiosity

soviel zum Thema 'dann schreibe ich halt wieder Briefe':

www.nytimes.com/2013/07/04/us/monitoring-of-snail-mail.html?_r=0

ich bleibe dabei: wir brauchen eine politische Lösung. und da müssen langsam echt mal Konsequenzen folgen.
Gespeichert
"Ile call vpon you straight: abide within,
It is concluded: Banquo, thy Soules flight,
If it finde Heauen, must finde it out to Night."

sYntiq

  • Gallery Admin
  • > 5000 Posts
  • *
  • Beiträge: 8168
  • タチコマ
    • blindsicht

Und Commander: Was ich meine ist dass Du den Otto-Normalbürger nicht dazu bekommst solche Verschlüsselungsalgorithmen zu benutzen solange sie nicht transparent in seine Arbeitsumgebung eingebunden sind und er sie auf allen Geräten (Mobiltelefon, Laptop, und für den Abruf per Webmail unterwegs) nutzen kann.

[...]

Zuerst muss der Normalbürger verstehen was seine Handlungen im Netz für Spuren und Konsequenzen hinterlassen.

In einem anderen Forum habe ich diverse Kommentare/Forderungen gelesen die meienr Meinung nach sehr gut zeigen wie wenig das eigentliche Problem, bzw. die Sache an sich verstanden wird.

Kurz: Es wurde dort die Forderung laut nach EINEM Anbieter der die ganze Verschlüsselung sämtlicher Kommuniktion für einen übernimmt, weil das ja das unkomplizierteste aber gleichzeitig sicherste (Häh?) für alle wäre....   ::)
Gespeichert
Wer eine Message rüberbringen will, sollte Postbote werden.

XBL: sYntiq       PSN: sYntiq       N-ID: sYntiq

RaoulDuke

  • Gallery Admin
  • > 2500 Posts
  • *
  • Beiträge: 3340
  • Non serviam!

soviel zum Thema 'dann schreibe ich halt wieder Briefe':

www.nytimes.com/2013/07/04/us/monitoring-of-snail-mail.html?_r=0

ich bleibe dabei: wir brauchen eine politische Lösung. und da müssen langsam echt mal Konsequenzen folgen.

US-Regierung überwacht Briefverkehr ... auch gerade gelesen.

Gruselig. Aber wo bekommt man eine politische Lösung denn her? Es scheint nur wenige Parteien zu geben, die aktiv dagegen vorgehen wollen, und die, die es wollen, liegen weit unter der 5%-Hürde. Keine schöne Ausgangslage, aber aufgeben sollte man wohl dennoch nicht. Nur - was tun? ... ich werde jedenfalls mal zu einem der regelmäßigen Treffen in der Landesgeschäftsstelle der Piraten gehen und mir anhören, was die dazu zu sagen haben.
Gespeichert

danny

  • > 2500 Posts
  • ****
  • Beiträge: 4383
  • lustiger glückshase
    • geflickr

sorry, Jack_N, aber wenn ich dein posting lese, brauche ich soviele arme wie eine indische gottheit um genug hände zu haben, die ich mir vors gesicht schlagen kann...
Gespeichert
"life would be easier if i didn't give a shit. but i do."
(nick hornby, "slam")

CommanderChaos

  • > 5000 Posts
  • *****
  • Beiträge: 5316
  • Der Name ist Programm.
Antw:Die Krypto-Krypta - Verschlüsseln für Anfänger und Fortgeschimmelte
« Antwort #13 am: 06 September 2013, 15:59:57 »

Sorry, dass ich bisher keine Anleitungen eingefügt habe, war faul. Bin immer noch faul. Bis dahin kann man sich schon mal auf www.prism-break.org vergnügen.
Gespeichert
Be Strong!
Be Pleasant.
Be Unwavering!
Be Smart.
Be Awesome!
Awareness! It was under ‘E’!
(from Fallout: Equestria by Kkat)
http://www.graphicguestbook.com/madd1n - Mal mir ein Bild!
Mein Senf: http://twitter.com/chaoscommander https://strikeslipvault.org

Jack_N

  • > 1000 Posts
  • ***
  • Beiträge: 1298
Antw:Die Krypto-Krypta - Verschlüsseln für Anfänger und Fortgeschimmelte
« Antwort #14 am: 06 September 2013, 18:48:37 »

sorry, Jack_N, aber wenn ich dein posting lese, brauche ich soviele arme wie eine indische gottheit um genug hände zu haben, die ich mir vors gesicht schlagen kann...

Magst Du das auch mit Inhalt versehen? So wie sie jetzt dasteht ist Deine Aussage relativ sinnfrei.
Ich weiss nicht ob Du in der Materie drinsteckst oder in der Branche arbeitest. Ich bin weiss Gott kein Kryptologieprofessor oder IT-Sicherheitsexperte (so viele graue Haare brauch ich nicht :D ), aber hab in der Praxis oft genug in kleinen und mittelständischen Firmen mitbekommen wie Dinge gehandhabt werden und durch die Zusammenarbeit mit großen Rechnzentren auch n Gefühl was dort für ein Aufwand zur Absicherung der Systeme (nicht) betrieben wird.

Als Fazit kann ich nur stehen lassen: Ein Verschlüsselungssystem wird nur dann angenommen wenn es im Alltag kaum oder keine negativen Auswirkungen mit sich bringt. Bedeutet: Otto Normaluser muss einmal etwas einrichten können und dann das gute Gefühl haben dass sein Datenverkehr ab jetzt verschlüsselt ist.
Der durchschnittliche Firmennutzer stöhnt doch schon wenn er nur einmal im halben Jahr sein Passwort ändern soll und dann keins der letzten 10 nehmen darf.

Beispiel: Die in Outlook einfachst verfügbare S/Mime-Verschlüsselung. Simpel einzurichten, kann auch von Nutzern mit anderen Mailclients mitbenutzt werden. Scheitert in der Firmenkommunikation selbst bei firmeninternen Mails dann daran dass diese über den Webmail-Zugang nur noch mit dem IE + passendem Plugin von einem Rechner auf dem die Zertifikate liegen abgerufen werden können. Tolle Idee (wir verschlüsseln die gesamte interne Mailkommunikation), Umsetzung halt für die Tonne wegen einem Bonusfeature, was aber von einigen Nutzern (mit Entscheidungsgewalt) als unabdingbar angesehen wird.

Ich verstehe die allgemeine Empörung.
Ich weiss jeden Tag bei den weiteren "Enthüllungen" nicht ob ich lachen oder weinen soll.
Nein, ich finde es nicht wirklich überraschend das die Geheimdienste diese Methoden anwenden. Wenn Systeme vor Kriminellen nicht sicher sind, warum sollten sie es vor Geheimdiensten (mit größerem Budget) sein?
Ich bin auch dafür dass Privatmenschen ein Anrecht auf den Schutz ihrer privaten Daten haben und dieses auch durchgesetzt wird. Ich kann aber die Hysterie die einige Leute an den Tag legen nicht verstehen, es interessiert eher einen künftigen Arbeitgeber was ich auf Facebook ablasse als irgendeinen Geheimdienst.
Gespeichert
"Spiel immer nach den Regeln, denn ohne Regeln ist es kein Spiel mehr!"