ComputerBase Menü
Aktuelles

News Ende-zu-Ende-Verschlüsselung gegen Massenüberwachung

Alles Augenwischerei, solang +95% der Leute amerikanischen Betriebssystemen hörig sind. Was bringt es denn, den Brief im Tresor zu verschiffen, wenn beim Schreiben bzw. bei der Eingabe am Zahlenschloss einer zuguckt? Da ist alle Verschlüsselung völlig irrelevant. Zuerst muss Microsoft mal raus aus allen staatlichen (auch auf EU-Ebene) Einrichtungen. Allein das ist leider utopisch, weil unbequem und von der US-hörigen Obrigkeit gar nicht gewollt aus inzwischen allseits bekannten Gründen.
 
Ich wette, die NSA hat auch hintertürchen in Prozessoren und Router einbauen lassen.
 
@techfreak

Ich bin auch der Meinung das ein gewisses grundlegendes Verständnis für Alltagsgegenstände vermittelt werden sollte, erst recht in höheren Schulen. Gerade wenn es um die Sicherheit im Netz geht sieht man sehr deutlich die negativen Folgen wenn jeder DAU sich darin herumtummeln darf, und das nicht nur im Bereich Verschlüsselung sondern noch viel schlimmer im Bereich Schadsoftware.

Die ungehemmte Vermehrung von Viren, Trojanern usw. ist doch nur möglich weil sich zu viele keine Gedanken um einen anständigen Virenschutz machen. Genauso wie diejenigen die einfach sagen "Für was Verschlüsselung ich hab doch eh keine wichtigen Daten auf den Rechner". Für das Auto braucht man einen Führerschein, in das Internet darf aber jeder selbst wenn er nicht einmal 1 und 1 zusammenzählen kann.

Wir leben in einer hochtechnisierten Welt und der unverantwortliche Umgang damit birgt viele Gefahren, so ist es bestimmt nicht zu viel verlangt ein grundlegendes Verständnis dafür zu vermitteln, selbst wenn dies nur den sicheren Umgang damit bedeutet.

Der mündige Bürger ist aber leider weder von der Regierung noch von der Industrie erwünscht, denn man kann ihn nicht so leicht übers Ohr hauen und ausbeuten.
 
"Bullshit made in germany" - das war die erste Intention als ich von diesem "schlandnet" Vorschlag, in diesem Beitrag, gelesen habe. Ein sehr amüsanter Beitrag, der auch auf YouTube vertreten ist. ;-)
 
Verschlüsselung ist sinnlos wenn der Abhörer an der Root-CA sitzt und die Algorithmen zum Schlüsselaustausch kontrolliert bzw. maßgeblich beeinflusst. Ein winziger Implementierungsfehler wie Heartbleed macht zudem alle Versuche zunichte. Und auch die CPUs könnten durch geheime undokumentierte Funktionen Schlüssel sammeln und unauffällig weitergeben, zumindest dieser Fall ist aber bisher noch nicht bekannt.

Außerdem muss bei einer einfachen Lösung ja irgendwo der private Schlüssel gelagert werden, da dem Nutzer dies nicht zuzumuten ist. Dieser private Schlüssel lässt sich dann abfangen, erst recht wenn wie bei Windows 8, IOS und Android, der Abhörer und bei Mobilgeräten auch der Netzbetreiber indirekt über administrativen Vollzugriff auf das gesamte System verfügen wie leider der Fall.

Der GSM-Standard schreibt eine große Menge an direkten Abhörmöglichkeiten vor und die Anbieter von Marketplaces können beliebig und ungefragt aus der Ferne Software installieren und entfernen, auch Abhörsoftware. Zu allen Anbietern gibt es belastbare Belege, wo diese Funktion berets verwendet wurde sei es zur Entfernung von Malware oder zur Entfernung gekaufter Produkte aus vertriebsrechtlichen Gründen und gegen den Willen des Nutzers. Auch die Updatedienste sind wie bei Flame im Iran ein Einfallstor für Angriffe mit denen der Schlüssel abgefangen werden kann.
 
Der-Orden-Xar schrieb:
Problematisch ist da eher RC4, das kann die NSA (wenn man pessimistisch ist) in Echtzeit knacken, als Optimist dauerts vll 6 Monate.

Auch gibt es wirklich noch Seiten, 56 Bit + MD5 als HMAC verwenden, 40 Bit aber ich noch nicht mit eigenen Augen gesehen in letzter Zeit.
ABER: Zur Kommunikation gehören immer 2 und das schwächste, was Browser derzeit machen wäre:
TLS_RSA_WITH_RC4_128_MD5 (128 Bit ) bzw TLS_RSA_WITH_3DES_EDE_CBC_SHA (112 Bit) im Firefox non ESR, Chrome, IE11 unter Win 7.
40 Bit bekomm ich bestenfalls mit IE unter XP hin.
Zum Vergrößern anklicken....
Das stimmt wohl, hier kann man aber selbst Abhilfe schaffen (klar, nix für den Laien leider). Einfach die entsprechenden Ciphren im Browser deaktivieren, für Chrome gehts z.B. so https://wiki.archlinux.org/index.php/Chromium_tweaks#Disable_insecure_RC4_cipher , klappt auch unter Win, einfach die Option in der Verknüpfung mit angeben. Welche Ciphren aktiv sind, kann man hier testen lassen: https://cc.dcsec.uni-hannover.de/

DeusoftheWired schrieb:
Dummerweise ist PGP durch den öffentlichen und den privaten Schlüssel anders beschaffen als eine Zeichenfolge, die man in ein Passwortfeld tippt. Wenn man den Leuten beibringen könnte, ihren Keyring ständig bei sich z. B. auf einem USB-Stick zu tragen und dieser für jegliche Kommunikation abgefragt würde, würd’s auch mit der Verschlüsselung klappen. Idealerweise ein Button mit einem geöffneten/eingerasteten Schloß.

Die brauchbarste Lösung ist in meinen Augen aktuell Enigmail, ein Addon für den E-Mail-Client Thunderbird.
Zum Vergrößern anklicken....
Enigmail ist echt eine Wucht, nutze ich auch sehr gerne.

Aber das es keine brauchbare PGP oder SMIME Implementierung gibt, liegt nicht daran, dass es nicht möglich wäre. Der neue Personalausweis hat ja eine Smartcard integriert, da könnte man extrem einfach auch Keys drauf unterbringen. Das einzige Problem wäre dann, die Keys zu erzeugen, aber das ist ja eine einmalige Sache, da würden auch sicher CCC oder ähnliche regelmäßig Events zu anbieten, so dass man auf einem Rechner, der nicht am Internet ist, auf einem Linux-Live System Keys erzeugt, auf die Karte kopiert und fertig. Dann marschiert man damit zum Rathaus, lässt den Public Key noch signieren und fertig ist die Laube. Läuft bei mir auf der Arbeit genauso. Der Firmenausweis hat gleich noch eine Smartcard integriert, damit kann ich mich an PC's anmelden, von außerhalb in den Firmen Exchange einloggen, Gehaltabrechnung unterzeichnen, Mails, Dateien und auch ganze USB Sticks etc. verschlüsseln. Und jeder kommt damit klar. Karte einstecken, Passwort eingeben, fertig.
 
Tumbleweed schrieb:
Alles Augenwischerei, solang +95% der Leute amerikanischen Betriebssystemen hörig sind. Was bringt es denn, den Brief im Tresor zu verschiffen, wenn beim Schreiben bzw. bei der Eingabe am Zahlenschloss einer zuguckt? Da ist alle Verschlüsselung völlig irrelevant. Zuerst muss Microsoft mal raus aus allen staatlichen (auch auf EU-Ebene) Einrichtungen. Allein das ist leider utopisch, weil unbequem und von der US-hörigen Obrigkeit gar nicht gewollt aus inzwischen allseits bekannten Gründen.
Zum Vergrößern anklicken....

Das Szenario ist zwar vorstellbar, habe jedoch nirgendwo bisher davon gelesen, dass Windows überwacht, was du wo eintippst und das so erstellte Protokoll unbemerkt wegschickt. Gibt's da irgendeinen Beweis zu?
 
Hätte jetzt an IPSec gedacht, aber das kommt leider auch von einem US Hersteller, CISCO. Damit wird sozusagen ein verschlüsselter Tunnel zwischen 2 Punkten aufgebaut. Meines Wissens nach nicht zu knacken und auch nicht passiert oder kann die NSA 2048Bit RSA key knacken?

Zweifel könnten bleiben....z.B. durch einen Masterkey von CISCO
 
Rexus schrieb:
Das Szenario ist zwar vorstellbar, habe jedoch nirgendwo bisher davon gelesen, dass Windows überwacht, was du wo eintippst und das so erstellte Protokoll unbemerkt wegschickt. Gibt's da irgendeinen Beweis zu?
Zum Vergrößern anklicken....
Es muss nicht permanent überwachen. Es reicht, wenn ich als kritischer Journalist oder Politiker irgendwie in den Fokus der Interessierten rutsche und dann entsprechende backdoors existieren, über die man bei Bedarf hinein spazieren kann und sich meine private keys schnappen kann. Da hier alles closed source ist, ist die Wahrscheinlichkeit der Existenz, besonders bei einem amerikanischen Unternehmen, erdrückend.
Die hier angesprochenen Möglichkeiten der backdoors in Hardware finde ich auch bedenklich, aber da ist man ja leider wirklich alternativlos, weil es für alle Welt okay zu sein scheint, dass sowas nur aus den USA kommt.
 
Megatron schrieb:
@techfreak

Ich bin auch der Meinung das ein gewisses grundlegendes Verständnis für Alltagsgegenstände vermittelt werden sollte, erst recht in höheren Schulen. Gerade wenn es um die Sicherheit im Netz geht sieht man sehr deutlich die negativen Folgen wenn jeder DAU sich darin herumtummeln darf, und das nicht nur im Bereich Verschlüsselung sondern noch viel schlimmer im Bereich Schadsoftware.

Die ungehemmte Vermehrung von Viren, Trojanern usw. ist doch nur möglich weil sich zu viele keine Gedanken um einen anständigen Virenschutz machen. Genauso wie diejenigen die einfach sagen "Für was Verschlüsselung ich hab doch eh keine wichtigen Daten auf den Rechner". Für das Auto braucht man einen Führerschein, in das Internet darf aber jeder selbst wenn er nicht einmal 1 und 1 zusammenzählen kann.

Wir leben in einer hochtechnisierten Welt und der unverantwortliche Umgang damit birgt viele Gefahren, so ist es bestimmt nicht zu viel verlangt ein grundlegendes Verständnis dafür zu vermitteln, selbst wenn dies nur den sicheren Umgang damit bedeutet.

Der mündige Bürger ist aber leider weder von der Regierung noch von der Industrie erwünscht, denn man kann ihn nicht so leicht übers Ohr hauen und ausbeuten.
Zum Vergrößern anklicken....

Absolut richtig. War das nicht der Grundgedanke der Aufklärung? "Habe den Mut dich deines eigenen Verstandes zu bedienen" (E. Kant) bzw. die Menschen aus ihrer selbstverschuldeten Unmündigkeit zu führen?

Ich habe einige Zeit in einem Computerladen gearbeitet (Verkauf sowie Reparaturen) und musste immer wieder schockiert feststellen wie fahrlässig viele mit ihren Computern und Daten darauf umgingen. Der Virenschutz wurde seit Monaten nicht mehr aktualisiert und war meistens sowieso schlecht (lag mal als 30 Tage Testversion beim Kauf des PCs bei oder so), ein kompletter Scan wurde selten gemacht. Dann war noch IE6 als Standardbrowser eingerichtet (Facepalm), da man das Updaten völlig verpennt hatte. Firewalls waren entweder deaktiviert oder liefen nur auf Sparflamme. Kurz: Der PC war von Viren infiziert wie ein Sumpf im Kongo und völlig offen. Selbst ein Scriptkiddie wäre da innerhalb von Minuten rangekommen.

In gewisser Weise hatte A. Merkel recht. Die Bürger müssen sich selbst um die Sicherheit ihrer Daten kümmern. Natürlich stiehlt sie sich damit feige aus der Verantwortung (ernsthaft, kann nicht jemand die Frau endlich wegen Landesverrat anzeigen?), nur ist an der Aussage auch eine gewisse Wahrheit dran.
Wer darauf wartet, dass der Staat sich drum kümmert ist schön blöd. Der Staat steckt zu tief drin und würde sowieso nichts wirklich unternehmen.

Will er das überhaupt? Die Geschichte beweist ja, dass Staaten i.d.R. nicht an mündigen und selbstbewussten Bürgern interessiert sind, denn diese sind schwieriger zu kontrollieren. Das Idealbild ist folgender Bürger: Schlau genug um die ihm zugeteilte Arbeit zu erledigen und dumm genug sich alles sagen zu lassen.
Immerhin wachen immer mehr endlich auf. Die Mahnwachen haben immer größeren Zulauf und die großen Parteien bröckeln. Über das Internet informiert und tauscht man sich rege aus.
 
Tumbleweed schrieb:
Die hier angesprochenen Möglichkeiten der backdoors in Hardware finde ich auch bedenklich, aber da ist man ja leider wirklich alternativlos, weil es für alle Welt okay zu sein scheint, dass sowas nur aus den USA kommt.
Zum Vergrößern anklicken....

Was heißt "für alle Welt okay"... Du brauchst halt erstmal das Know-how um sowas entwickeln zu können, und wenn du sicher sein willst, das es sauber ist, musst du alles selbst machen. D.h. man müsste hier in D die technische Entwicklung aus den USA aus den letzten ~50 Jahren nochmal durchziehen, und dafür fehlen einfach die Ressourcen. Zudem wäre damit keine Kompatibilität mehr zu den anderen Systemen gegeben, aber man will sich auch sicher nicht amd64 bei den Amis lizensieren. Die Russen sind ja im Moment dabei, sich eigene CPU's zu basteln, allerdings benutzen auch die als Basis ARM.
 
Autokiller677 schrieb:
Das stimmt wohl, hier kann man aber selbst Abhilfe schaffen (klar, nix für den Laien leider). Einfach die entsprechenden Ciphren im Browser deaktivieren, für Chrome gehts z.B. so https://wiki.archlinux.org/index.php/Chromium_tweaks#Disable_insecure_RC4_cipher , klappt auch unter Win, einfach die Option in der Verknüpfung mit angeben. Welche Ciphren aktiv sind, kann man hier testen lassen: https://cc.dcsec.uni-hannover.de/
Zum Vergrößern anklicken....

Jop und unter Firefox recht bequem über about:config - security.ssl3.
Bei mir sind da auch nur 11 (12 per Knopfdruck als fall-back) aktiv

Tronx schrieb:
Meines Wissens nach nicht zu knacken und auch nicht passiert oder kann die NSA 2048Bit RSA key knacken?
Zum Vergrößern anklicken....

Mozilla möchte RSA < 2048 Bit root Zerts offensichtlich loswerden:

DAS BSI hält offiziell RSA 2000 + Bit noch für lange zeit sicher und die sind immerhin weiter als so manch eine Bank^^
Problematischer wäre (theoretisch?) ein erfolgreicher Angriff auf SHA1 als Zertifikat Sig.
 
Voyager10 schrieb:
Die NSA lacht sicher über unsere politischen Diskussionen in Deutschland , die wissen ganz genau das sie selbst mit Verschlüsselungen wie zb. SSL in Deutschland leichtes Spiel haben an die Daten zu kommen. Die NSA hat Masterschlüssel und vollen Zugang zu Leitungen und Servern.
Selbst bei Ende zu Ende Verschlüsselungen hat die NSA immernoch freie Hand in Deutschland solange wir unter der Regide von Merkel sind , das wird sie kaum aufhalten Wege zu erschliessen um die Daten in dem neuen NSA Center in Utah zu speichern.
Zum Vergrößern anklicken....

Genau das. Ihr mit Threema täuscht euch vor, sicher zu sein aber denkste wirklich die NSA schafft das nicht zu knacken ?
Die Deutschen sind seit 1945 immer noch unter Besatzungsstatus, das sieht man an jeder Ecke mittlerweile. Merkel unternimmt gar NIX gegen die Amis. Egal ob Spionage, Datenschutz, Abkommen, Wirtschaft - es wird fast jede Entscheidung nicht nach deutschen Willen getätigt.
 
Tappy schrieb:
Ihr mit Threema täuscht euch vor, sicher zu sein aber denkste wirklich die NSA schafft das nicht zu knacken ?
Zum Vergrößern anklicken....

@Tappy:
Die Frage ist nicht, ob die NSA eine einzelne Threema Kommunikation knacken kann wenn sie will. Die Frage ist ob der Aufwand dafür so groß ist, dass sie nichtmehr jede Kommunikation weltweit in realzeit knacken kann.
Niemand glaubt ernsthaft, dass er die NSA draußen halten kann, wenn sie sich aktiv für eine Person interessiert - zumindest nicht ohne komplett auf elektronische Kommunikation zu verzichten.

Mir persönlich würde es für den Anfang aber schon reichen, wenn völlig unbescholtene Bürger keine Angst mehr haben müssten, dass alles was sie sagen und tun von staatlichen Stellen überwacht und auf MÖGLICHE Anzeichen nichtregierungskonformer Meinungen durchsucht wird. Wenn der Verfassungsschutz aber schon einen Anfangsverdacht gegen mich hat und ein Richter das bestätigt (Idealfall), dann stört es mich weit weniger, wenn meine Kommunikation gezielt überwacht wird um diesen Verdacht zu bestätigen oder zu wiederlegen.
 
@Ugurano: Und was hat Verizon im Bundestag mit Ende zu Ende Verschlüsselung zu tun? Genau gar nichts. Außer, dass man auch bedenkenlos Verizon nutzen kann, wenn man konsequent Ende zu Ende Verschlüsselung nutzt.
 
Ich stimme Dir da voll zu. Das ganze ist nur eine weitere Beruhigungspille für's dumme Fußvolk. Was nützt eine End to End Verschlüsslung, wenn die Daten vor der Verschlüsselung auf dem heimischen Rechner abgegriffen werden. Oder wie Du bemerkt hast am anderen Ende abgegriffen und wieder entschlüsselt werden, um Sie auszuwerten. Das dürfte mit den heute zur Verfügung stehenden Rechenkapazitäten sogar in Echtzeit funktioniere.

Gruß

nicknackman1
 
nicknackman1 schrieb:
Ich stimme Dir da voll zu. Das ganze ist nur eine weitere Beruhigungspille für's dumme Fußvolk. Was nützt eine End to End Verschlüsslung, wenn die Daten vor der Verschlüsselung auf dem heimischen Rechner abgegriffen werden. Oder wie Du bemerkt hast am anderen Ende abgegriffen und wieder entschlüsselt werden, um Sie auszuwerten. Das dürfte mit den heute zur Verfügung stehenden Rechenkapazitäten sogar in Echtzeit funktioniere.
Zum Vergrößern anklicken....

Du hast den Thread hier nichtmal überflogen oder? Ob und wieviel mal eben "in Echtzeit" entschlüsselt werden kann, wurde hier schon ausführlich diskutiert.
Zu der dauernden These, dass die Daten schon am heimischen Rechner abgegriffen werden: Möglich, aber gibt es keinerlei Indizen für. Klar kann Windows schön was sammeln, aber das Verschicken der Daten erzeugt auf jeden Fall Traffic, und bisher habe ich noch nicht davon gelesen, dass solcher nicht zuordnungsbarer Traffic irgendwo mal dokumentiert wurde.

Und deinen Satz mit "am anderen Ende abgreifen und entschlüsseln" verstehe ich gar nicht - klar wird die Nachricht am anderen Ende wieder entschlüsselt, der Empfänger muss sie schließlich auch lesen können. Wenn man das nicht macht, sieht der ja nur Datenmüll.
 
Packy schrieb:
Es gibt scheinbar keinen perfekten Schutz!
Zum Vergrößern anklicken....
Da hast du recht und für jemanden, der Staats- oder Wirtschaftsgeheimnisse über sein Handy kommuniziert ist das auch ein Problem, für den Normalbürger würde es aber schon ein "guter" Schutz reichen (was das dann auch immer bedeutet) siehe dazu auch meinen Kommentar weiter oben.

Packy schrieb:
Wenn selbst die Merkel mit ihrem neuen Handy keine Sicherheit vor der NSA hat, wird es wohl wirklich nichts effektives geben...
http://www.faz.net/aktuell/politik/...merkels-neuem-handy-mitlauschen-13016452.html
Zum Vergrößern anklicken....
Bei solchen Nachrichten frage ich mich manchmal: ist die NSA wirklich so gut oder sind die Verantwortlichen hier bei uns so inkompetent oder ist da irgendwo einfach genug Geld geflossen. Macht einem jedenfalls nicht gerade Mut. Allerdings ist die Quelle (BILD) nichts worauf ich mich verlassen würde.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Andy
News Massenüberwachung mit Einwilligung: Entscheidung des EU-Rats über Chatkontrolle nochmals verschoben
2 3 4
Antworten
68
Aufrufe
6.752
Moritz Velten
M
M
News Europäischer Gerichtshof für Menschenrechte: Schwächung von Ende-zu-Ende-Verschlüsselung rechtswidrig
4 5 6
Antworten
116
Aufrufe
7.482
NedFlanders
NedFlanders
Andy
Notiz Facebook und Messenger: Meta macht Ende-zu-Ende-Verschlüsselung zum Standard
2
Antworten
20
Aufrufe
2.862
Thaxll'ssillyia
Thaxll'ssillyia
M
News Facebook-Messenger: Ende-zu-Ende-Verschlüsselung noch 2023
2 3
Antworten
40
Aufrufe
3.222
UrlaubMitStalin
UrlaubMitStalin
K
Suche Web-Videokonferenz aus DE/EU mit Ende-zu-Ende Verschlüsselung
Antworten
3
Aufrufe
747
konkretor
konkretor

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz