News Kickstarter für verschlüsselte E-Mail erfolgreich

[fethomm]

Die Kickstarter-Kampagne für Dark Mail war erfolgreich. Statt der angestrebten 196.608 US-Dollar wurden 212.513 US-Dollar erreicht. Die Kampagne hatte in der letzten Woche an Fahrt aufgenommen, bis dahin sah es aus, als würde das Vorhaben scheitern.

Zur News: Kickstarter für verschlüsselte E-Mail erfolgreich

 

[Crimvel]

Anmerkung:

Der Link der Kickstarter Seite ist ein 404

Hier der funktionierende: http://www.kickstarter.com/projects/ladar/lavabits-dark-mail-initiative

 

[Madman1209]

Hi,

interessant, hatte ich leider gar nicht auf dem Radar. Bin sehr gespannt was daraus am Ende wird!

VG,
Mad

 

[emeraldmine]

Ende

das wird wohl DAS Stichwort sein...aber vllt bin ich zu pessimistisch.

 

[White Rabbit]

omg -was soll das denn bitte bringen?! Jede Tastatureingabe wird an MS weitergesendet. Sie können spätestens bei jedem Update alle gewünschten Daten uploaden. Ich zweifle auch nicht, dass es bei Linux & Co. ähnliche Mechanismen gibt. Btw. wird sowieso irgendwann einer von der NSA bei dem Laden hier vorbei schauen und seine Masterkeys bekommen, auch ohne Verfügung ;-)

Mit Geld & Gewalt geht nämlich ALLES!

 

[Madman1209]

Hi,

omg -was soll das denn bitte bringen?! Jede Tastatureingabe wird an MS weitergesendet.

omg, wieso gibt es denn nur keine anderen Betriebssysteme auf dem Markt...

Ich zweifle auch nicht, dass es bei Linux & Co. ähnliche Mechanismen gibt.

Käse.

VG,
Mad

 

[qman1]

Einmal 10.000$ von der NSA...

 

[Tinpoint]

Da sieht man mal wieder wie wichtig den Leuten Datenschutz ist, da kriegt ja jeder Kugelschreiber mehr Förderung

http://www.pcgameshardware.de/Playtime-Thema-237457/News/Kickstarter-Ueberflieger-Teil-3-1099154/

 

[hanschke]

tippe eher darauf das der genug Geld hatte oder einen Kredit aufgenommen hat und gehofft hat die fehlende Summe nicht selbst aufbringen zu müssen aber bevor das Projekt den Bach runter geht doch lieber kurz verschulden

Tippe das machen 99% der Kickstarter weil 10.000 und das gleich 5x ist mir zu viel Zufall

 

[White Rabbit]

@Madman1209 stell dir doch mal vor, ich wäre jemand von der NSA und du der Chefentwickler von deinem Wunsch-BS. Ich und meine Freunde kommen Sonntag früh ungeladen bei dir zu hause vorbei. Im Schlepptau ein paar frisch-gepresste Scheine, aufgeteilt in 2 Koffern. Zunächst biete ich dir ein Geschäft an, das du natürlich zunächst als freiheitsliebender Mensch ablehnst. Danach werden wir etwas persönlicher und anschließend ... sagen wir mal ... kooperierst du. Und schon am nächsten Arbeitstag baust du die gleichen lieben Funktionen ein, wie auch MS. Verständlich oder?

 

[Madman1209]

Hi,

ich habe nicht geschrieben "Microsoft hat keine NSA Backdoor", sondern: bei einem Open Source Betriebssystem kannst du den "Chef Entwickler" bestechen wie du willst - Erfolg hast du damit nicht! Jeder kann sich den Quellcode ansehen, jeder kann es selbst kompilieren, wenn er die Kenntnisse hat. Da gibt es keine Hintertürchen.

VG,
Mad

 

[ice-breaker]

Jeder kann sich den Quellcode ansehen, jeder kann es selbst kompilieren, wenn er die Kenntnisse hat. Da gibt es keine Hintertürchen.

Dieses Argument hält sich seit Ewigkeiten und hat doch keinerlei Bestand. Was war denn mit dem Debian OpenSSL Bug, dass nur eine absolut geringe Anzahl möglicher SSL-Zertifikate generiert werden konnte? Das blieb Jahre unentdeckt und wurde erst entdeckt, als jemand bemerkte, dass er 2 gleiche Zertifikate generiert hatte, was fast unmöglich ist.

Und jetzt ändere mal die Bedeutung von "Bug" und wir nehmen an der Fehler wurde extra eingeführt, damit die NSA SSL abhören kann (was dadurch möglich war). Ich sage nicht, dass sie es getan hat, aber das ist doch genau solch ein "Angriff" vor dem White Rabbit Panik schiebt.

Und siehe da, der "Angriff" funktionierte und blieb viele Jahre unentdeckt. Obwohl der Debian OpenSSL Quellcode öffentlich ist und auf tausenden Servern eingesetzt wird. Solch ein Bug/Angriff entdeckt man eben nicht so leicht, da muss man den Code schon Stunden auseinandernehmen und dann noch Mathematiker/Kryptologe sein um den Fehler zu erkennen.
Das Argument OpenSource ist hinfällig sobald der Quellcode eine gewisse Größe überschreitet oder Fehler nur noch von sehr wenigen Personen erkannt werden können.

 

[Bart S.]

Sorry für OT

Ich zweifle auch nicht, dass es bei Linux & Co. ähnliche Mechanismen gibt.

Zumindest haben sie es versucht: http://alles-schallundrauch.blogspot.de/2013/11/nsa-verlangte-vom-linux-erfinder-eine.html

 

[DeoDeRant]

Sorry für OT

Zumindest haben sie es versucht: http://alles-schallundrauch.blogspot.de/2013/11/nsa-verlangte-vom-linux-erfinder-eine.html

Etwas verdreht, nicht unüblich für diese Seite..

Linus Vater bezog sich auf einen Scherz seines Sohns während einer Linux Konferenz, davon gibts auch Videos auf YT z.B.

Zudem wären Backdoors im Kernel viel zu riskant, der Comitter würde sich auch sein eigenes Grab schaufeln würde es rauskommen. Da hat die NSA einfach viel bessere Methoden und Zugriffsmöglichkeiten. Z.b. die proprietären Bios/Uefi Hersteller, proprietäre Treiber/Firmware, bzw. die Hardware die von US Unternehmen hergestellt wird und sich in deren Hoheitsgebiet befindet.

Und dann gibts ja auch noch zero day exploits, und spezielle Taskforces die sich nur um das Finden von Softwarebugs kümmern. Was meinst du wieviele unentdeckte Bugs sich in Millionen Codezeilen verstecken, wenn davon ausgegangen wird dass pro 1k Zeilen Code mindestens ein Bug schlummert der nicht gefunden werden kann..

Open source/closed source spielt bei der Zugänglichkeit des Codes für Geheimdienste dann auch keine Rolle, die NSA hat Zugriff auf den Microsoft oder proprietären Apple Code, und kann dort nach belieben stöbern. Da open source Software jedoch für alle einzusehen ist die Bug Anzahl dort jedoch wohl weit geringer. Du kannst davon ausgehen dass alle Softwarefirmen im closed source Bereich nur gerade genug investieren damit die Software funktioniert, sie auch wirklich sicher zu machen bedeutet höhere Kosten, und lässt sich schlecht verkaufen da eh eine interne Angelegenheit und von der zahlenden Kundschaft nicht verifizierbar.

 

[powerfx]

Jeder kann sich den Quellcode ansehen, jeder kann es selbst kompilieren, wenn er die Kenntnisse hat. Da gibt es keine Hintertürchen.

Das ist im Prinzip natürlich richtig, allerdings müsste man den Code ja nicht einfach nur kompilieren, sondern zusätzlich komplett überprüfen was man da überhaupt kompiliert. TrueCrypt etwa ist ein relativ kleines Programm und trotzdem ist der Code noch nicht vollständig geprüft. Dieses Projekt hat z.B. schon über 15.000 USD für diesen Zweck gesammelt. Das ist nicht mal eben so in 5 Minuten verifiziert...
Noch ein anderes Beispiel: Intel hatte Linux-Entwickler überreden wollen, für den Zufallszahlengenerator den in Hardware implementierten RDRAND zu verwenden. Wie sich später herausstellte, hat dieser allerdings gezielt eine Backdoor eingebaut.
Open Source heißt also lange nicht, dass das Produkt daraus auch sicher ist.

 

[Blutschlumpf]

Jeder kann sich den Quellcode ansehen, jeder kann es selbst kompilieren, wenn er die Kenntnisse hat. Da gibt es keine Hintertürchen.

Sorry, aber diese Schlussfolgerung ist entweder extrem naiv oder einfach nur extrem dumm.

a) die Kenntnisse hat fast niemand, von daher ist es egal ob man es in der Theorie kann.
b) dass man es in der Theorie kann, heißt nicht, dass es auch jemals jemand tut. Wie oft wird gut funktionierender Code schon (manuell) untersucht ?
c) dass es jemand tut, heißt nicht, dass es auch eine realistisch hohe Chance gibt das Hintertürchen finden. Da wird keine Comment stehen "hier Backdoor" oder ne Funktion "send Data to NSA", da wird dann in ner 3 Zeilen langen Formel ne Zahl um 1 versetzt sein um nen Overflow zu ermöglichen oder was in der Richtung.
d) selbst wenn der Code ohne Backdoor ist, wer sagt denn, dass das Binärpaket genau mit diesem kompiliert wurde ? Das merkt doch in der Praxis niemand wenn im Binärpaket ne Zeile mehr drin ist.

Die NSA könnte im Linux-Kernel seit 10 Jahren 100 Backdoors drin haben, von denen vielleicht 5 durch Zufälle aufgefallen sind und als Bug gewertet wurden.
Man könnte sogar so weit gehen und annehmen, dass Open Source potentiell mehr Hintertüren hat.
MS baut eine Türe für sich und eine für die NSA, ein, aber wer sagt denn, dass im Linux Kernel nicht eine von MS, eine von Intel, eine von Sun, eine von Redhat, eine von IBM, eine von HP, eine von AMD, eine von NVidia, eine von der NSA, eine von den Chinesen und weitere 50 Türen von Privatpersonen drin sind ?


@topic:
rausgeworfenes Geld, warum sollte ein weiterer "Standard" sich plötzlich durchsetzen ?
Email ist nicht für Verschlüsselung gemacht, entweder setzt sich irgendwann ein ganz anderes Protokoll durch oder wir haben auch in 20 Jahren noch unverschlüsselte Mails.

 

[DeoDeRant]

Sorry, aber diese Schlussfolgerung ist entweder extrem naiv oder einfach nur extrem dumm.

a) die Kenntnisse hat fast niemand, von daher ist es egal ob man es in der Theorie kann.

Ganz tolle Logik

b) dass man es in der Theorie kann, heißt nicht, dass es auch jemals jemand tut. Wie oft wird gut funktionierender Code schon (manuell) untersucht ?

Oft genug, jede größere Distro hat ein security Team. Meistens experten auf dem Gebiet Cryptografie und Code Analyse. Debian hat z.B. auch noch einen Gesellschaftsvetrag den jeder Maintainer eines Pakets akzeptieren muss, zudem sind die Maintainer mit Namen usw. bekannt. Das gilt auch für den Kernel selbst, wo auch nicht jeder Hans seinen Code mergen lassen kann. Kernel Code unterliegt strengen Coding Style Vorschriften. Jede Zeile wird da gelesen, und Code der nicht verständlich ist der wird gar nicht erst in den Kernel aufgenommen.

c) dass es jemand tut, heißt nicht, dass es auch eine realistisch hohe Chance gibt das Hintertürchen finden. Da wird keine Comment stehen "hier Backdoor" oder ne Funktion "send Data to NSA", da wird dann in ner 3 Zeilen langen Formel ne Zahl um 1 versetzt sein um nen Overflow zu ermöglichen oder was in der Richtung.

Dann würde der Code nicht funktionieren. C ist kein C++ oder C#..

d) selbst wenn der Code ohne Backdoor ist, wer sagt denn, dass das Binärpaket genau mit diesem kompiliert wurde ? Das merkt doch in der Praxis niemand wenn im Binärpaket ne Zeile mehr drin ist.

Deshalb gibts ja Versions-Kontrollsysteme bzw. Git, wo Code aus mehreren Quellen abgeglichen wird. Aber davon hast du wohl noch nie etwas gehört..

Die NSA könnte im Linux-Kernel seit 10 Jahren 100 Backdoors drin haben, von denen vielleicht 5 durch Zufälle aufgefallen sind und als Bug gewertet wurden.
Man könnte sogar so weit gehen und annehmen, dass Open Source potentiell mehr Hintertüren hat.
MS baut eine Türe für sich und eine für die NSA, ein, aber wer sagt denn, dass im Linux Kernel nicht eine von MS, eine von Intel, eine von Sun, eine von Redhat, eine von IBM, eine von HP, eine von AMD, eine von NVidia, eine von der NSA, eine von den Chinesen und weitere 50 Türen von Privatpersonen drin sind ?

Die Logik. Die sind nicht dumm. Weshalb sollten sie ein solche hohes Risiko eingehen aufzufliegen wenn sie fast alle Hardwarehersteller, Codec Hersteller, Bios Hersteller usw. per Gesetz zwingen können? Die könnten sich auch auf dem embedded OS deiner Festplatte einloggen und dort ne Shell öffnen, oder auf dem Controller deines NIC's. Und es ist ja auch kein Geheimnis dass sie versuchen Standards selbst zu beeinflussen. Weshalb sollten die den schweren Weg über den Kernel gehen wenn es 1000 leichtere Wege für sie gibt?

Aber schöner Versuch dir dein Windows schönzureden

@topic:
rausgeworfenes Geld, warum sollte ein weiterer "Standard" sich plötzlich durchsetzen ?
Email ist nicht für Verschlüsselung gemacht, entweder setzt sich irgendwann ein ganz anderes Protokoll durch oder wir haben auch in 20 Jahren noch unverschlüsselte Mails.

Du weißt ja offenbar noch nicht mal wie Email funktioniert. Wundert mich bei deiner bisher zur Schau gestellten Kompetenz auch nicht wirklich.

 

[White Rabbit]

tja, da bleibt nur noch die Brieftaube...

 

[Forum-Fraggle]

TrueCrypt etwa ist ein relativ kleines Programm und trotzdem ist der Code noch nicht vollständig geprüft. Dieses Projekt hat z.B. schon über 15.000 USD für diesen Zweck gesammelt. Das ist nicht mal eben so in 5 Minuten verifiziert...

Meines Wissens nach ist das Ziel des Projekts der Nachweis, daß die angebotenen, vorkompilierten Versionen dem Quellcode entsprechen. Dieser ist bereits lange geprüft worden. Der Nachweis bei den vorkompilierten ist deswegen so schwierig, weil der Kompiliervorgang exakt nachvollzogen werden muß, sprich, Compiler, Bibliotheken müssen in der gleichen Version und Updatevariante vorliegen. Der Quellcode ist sicher. Nicht durcheinanderwerfen.

Noch ein anderes Beispiel: Intel hatte Linux-Entwickler überreden wollen, für den Zufallszahlengenerator den in Hardware implementierten RDRAND zu verwenden. Wie sich später herausstellte, hat dieser allerdings gezielt eine Backdoor eingebaut.
Open Source heißt also lange nicht, dass das Produkt daraus auch sicher ist.

Wo ist das ein Widerspruch? Die Software an sich war doch sicher, das Problem kam durch die Hardware und wurde doch nachgewiesen. Genau darum geht es doch. Eingebaut werden kann immer viel, es ist aber nur eine Frage der Zeit bei OS, bis das entdeckt wird. In CS kann aber alles eingebaut werden und nur der Hersteller kann es finden, bzw. weiß wo es ist, macht aber nichts.

 

[nille02]

Oft genug, jede größere Distro hat ein security Team. Meistens experten auf dem Gebiet Cryptografie und Code Analyse. Debian hat z.B. auch noch einen Gesellschaftsvetrag den jeder Maintainer eines Pakets akzeptieren muss, zudem sind die Maintainer mit Namen usw. bekannt. Das gilt auch für den Kernel selbst, wo auch nicht jeder Hans seinen Code mergen lassen kann. Kernel Code unterliegt strengen Coding Style Vorschriften. Jede Zeile wird da gelesen, und Code der nicht verständlich ist der wird gar nicht erst in den Kernel aufgenommen.

Das ist nur ein nativer Wunschtraum. Es gibt so viele Fehler die nachträglich gefixt werden müssen. Ein Audit hätte sie früher aufgedeckt und sie sind nur durch einen Fehlerhaften Ablauf ans licht gekommen.

Dann würde der Code nicht funktionieren. C ist kein C++ oder C#..

Sicher würde er. Lies dir mal C oder C++ Bücher zum Thema Sicherheit durch. Ein falscher Datentyp kann dir schon ein Sicherheitsloch aufreißen.

Deshalb gibts ja Versions-Kontrollsysteme bzw. Git, wo Code aus mehreren Quellen abgeglichen wird. Aber davon hast du wohl noch nie etwas gehört..

Du hast das das Problem nicht verstanden. Was sich im Source-Paket befindet muss nichts mit dem im Binär-Paket zu tun haben.

Die Logik. Die sind nicht dumm. Weshalb sollten sie ein solche hohes Risiko eingehen aufzufliegen wenn sie fast alle Hardwarehersteller, Codec Hersteller, Bios Hersteller usw. per Gesetz zwingen können? Die könnten sich auch auf dem embedded OS deiner Festplatte einloggen und dort ne Shell öffnen, oder auf dem Controller deines NIC's. Und es ist ja auch kein Geheimnis dass sie versuchen Standards selbst zu beeinflussen. Weshalb sollten die den schweren Weg über den Kernel gehen wenn es 1000 leichtere Wege für sie gibt?

Weil ein BIOS oder generell Firmware Files einfach zu untersuchen sind und für quasi jede Hardware aufwendig angepasst werden muss. Es ist daher einfacher die Distributionen an die Leine zu legen. Ubuntu, Redhat Suse sind auch alles US Firmen die mitspielen müssen.

Aber schöner Versuch dir dein Windows schönzureden

Er redet nichts schön. Er bezweifelt nur das Linux besser da steht. Du hast extrem viele Angriffspunkte und ein Großer Teil der Distributionen kommen aus den USA.

Du weißt ja offenbar noch nicht mal wie Email funktioniert. Wundert mich bei deiner bisher zur Schau gestellten Kompetenz auch nicht wirklich.

Nein, du zeigt hier nur das du keine Ahnung von E-Mail hast, und was die NSA tut, und das PGP keine Hilfe ist.