News Lavabit-Gründer will „Dark Mail“ per Kickstarter finanzieren

[Forum-Fraggle]

Ja es kann jeder betreiben der will. Aber WER entwickelt den Code/das Programm? Das wird höchstwahrscheinlich eine Firma oder eine andere personenbezogene Rechtsform sein.

Und selbst wenn nicht, ich bin mir sicher, dass die NSA/Government ihm daraus einen Strick drehen kann, denn siehe Screenshot!

Anhang anzeigen 376268

OpenSource: Der Quellcode liegt offen. Jeder, der will, kann an ihm arbeiten.
Also wie sol bitte sehr die NSA/Regierung jemanden einen Strick daraus drehen, der den Code weiterverarbeitet? Es geht ja nicht nur darum wo das Programm betrieben wird. Ist eine OpenSource "Sau" freigelassen, rennt sie. Sie könnten sogar die Lavabit Leute inhaftieren, der Code ist frei. Genau das ist ja auch das Ansinnen. Es ist für die NSA dann wie eine Hydra, schlägt man einen Kopf ab, kommen zwei neue.

 

[TrueAzrael]

Ja es kann jeder betreiben der will. Aber WER entwickelt den Code/das Programm? Das wird höchstwahrscheinlich eine Firma oder eine andere personenbezogene Rechtsform sein.

Und selbst wenn nicht, ich bin mir sicher, dass die NSA/Government ihm daraus einen Strick drehen kann, denn siehe Screenshot!

Anhang anzeigen 376268

Sitz der Entwicklerfirma werden knapp 200 Staaten dieser Welt sein zumindest wenn sich in jedem Land dieses Planeten auch ein Entwickler findet. OpenSource eben, jeder entwickelt, von dort aus wo er gerade steht/sitzt. Der Sitz der DMI ist also für die Sicherheit, den Fortbestand und die Entwicklung der letztendlichen Software unverheblich.

Edit: Ach und was soll der völlig unrelevante Anhang bringen? Von wo aus ich als Person meinen Blog-Eintrag/meinen Twitter-Post absetze, steht doch in gar keinem Zusammenhang zum Sitz meiner Firma... Auch wenn ich vermute dass der Sitz in den USA sein wird, aber wie gesagt unerheblich.

 

[auRE]

Idee gut, nun schau ma mal, was daraus wird... Daumen hoch

 

[Snikeman]

Wie schon gesagt wurde eine echt tolle Idee! Hoffentlich wird daraus was und die NSA spielt nicht dazwischen

 

[Novasun]

Der Sitz dieser Organisation ist schon entscheidend.

Denn genau über den Sitz der Firmen hat die NSA ja Zugang zu Yahoo etc. bekommen. Sie haben den Firmen in USA mit US-Recht gedroht [diese wurden ja nicht gehackt - zum Teil zu mindestens sondern habe Ihre Masterkeys aushändigen müssen]. Theoretisch könnte dies also auch bei einer "gemeinnützigen" Organisation helfen z.B. wichtige Keys zu "erpressen".

Da es aber um ein komplettes Verfahren hier geht, wird jeder Entwickler im Zweifel seinen eigenen Keygenerator entwickeln können - dann wäre das die wirklich kritische Stelle die nicht in den USA sitzen sollte.

 

[[ChAoZ]]

Wenn die Unternehmung wieder ihren Sitz in den USA haben wird, dann wird das nichts für mich.
Es gibt doch so einen Party-Staat... Kazantip oder so, geht es nicht da? ;-)

Dein ernst?
Wie wärs mit Atlantis?

 

[Mr. Dende]

Nicht jeder hat Lust das Video zu gucken (Wäre das nicht eigentlich Aufgabe des Artikelschreibers ), das würde aber viele der hier verbliebenen Fragen/Unklarheiten hier klären.

Deswegen ein paar Zusatzinfos:

0. An Alle mit Masterkey/Verschlüsselung-bringt-eh-nichts Fantasien: Snowden hat selbst gesagt, dass gute Verschlüsselung (AES/PGP etc) das einzige ist, was wirklich vor der NSA schützt und hat sich bei seiner Kontaktaufnahme mit Glenn Greenwald selbst darauf verlassen. Hätte die NSA diese Verfahren geknackt, hätte sie einfach die Server von Lavabit beschlagnahmt und die Daten entschlüsselt anstatt seine SSL-Keys zu verlangen.

1. Sämtliche Verfahren, Implementationen und Standards des neuen Dark Mail Standards (protokolltechnisch gesehen kein email mehr) werden öffentlich zugänglich/quelloffen sein, das heißt: Ja, theoretisch könnte die NSA da eine Backdoor einbauen. Allerdings sitzen auf dieser Geschichte einige der renommiertesten Sicherheitsfanatiker dieses Planeten und eine extrem vorsichtig gewordenen Community von ITlern, da baut die NSA nicht mal so eben was ein zumindest nicht ohne das es auffliegt.

2. Der Quellcode des bisherigen Lavabit wird offengelegt, Levison bezweckt damit, dass "Tausende von Lavabits" entstehen, spricht die können dann in Deutschland, der Schweiz oder in Burkina Faso gehostet werden. Also in Ländern wo die NSA nicht einfach mit einem FISA Gerichtsbeschluss rumwedeln kann. Natürlich kann die NSA immernoch versuchen die Anbieter zu hacken oder nationale Regierungen einzuspannen aber das dauert erstens länger und erhöht zweitens den Aufwand, bindet also Ressourcen.

3. Es wird mit dem Dark Mail Standard unterschiedliche Abstufungen von Sicherheit geben, das heißt, dass im sichersten Modus, die Schlüssel auf dem Device (PC/Smartphone/..) generiert werden, und dort auch bleiben. Das erschwert natürlich die Multidevice-Nutzung, allerdings müsste die NSA dann das Device physisch in den Fingern haben oder sich reinhacken um an die Schlüssel zu kommen. In einer weniger rigorosen Variante findet die Verschlüsselung auf den Servern statt (eine Art PGP auf Serverseite). Dann kann die NSA zwar immer noch die Herausgabe von den Schlüsseln fordern oder sich reinhacken, aber sie kann nicht mehr wie heute ihr Ohr an die Glasfaser legen und alles im Klartext "hören"

grüße
dende

 

[Sturmhardt]

Ich hab mal 15$ gespendet, sonst tut ja keiner was für den Schutz meiner Privatsphäre.

 

[DocWindows]

"Um Anwender von der Methode zu überzeugen, muss die Verschlüsselung laut Levison transparent im Hintergrund stattfinden, ohne dass der Anwender oder der Empfänger dies merken" ... Wenn ich nichts von der Verschlüsselung merke ist das nicht unbedingt transparent für mich. Eher im Gegenteil. Da wird was mit meiner Mail gemacht was ich nicht nachvollziehen kann und was der Empfänger auch nicht bemerkt.

"Als drittes Ziel, das mit dem Geld aus der Schwarmfinanzierung realisiert werden soll, nennt Levison E-Mail-Clients für Windows, Linux und Mac OS sowie entsprechende Apps für Android und iOS. Auch diese Clients sollen als freie Software realisiert werden. " ... Bringt lieber Add-Ins für bestehende Mainstream Mailclients. Niemand braucht für jeden Furz nen eigenen Client.

sonst tut ja keiner was für den Schutz meiner Privatsphäre.

Wenn du Freiheit willst, musst du auch Verantwortung übernehmen und dich notfalls auch mal selbst um was kümmern. Das eine gibts nicht ohne das andere.

 

[Mr. Dende]

Wenn ich nichts von der Verschlüsselung merke ist das nicht unbedingt transparent für mich. Eher im Gegenteil. Da wird was mit meiner Mail gemacht was ich nicht nachvollziehen kann und was der Empfänger auch nicht bemerkt.

Transparenz ist in diesem Fall eher technisch gemeint, d.h. eben genau das die Verschlüsselung dir nicht auffällt, das bedeutet nicht (!), dass sie nicht nachvollziehbar ist. Im Moment haben wir ja genau das Problem, dass PGP als zusätzliches Layer wirkt und auffällt und deswegen die Leute abschreckt nach dem Motto "viel zu kompliziert"

 

[Sturmhardt]

Wenn du Freiheit willst, musst du auch Verantwortung übernehmen und dich notfalls auch mal selbst um was kümmern. Das eine gibts nicht ohne das andere.

Auf Demos gegen Überwachung gehen: check
Nicht die schmierigen etablierten Parteien wählen, die Totalüberwachung fordern (CDU,SPD,FDP etc): check
Im Umfeld sozialkritische Themen ansprechen und die FB-Timeline vollmachen: check

Was bleibt sonst noch, ohne das Thema zum Lebensinhalt zu machen?
Ich bin weder Kryptograph noch Softwareentwickler, deshalb gebe ich lieber ein paar Dollar denjenigen, die was vernünftiges damit anstellen können.

 

[White Rabbit]

und auf welchem Betriebssystem wird das Programm denn laufen?

xD

 

[DocWindows]

Was bleibt sonst noch, ohne das Thema zum Lebensinhalt zu machen?

Datensparsamkeit praktizieren: check
Nicht überall mit dem Echtnamen anmelden: check
Fake Mailadressen benutzen: check
Googles Spionagescripts in Adblock eintragen: check
Facebooks Spionagescripts in Adblock eintragen: check

@Mr. Dende:
Ich verstehe den Ansatz so, dass der User nicht merken soll dass verschlüsselt wird. Er soll sich nicht damit befassen müsen. Folglich kann er bei genügend hoher Transparenz auch nichts mehr nachvollziehen.
PGP verlangt dem User zwar etwas ab, aber er sieht dann immerhin auch was passiert und er kann es nachvollziehen. Ich bin der Meinung dass man auch hier die Sicherheit nicht geschenkt bekommen kann. Man muss was dafür tun.