News Megas sicherer E-Mail-Dienst im Zeichen von Prism

[MountWalker]

... Sourcen =/= Schlüssel.

Deswegen Island. Und warum sollte er die Schlüssel haben? Damit würde er sich selbst nur ins Fadenkreuz der Justiz setzen - seine Rechtfertigung (und die anderer Unternehmer mit ähnlichen Dienstleistungen) besteht ja gerade darin, sagen zu können, dasss er nichts wissen kann, weil er ohne die Schlüssel nichts entschlüsseln kann. Und dass man das mit jahrelanger Rechenarbeit auf einem CUDA-Cluster vielleicht doch kann, bedeutet ja nicht, dass die Strafverfolgung auch das Geld - oder auch nur den nötigen Grips - hat, das zu tun.

Ein alter aber sehr informativer Vortrag über den Umgang mit dem Strafverfolger:
http://www.youtube.com/watch?v=HR0T2bpdItw
Geht hauptsächlich um Wohnungsdurchsuchung wobei auch HDD-verschlüsselung angeschnitten wird.

 

[hardwarekäufer]

Der gute Kim könnte ja den bösen Kim fragen.

Der wird den Amerikanern und deren Verbündeten sicher niemals irgendwelche Hintertüren öffnen ;-)

Und ein bisschen wirtschaftlicher Aufschwung der vll dann doch dem Volk zu Gute kommt wäre da ja vll ein Weg in die richtige Richtung.

 

[MC´s]

Was haben die User hier immer auf Dot.com rumgehackt und ihn schlecht gemacht. Jetzt auf einmal als PRISM bekannt wurde ist er den Usern auf einmal immer sympathischer .

Ich bin froh das es so Leute wie ihn gibt die nicht immer gleich kuschen wenn die "Weltmacht" den Finger hebt.

 

[guillome]

In dem Moment, wo ich eine externe Firma brauche (auch eine Deutsche), kann ich das Verfahren sofort in die Tonne kloppen, da Dritten meine Verschlüsselung bekannt ist.
PGP ist nicht komplexer als S/MIME. Die Einrichtung nach Leitfaden dauert weniger als 30 Minuten, das Importieren eines öffentlichen Schlüssels eines neuen Gesprächspartners keine 10 Sekunden.
[/B].

Bitte nicht mit Halbwissen agieren!
Keinem - außer einem selbst - ist der private Schlüssel bekannt. Dieser private Schlüssel wird bei einer Zertifikatsbeantragung direkt auf dem Rechner des Inhabers erzeugt und erst dann wird das Zertifikat mit diesem privaten Schlüssel verknüpft. Sollte kein Backup existieren ist daher das Zertifikat unwiederuflich verloren.

S/MIME ist quasi Standard in allen Mailclients. Somit ist das Verfahren in Gänze überall implementiert. Man benötigt nur ein Zertifikat. Daher benötigt S/MIME gerade mal 5 Minuten zur Einrichtung. Somit ist das Verfahren Lichtjahre kundenfreundlicher und einfacher zu handhaben!

 

[hardwarekäufer]

Naja er war vorher "gegen das System" und ist jetzt immer noch "gegen das System".

Das einzige was sich geändert hat ist die Beziehung zwischen System und Usern.


Wobei man sicherlich auch wieder Regierungstreue Nachrichtenartikel finden wird, in denen das ganze dann als "frisches Benzin im Feuer des Terrorismus" abgehandelt wird.

 

[Trefoil80]

Bleibe trotzdem bei meiner Aussage: Sobald da eine Drittfirma zwischen ist, würde ich auf eine solche Lösung nicht mehr vertrauen.

Wenn schon verschlüsseln, dann richtig und ohne Möglichkeit einer Hintertür.

 

[MountWalker]

Naja, Sinn der Sache bei Mega ist ja eben, dass es auch, wie die News so schön schreibt, "durch die sprichwörtliche Großmutter" benutzbar ist. Das ist S/MIME einfach nicht.

 

[guillome]

Naja, ich weiß auch nicht. Großmutterkonformität kann man ohne zentralen Dienst nur durch symmetrische Verschlüsselung erreichen aber niemals asymmetrisch. Dann wäre das aber auch nur so etwas wie SSL und nicht Ende zu Ende.
Die einzige Realisierungsmöglichkeit asymmetrisch wäre, dass jeder Kommunikationsteilnehmer Mega nutzen muss und das System nicht verlassen kann (ähnlich De-Mail). Das wäre dann aber auch nicht mehr die klassische E-Mail. Ob dies jedoch im großen Styl Unternehmen bereit sind umzusetzen halte ich für nicht realistisch. Auch minimiert es meine mögliche Partner mit denen ich mal so "einfach" verschlüsselt kommunizieren will.

Der Drive zum verschlüsseln kommt aktuell weniger von Privatpersonen sondern viel mehr von Unternehmen. Dort ist S/MIME mittlerweile Standard. Die aktuell verbreitetste Version zum verschlüsseln ist jedoch ein passwortgeschütztes PDF

@freyny80
es gibt eben keine Hintertür wenn die Schlüsselgenerierung auf dem Rechner des Zertifikatsinhabers statt findet

 

[Trefoil80]

Zu De-Mail (Quelle: Wikipedia):

"Der Chaos Computer Club und weitere Sachverständige hatten bereits 2011 der De-Mail in puncto Sicherheit ein katastrophales Zeugnis ausgestellt. Das Ziel der Gesetzesänderung sei es nach einer Schätzung des CCC, durch die Vermeidung echter Ende-zu-Ende-Verschlüsselung eine Abhör-Hintertür für Polizei und Geheimdienste zu eröffnen, die auch zum Einschleusen von staatlichen Trojanern genutzt werden kann."

Trifft immer dann zu, sobald Drittfirmen involviert sind.

 

[Unioner86]

Wann wird der widerliche Kriminelle endlich ausgeliefert und seiner gercheten Starfe in den USA zugeführt?!

 

[AppleRedX]

Wann wird der widerliche Kriminelle endlich ausgeliefert und seiner gercheten Starfe in den USA zugeführt?!

Nie. Im Fliehen ist er gut .. wie auch im Verkaufen von Freunden/Kollegen/Wenauchimmer wenn es darum geht Strafmilderung zu bekommen. Halt jemand der gar mit dem allseits beliebten von Gravenreuth zusammengearbeitet hat.

Er sagt, er habe keine Schlüssel und das muss man dann glauben? Ausserdem sind Sourcen =/= Schlüssel.

+1

Er hat auch mal gesagt das er sich umbringt. Ebenso berüchtigt war sein Kopfgeld auf Bin Laden. Oder das er die Citibank gehackt hat um 20 Mio an Greenpeace zu überweisen. Glaubwürdig im Quadrat. Klar doch.

Geht ruhig alle zu seinem Email-Dienst, dann hat die Schwabbelbacke was in der Hinterhand um sich bei den US of A rauszukaufen.

Aus der Vergangenheit zu lernen ist wohl nicht jedem gegeben ...

 

[guillome]

De-Mail ist ein Dienst für die Kommunikation von A nach B auf Grundlagen eines Deutschen Gesetzes - und keine Drittfirma (Telekom, 1und1, etc setzen das nur um, sind aber nicht Urheber des Dienstes)! Das "De-Mail" der größte Fail ist wiederspreche ich nicht.

Deine Argumentation mit Drittfirmen in bezug auf S/MIME hinkt jedoch. S/MIME ist ein freier non-profit Standard und beruht auf freien Kryptoalgorithmen wie RSA und ECC die ebenfalls non-profit sind. Ob du nun ein Zertifikat bei einem Anbieter kaufst, oder mit eigener Software selbst erzeugst spielt keine Rolle.
Der Vorteil wenn du das Zertifikat kaufst ist einfach ein professioneller Dienst rund um Sperrlisten, OCSP und weltweiter Vertrauenswürdigkeit -> weil die Roots in den Mailclients vordefiniert drin sind.
Das hat man bei selbst erzeugten Zertifikaten (ohne Drittanbieter) halt nicht. Für die Verschlüsselung ist das jedoch irrelevant

 

[Knecht_Ruprecht]

Du meinst Guantanamo? Das ist nicht in den USA, das ist auf Kuba? Wäre sicherlich gerecht...

 

[MountWalker]

...

Trifft immer dann zu, sobald Drittfirmen involviert sind.

Bei Mega eben nicht, wie schon allein aus der News hervorgeht. Ziel von Mega ist ja eben gerade, keine Hintertür anzubieten.

 

[guillome]

Mega IST der Drittanbieter. Mega definiert seinen eigenen Standard.
Und Mega ist auch nicht vertrauensvoll - zumindest nicht im B2B Bereich

 

[MountWalker]

freyny80 bezog sich damit auf die Einrichtung einer Abhörhintertür für Strafverfolgungsbehörden. Full-Quotes sind in der Forumbase seit ettlichen Jahren unerwünscht, deswegen habe ich davon abgesehen, den kompletten Beitrag zu zitieren - ich denke mir, wers lesen will, kann auch einfach hochscrollen....

Und wer wissen will, warum Mega keine Hintertür einbaut, kann auch einfach mal die News lesen....

 

[Trefoil80]

Eine Hintertür für Strafverfolgungsbehörden wahrscheinlich nicht....

Bezügl. Mega (Quelle Wikipedia):

"Laut den Geschäftsbedingungen werden „Kommunikations-Logs, IP-Adressen, Verkehrsdaten und Informationen zur Website-Nutzung“ (“Communication logs, traffic data, site usage and other information related to us supplying the services”) sowie „persönliche Informationen in hochgeladenen Daten“ (“Any personal information included in data uploaded to our system”) gespeichert. Diese Daten können an „autorisierte Wiederverkäufer und Diensteanbieter“ (“authorised resellers and service providers”) verkauft werden. Die Verschlüsselung führt also nicht zur Anonymität der Nutzer."

 

[Hurrycane]

Aber würde die NSA nicht ohnehin eher auf die Idee kommen komplett verschlüsselte Mails zu Überprüfen und versuchen zu entschlüsseln?
Weil die paar verschlüsselten Mails sind entweder irgendwelche firmeninternen sachen, oder wahrscheinlich zeug, was wirklich verschlüsselt werden sollte, weil es soo böse ist -.-

Also ich als geheimdienst würde mich dann ja eher auf die Mail konzentrieren, die eine verschlüsselung haben. und jeh nach dem wie hart die verschlüsselt sind brauchen die halt statt 10 minuten paar stunden um sowas zu entschlüsseln auf ihren ultra Rechnern.
Wichtig ist doch, dass die da überhaupt nicht ran kommen, was wer wohin schickt. und IP adressen kann man ja eher schlecht verschlüsseln, oder?!

 

[MountWalker]

Eine gute Verschlüsselung zu knacken, braucht schon mehr Rechenaufwand - deswegen gibts eben regelmäßig neue Verschlüsselungsalgorithmen. Die DARPA beteiligt sich sogar an der Entwicklung von Verschlüsselungsmechanismen im FLOSS-Bereich, weil die auch nicht abgehört werden wollen.

 

[AppleRedX]

Und wer wissen will, warum Mega keine Hintertür einbaut, kann auch einfach mal die News lesen....

Und das glaubst Du echt? Weil der Kim Blobcom so ein netter Mensch ist??

So eine Hintertür ist sehr wertvoll wenn man sich von Strafen "freikaufen" will. Was sich btw. durch das Leben von Kim wie ein roter Faden zieht ...