E-Mail-Überwachung ab 1. Januar 2005 Einstellungen

[Gast_Faith_*]

E-Mail-Überwachung ab 1. Januar 2005


Ab dem 1. Januar 2005 sind sämtliche Provider laut der
Telekommunikationsüberwachungsverordnung (TKÜV) zur Überwachung des
gesamten über ihren Server laufenden Mailverkehr verpflichtet. Das
bedeutet, dass alle versendeten Mails kontrolliert werden, damit
"verdächtige" Exemplare den Sicherheitsbehörden zur Verfügung gestellt
werden können. Nicht nur die Privatsphäre der User wird damit stark
angegriffen, auch die Providerbranche trifft die Verpflichtung zur
E-Mail-Überwachung hart: die Durchführung der Vorschriften gestaltet
sich schwierig und kostenintensiv. Einige Provider versuchen bereits,
die immensen Kosten auf ihre Kunden abzuwälzen und verlangen eine
entsprechende Gebühr: damit zahlt letztlich der Kunde für die staatlich
angeordnete Überwachung seiner E-Mails.

Quelle: heise online 5.11.2004

Der Beitrag wurde von Faith bearbeitet: 18.12.2004, 00:43

[Gast_skep_*]

Ja, man sollte also entweder seine Emails nur noch verschlüsseln oder aber andere Emailprovider mit weniger als 1000 Kunden oder gewisse sichere Provider benutzen.

[Gast_skript crackz master_*]

Die Typen die bei tonline oder anderen die geld nemen ihre mails senden sind dann die dummen. Ich und meine Kolegen tun nur gmx und freenet nemen wo das nix kostet. Aber wenn man das von der Arbeit her braucht ist schohn etwas anderes. Die können das aber wider von der Steuer abziehen.

Aber ist schon blöd wenn da jemand alle meine Mails durchliest, wie bei der Stasi

[Lucky]

Meinst du etwa die Mails die über web.de und Co gehen werden nicht überwacht?

Was das Thema angeht, wir haben da schon nen Thread irgendwo...

- björn

[StormRider]

Ich meine, daß nicht nur unser Papa Staat wissen möchte, was wir so schreiben (und somit denken! Wenn man an die Gedanken rankommen könnte...), sondern auch noch etliche andere Staaten und Institutionen versuchen, in den Mails rumzufischen, ob evtl. was brauchbares (z.B. Industriespionage, wirtschaftl. Angelegenheiten etc.pp.) darin zu finden ist. Ich finds pervers.
Verschlüsselung ist zwar gut und schön, aber bisher hat mir noch nie jemand eine verschlüsselte Mail gesandt. Diese Dinge dringen scheinbar einfach nicht ins Bewußtsein der Netizens - oder wurde dort etwa durch unsere Medienlandschaft manipuliert? Wenn ich dieses Thema in unserem Büro mal anspreche, erreiche ich höchstens ein abwinken oder müdes gähnen. Scheinbar hat sich die "mir doch egal, hab eh nix zu verbergen" Mentalität durchgesetzt.
Kann man den Schlüsselprogrammen eigentlich trauen? Gibts wirklich keinen Passpartout? Was ist mit Steganografie? Kommen wir nicht alle bald in den Knast (natürlich als rechtlose Terroristen), wenn wir starke Verschlüsselung verwenden oder andere dazu "anstiften"? In Frankreich z.B. war Verschlüsselung ein Verstoß gegen das Waffengesetz und wurde dementsprechend geahndet. Ob es noch immer so ist, weiß ich nicht.
Übrigens: ich bin mir sicher, daß nicht nur in Mails gefummelt wird, sondern im gesamten Netzverkehr (Chat, Foren, Usenet, ...); daher sollte man dieses Board sofort verschlüsseln

Aus gegebenem Anlaß mal gerade GNUPG.DE besucht - Mist, wegen Protest geschlossen - ah da gehts weiter
hm, irgendwie artet das Programm unter XP-Home in eine ziemliche pfriemelei aus, die unbedarfte User zum Handtuch werfen bringen könnte, aber:


-----BEGIN PGP MESSAGE-----
Version: GnuPG v1.2.1 (MingW32) - WinPT 0.5.6

hQEOA5..........
-----END PGP MESSAGE-----

es funktioniert.


mfg
Reinhold

PS:
Da unsere Staatsdiener nicht so blöd sein können, um zu glauben, Verbrecher würden ihre Taten offen per Telefon oder Mail austauschen, muß hinter dem ganzem Vorgehen ein anderer - geheimgehaltener - Zweck stecken. Hat jemand Ideen darüber?

[Heike]

Ich frage mich nur, ob die gesammelten Daten noch sinnreich zu handhaben sind.
Wahrscheinlich nicht. Es ist aus meiner Sicht eine beängstigende Entwicklung.

Paßt der Witz nun in den Witze-Thread oder besser hier?
Also, wenn mein Garten mal umgegraben werden muß, weiß ich ja, wie man da kostengünstig drankommt.
______________

Ein alter Araber lebt seit mehr als 40 Jahren in Chicago. Er würde gerne in seinem Garten Kartoffeln pflanzen, aber er ist allein, alt und schwach. Sein Sohn studiert in Paris.
Er schreibt eine Email an seinen Sohn und erklärt ihm das Problem. "Lieber Ahmed, ich bin sehr traurig, weil ich in meinem Garten keine Kartoffeln pflanzen kann. Ich bin sicher, wenn du hier wärst, du könntest mir helfen, und könntest für mich den Garten umgraben. Ich liebe dich. Dein Vater"

Am folgenden Tag erhält der alte Mann eine Email: "Lieber Vater, bitte berühre nicht den Garten. Dort habe ich *DIE SACHE* versteckt. Ich liebe dich auch. Ahmed."

Um 4 Uhr morgens kommen die US Army, die Marines, das FBI, die CIA und die RANGERS zu dem Haus des alten Mannes. Sie suchen überall, nehmen den ganzen Garten auseinander, suchen jeden Millimeter ab, aber finden gar nichts. Enttäuscht gehen sie weg.

Am folgenden Tag erhält der alte Mann wieder eine Email vom Sohn: "Lieber Vater, sicherlich ist jetzt der Garten voll umgegraben und du kannst die Kartoffeln pflanzen. Mehr konnte ich für dich nicht tun. Ich liebe dich. Ahmed".

[Gast_Bo Derek_*]

Hehe, der Witz passt wunderbar.

Ich würde ja auch gerne alle meine Mails verschlüsseln und sei es nur, um die Verantwortlichen der regionalen Staatengemeinschaft von der Sinnlosigkeit ihres Überwachungsgesetzes zu überzeugen. Allerdings weiß ich, dass die meisten meiner Kommunikationspartner mit dem Empfang überfordert wären.

Die einzige Möglichkeit zur Umsetzung flächendeckender Verschlüsselung wäre die Integration von einem Programm wie PGP in die Clients des Marktführers und die Verdichtung von Zertifizierungsstellen.

Zur Zeit sieht es aber nicht danach aus. PGP ist kommerzialisiert, MS setzt auf andere Lösungen und immer mehr Zertifizierungsdiensteanbieter ziehen sich aus der Öffentlichkeit zurück.

Siehe auch: http://www.bsi.de/esig/

Was meint ihr? Wie könnten wir die Verschlüsselung fördern?

[Gast_Renate_*]

Hm... eigentlich müssten verschlüsselte Mails zuerst untersucht werden??? Die sind doch verdächtig, weil die nicht jeder sofort lesen kann.

Vor einigen Jahren hatte ich mich mit PGP eingearbeitet. Weil niemand mitmachte, hatte ich es wieder deinstalliert.

Viele Grüße
Renate

[Domino]

Ja Renate,

genau so war es bei mir auch.



Domino

[Lucky]

Ich habe einen Schlüssel auf dem Keyserver.
Server: subkey.pgp.net (bin mir da aber nicht ganz sicher)

Sucht nach ( a t ) web.de

Mit at Zeichen aufbessern.

- björn

[Gast_Cobra_*]

Ich habe einen Schlüssel auf dem Keyserver.
Server: subkey.pgp.net (bin mir da aber nicht ganz sicher)

Das ist egal. Sind alles Mirrors, und ich habe Deinen Key sofort gefunden.

Meine liegen da natürlich auch.

Was meint ihr? Wie könnten wir die Verschlüsselung fördern?

Gute Frage. Hier hat sich ein kleiner Provider Gedanken darüber gemacht.

Persönlich habe ich es aufgegeben, Leute dafür zu interessieren. Ich signiere zwar alle meine Mails, was aber lediglich dazu führt, daß man als Exzentriker oder Spinner wahrgenommen wird.

Ich habe sowohl privat als auch persönlich Zugriff auf Mailserver, die nicht unter die TKÜV fallen. Das nutzt nur leider nicht viel gegen Witzbolde, die mir von einem anonymen Relay Nachrichten schicken wie: "Danke für die Zünder. Die Sache steigt dann wie geplant Donnerstag um 12:00."

Cobra

[Gast_skep_*]

Ich habe wohl das Glück, das meine Mailkontakte hauptsächlich mit Leuten sind, die in gewisser Weise das Thema ernstnehmen oder anderweitig in dieser Hinsicht geprägt sind.
Daher läuft ein großer Teil meiner Mails über pgp bzw. gpg ab.
Zusätzlich sind viele weg von den großen Emailanbietern und hin zu kleineren oder sicheren Providern gewechselt.
Ich bin momentan noch bei GMX, werde aber demnächst ebenfalls wechseln.

Übrigens: ich bin mir sicher, daß nicht nur in Mails gefummelt wird, sondern im gesamten Netzverkehr (Chat, Foren, Usenet, ...);

Den Chat/IRC den ich z.B. benutze, läuft über ssl, was zwar erstmal nicht irre mehr Privatsphäre liefert, aber immerhin. Zusätzlich wird halt ab und zu noch sowas wie SILC (Secure Internet Live Conferencing) benutzt.

Ansonsten sind bei einige Webseiten die ich so täglich besuche die Logfunktionen abgestellt, also es werden keine IP's mitgeloggt...

[stargate]

hi

also ich hab zwar auch pgp drauf, aber bei mir gibt es keinen einzigen der dies nutzt. und keiner hat lust dazu das programm zu installieren..

im prinzip ist es eigentlich eh schwachsinn pgp zu verwenden, die normalen leute haben nix zu verbergen was von wichtigkeit für die regierung sein könnte.

wenn man als normaler user pgp nutzt ist es entweder ein zeichen gegen die überwachung der regierung, oder wie im meinem fall das reine interesse an diesem programm, is halt mal ganz nett ne mail zu verschlüsseln



@skep

Ansonsten sind bei einige Webseiten die ich so täglich besuche die Logfunktionen abgestellt, also es werden keine IP's mitgeloggt...

und woher weisst dass die ips ned geloggt werden ??



mfg stragte

Der Beitrag wurde von stargate bearbeitet: 18.12.2004, 15:23

[Gast_skep_*]

@skep
und woher weisst dass die ips ned geloggt werden ??
mfg stragte
[right][snapback]66756[/snapback][/right]

weil ich es weiß...

[Gast_Cobra_*]

im prinzip ist es eigentlich eh schwachsinn pgp zu verwenden, die normalen leute haben  nix zu verbergen was von wichtigkeit für die regierung sein könnte.

Da haben wir es: das irrelevanteste aller Argumente, das aber unfehlbar bei jeglicher dieser Diskussionen auftaucht. Genau deshalb ist es völlig sinnlos, über dieses Thema zu diskutieren. Entweder man begreift es, oder eben nicht. 99% der User begreifen es nicht.

Cobra

Der Beitrag wurde von Cobra bearbeitet: 18.12.2004, 15:34

[Yopie]

Die einzige Möglichkeit zur Umsetzung flächendeckender Verschlüsselung wäre die Integration von einem Programm wie PGP in die Clients des Marktführers und die Verdichtung von Zertifizierungsstellen.

Ich war positiv überrascht, dass bei der Installation von Mozilla in Gentoo automatisch Enigmail mitinstalliert wurde. Von Marktführerschaft ist aber wohl Gentoo und auch Mozilla weit entfernt.

Persönlich habe ich es aufgegeben, Leute dafür zu interessieren. Ich signiere zwar alle meine Mails, was aber lediglich dazu führt, daß man als Exzentriker oder Spinner wahrgenommen wird.

Das geht mir genauso. Ich hätte wenigstens damit gerechnet, dass mal hin- und wieder eine Rückfrage kommt, was das Zeug am Anfang und am Ende der Mail zu bedeuten hat. Leider Fehlanzeige.

[stargate]

hi

@skep

tolle antwort


und @cobra


dann erleuchte mich doch mal und erklär mir den sinn ??
nur firmen und konzerne sollten ihre mails verschlüssel, privatpersonen können dass ja auch machen wenn es was wichtiges ist oder sie z.b passwörter per mail verschicken, aber nur um z.b eine normale mail zu verschlüsseln ist es schwachsinn.





mfg stargate

[BEASTIEPENDENT]

im prinzip ist es eigentlich eh schwachsinn pgp zu verwenden, die normalen leute haben  nix zu verbergen was von wichtigkeit für die regierung sein könnte.

wenn man als normaler user pgp nutzt ist es entweder ein zeichen gegen die überwachung der regierung...

wieso schreibst du so einen unsinn, wennn du ihn einen satz später gleich wieder revidierst?

nur firmen und konzerne sollten ihre mails verschlüssel, privatpersonen können dass ja auch machen wenn es was wichtiges ist oder sie z.b passwörter per mail verschicken...

passwörter verschickt man nie nie niemals per email! (dass man sowas überhaupt noch sagen muss) *kopfschüttel*

BTW: benutzt ihr eigentlich briefumschläge für eure briefe? oder sagt ihr da auch "ich hab ja nix zu verbergen" oder "is ja nix wichtiges" und JEDER darf sie lesen?

[StormRider]

hmmmmmmm.... grübel....

Der Staat arbeitet daran, einblick auf meine Konten zu nehmen.
Meine Bestellungen per Internet und Telefon werden 10 Jahre lang rückverfolgbar sein - wehe, wenn ich in der elektronischen Steuererklärung angebe, daß ich kaum was verdiene und kurz vorm verhungern stehe, denn den bestellten Armani-Anzug wird mir der Richter leicht nachweisen können.
Daß ich meinen Sprit im Ausland tanke, wird strafverschärfend ausgelegt. Meine Überweisungen an bedürftige Familienmitglieder, welche diese bei der Steuererklärung vergessen hatten, sind noch lange auf dem Präsentierteller. Bestimmt wird man auch nachweisen können, daß ich das Material vom Bauhändler nicht selber verarbeiten konnte und da keine bargeldlose Überweisung an den Handwerker vorhanden ist, bin ich wegen Beihilfe zur Schwarzarbeit dran.
Da ich kaum Musik-CDs kaufe (gibts ja im Laden kaum noch, muß online geordert werden) aber neulich ein neues Auto mit MP3-Radio kaufte, werde ich auch des illegalen Tauschhandels verdächtigt. Tja, und meine Äußerungen zu irgendwelchen Themen im Usenet/Foren lassen sich leicht nachweisen.
Wenn man das noch weiterspinnt, wird man zu einem transparenten Bürger, dessen Verhalten vorhersehbar wird und jedwede Verfehlung leicht protokolliert werden kann. Natürlich wird man das nur bei uns, der niederen Mitnahmementalen Kaste tun, Staatsdiener werden bestimmt außen vor gelassen....

Ich habe nichts zu verbergen, aber wenn der Staat bei mir nachfragt, ob ich ihm nicht was aus meinem Leben freiwillig erzählen oder ihm gleich die Schnüffelerlaubnis geben möchte, werd ich den Teufel tun! Selbst Weihnachtsgrüße sollte man stark verschlüsseln! Es ist MEIN Leben, und NIEMAND hat darin rumzuschnüffeln, solange ich nichts verbrochen habe. Aber scheinbar steht das Volk unter Generalverdacht.
Das Szenario, daß sich gerade vor meinem geistigen Auge abzuspielen beginnt, wäre ein guter Stoff für einen SciFi-Thriller - leider sind wir alle bereits mittendrin ...



Die Argumente, das man das wegen Terrorbekämpfung und ähnliches bräuchte, finde ich ärmlich.

Hm, bald ist das hier schon wirklichkeit:

Offenbarung Kapitel 13, Vers 16 und 17:
16)Und es macht, daß sie allesamt, die Kleinen und Großen, die Reichen und Armen, die Freien und Sklaven, sich ein Zeichen machen an ihre rechte Hand oder an ihre Stirn,
17)und daß niemand kaufen oder verkaufen kann, wenn er nicht das Zeichen hat, nämlich den Namen des Tieres oder die Zahl seines Namens.

mfg
Reinhold

[wazi]

Da geht es mir ganz genauso.

Zumal dieser ganze Blödsinn nur die "kleinen" Normalbürger trifft.

Die professionellen Terroristen dürften davon kaum erfaßt werden.

Weiterhin versuchen die Web-Werbe-Firmen die gewonnenen Daten zum Profilgenerieren von Computernutzern zu verwenden.
Die wollen gerne da dran........

Es wird Zeit, etwas zu unternehmen......... Ich empfehle, ganz konkret mit dem Einsatz von PGP/GnuPP/GnuPG anzufangen

Eine gute deutsche Seite ist www.gnupp.de . Dort gibt es alles in deutsch und es funktioniert gut...

Also, raus aus dem Sessel und was getan............Ich will jedenfalls nicht, daß jeder Vollbanause in meinen Mails rumschnüffelt.........

Gruß wazi

Der Beitrag wurde von wazi bearbeitet: 18.12.2004, 18:47

[Gast_Joerg_*]

Wer übrigens ein Outlook-Plugin für GnuPG sucht, wird hier fündig. Das alte GData-Plugin funktioniert leider mit neuen Outlook- und/oder GnuPG-Versionen nicht mehr.

[Yopie]

Ich kann als graphisches GPG-Frontend GPGshell empfehlen.
Anleitungen zum Thema GPG/PGP finden sich u.a. unter http://kai.iks-jena.de/pgp/index.html .

[wazi]

Hallo Joerg,

finde deine Infos als sehr hilfreich und gut

Da kann man jetzt was mit anfangen, gute deutsche Beschreibungen sind wichtig.


Nochmals Danke.

Viele Grüße wazi

Der Beitrag wurde von wazi bearbeitet: 18.12.2004, 19:36

[Gast_Joerg_*]

@wazi: Damit keine Missverständnisse aufkommen: Die von mir verlinkte Forenübersicht und die darin enthaltenen Beschreibungen sind nicht von mir

[wazi]

Weiß ich.

Die Quellenangabe ist aber trotzdem gut.

In früheren Jahren scheiterte ich einige Male in der komplizierten PGP-Installation, weit bevor es eine kommerzielle Firma wurde.
Daraufhin habe ich aufgegeben und erst in jüngerer Zeit nach Alternativen gesucht.

Viele Grüße wazi

[MyThinkTank]

Wie wäre es denn, wenn man mal damit beginnen würde, in die Email-Programme eine sinnvolle symmetrische Verschlüsselung einzubauen. Das ist einfach zu handhaben und würde einen Großteil der Mails schon unlesbar machen.

Geschätzt etwa 4/5 aller meiner Mails gehen an eine relativ gleichbleibende Gruppe von Freunden und Bekannten. Ich würde gerne gleich im Mailadressbuch hier die Passphrase zum Verschlüsseln der Mails mitangeben. Entsprechend wird die Mal bei Empfänger gleich entschlüsselt. (Sichere Implementierung und sicherer Algorithmus mal vorausgesetzt). Natürlich ist das Verfahren relativ unsicherer als mit PGP, denn ich muss die Passphrase für jeden Empfänger getrennt festlegen und auch irgendwie kommunizieren. Dafür ist das Verfahren ziemlich simpel und schließt das Mitlesen beim Provider definitiv aus. Für Dinge die nicht sicherheitsrelevant sind, dürfte das Verfahren völlig ausreichen, um die einfache Privatsphäre zu schützen.

Gibt's sowas schon? Ich habe so etwas leider noch nicht gefunden. Vielleicht als nettes Plugin für Thunderbird?

Gruß!
MyThinkTank

[wazi]

Auch das wäre eine Idee.......

Nur da die ganze GPG/PGP-Infrastruktur bereits besteht, ist deren Benutzung wahrscheinlich einfacher und unkomplizierter, nehme ich an.

Bekannt ist mir in der Richtung auch nichts........

Viele Grüße wazi

[wazi]

Zum Thema passend sind u.a. auch www.dergrossebruder.org , www.stop1984.com und www.bitte-verschluesseln.de , wobei die letztgenannte Seite noch im Aufbau begriffen ist.

Diese Seiten sind allesamt aus der Ablehnung der Totalüberwachung entstanden.

Viele Grüße wazi

[Kool_Savas]

Wer übrigens ein Outlook-Plugin . . .
[right][snapback]66817[/snapback][/right]

Danke für den Link, werde ich mich jetzt einarbeiten.

Man sollte Politika, dass lesen von George Orwell 1984 verbieten.

Ich weiß wie es weiter geht, als nächsten wird unsere Post geöffnet und gelesen.

Der Beitrag wurde von Witti bearbeitet: 19.12.2004, 02:27

[Gast_Witti_*]

Man sollte Politika, dass lesen von George Orwell 1984 verbieten. 

Genau! Lasst uns die Feuerwehr losschicken, deren Bücher zu kassieren!

@MTT
Was spricht gegen enigmail (abgesehen von der nicht massen-tauglichen Instlalltion)?

@Kool Savas
Sorry für die edit-Angabe unter Deinem Post. Ich wollte meinem beitrag etwas hinzufügen und habe dabei ausversehen Deinen erwischt... Aber ist ja nichts passiert.

Der Beitrag wurde von Witti bearbeitet: 19.12.2004, 02:29

[MyThinkTank]

@witti:

Es spricht nichts gegen enigmail, außer dass 90% der Anwender damit überfordert sind. Ich schätze mal, dass ich es hinbekommen habe, aber mein Kenntnisstand und die Zeit , die ich dafür aufwenden kann, steht den meisten Usern nicht zur Verfügung.
Nötig ist eine viel einfachere Lösung! Sonst wird das nämlich nichts mit der sicheren Mail für alle.

Gruß!
MyThinkTank

[Kool_Savas]

@Witti

Macht nichts.

[StormRider]

Nötig ist eine viel einfachere Lösung! Sonst wird das nämlich nichts mit der sicheren Mail für alle.
[right][snapback]66950[/snapback][/right]

Den Text kann ich unterschreiben...
Ich habe -wie sicherlich viele anderen auch- WinXP Home. Habe GnuPG geladen und möchte installieren:
1. Hürde: Installation benötigt ein Admin-Konto
ok, Ausführen als gewählt und Installiert.
Nun der erste Start...
2. Hürde: ein Haufen Fehlermeldungen, die sich hintereinander verstecken und in einer schiebe-/klickorgie enden, wehe man bekommt die Reihenfolge nicht hin - hatte das Programm als User gestartet, aber ok, nächster Versuch, Start als Admin, geht, Schlüssel erzeugen, geht, Programm beenden und als User neu starten.....
3. Hürde: kein Schlüssel mehr da...hö?
Aber /me ist nicht so leicht kleinzukriegen, neustart als Admin, Schlüssel exportieren... (und nun gibts richtig Huddel, da ich das Programm in div. Versionen schonmal installiert hatte und scheinbar in der Registry noch was übrig gelassen hatte, das kann aber jedem User passieren)
4. Hürde: ich kann exportieren, was ich will, scheinbar passiert nix, ich kann keine Schlüssel als User importieren, das Schlüsselfeld bleibt immer leer - humm -, da wird wohl der Inder in mir gefordert? Nagut, mal nachsehen, wo die Dinger denn nun versteckt sind und ins Userkonto kopieren...
1. Erfolgserlebnis: Nun sind die Schlüssel endlich auch im Userkonto vorhanden

Wieviele Leute hätten schon längst vorher aufgegeben? Und nun sollte ja der bequemlichkeit halber noch ein Tool in den Mailer eingebunden werden, wo ähnliche Hürden lauern....

Ich denke noch daran, als wir dieses Programm auf einigen Rechnern in unserer Firma benötigten und keiner hatte sich scheinbar jemals vorher mit Verschlüsselung befasst, selbst die Spezis in der EDV waren da nicht Sattelfest aber mittlerweile funktioniert es.

Als einfachere Alternative könnte man folgendes überlegen:
Sender und Empfänger vereinbaren, daß die Mail als verschlüsseltes HTML versendet wird, der Schlüssel muß anderweitig irgendwie vereinbart und geheimgehalten werden. Sender verschlüsselt seine Mail und sendet diese an den Empfänger, dieser öffnet die HTML-Mail in einem Javascript-fähigen Mailer oder Browser, gibt das Passwort ein und kann lesen. Ist sicher nicht so elegant, wie GnuPG/PGP mit offener Schlüsselverwaltung (Vorsicht bei Keyservern, mißbrauch des Mailaccountes durch Spammer möglich), jedoch für ungeübte User evtl. einfacher zu handhaben.
Wer damit mal experimentieren möchte, schaue sich den Encrypter von Elmüsoft an:

*EDITED* (Grund: Siehe 2 Postings weiter unten! -> Joerg)

mfg Reinhold, der meint, daß GnuPG sich schonmal leichter installieren ließ; ggf. ist er gealtert oder das BS macht mehr zicken

Der Beitrag wurde von Joerg bearbeitet: 19.12.2004, 12:44

[Kool_Savas]

Würde du bitte Webseite weg machen, da sind mehrer Trojaner drauf, danke.

[Gast_Witti_*]

dieser öffnet die HTML-Mail in einem Javascript-fähigen Mailer

Mit aktivierten JavaScript in Mails tut man sich bestimmt keinen Gefallen.

@ kool_savas
Wo denn?

[Gast_Joerg_*]

Mit aktiviertem Java schlagen manche Virenwächter Alarm, da hier ein Exploit für eine ältere Sicherheitslücke in der JVM des IEs eingesetzt wird.
Da ich nicht beurteilen kann, inwieweit das Exploit für den Ziel-PC schädlich ist (-> wird Sicherheitslücke ausgenutzt?), habe ich den Link vorsichtshalber editiert.

[Kool_Savas]

@ kool_savas
Wo denn?
[right][snapback]66970[/snapback][/right]

Es handelt sich dabei um Exploit.Java.Bytverify (2x) und Trojan.Java.Femad (2x).

[Lucky]

Das ist egal. Sind alles Mirrors, und ich habe Deinen Key sofort gefunden.
[right][snapback]66740[/snapback][/right]

Ah, wieder was gelernt.

- björn

[StormRider]

Würde du bitte Webseite weg machen, da sind mehrer Trojaner drauf, danke.
[right][snapback]66965[/snapback][/right]

hm, steht doch auf der Webseite drauf:

Diese Homepage enthält 2 Sicherheits Checks für den Internet Explorer.
Sie zeigt eine Warnung, wenn eine gefährliche Sicherheitslücke gefunden wurde.
Einige Virenscanner alarmieren beim Ausführen des Sicherheits Checks!   Weitere Infos

Diese Webseite gibt es schon sehr lange und ich glaube nicht, daß sich eine vervirte Seite über Jahre halten könnte, ohne daß man etwas darüber hören würde.
Da ich aber die gefährlich- bzw. harmlosigkeit nicht ohne weiteres Prüfen kann, ist es schon ok, daß ein Admin den Link beseitigt hat. Man hat ja angeblich schon Pferde vor der Apotheke ...

Wer sich für die Software interessiert, findet sie auch über Suchmaschinen bzw. Downloadseiten. Über Javascript im Mailer wurde hier auch schon was geschrieben, ich halte das auch für problematisch und würde versuchen, das ganze anders zu lösen.

mfg
Reinhold

[docprantl]

im prinzip ist es eigentlich eh schwachsinn pgp zu verwenden, die normalen leute haben  nix zu verbergen[right][snapback]66756[/snapback][/right]

Dieses "Argument" höre ich bei derartigen Diskussionen öfter. Ich stelle dann immer eine Frage, die mir bisher niemand beantworten konnte; und du, Stargate, wirst sie auch nicht beantworten können: Woher weißt du, daß du nichts zu verbergen hast?

docprantl

[MyThinkTank]

Woher weißt du, daß du nichts zu verbergen hast?

Für die Langsameren unter uns:
Irgendwann könntest Du bemerken, dass Du doch etwas zu verbergen gehabt hattest. Dann ist es zu spät.

MTT

[Gast_Cobra_*]

MTT und Stormrider haben hier mir einer alternativen Verschlüsselung geliebäugelt. Beide behandeln den Schlüsseltransfer vage mit einem "irgendwie".

Das ist nicht verwunderlich. Nicht umsonst wurde die PublicKey-Kryptographie als einer der größten Durchbrüche in diesem Gebiet überhaupt angesehen. Wie soll das bei symmetrischer Verschlüsselung denn auch gehen? Soll man eine Weltreise antreten?

Beachtet bitte, daß ich einen Schlüsselaustausch per (nichtsignierter) E-mail oder Telefon für grundsätzlich inakzeptabel halte, und zwar sowohl aus grundsätzlichen wie auch realitätsbezogenen Gründen.

Bitte beachtet auch, daß ich Argumente wie "naja, aber es würde doch schon 95% Sicherheit geben" nicht nachvollziehen kann. Sicherheit definiert man nicht aufgrund einer Statistik. Eine Verbindung ist entweder sicher oder eben nicht.

Und jetzt bitte nicht mit den Quantencomputern der NSA argumentieren.

Cobra

[wazi]

Welche Möglichkeiten schlägst du vor, Cobra?

Gruß wazi

[docprantl]

Wie sieht es in den USA aus? Gibt es dort ähnliche Bestrebungen? Es wäre ja möglich, dort einen Server zu mieten und den ganzen Datenverkehr (Mail und Web) darüber laufen zu lassen...

[Gast_Witti_*]

Hast Du etwa die letzten Jahre amerikanischer Innenpolitik verschlafen?

http://www.heise.de/newsticker/meldung/21039

[Gast_Jens1962_*]

Wie sieht es in den USA aus? Gibt es dort ähnliche Bestrebungen? Es wäre ja möglich, dort einen Server zu mieten und den ganzen Datenverkehr (Mail und Web) darüber laufen zu lassen...
[right][snapback]67163[/snapback][/right]

Wie willst Du das hinbekommen? Eine Direktverbindung nach USA verlegen?
Schau Dir mal eine Webverbindung an, über wieviele Zwischenstationen das geht.
Selbst eine Standleitung ist (zumindest in Deutschland) keine Direktverbindung, sondern nur eine Kabel- und Serverkapazität, die für teuer Geld freigehalten wird.

Jens

Der Beitrag wurde von Jens1962 bearbeitet: 20.12.2004, 00:35

[Gast_Witti_*]

Die Mail-Überwachung wird auf die Mail-Provider angewendet, nicht auf Internet-Router.

[Gast_Jens1962_*]

Und wem gehören die?

[Gast_Witti_*]

Irrelevant: Die Mail-Server werden überwacht. Oder hast Du eine Quelle, die Gegenteiliges besagt?

[Gast_Jens1962_*]

Irrelevant: Die Mail-Server werden überwacht. Oder hast Du eine Quelle, die Gegenteiliges besagt?
[right][snapback]67173[/snapback][/right]

Selbstverständlich habe ich da keine Quelle. Technisch sollte es kein Problem sein, den Mailverkehr auf jedem x-beliebigen Server zu überwachen. Ob die Mails einen Server "nur" durchlaufen oder da abgelegt werden ist der Technik sicherlich ziemlich egal.
Der Überwachungswahn kennt ja allmählich keine Grenzen mehr. Vor nicht allzulanger Zeit ist im Rennsteigtunnel schon mal (illegal) die Software zur Fahrzeugerkennung per Kennzeichen gelaufen. War für die Herren nur Pech, daß einer geplaudert hat.
Ist übrigens die Technik, die, rein zufällig natürlich, auch im Zusammenspiel mit den Maut-Brücken funktionieren würde...
Ich hoffe, ich bin nicht bekloppt und habe einfach mal 1 und 1 zusammengezählt.

[Gast_skript crackz master_*]

Ist sowieso schohn lange so das die alle Mails untersuchn tun mit exstra Programen die suchn nach so Wörtern. Die wen da was drinstet wie Bombe oder Antraks dann machn die gleich Alarm. Das krigt ihr nur garnich mit und bein Handy is auch nich anders. Könnt ihr mal testn: Ruft bein Kollegn an und sagt dan Antraks und Bombe und sone Wörter. Ich schwör das in 10 minutn die Bulln bei euch anklopfn tun. Das machn die weil die das von so ein Gesetz für Notfelle her tun seit dem Ding von 11 SEptember

Und wenn man die Mails mit Program verschlüsssln tut mach ihr euch dan richtig verdechtig und crackn könn die das sowiso, kosst nur Zeit Deswegn ist in USAja auch verboten zu benutzen

[Lucky]

Ich schwör das in 10 minutn die Bulln bei euch anklopfn tun. [right][snapback]67179[/snapback][/right]

- björn

[Gast_Witti_*]

@ Jens1962
Es geht nun mal um die Überwachung von Mails und nicht des gesamten Datenverkehrs im Internet - zumindest noch nicht. Insofern ist docprantls Vorschlag eine Überlegung wert, allerdings nicht in den USA.

[docprantl]

Wie willst Du das hinbekommen? Eine Direktverbindung nach USA verlegen?
Schau Dir mal eine Webverbindung an, über wieviele Zwischenstationen das geht.
Selbst eine Standleitung ist (zumindest in Deutschland) keine Direktverbindung, sondern nur eine Kabel- und Serverkapazität, die für teuer Geld freigehalten wird.

Jens[right][snapback]67166[/snapback][/right]

{Man|ich|wir|"jemand"} mietet in den VSA oder einen anderen Land einen Server. Ein dedizierter Server mit 1 HE und Windows 2003 könnte pro Monat nicht mehr als sagen wir mal 50$ kosten. Da ist dann auch alles dabei, was man braucht: ein POP3/SMTP-Server, eigene Zertifizierungsstelle, und eine Proxysoftware läßt sich auch irgendwie beschaffen. Die Verbindung von Deutschland aus wird dann per VPN bzw IPSec hergestellt. Deutsche Behörden haben sicherlich keinen Zugriff auf diese Appliance. Und die Amis kennen mich nicht, Carnivore wird denen also auch nichts nützen. Außerdem, das System soll ja nicht zur Vorbereitung von Straftaten genutzt werden, sondern für die ganz normalen alltäglichen Dinge im Web (Surfen, Chatten, Mailen, Livestreams etc).

docprantl

[Gast_skep_*]

Ist sowieso schohn lange so das die alle Mails untersuchn tun mit exstra Programen die suchn nach so Wörtern. Die wen da was drinstet wie Bombe oder Antraks dann machn die gleich Alarm. Das krigt ihr nur garnich mit und bein Handy is auch nich anders. Könnt ihr mal testn: Ruft bein Kollegn an und sagt dan Antraks und Bombe und sone Wörter. Ich schwör das in 10 minutn die Bulln bei euch anklopfn tun. Das machn  die weil die das von so ein Gesetz für  Notfelle her tun seit dem Ding  von 11 SEptember
[right][snapback]67179[/snapback][/right]

Ist sowieso schohn lange so das die alle Forenbeitreege untersuchn tun mit exstra Programen die suchn nach so Wörtern. Die wen da was drinstet wie ick schwöre oder Bulln dann machn die gleich Alarm. Das krigt ihr nur garnich mit und bei Rokop-Security is auch nich anders. Könnt ihr mal testn: Antworded auf ein Thräd und schreipt dan ick schwöre und Bulln und sone Wörter. Ich schwör das in 10 minutn der Administrador bei euch anklopfn tun. Das machn die weil die das von so ein Gesetz für Notfelle her tun seit dem Ding von 20 DEsembär

[Manu]

Ich benutze GPG zur Verschlüsselung und finde dies auch wichtig!

Unter Linux bietet sowieso nahezu jeder Mail-Client eine Schnittstelle zu GPG, was das Verschlüsseln/Entschlüsseln/Signieren automatisch ablaufen lässt.

Unter Windows (und Linux natürlich auch...) bietet Thunderbird mit EnigMail ebenso bequemes arbeiten.
Ansonsten empfehle ich GPGRelay - es schaltet sich zwischen "Internet" und Mail-Client und lässt ebenso alles automatisiert ablaufen.

[Gast_Jens1962_*]

@ Jens1962
Es geht nun mal um die Überwachung von Mails und nicht des gesamten Datenverkehrs im Internet ...
[right][snapback]67183[/snapback][/right]

Mag sein, ich trau denen (konkret dem Teil unserer Politiker, die mir unter ausgeprägter Paranoia zu leiden scheinen) nur nicht über den Weg.
Wie weiter oben geschrieben: Im Rennsteigtunnel (A 71) ist eine Überwachungssoftware gelaufen die:
der kranken Phantasie einiger Leute entsprungen ist,
über die nur mal am Rande nachgedacht wurde,
die vielleicht mal in Zukunft entwickelt werden könnte,
die lediglich mal versuchshalber an Hand von Einzelbildern im Labor ausprobiert wurde,
die vom Entwicklungsstand her absolut nicht einsatzfähig ist,
und auf einmal ist sie gelaufen, weil sie ein (!) übereifriger Beamter aufgespielt und aktiviert hat.
Das ist keinesfalls meiner Phantasie entsprungen. Die Geschichte ist real passiert und die Chronologie der oben stehenden "Begründungen" war u.a. in der Tagespresse nachzulesen.
Der letzte Satz (noch?) mit Augenzwinkern: Hast Du Dich auch schon mal gefragt, wieso es Zustellzeiten von Mails unter vergleichbaren Bedingungen zwischen wenigen Sekunden und mehreren Stunden gibt?

Jens

[Gast_Witti_*]

@jens1962
Kurz zum Thema automatische Kennzeichen-Überwachung (auch wenn es off-topic ist):
Ich befürworte diese Maßnahme, solange gewährleistet ist, dass nur die Daten von zur Fahndung ausgeschrieben Fahrzeugen/Haltern gespeichert und eingesehen werden. Außerdem muss das System absolut zuverlässing funktionieren.
Dieser "Testlauf", wie von Dir beschrieben, ist natürlich nicht akzeptabel.

Ansonsten muss ich Dich enttäuschen, für Verschwörungstheorien bin ich wenig anfällig.

[Domino]

@ manu

Sehr guter Link, denn für den "Normaluser" mit Win XP und Outlook Express ist mitunter sehr schwierig PGP bzw. GPG zu installieren.

Hat noch jemand Tips ?



Domino

[Gast_Witti_*]

Eine nette Kurz-Anleitung zu WinPT und enigmail/Thunderbird: http://php.ch-becker.de/how2/winpt/index.html

[Gast_Jens1962_*]

Ansonsten muss ich Dich enttäuschen, für Verschwörungstheorien bin ich wenig anfällig.
[right][snapback]67210[/snapback][/right]

Ich auch nicht,
also hoffen wir mal, daß Du recht behälst.

[MyThinkTank]

@cobra:

Ich muss Dir leider widersprechen.
Es gibt keine Sicherheit, es gibt absolute Sicherheit (GnuPGP korrekt angewendet) und es gibt relative Sicherheit.

Mein Modell mit der symmetrischen Sicherheit ist für einen großen Teil meiner Mailpartner absolut ausreichend. Das Abhören beim Provider/Mailserver wird unterbunden. Das ist nur relative Sicherheit.

Natürlich ist das zentrale Problem die Frage nach dem Austausch der Keys. Das ist mir sehr wohl bewusst. Viele meiner Mailpartner treffe ich von Zeit zu Zeit; da kann man die Keyphrase direkt absprechen. Anderen kann ich sie per Briefpost oder per Telefon zukommen lassen. Natürlich kann man das auch überwachen. Aber ich gehe erstmal nicht davon aus, dass bei mir eine verdachtsbezogene Überwachung stattfindet. Warum auch?
Man kann bei hinreichender Paranoia, die Möglichkeiten von Briefpost, Telefon und Handy sogar noch kombinieren ...

Für hochsensitive Inhalte/Mailpartner würde ich vielleicht auch eher OTP oder Vergleichbares vorschlagen - aber für den Alltag?!?

Mein Ansatz zielte lediglich darauf, das einfache Mitlesen beim Provider zu unterbinden. Das lässt sich genau so unterbinden, wie ich es beschrieben habe. Sachbezogen erscheint mir Deine Gegenhaltung etwas contraproduktiv zu sein.

Gruß!
MyThinkTank

[Manu]

Hallo MTT,
stimme Dir zu - bei Deinem Modell ist "lediglich" der Austausch des Schlüssels "unsicher".
Aber warum verwendest Du nicht GPG?

Man kann die Passphrase zwischenspeichern - und so gibt man sie beim Versand der ersten Mail an und muss sie ab dann nicht mehr eingeben, es sei denn man schließt das Programm.

Was verwendest Du für ein symmetrisches Verfahren? Software?

Nachtrag:
Wer lesen kann, ist klar im Vorteil. Sorry.
Habe erst jetzt nochmal den Thread durchgeschaut.

Du hast recht - es ist teils kompliziert. Doch mit den Anleitungen (z.B. von Witti oder mir) ist es wirklich machbar.
Und der Schlüsselaustausch ist um einiges einfacher als beim symmetrischen Verfahren - mein Public-Key liegt auf sämtlichen Key-Servern und auch meiner Homepage.

Fragen haben sich somit beantwortet. Ach, das Programm würde mich noch interessieren.

Der Beitrag wurde von Manu bearbeitet: 20.12.2004, 21:56

[Gast_Cobra_*]

Ich will versuchen, Dir das zu erklären.

Du hast sicher recht mit der "relativen" Sicherheit, die allerdings rasch zur relativen Unsicherheit werden kann. Die Ermittlungsbehörden können deine Mail nicht lesen. Das wird, da beißt die Maus kein' Faden ab, auf Dich ein Verdachtsmoment lenken, wie auf jeden, der seine Mails verschlüsselt.[1] Kannst Du ausschließen, daß dieses Verdachtsmoment nicht zu einer Überwachung Deiner Telefongespräche führt? Ich denke nicht, insbesondere im Hinblick auf die Tatsache, daß die TKÜV ja ohnehin die Vorratsspeicherung sämtlicher Verbindungsdaten einschließlich der geführten Telefongesprüche und verschickten SMS-Nachrichten vorsieht. Aber das weißt Du ja.

Deine Kritik oben setzt aber an der Kompliziertheit der heute verfügbaren Verschlüsselung an. Hier sehe ich nicht, was eine symmetrische Verschlüsselung diesbezüglich verbessern könnte. Im Gegenteil, der Schlüsselaustausch wird erheblich komplizierter, oder ist unsicher. Meiner Meinung nach mangelt es gerade unter Windows an E-mail-Clients, die GPG/PGP in sinnvoller Weise integrieren. Stell Dir nur mal vor, man könnte auf einfache und intuitive Weise den Schlüssel des Gegenübers im Client selbst herunterladen, um dann mit einem einfachen Knopfdruck die nachfolgende Mail zu verschlüsseln. Kmail kommt dem schon recht nahe, aber unter Windows ist das alles viel zu kompliziert (da stimme ich Dir völlig zu).

Eine "relative" Sicherheit könnte man übrigens sehr viel leichter mit einem paßwortgeschützten RAR-Archiv erreichen, wenn man schon bereit ist, das Paßwort telefonisch zu übermitteln. Sinnvoller erscheint mir aber, die wirklich sichere Variante voranzutreiben, und darauf zu drängen, daß die Hersteller von E-mail-Clients eine bessere Integration der Verschlüsselung in ihren Programmen anstreben.

Cobra

[1] In dieser Hinsicht ist Steganographie eigentlich überaus attraktiv.

Der Beitrag wurde von Cobra bearbeitet: 20.12.2004, 22:08

[MyThinkTank]

@cobra:
Ich denke, wir sind da gar nicht soweit auseinander. Wir sehen das Problem nur von verschiedenen Seiten. Ich arbeite nicht mal entfernt im EDV-Bereich. Ich mache das nur als "Hobby". In meinem Bekannten-/Kollegenkreis bin ich mit Abstand derejenige, der sich am meisten mit dieser Materie befasst, insbesondere unter dem Sicherheitsaspekt. Und der größere Teil meiner Freunde/Bekannnten/Kollegen sind Akademiker z. T. in hochverantwortlichen Positionen.
Ich sehe das Problem von der Benutzerseite. Alles, was derzeit am Markt ist, ist für diese Benutzer viel zu komplex, weil die Einarbeitung und die Installation viel zu komplex sind - Zeitfaktor!!!. So geht es nicht! Die genannten Personen können das ganze nur outsourcen, z. B. an mich oder aber an Mitarbeiter des jeweiligen Hauses aus den IT-Abteilungen - die auch eine Menge Mist machen

Natürlich würde ich mir eine selbsterklärende oder assistentengeführte Verwendung der Public-Key-Verschlüsselung wünschen. Mein Verfahren ist schlicht nur einfacher zu handhaben. Darin sehe ich den entscheidenden Vorteil. Und es einfach zu erklären.

Wenn sehr viele diese Form der Verschlüsselung wählen, wird dein Argument der Verdächtigung wegen Verschlüsselung obsolet.

btw: Wenn man Dich verdächtigt, wird man Deinen PC kompromittieren - durch direkten Zugriff! Für völlige Sicherheit müsstest Du eine Vollverschlüsselung Deines PCs wie Safe Guard Easy o. ä. einsetzen.


@Manu:
Für die Verschlüsselung von Dateien verwende ich derzeit "Truecrypt". Der Quellcode ist erhältlich und geprüft.
Link: http://truecrypt.sourceforge.net/

Recht funktional ist auch: "pc-encrypt"
Link: http://www.pc-encrypt.com/
Das ist aber nicht imQuellcode frei.

Gruß!
MyThinkTank

[Gast_Cobra_*]

Ich denke, wir sind da gar nicht soweit auseinander. Wir sehen das Problem nur von verschiedenen Seiten. Ich arbeite nicht mal entfernt im EDV-Bereich. Ich mache das nur als "Hobby". In meinem Bekannten-/Kollegenkreis bin ich mit Abstand derejenige, der sich am meisten mit dieser Materie befasst, insbesondere unter dem Sicherheitsaspekt. Und der größere Teil meiner Freunde/Bekannnten/Kollegen sind Akademiker z. T. in hochverantwortlichen Positionen.

Jo, wir sind da in vergleichbaren Situationen angesiedelt.

Ich sehe das Problem von der Benutzerseite. Alles, was derzeit am Markt ist, ist für diese Benutzer viel zu komplex, weil die Einarbeitung und die Installation viel zu komplex sind - Zeitfaktor!!!. So geht es nicht! Die genannten Personen können das ganze nur outsourcen, z. B. an mich oder aber an Mitarbeiter des jeweiligen Hauses aus den IT-Abteilungen - die auch eine Menge Mist machen 

Und wieder vergleichbare Situationen und Meinungen.

Natürlich würde ich mir eine selbsterklärende oder assistentengeführte Verwendung der Public-Key-Verschlüsselung wünschen. Mein Verfahren ist schlicht nur einfacher zu handhaben. Darin sehe ich den entscheidenden Vorteil. Und es einfach zu erklären.

Das mußt Du mir allerdings noch einmal erklären. Warum ist Dein Verfahren einfacher? Ist es momentan einfacher, oder immer, selbst bei einer idealen Integration von GPG? Ist es einfacher als RAR-Archive zu versenden? Bitte hilf mir auf die Sprünge.

Wenn sehr viele diese Form der Verschlüsselung wählen, wird dein Argument der Verdächtigung wegen Verschlüsselung obsolet.

Yep. Das gilt natürlich für alle Formen der Verschlüsselung.

btw: Wenn man Dich verdächtigt, wird man Deinen PC kompromittieren - durch direkten Zugriff! Für völlige Sicherheit müsstest Du eine Vollverschlüsselung Deines PCs wie Safe Guard Easy o. ä. einsetzen.

Eine Vollverschlüsselung halte ich nicht für notwendig. Sicherheitskritische Komponenten verschlüssele ich allerdings tatsächlich.

Cobra

[BEASTIEPENDENT]

Es gibt keine Sicherheit, es gibt absolute Sicherheit (GnuPGP korrekt angewendet) und es gibt relative Sicherheit.

sry, aber absolute sicherheit gibt es IMHO bei nichts (!) außer vielleicht einigen mathematischen weisheiten (und selbst die werden dann und wann "modernisiert").

Meiner Meinung nach mangelt es gerade unter Windows an E-mail-Clients, die GPG/PGP in sinnvoller Weise integrieren.

leider auch unter mac os x. ich hab zwar heut gelesen, dass apple mail mit der neuen betriebssystem-version 10.4 (tiger) einee integrierte verschlüsselung haben soll, aber was das sein soll... k.a.

[MyThinkTank]

@Beastie:
Grmph - wie lange liest Du hier schon mit? Die One-time-pad-Verschlüsselung ist mathematisch beweisbar sicher. Das helfen auch keine Quantencomputer. Leider ist sie wenig anwendungsfreundlich.

@cobra:
Mein Verfahren ist "im Moment einfacher". Selbstverständlich ist ein automatisiertes Public-Key-Verfahren vorzuziehen. Nur haben wir das nicht. Und ich sehe das auch nicht für die Zukunft. Eigentlich müsste das die definitive Hauptaufgabe der sourceforge-Gemeinde sein. Hoffen wir das beste ...

Eine Vollverschlüsselung halte ich nicht für notwendig. Sicherheitskritische Komponenten verschlüssele ich allerdings tatsächlich.

Hilft das gegen einen Keylogger, von dessen Existenz Du nichts ahnst? Vgl. C'T 23/2004, S. 146ff.
(Natürlich gilt dieses Argument auch für mich.)

Gruß!
MyThinkTank

[Gast_Cobra_*]

@Beastie:
Grmph - wie lange liest Du hier schon mit? Die One-time-pad-Verschlüsselung ist mathematisch beweisbar sicher. Das helfen auch keine Quantencomputer. Leider ist sie wenig anwendungsfreundlich.   

Richtig. Beastie, lehn Dich mal nicht so weit aus dem mathematischen Fenster ...

@cobra:
Mein Verfahren ist "im Moment einfacher". 

Inwiefern? Erkläre das bitte mal im Detail. Ich verstehe es nicht. Für meine Begriffe nimmt sich das gar nichts....aber ich stehe vielleicht nur auf dem sprichwörtlichen Schlauch.

Hilft das gegen einen Keylogger, von dessen Existenz Du nichts ahnst? Vgl. C'T  23/2004, S. 146ff.
(Natürlich gilt dieses Argument auch für mich.)

Wie soll denn der Keylogger auf meine Festplatte kommen. Hm?

Cobra

[Gast_vampire_*]

Wie soll denn der Keylogger auf meine Festplatte kommen. Hm?
[right][snapback]67410[/snapback][/right]

du bist für einen moment mal unkonzentriert, das passiert dir wie jedem anderen auch, und zack, schon wird mitgelogged...


im übrigen: wer wirklich sensible daten über die verschieden communikationsnetze verschickt...ist selber schuld!

würde mir im traum nicht einfallen...brieftaube rulez

Der Beitrag wurde von vampire bearbeitet: 21.12.2004, 00:03

[docprantl]

Meine Idee mit dem gemieteten Server scheint ja wohl niemanden zu interessieren...

[Gast_Cobra_*]

Wie unkonzentriert müßte ich eigentlich sein, um mich für den keylogger als root einzuloggen und "chmod +x furchtbaresprogramm" einzugeben? Und dann noch ./furchtbaresprogramm auszuführen?

Hm?

Cobra

[Gast_vampire_*]

hört sich nach linux an...ok, damit kenn ich mich nicht aus.
aber für grundsätzlich unmöglich halte ich das auch nicht.

@docprantl,

es gibt "server" die stellen dir den "client2client" chat zur verfügung. das hat was!

Der Beitrag wurde von vampire bearbeitet: 21.12.2004, 00:17

[Gast_Cobra_*]

Meine Idee mit dem gemieteten Server scheint ja wohl niemanden zu interessieren...
[right][snapback]67415[/snapback][/right]

Wenn Du nur senden willst, ist das ja in Ordnung. Willst Du aber auch empfangen, ist das doch für die Katz': jeder, der Mails an Dich sendet, oder Dir antwortet (und gar zitiert ), kann Deine Kommunikation kompromittieren, sofern er seine Mails über kommerzielle Server der EU versendet.

Cobra

[docprantl]

Mir geht es hauptsächlich um HTTP, und weniger um Mails. Dafür sollte das doch ausreichen?

[Gast_Cobra_*]

hört sich nach linux an...ok, damit kenn ich mich nicht aus.
aber für grundsätzlich unmöglich halte ich das auch nicht.

Ist es auch nicht. Ich könnte wahnsinnig werden. Oder senil. In unserem Alter ist so etwas durchaus denkbar.

@docprantl,

es gibt "server" die stellen dir den "client2client" chat zur verfügung. das hat was!
[right][snapback]67419[/snapback][/right]

Wir reden hier von E-mail. Eigentlich.

Cobra

[docprantl]

Also auf gut deutsch, wir versenden ab 01.01.2005 keine e-Mails mehr - oder wie?

docprantl

[MyThinkTank]

@docprantl:
Wie sicher ist ein Server, zu dem Dritte physikalischen Zugriff haben ?

@cobra:
Ebenso zur Sicherheit Deines PCs: Du hälst die symmetrische Verschlüsselung für unsicher, weil man ja auch Telefon abhören und Postbriefe öffnen kann. Richtig! Aber man kann auch in Deine Wohnung einsteigen und auf Deinem PC einen Keylogger installieren. Dann nützt Dir auch die Verschlüsselung nichts, weil man Deine Passphrase kennt ...

Dagegen hilft z. B. Vollverschlüsselung (siehe bsi.de) oder die Verwendung von Smartcards zur Zugriffskontrolle (welche man auf einen anderen PC vorbereitet).

Insofern ist auch asymmetrische Verschlüsselung nur "relativ" sicher.

Gruß!
MyThinktank

[docprantl]

@docprantl:
Wie sicher ist ein Server, zu dem Dritte physikalischen Zugriff haben ?

Sofern ich den Server administrieren werde, ist der sicher.

[Gast_vampire_*]

Wir reden hier von E-mail. Eigentlich.
[right][snapback]67423[/snapback][/right]

jetzt mal ganz im ernst.
ich käme nicht auf die idee, ne nachricht die wirklich kein dritter lesen darf/soll, per email zu verschicken. viel zu unsicher...

[Gast_piet_*]

> weil die Einarbeitung und die Installation viel zu komplex sind - Zeitfaktor!!!

Das mag wohl auch (MS/MacOS) zutreffen und ist das Totschlagargument überhaupt. Aber es ist nicht unmöglich! Und darum sollte man die Verantwortung nicht immer an die Entwickler weitergeben. Die es vor allem unter dem MS'chen OS "doppelt" schwer haben.

Oder glaubt hier wer daran das MS die Kryptographieimplementation unter Ihren Produkten je gebührend fördern/unterstützen wird? Von den Exportgesetzen der USA mal ganz abgesehen.

Da könnt Ihr lange auf eine "Zweiklick-Installation/Konfiguration" warten.

piet

[Gast_Cobra_*]

Aber man kann auch in Deine Wohnung einsteigen und auf Deinem PC einen Keylogger installieren. Dann nützt Dir auch die Verschlüsselung nichts, weil man Deine Passphrase kennt ...  

Wie genau funktioniert das mit dem Keylogger? Wie installieren die den?

cOBRA

[Yopie]

ich käme nicht auf die idee, ne nachricht die wirklich kein dritter lesen darf/soll, per email zu verschicken. viel zu unsicher...
[right][snapback]67428[/snapback][/right]

Was wäre sicherer, als eine gpg-verschlüsselte Mail? Snail-Mail?

[docprantl]

Wie genau funktioniert das mit dem Keylogger?  Wie installieren die den?

Irgendeine Möglichkeit wird es geben, deinen PC hochzufahren, sich als Admi^H^H^HRoot anzumelden und so einen Keylogger zu plazieren. Oder welcher Schutz soll das verhindern?

Der Beitrag wurde von docprantl bearbeitet: 21.12.2004, 00:41

[Gast_piet_*]

Sie setzen sich 487 Tage an Deinen Rechner und knacken das Passwort. Oder Sie installieren eine Kamera in der Rauhfasertapete über Deiner Tastatur an der Decke, zeichnen Dein getippsel für das rootPW auf, kommen wieder und installieren den Logger dann.

Dummerweise änderst Du zwischendurch das RootPW und tapezierst Dein Zimmer auch noch neu. ;D

piet

Der Beitrag wurde von piet bearbeitet: 21.12.2004, 00:42

[docprantl]

Was wäre sicherer, als eine gpg-verschlüsselte Mail? Snail-Mail?

Ein toter Briefkasten.

[Gast_vampire_*]

ich sag doch...BRIEFTAUBEN...

[Yopie]

Könnte zufällig entdeckt werden. Also verschlüsslte Nachricht im toten Briefkasten.

Nhs Ebg 13 fbyygr zna qnaa nore iremvpugra.

[MyThinkTank]

@docprantl:
Warst Du nicht derjenige, der in einem früheren Thread gesagt hat, dass ein Rechner, zu dem ein Dritter Zugang hat, per definitionem unsicher ist (oder verwechsele ich da was?).

@cobra:
Die C'T hat recht dezidiert darüber berichtet, dass man Überwachungstools nicht unbedingt bemerken muss. Woher weißt Du sicher, dass Du nicht bereits überwacht wirst ...

Mal im Ernst: Natürlich kann man sich ein sicheres System aufbauen. Nur ist das nicht banal und bedarf sorgfältiger Pflege - die ein informierter Normaluser nicht leisten kann.

Daher komme ich auf mein Basissystem der relativen Sicherheit mittels symmetrischer Verschlüsselung. Sie verhindert zuverlässig das "Massenscreening" von Emails. Genau gegen dieses Bedrohungsszenario hilft dieses Verfahren. Für andere Zwecke sind andere Verfahren angebracht.

Gruß!
MyThinkTank

[wazi]

Eventuell ist die deutsche GnuPP hilfreich... www.gnupp.de

Die habe ich schon länger im Einsatz, ist zuverlässig.

Ich möchte auch nochmal auf die zur Zeit im Aufbau befindliche Seite www.bitte-verschluesseln.de hinweisen und auf www.stop1984.com und www.dergrossebruder.org

Jetzt wird es Zeit, etwas zu unternehmen......

Viele Grüße wazi

Der Beitrag wurde von wazi bearbeitet: 21.12.2004, 01:10

[Gast_Witti_*]

Jetzt geratet ihr aber auf Abwege. Letztlich kann man jeden Menschen zwingen, jede Information preiszugeben, sofern sie in seinem Besitz ist.

[Lucky]

leider auch unter mac os x.
[right][snapback]67394[/snapback][/right]

Ich suche heute im Laufe des Tages meine zwei Seiten raus. Es gibt GPG und ein schönes Plugin für mail.app.

Leichter kann man nicht verschlüsseln und entschlüsseln.

- björn

[Lucky]

Nhs Ebg 13 fbyygr zna qnaa nore iremvpugra.
[right][snapback]67436[/snapback][/right]

Auf Rot 13 sollte man dann aber verzichten.



- björn

[Manu]

Ich denke, die Diskussion entgleitet etwas.
In mein Haus kommt keiner rein, und wenn doch, gibt es bestimmt interessantere Dinge, als Passphrases meines PCs, wenn die denn irgendwie zu knacken wären...

@ Cobra:
Das mit Linux war gut.

@ docprantl:
Wieso sollten wir keine Emails mehr versenden? Wir reden doch lediglich über die Verschlüsselung der selbigen.

@ MTT:
So ganz verstehe ich das auch noch nicht.
Truecrypt verschlüsselt doch Dateien - keine Texte?!

Es ist also bequemer eine Email als .txt zu speichern, diese zu verschlüsseln und als Anhang an eine leere Email zu hängen?
Das versteh ich wirklich nicht. Der Mehraufwand der GPG-Installation zahlt sich doch schon nach wenigen Mails im Zeitaufwand aus, oder nicht?!

Der Beitrag wurde von Manu bearbeitet: 21.12.2004, 07:58

[Lucky]

@Beastie
So Seiten wieder gefunden:
Teil I
Teil II
Teil III

[BEASTIEPENDENT]

yo, seiten und anleitungen gibt es zur genüge, auch für mac os. nichtsdestotrotz ist es halt zu kompliziert, leider... oder jedenfalls _ziemlich_ kompliziert.

[Gast_skep_*]

yo, seiten und anleitungen gibt es zur genüge, auch für mac os. nichtsdestotrotz ist es halt zu kompliziert, leider... oder jedenfalls _ziemlich_ kompliziert.
[right][snapback]67609[/snapback][/right]

In gewisser Weise hast du ja Recht. Allerdings wenn man sich einen Tag damit beschäftigt, ist der Rest einfach. Ich meine..der komplizierteste Teil ist ja doch wohl nur ein Schlüsselpaar (im Fall von pgp bzw. gpg) zu erstellen und das entsprecchende Plugin für den Mailclient zu finden.
Danach ist es nur noch Mausschubserei....

[docprantl]

Ich habe sowohl privat als auch persönlich Zugriff auf Mailserver, die nicht unter die TKÜV fallen. Das nutzt nur leider nicht viel gegen Witzbolde, die mir von einem anonymen Relay Nachrichten schicken wie: "Danke für die Zünder. Die Sache steigt dann wie geplant Donnerstag um 12:00." 

Cobra[right][snapback]66740[/snapback][/right]

Wenn Du nur senden willst, ist das ja in Ordnung. Willst Du aber auch empfangen, ist das doch für die Katz': jeder, der Mails an Dich sendet, oder Dir antwortet (und gar zitiert ), kann Deine Kommunikation kompromittieren, sofern er seine Mails über kommerzielle Server der EU versendet.

Cobra[right][snapback]67420[/snapback][/right]

Ob nun jemand eine Mail per Anon-Remailer schickt oder über einen Server der EU, nimmt sich ja wohl offensichtlich nichts. Was ist denn eigentlich der Unterschied zu der bisherigen Verfahrensweise? Bei den Providern stehen schon seit Jahren Black Boxes, mit denen staatliche Stellen bei Bedarf die Kommunikation anzapfen können, es konnten auch bisher Mails abgefangen und gescreened werden. Was ist ab Januar neu? Daß nicht nur verdachtsabhängig, sondern generell gescreened wird?

Wir sollten erstmal überlegen, wovor wir uns schützen wollen. Mir ginge es darum, daß von mir gesendete Mails nicht mir persönlich zugeordnet werden können, damit kein Persönlichkeitsprofil oder gar ein "Freundschaftsnetz" erstellt wird. Dann wäre mir auch egal, ob die Mail gescreened wird. Was kann ich also tun? Mich unter falschem Namen bei einem Freemailer anmelden? Oder wäre es generell besser, auf Freemailer außerhalb der EU auszuweichen? Ich könnte mir auch einen Mailserver zuhause aufsetzen, denn privat falle ich ja nicht unter die TKÜV. Das hätte aber auch einige Nachteile (ständig online, Stromkosten, Hackerangriffe, eventuell Blacklisting). Wie seht ihr das oder welche Möglichkeiten gibt es noch abseits von Verschlüsselung? Von Verschlüsselung wollte ich eigentlich Abstand nehmen, da meine Kommunikationspartner ebenfalls verschlüsseln müßten, aus Bequemlichkeit, Unwissenheit oder Dummheit würden viele von denen das aber nicht tun.

docprantl

[MyThinkTank]

@docprantl:

Schöner Beitrag!

Ich sehe ebenfalls nicht das Problem, dass meine Mails prinzipiell gelesen werden können. Ich bin mir ziemlich sicher, dass ich mit meinen Mails nichts illegales mache - auch nichts, was man erwartbar für die nähere Zukunft als illegal ansehen könnte (d. h. ich tausche keine PC-Programme, MP3s o. ä. per E-Mail aus).
Das Problem ist doch eher, dass man bei einem Massenscreening aller Mails ziemlich präzise Information über Menschen sammeln kann und über ihre Beziehungen untereinander. Unser Doc hat hier ganz recht. Und solche Informationsammlungen können missbraucht werden oder auch nur missverstanden werden. Nicht jeder, der sich rechtsextremistische Internetseiten anschaut, ist ein Radikaler. Manche recherchieren auch nur. Nicht jede Mail, in der entsprechende Passagen oder Schlüsselwörter auftauchen, machen den Sender oder Empfänger gleich in dieser Hinsicht verdächtig.
Daher ist das Massenscreening sachlich gesehen doch ziemlich sinnlos. Es leistet eher der Datenspionage Vorschub.

Was machen eigentlich unsere Wirtschaftsunternehmen in dieser Sache? Ich habe da noch nicht allzuviel gehört. Nicht alle Unternehem haben eigene Subnetze wie etwa die Bundesbehörden oder die Bahn. Und nicht alle benutzen VPN o. ä.


Was können wir Endnutzer tun?
Ich habe Mail-Accounts außerhalb der EU. (Aber nützt das was?)
Ich werde Verschlüsselung für Dateianhänge einsetzen. Bestimmte Informationen werde ich nur als Datei versenden und nicht als Text in einer Mail.

Mehr plausible Ideen habe ich noch nicht.

Gruß!
MyThinkTank

[Lucky]

yo, seiten und anleitungen gibt es zur genüge, auch für mac os. nichtsdestotrotz ist es halt zu kompliziert, leider... oder jedenfalls _ziemlich_ kompliziert.
[right][snapback]67609[/snapback][/right]

Maximal ne Std habe ich habe ich für die Einrichtung benötigt... Wenn überhaupt.

- björn