E-Mail-Überwachung ab 1. Januar 2005 Einstellungen

[Gast_Witti_*]

Hmm, aber für verschlüsselte Datenbanken brauchst Du SecureBat! und das hätte mehr gekostet...

[wazi]

Ich habe nach einigem Forschen ein kombinirtes Verschlüsselungs- und Steganografie-Tool entdeckt das für Windows und Linux geeignet ist.

http://wbstego.wbailer.com/

Das ist recht interessant, da Freeware und recht einfach zu bedienen. Freischalt-Code ist auf der Download-Site angegeben.


Viele Grüße wazi

[Manu]

Ähm, Witti - woher beziehst Du Deine Informationen?
SecureBat! gibt's nicht mehr*, es wurde durch TB! Pro 3 abgelöst.
Unterschiede Home vs. Pro:
http://www.thebatworld.de/system/article/index.php?sid=484
http://www.ritlabs.com/en/products/thebat/diff.php

Kannst gerne hier vorbeischauen - Adresse kannst Du meiner Internetseite entnehmen.

* soll heißen, dass es nicht mehr weiterentwickelt wird.

[Gast_Witti_*]

Eigentlich von der Ritlabs Homepage: Da wird zwischen Home und Pro sowie SecureBat! unterschieden.
Aber anscheinend sollten die dann mal ihre deutsche Homepage aktualisieren.

[Manu]

Eigentlich von der Ritlabs Homepage: Da wird zwischen Home und Pro sowie SecureBat! unterschieden.[right][snapback]71828[/snapback][/right]

Auf der englischen ist auch noch SecureBat! aufgeführt - und zwar aus dem einfachen Grund, dass TB! Pro erst "so nach und nach" die SecureBat! Features annimmt.
Die Datenbank-Verschlüsselung ist noch in keiner Final enthalten, sondern erst in den Betas.

Aber anscheinend sollten die dann mal ihre deutsche Homepage aktualisieren. 
[right][snapback]71828[/snapback][/right]

Ja, das ist allerdings wahr.

Informationen bekommt man immer gut in der englischen BETA-Mailingliste, in welcher sich auch die Entwickler beteiligen:
http://stromgrade.its-toasted.org/mailman/listinfo/tbbeta
Zum Online-Lesen über Gmane: http://news.gmane.org/gmane.mail.the-bat.beta/

So - und nun wieder zurück zum Thema.

Der Beitrag wurde von Manu bearbeitet: 12.01.2005, 08:24

[Domino]

Hi manu,

Ich nutze GnuPT-2.5.6 / gpg1.4.0a-wpt0.9.14-2 gpgrelay0.955   und du ?
Ich bin jedoch restlos begeistert, dass ich in dieser Konstellation die Mails unverschlüsselt im Mailprogramm habe und das Mantra nicht bei _jeder_ neuen Mail eintippen muß.
Domino
[right][snapback]71678[/snapback][/right]

Wusstest du das das Mantra in der Registry im Klartext gespeichert wird wenn man es "erinnern" läßt ?

Egal, ich habe eh zwei Schlüssel, einen für den alltäglichen Gebrauch und einen "speziellen", diesen lasse ich nun nicht mehr speichern.


Domino

[Domino]

Obwohl, finden kann ich es nicht.


Domino

[Manu]

Hmm, woher diese Info?
Ich habe nun sämtliche Zweige durchsucht und auch mal nach einer Passphrase suchen lassen - kein Fund.

[Domino]

OK, Entwarnung.

Wenn du "speichern bis GPGrelay beendet wird" nutzt, wird es nicht in die Registry geschrieben.




Domino

[Gast_piet_*]

Ciphire bei Heise...Quellcode soll dieses Jahr noch offengelegt werden.

Was mich bißchen nachdenklich stimmt ist das das Verfahren scheinbar über einen zentralen Server läuft auf dem die Schlüssel bereitgestellt werden.

Ein großer Nachteil meiner Meinung nach gegenüber dem Verfahren mit öffentlichem und privatem Schlüssel, die auf der eigenen Maschine erstellt werden.

Kann die Funktionsweise der Schlüsselhandhabung unter Ciphire hier jemand näher erläutern?

piet

[Gast_skep_*]

In den Heise-Kommentaren hat man auch noch andere Bedenken (inwieweit sie berechtigt sind, weiß ich nicht):

1. Wird eine Passwortabfrage integriert sein, oder kann JEDER der an meinem Rechner sitzt, dann signierte Mails verschicken (oder können Würmer ect. dies nun auch tun) ?
2. Es ist nicht OpenPG und S/MIME kompatibel
3. "Nur der Quellcode des kleinen Proxy zwischen MUA und MTA auf dem
Rechner des Nutzers wird offen gelegt.
Die Software, die auf deren Servern zentral läuft und die ganzen
Zertifikate erstellt/verwaltet etc. wird nicht im Quelltest
veröffentlicht.

So zumindest die Aussage im Vortrag auf dem 21C3... .
"

Der Beitrag wurde von skep bearbeitet: 13.01.2005, 14:27

[Gast_piet_*]

Ok...die Comments hab ich nicht gelesen, aber mal bei ciphirebeta.com vorbeigeschaut.

Initialization

Make sure you are connected to the Internet to initialize Ciphire Mail.

You just need to type your email address that you want to secure, and choose a short passphrase. Make it memorable, because you’ll have to remember and enter this passphrase every time Ciphire Mail is started (typically, when you start your computer). The software then creates your keys and stores them encrypted on your computer. One last thing. Don’t write your passphrase down on a post-it note and stick in on your monitor or some other obvious place. You wouldn’t leave your house key with a big sign pointing to it on your front porch. This is pretty much the same thing.

Your Ciphire Mail client automatically starts the certification process. You won’t need to perform any manual action. The certification process is a series of verifications and identification exchanges between your Ciphire Mail client and the remote Ciphire Infrastructure. During this process, you will receive an email notifying you that your request is being processed. When all security checks have been successfully completed, your certificate is then declared valid. It is stored and shared in the central Ciphire Certificate Directory and it is ready for use. A second email will notify you of this.

Ciphire Mail has now secured your email address. You can send and receive encrypted and digitally signed emails. Cool, huh?

Also da sind noch einige Fragen offen. Vor allem zur Aussage...

>The certification process is a series of verifications and identification exchanges between your Ciphire Mail client and the remote Ciphire Infrastructure./<

Außerdem gefällt mir nicht das ein Internetaccess für die Einrichtung bestehen muss. Die Beschreibung die es anscheinend darauf anlegt dem User es als sicher aber total einfach zu suggerieren mißfällt ebenfalls. Da schrillen bei mir gleich die Alarmglocken.

Sollte dein 3. Punkt zutreffen hat sich für mich das Teil erledigt.

piet

Der Beitrag wurde von piet bearbeitet: 13.01.2005, 14:44

[Gast_piet_*]

Mensch Skep, wenn Du schon c&p von Kommentaren betreibst, korrigiere wenigstens die Rechtschreibfehler. Und ein Quote wäre auch angebracht.

piet

[Gast_skep_*]

Mensch Skep, wenn Du schon c&p von Kommentaren betreibst, korrigiere wenigstens die Rechtschreibfehler. Und ein Quote wäre auch angebracht.

piet
[right][snapback]72073[/snapback][/right]

Punkt 3 is c&p und ich habs in Anführungszeichen gesetzt, was willst du mehr...und würde ich die Fehler berichtigen, wäre es kein c&p mehr

[Manu]

Wenn du "speichern bis GPGrelay beendet wird" nutzt, wird es nicht in die Registry geschrieben.[right][snapback]72051[/snapback][/right]

Das wäre aber auch wirklich hammerhart und kaum vorstellbar gewesen.
Hast Du mir trotzdem die Links, wo über die Speichermethoden von GPGrelay berichtet wird?
Danke.

[StormRider]

Ciphire bei Heise...Quellcode soll dieses Jahr noch offengelegt werden.
.....
[right][snapback]72069[/snapback][/right]

Das Tool scheint bei der Heise-Community nicht so gut anzukommen. Ich war mal neugierig und habs installiert (und zwischenzeitlich auch wieder entfernt).
Leider reicht mein englisch nicht aus, um den ganzen Text auf deren Webseite zu verstehen.
Tool installiert und gestartet. Ich brauchte am Mailer (Thunderbird) nichts einzurichten, blos eine zu sichernde Mailadresse im Programm anzugeben und bekam daraufhin Mails von deren Server - soweit ich das verstanden habe, waren das Zertifikate, die auf meinem Rechner gespeichert wurden. In Testmails an mich selber konnte ich nichts weiter entdecken, außer wenn sie nicht durch das Tool liefen, also z.B. auf einen Webmailer liefen; dann konnte man eine Signatur sehen. Was genau passiert, wenn man einer anderen Person eine Mail sendet, hab ich nicht mehr ausprobiert. Mein Mailer motzte beim Senden und verlangte zigmal mein Passwort. Da ich auch erhebliche Bedenken gegen den für mich nicht ganz klaren Ablauf der Verschlüsselung hatte, bedeutete dies gleich das KO für dieses Tool. Ich bin mir einfach nicht sicher, was mit den Zertifikaten/Schlüssel passiert. Ob Dritte (Dunkelmänner) da meine Mails nicht doch mitlesen bzw. bei Bedarf entschlüsseln können?
Die Entfernung der Software versetzte mir auch einen gehörigen Schrecken: es gibt mehrere Methoden zur Entfernung, aber ich verstand die Beschreibung so, das danach ggf. auf meinem Computer keine Mails von meinem Account mehr gelesen werden könnten (AARGHHH); einen Hinweis auf eine Emergency-Deaktivierung hab ich schließlich gefunden - und nach einiger Sucherei auch auf deren Webseite entdeckt. Es wurden mir wiederum mehrere Mails gesandt, wo auch wieder sowas wie ein Zertifikat dabei war (kenn mich da nicht so aus) und mit gemischten Gefühlen hab ich dann den Rechner neu gestartet und mir eine Mail gesandt - es klappte wider Erwarten einwandfrei.
Also der Versuch, Verschlüsselung für Leute, die meinen, nichts zum verbergen zu haben, einfach zu gestalten, ist zwar löblich, aber mich hat das nicht so überzeugt. Vielleicht bessert sich das ganze noch, aber ich persönlich bleibe doch lieber bei der Variante mit GNUPG und Konsorten. Dort könnte auch noch einiges entwickelt werden, z.B. autom. Suche auf dem Keyserver, ob ein Mailempfänger dort einen Key abgelegt hat und dann automatisch eine Verschlüsselung anzubieten.

mfg
Reinhold

[Domino]

@ manu

Du hast eine PM.



Domino

[Domino]

GnuPT ist in der Version-2.5.7 erschienen.



Domino

[Gast_fk6_*]

Hi,

Ich wurde hier von Marko ruebergeschickt um mit euch ueber Ciphire zu reden, bin von denen, also Achtung es koennte Schleichwerbung geben:)

Ich versuche hier mal auf die obigen Posts zu antworten:

Leider reicht mein englisch nicht aus, um den ganzen Text auf deren Webseite zu verstehen.

Das mit der fehlenden deutschen Webpage tut mir leid. Wir hatten leider noch keine Zeit zu uebersetzen. Wir haben jetzt zumindestens ein duetsche Forum hingesetzt, da kann man fragen und wir antworten eigentlich immer sehr fix.

Zu Heise haben wir nur gelacht, das mit dem Namen war besonders gut, aua aua aua:)

Der Heise Artikel war anscheinend fuer ein paar ein wenig missverstaendlich. Wir kreieren nix Key zentral, so ein Schmarrn. Das ganze ist ein Public/Private Key Krypto System, nix anderes. Key Pair wird lokal generiert. Dann geht ein Certification request an uns mit der Email Adresse. Wir schicken daraufhin, genau wie zb dieses Forum, eine Challenge Mail an dich. Die sieht Ciphire Mial und schickt daraufhin den public key an die CA. Die zertifiziert ihn. Voila wir haben ein Zertifikat. Jeder jetzt deinen public key haben will kriegt dieses Cert von uns und encrypted mit ihm. Dein priv key bleibt immer bei dir.

Source code. Nun ja wir glauben nicht, dass es irgendjemandem viel bringen wird, weil das eigentlich keiner lesen wird und wenn selbst in dem relativ unkomplexen(und das ist bei Security immer vorteilhaft) Programm, erst Jahre spaeter, soweit ich weiss bei einem commercial Audit, ein Hammer bug gefunden wird, dann hab ich bei uns noch weniger Hoffnung. Leider, wir werden es aber trotzdem machen. Ja wir werden den ganzen Client public sourcen, nein nicht gpl, sonst wird das mit servern strom kaufen irgendwann nichts mehr.

Es gibt eine Passwortabfrage am Anfang, dass ist btw auch das was unsere User am meisten nervt, die wollen nicht mal die mehr. Wenn jemand eine pro signierter Mail haben wird ist das unusable. Wir werden das mit den viren/trojans, dass die nicht mehr durch uns schicken koennen aber aendern.

Nein wir benuetzen kein smime/pgp, wir wurden vom ietf security area director der genau fuer smime zustaendig ist, reviewed, man siehe auch den niels/russ review, der ist leider mal wieder nur in Englisch:( Wir haben bei uns auch Security Fehler wie zb padding bei pgp behoben, dann haben wir cert chaining etc...wenns denn jemanden interessieren wuerde;)

Es braucht keine Fingerprints in unserem System siehe FPL, wir haben eine Art p2p Fingerprint System gebaut, was sicher ist und auch peer reviewed wurde.

Emergency Deactivation, ja was ist das. Wie waers mit Self-signed revocation certificate was encrypted mit deiner passphrase zu uns bei der keygen hochgeschickt wurde:)

Wir haben eigentlich nicht getargeted gpg zu ersetzen oder so, sondern zielen auf die komplett unbedarften User ab und die wollen nix von dem ganzen Security Kram der uns persoenlich interessiert, wissen.

Ich lasse mich gerne auf ne fachliche Diskussion ein:) *duck*


fk6

[Gast_Cobra_*]

Ich lasse mich gerne auf ne fachliche Diskussion ein:) *duck*

*pruuuust*

Cobra