E-Mail-Überwachung ab 1. Januar 2005 Einstellungen

[Gast_Jens1962_*]

Ansonsten muss ich Dich enttäuschen, für Verschwörungstheorien bin ich wenig anfällig.
[right][snapback]67210[/snapback][/right]

Ich auch nicht,
also hoffen wir mal, daß Du recht behälst.

[MyThinkTank]

@cobra:

Ich muss Dir leider widersprechen.
Es gibt keine Sicherheit, es gibt absolute Sicherheit (GnuPGP korrekt angewendet) und es gibt relative Sicherheit.

Mein Modell mit der symmetrischen Sicherheit ist für einen großen Teil meiner Mailpartner absolut ausreichend. Das Abhören beim Provider/Mailserver wird unterbunden. Das ist nur relative Sicherheit.

Natürlich ist das zentrale Problem die Frage nach dem Austausch der Keys. Das ist mir sehr wohl bewusst. Viele meiner Mailpartner treffe ich von Zeit zu Zeit; da kann man die Keyphrase direkt absprechen. Anderen kann ich sie per Briefpost oder per Telefon zukommen lassen. Natürlich kann man das auch überwachen. Aber ich gehe erstmal nicht davon aus, dass bei mir eine verdachtsbezogene Überwachung stattfindet. Warum auch?
Man kann bei hinreichender Paranoia, die Möglichkeiten von Briefpost, Telefon und Handy sogar noch kombinieren ...

Für hochsensitive Inhalte/Mailpartner würde ich vielleicht auch eher OTP oder Vergleichbares vorschlagen - aber für den Alltag?!?

Mein Ansatz zielte lediglich darauf, das einfache Mitlesen beim Provider zu unterbinden. Das lässt sich genau so unterbinden, wie ich es beschrieben habe. Sachbezogen erscheint mir Deine Gegenhaltung etwas contraproduktiv zu sein.

Gruß!
MyThinkTank

[Manu]

Hallo MTT,
stimme Dir zu - bei Deinem Modell ist "lediglich" der Austausch des Schlüssels "unsicher".
Aber warum verwendest Du nicht GPG?

Man kann die Passphrase zwischenspeichern - und so gibt man sie beim Versand der ersten Mail an und muss sie ab dann nicht mehr eingeben, es sei denn man schließt das Programm.

Was verwendest Du für ein symmetrisches Verfahren? Software?

Nachtrag:
Wer lesen kann, ist klar im Vorteil. Sorry.
Habe erst jetzt nochmal den Thread durchgeschaut.

Du hast recht - es ist teils kompliziert. Doch mit den Anleitungen (z.B. von Witti oder mir) ist es wirklich machbar.
Und der Schlüsselaustausch ist um einiges einfacher als beim symmetrischen Verfahren - mein Public-Key liegt auf sämtlichen Key-Servern und auch meiner Homepage.

Fragen haben sich somit beantwortet. Ach, das Programm würde mich noch interessieren.

Der Beitrag wurde von Manu bearbeitet: 20.12.2004, 21:56

[Gast_Cobra_*]

Ich will versuchen, Dir das zu erklären.

Du hast sicher recht mit der "relativen" Sicherheit, die allerdings rasch zur relativen Unsicherheit werden kann. Die Ermittlungsbehörden können deine Mail nicht lesen. Das wird, da beißt die Maus kein' Faden ab, auf Dich ein Verdachtsmoment lenken, wie auf jeden, der seine Mails verschlüsselt.[1] Kannst Du ausschließen, daß dieses Verdachtsmoment nicht zu einer Überwachung Deiner Telefongespräche führt? Ich denke nicht, insbesondere im Hinblick auf die Tatsache, daß die TKÜV ja ohnehin die Vorratsspeicherung sämtlicher Verbindungsdaten einschließlich der geführten Telefongesprüche und verschickten SMS-Nachrichten vorsieht. Aber das weißt Du ja.

Deine Kritik oben setzt aber an der Kompliziertheit der heute verfügbaren Verschlüsselung an. Hier sehe ich nicht, was eine symmetrische Verschlüsselung diesbezüglich verbessern könnte. Im Gegenteil, der Schlüsselaustausch wird erheblich komplizierter, oder ist unsicher. Meiner Meinung nach mangelt es gerade unter Windows an E-mail-Clients, die GPG/PGP in sinnvoller Weise integrieren. Stell Dir nur mal vor, man könnte auf einfache und intuitive Weise den Schlüssel des Gegenübers im Client selbst herunterladen, um dann mit einem einfachen Knopfdruck die nachfolgende Mail zu verschlüsseln. Kmail kommt dem schon recht nahe, aber unter Windows ist das alles viel zu kompliziert (da stimme ich Dir völlig zu).

Eine "relative" Sicherheit könnte man übrigens sehr viel leichter mit einem paßwortgeschützten RAR-Archiv erreichen, wenn man schon bereit ist, das Paßwort telefonisch zu übermitteln. Sinnvoller erscheint mir aber, die wirklich sichere Variante voranzutreiben, und darauf zu drängen, daß die Hersteller von E-mail-Clients eine bessere Integration der Verschlüsselung in ihren Programmen anstreben.

Cobra

[1] In dieser Hinsicht ist Steganographie eigentlich überaus attraktiv.

Der Beitrag wurde von Cobra bearbeitet: 20.12.2004, 22:08

[MyThinkTank]

@cobra:
Ich denke, wir sind da gar nicht soweit auseinander. Wir sehen das Problem nur von verschiedenen Seiten. Ich arbeite nicht mal entfernt im EDV-Bereich. Ich mache das nur als "Hobby". In meinem Bekannten-/Kollegenkreis bin ich mit Abstand derejenige, der sich am meisten mit dieser Materie befasst, insbesondere unter dem Sicherheitsaspekt. Und der größere Teil meiner Freunde/Bekannnten/Kollegen sind Akademiker z. T. in hochverantwortlichen Positionen.
Ich sehe das Problem von der Benutzerseite. Alles, was derzeit am Markt ist, ist für diese Benutzer viel zu komplex, weil die Einarbeitung und die Installation viel zu komplex sind - Zeitfaktor!!!. So geht es nicht! Die genannten Personen können das ganze nur outsourcen, z. B. an mich oder aber an Mitarbeiter des jeweiligen Hauses aus den IT-Abteilungen - die auch eine Menge Mist machen

Natürlich würde ich mir eine selbsterklärende oder assistentengeführte Verwendung der Public-Key-Verschlüsselung wünschen. Mein Verfahren ist schlicht nur einfacher zu handhaben. Darin sehe ich den entscheidenden Vorteil. Und es einfach zu erklären.

Wenn sehr viele diese Form der Verschlüsselung wählen, wird dein Argument der Verdächtigung wegen Verschlüsselung obsolet.

btw: Wenn man Dich verdächtigt, wird man Deinen PC kompromittieren - durch direkten Zugriff! Für völlige Sicherheit müsstest Du eine Vollverschlüsselung Deines PCs wie Safe Guard Easy o. ä. einsetzen.


@Manu:
Für die Verschlüsselung von Dateien verwende ich derzeit "Truecrypt". Der Quellcode ist erhältlich und geprüft.
Link: http://truecrypt.sourceforge.net/

Recht funktional ist auch: "pc-encrypt"
Link: http://www.pc-encrypt.com/
Das ist aber nicht imQuellcode frei.

Gruß!
MyThinkTank

[Gast_Cobra_*]

Ich denke, wir sind da gar nicht soweit auseinander. Wir sehen das Problem nur von verschiedenen Seiten. Ich arbeite nicht mal entfernt im EDV-Bereich. Ich mache das nur als "Hobby". In meinem Bekannten-/Kollegenkreis bin ich mit Abstand derejenige, der sich am meisten mit dieser Materie befasst, insbesondere unter dem Sicherheitsaspekt. Und der größere Teil meiner Freunde/Bekannnten/Kollegen sind Akademiker z. T. in hochverantwortlichen Positionen.

Jo, wir sind da in vergleichbaren Situationen angesiedelt.

Ich sehe das Problem von der Benutzerseite. Alles, was derzeit am Markt ist, ist für diese Benutzer viel zu komplex, weil die Einarbeitung und die Installation viel zu komplex sind - Zeitfaktor!!!. So geht es nicht! Die genannten Personen können das ganze nur outsourcen, z. B. an mich oder aber an Mitarbeiter des jeweiligen Hauses aus den IT-Abteilungen - die auch eine Menge Mist machen 

Und wieder vergleichbare Situationen und Meinungen.

Natürlich würde ich mir eine selbsterklärende oder assistentengeführte Verwendung der Public-Key-Verschlüsselung wünschen. Mein Verfahren ist schlicht nur einfacher zu handhaben. Darin sehe ich den entscheidenden Vorteil. Und es einfach zu erklären.

Das mußt Du mir allerdings noch einmal erklären. Warum ist Dein Verfahren einfacher? Ist es momentan einfacher, oder immer, selbst bei einer idealen Integration von GPG? Ist es einfacher als RAR-Archive zu versenden? Bitte hilf mir auf die Sprünge.

Wenn sehr viele diese Form der Verschlüsselung wählen, wird dein Argument der Verdächtigung wegen Verschlüsselung obsolet.

Yep. Das gilt natürlich für alle Formen der Verschlüsselung.

btw: Wenn man Dich verdächtigt, wird man Deinen PC kompromittieren - durch direkten Zugriff! Für völlige Sicherheit müsstest Du eine Vollverschlüsselung Deines PCs wie Safe Guard Easy o. ä. einsetzen.

Eine Vollverschlüsselung halte ich nicht für notwendig. Sicherheitskritische Komponenten verschlüssele ich allerdings tatsächlich.

Cobra

[BEASTIEPENDENT]

Es gibt keine Sicherheit, es gibt absolute Sicherheit (GnuPGP korrekt angewendet) und es gibt relative Sicherheit.

sry, aber absolute sicherheit gibt es IMHO bei nichts (!) außer vielleicht einigen mathematischen weisheiten (und selbst die werden dann und wann "modernisiert").

Meiner Meinung nach mangelt es gerade unter Windows an E-mail-Clients, die GPG/PGP in sinnvoller Weise integrieren.

leider auch unter mac os x. ich hab zwar heut gelesen, dass apple mail mit der neuen betriebssystem-version 10.4 (tiger) einee integrierte verschlüsselung haben soll, aber was das sein soll... k.a.

[MyThinkTank]

@Beastie:
Grmph - wie lange liest Du hier schon mit? Die One-time-pad-Verschlüsselung ist mathematisch beweisbar sicher. Das helfen auch keine Quantencomputer. Leider ist sie wenig anwendungsfreundlich.

@cobra:
Mein Verfahren ist "im Moment einfacher". Selbstverständlich ist ein automatisiertes Public-Key-Verfahren vorzuziehen. Nur haben wir das nicht. Und ich sehe das auch nicht für die Zukunft. Eigentlich müsste das die definitive Hauptaufgabe der sourceforge-Gemeinde sein. Hoffen wir das beste ...

Eine Vollverschlüsselung halte ich nicht für notwendig. Sicherheitskritische Komponenten verschlüssele ich allerdings tatsächlich.

Hilft das gegen einen Keylogger, von dessen Existenz Du nichts ahnst? Vgl. C'T 23/2004, S. 146ff.
(Natürlich gilt dieses Argument auch für mich.)

Gruß!
MyThinkTank

[Gast_Cobra_*]

@Beastie:
Grmph - wie lange liest Du hier schon mit? Die One-time-pad-Verschlüsselung ist mathematisch beweisbar sicher. Das helfen auch keine Quantencomputer. Leider ist sie wenig anwendungsfreundlich.   

Richtig. Beastie, lehn Dich mal nicht so weit aus dem mathematischen Fenster ...

@cobra:
Mein Verfahren ist "im Moment einfacher". 

Inwiefern? Erkläre das bitte mal im Detail. Ich verstehe es nicht. Für meine Begriffe nimmt sich das gar nichts....aber ich stehe vielleicht nur auf dem sprichwörtlichen Schlauch.

Hilft das gegen einen Keylogger, von dessen Existenz Du nichts ahnst? Vgl. C'T  23/2004, S. 146ff.
(Natürlich gilt dieses Argument auch für mich.)

Wie soll denn der Keylogger auf meine Festplatte kommen. Hm?

Cobra

[Gast_vampire_*]

Wie soll denn der Keylogger auf meine Festplatte kommen. Hm?
[right][snapback]67410[/snapback][/right]

du bist für einen moment mal unkonzentriert, das passiert dir wie jedem anderen auch, und zack, schon wird mitgelogged...


im übrigen: wer wirklich sensible daten über die verschieden communikationsnetze verschickt...ist selber schuld!

würde mir im traum nicht einfallen...brieftaube rulez

Der Beitrag wurde von vampire bearbeitet: 21.12.2004, 00:03

[docprantl]

Meine Idee mit dem gemieteten Server scheint ja wohl niemanden zu interessieren...

[Gast_Cobra_*]

Wie unkonzentriert müßte ich eigentlich sein, um mich für den keylogger als root einzuloggen und "chmod +x furchtbaresprogramm" einzugeben? Und dann noch ./furchtbaresprogramm auszuführen?

Hm?

Cobra

[Gast_vampire_*]

hört sich nach linux an...ok, damit kenn ich mich nicht aus.
aber für grundsätzlich unmöglich halte ich das auch nicht.

@docprantl,

es gibt "server" die stellen dir den "client2client" chat zur verfügung. das hat was!

Der Beitrag wurde von vampire bearbeitet: 21.12.2004, 00:17

[Gast_Cobra_*]

Meine Idee mit dem gemieteten Server scheint ja wohl niemanden zu interessieren...
[right][snapback]67415[/snapback][/right]

Wenn Du nur senden willst, ist das ja in Ordnung. Willst Du aber auch empfangen, ist das doch für die Katz': jeder, der Mails an Dich sendet, oder Dir antwortet (und gar zitiert ), kann Deine Kommunikation kompromittieren, sofern er seine Mails über kommerzielle Server der EU versendet.

Cobra

[docprantl]

Mir geht es hauptsächlich um HTTP, und weniger um Mails. Dafür sollte das doch ausreichen?

[Gast_Cobra_*]

hört sich nach linux an...ok, damit kenn ich mich nicht aus.
aber für grundsätzlich unmöglich halte ich das auch nicht.

Ist es auch nicht. Ich könnte wahnsinnig werden. Oder senil. In unserem Alter ist so etwas durchaus denkbar.

@docprantl,

es gibt "server" die stellen dir den "client2client" chat zur verfügung. das hat was!
[right][snapback]67419[/snapback][/right]

Wir reden hier von E-mail. Eigentlich.

Cobra

[docprantl]

Also auf gut deutsch, wir versenden ab 01.01.2005 keine e-Mails mehr - oder wie?

docprantl

[MyThinkTank]

@docprantl:
Wie sicher ist ein Server, zu dem Dritte physikalischen Zugriff haben ?

@cobra:
Ebenso zur Sicherheit Deines PCs: Du hälst die symmetrische Verschlüsselung für unsicher, weil man ja auch Telefon abhören und Postbriefe öffnen kann. Richtig! Aber man kann auch in Deine Wohnung einsteigen und auf Deinem PC einen Keylogger installieren. Dann nützt Dir auch die Verschlüsselung nichts, weil man Deine Passphrase kennt ...

Dagegen hilft z. B. Vollverschlüsselung (siehe bsi.de) oder die Verwendung von Smartcards zur Zugriffskontrolle (welche man auf einen anderen PC vorbereitet).

Insofern ist auch asymmetrische Verschlüsselung nur "relativ" sicher.

Gruß!
MyThinktank

[docprantl]

@docprantl:
Wie sicher ist ein Server, zu dem Dritte physikalischen Zugriff haben ?

Sofern ich den Server administrieren werde, ist der sicher.

[Gast_vampire_*]

Wir reden hier von E-mail. Eigentlich.
[right][snapback]67423[/snapback][/right]

jetzt mal ganz im ernst.
ich käme nicht auf die idee, ne nachricht die wirklich kein dritter lesen darf/soll, per email zu verschicken. viel zu unsicher...