PREMIUM WERBUNG
PREMIUM WERBUNG
PREMIUM WERBUNG

Besteht Interesse an einem PGP-Tutoral?

    Zitat von Karler

    S/MIME, weil das im iOS Mailclient bereits einen Slide hat, wo man blos noch den Key reinpacken muss. Für PGP gibts das nicht.

    Ja, technisch funktioniert es. Der Key ist dann aber auch nicht im Mailclient gespeichert sondern im KeyStore des Geräts. (Wie bei allem S/MIME Zeugs)


    Meine Abneigung PGP/SMIME aufs Fon zu Packen hat eher was mit OpSec zu tun.
    Wer ernsthaft geheime Dokumente/Mails auf verarbeitet, macht das nicht auf dem Fon.


    In "Organisationen" die sowas benutzen, gibt es extra Geräte in extra Räumen bei denen man nicht irgendwie auf den Monitor schielen kann. Und die Keys bleiben auch nur da wo sie gebraucht werden.

    Siehe Argument für “warum?” ;)


    Erstmal schon ist es nett gegenüber Leuten, die verschlüsselten Mailverkehr brauchen, wenn auch dummes Gelaber verschlüsselt ist. Zum anderen geht es mir schon lange auf den Sack das jeder, aber auch echt jeder in der Kette mitliest. Drittens, würden alle signierte Mails verschicken, hätte es sich ausgepammt.

    Ente gut. Alles gut.

    Gefällt mir 1
    Zitat von Karler

    Drittens, würden alle signierte Mails verschicken, hätte es sich ausgepammt.

    Spam kann man auch signieren. ;)


    Aber ich bin auch so einer der gerne alles verschlüsselt. Einfach aus Routine und wenn mal meine Hardware "untersucht" werden soll, dann viel Spaß! :thumbup:
    Ich hab extra dafür noch einen Stapel Festplatten - ToGo am Schreibtisch für die Ordnungsmacht.

    Eine mail wird mit (d)einem Private Key Signiert. Den hat jeder PGP und S/MIME Nutzer.


    Bei PGP kann man sich gegenseitig die Schlüssel signieren. Um gewissermaßen die Identität zu bestätigen. Ich könnte z.B. deinen Key signieren und du meinen.
    Mit irgendwelchen selbstgenerierten Keys (Bei PGP nennt sich das Web of Trust)




    Bei S/MIME macht das der Anbieter, nachdem er deine Identität verifiziert hat. Und dessen Key ist wiederum im KeyStore deines Geräts als vertrauenswürdig hinterlegt. (Da wird viel Geld für bezahlt)
    Und diese Anbieter sind halt auch nicht so 100% seriös bzw. man kann da auch genug faken.
    Es gibt außerdem einige Abstufungen bei der Signierung. Bei den kleineren musst du einfach nur bezahlen und bei den größeren Identitätsnachweise vorlegen.

    Das ist nur ein ClientProgramm. Und zwar eins das wir den gleichen Leuten zu verdanken haben, die auch schon die DE-Mail verbrochen haben. (Rosa T)


    Selbst benutzt habe ich es noch nicht, aber das kann nix was die wirklich offenen Programme nicht auch können. Eigentlich sogar weniger.
    Es verpackt es nur etwas hübscher. Kann das inzw. PGP oder immer noch nur S/MIME in Verbindung mit personalisierten Telekom-Accounts?


    GnuPG kombiniert mit Thunderbird ist auch kostenlos, kann alles und läuft überall. :thumbup:



    Ich bin ja noch auf der Suche nach einem Tool das einfach Plaintext PGP ver/entschlüsseln kann. Ohne irgendwelche externen Programme, Plugins oder KeyStores.

    Öhm cry


    Da bin ich überfragt. Das die Telekom das erste Zertifikat signieren muss hab ich ja gerade noch verstanden, aber beim Rest bin ich ehrlich gesagt froh das man mal drüber redet.

    Ente gut. Alles gut.

    Gefällt mir 1

    Bei der Volksverschlüsselung muss sie das. Aber ich glaube nicht das die dir das auch für deine Karler-Identität machen. ;)


    Wir wollen hier aber anonym Schlüssel auf beliebige Identitäten selbst ausstellen. :!::saint:
    Die Schlüssel sind eigentlich nix anderes als komplizierte Passwörter. Und das wollen wir frei von jedem fremdem Einfluss.


    Als Anschauungsmaterial habe ich hier mal den offiziellen GrowNerd PublicKey eingepackt.

  • PREMIUM WERBUNG

    Wenn ich im Web of Trust weit oben sitze, kann ich dann eigentlich die ganzen Tochterzertifikate aufmachen und wie sieht das bei Volksverschlüsslung aus, kann die Telekom meine Zertifikate aufmachen und mitlesen?
    Am Anfang steht doch immer diese arschteure riesige Primzahl ?( Ist die dann der Masterkey für die Tochterzertifikate?

    Ente gut. Alles gut.

    Ne, du unterschreibst beim signieren nur dafür das du die Identität gecheckt hast und bestätigst deren Korrektheit.


    Man kann dann zum Beispiel solche Regeln aufstellen, das ich allen traue deren Key du signiert hast. Weil du besonders vertrauenswürdig bist.


    Bei den Linux Kernel Entwicklern z.B., muss dein Key von mindestens 5 anderen Entwicklern unterschrieben sein, damit die deinen als vertrauenswürdig ansehen.

    Interessante Sache, jetzt aber das große aber:



    wenn ein zb Staatstrojaner schon auf dem Gerät ist, dann kann man verschlüsseln wie man will, denn es geht garnicht mehr um die Übertragung
    --->wisst ihr was ich meine?


    Lg



    Edit:
    So was wäre eventuell etwas, wenn man es für den PC als only live cd System Variante erstellt.


    USB Stick ist ein Speichermedium, fällt also raus.


    Der Arbeitsspeicher in jedem pc kann glaube ich auch zum Problem werden.


    Handys sind allgemein niemals sicher, doofes GSM....
    Man könnte natürlich via Richtfunk und so/total freaky mit Antennen etc arbeiten, aber ......will nicht noch mehr zu Maßnahmen schreiben die am Ende auch nix bringen hehe :)



    Thema ist cool




    Aber Anonymität gibts heute nicht mehr....







    Man denke nur an die Betreiber großer illegaler Plattformen, die auch noch richtig Kohle machten und trotzem gefunden wurden.


    Normalo sein, der nix verschlüsselt oder verschleiert, ist womöglich sichere ^^

    2 Mal editiert, zuletzt von hYgro's ()

    verwirr mich nicht haha



    Dabei denk ich an Plomben :thumbup:


    Edit:


    Check


    Aber selbst da stimmt das mit, bringt alles nichts mehr, denn wenn bei p2p schon p1 vor der Verschlüsselung beschnüffelt wird, dann ist alles für die Katz.


    -->weißt was ich meine?


    Das ja die riesengroße mega asoziale Scheiße, den seit kurzem darf der Staat sowas legal machen.


    Früher war Daten abfangen und versuchen zu entschlüsseln legal.


    Heute ist, beim Absender vor dem Versand mitlesen erlaubt.


    Somit bleibt eine reine verschlüsselte Kommunikation nix, denn das ist mittlerweile garnicht mehr notwendig....leider :(

    Einmal editiert, zuletzt von hYgro's ()

    Zitat von hYgro's

    Aber Anonymität gibts heute nicht mehr....

    Vielfach ja, aber in manchem muss man sie sich einfach nehmen.
    Und manches sollte man einfach lassen.


    Zitat von hYgro's

    Man denke nur an die Betreiber großer illegaler Plattformen, die auch noch richtig Kohle machten und trotzem gefunden wurden.

    Die wurden alle gebusted weil sie gravierende OpSec Fehler begangen haben. Nicht weil die Kryptographie geknackt wurde!
    Der Betreiber von Alphabay z.b. wurde über seine Mail Adresse ermittelt die er irgendwo als Brotkrumen hinterlassen hatte.



    Zitat von hYgro's

    Aber selbst da stimmt das mit, bringt alles nichts mehr, denn wenn bei p2p schon p1 vor der Verschlüsselung beschnüffelt wird, dann ist alles für die Katz.

    TKÜ ist in der Tat ein Problem. Wer wirklich heiße Dinge "macht" sollte genügend Kleingeld für extra Hardware haben die offline ist und höchstens kurz online geht um was zu senden.


    Oder man macht es wie die Russen. Die haben im Kreml vor 5~ Jahren wieder haufenweise Schreibmaschinen angeschafft. 8)


    Kleines Privacy Zitat zum Schluss:


    Never say anything in an electronic message that you wouldn't want appearing, and attributed to you, in tomorrow morning's front-page headline in the New York Times.
    — Colonel David Russell, former head of DARPA's Information Processing Techniques Office

    Argumentationshilfen zur Aussage "Ich hab doch nichts zu verbergen":



    - Ausführlich von den Piraten
    - Kürzer von Datenschutzbeauftragte-Info
    - Essay von der BpB





    Zitat von GrowNerd

    Halte dich dann am besten an GnuPG/Kleopatra. Das läuft auf Windows/Linux/Mac und sieht sogar überall gleich aus.
    Ein Tut schreiben reicht für 3 Betriebssysteme.


    Falls du noch ein zusätzliches paar Augen brauchst zum Drüberlesen sag Bescheid. Dann machen wir ein Review und paffen dabei einen. smoke01


    Gute Idee! Werde das anhand von der Kleopatra App machen. Wollte erst erklären wie man das anhand der Command-line macht aber bei meiner Begabung Texte zu verfassen würde das im Chaos enden... :thumbup:








    Hast schon Recht, wenn sie nur richtig wollen dann ist wohl keiner sicher. Wenn wir aber mal nur von der Strafverfolgung sprechen und den ganzen Datenschutz außer Acht lassen dann bin ich persönlich der Meinung, daß die Behörden eine Person schon explizit auf dem Schirm haben müssen um ein anständiges Daten-Sicherheitsmanagement zu umgehen. Wenn sie aber unbedingt wollen dann ist eh Schicht im Schacht. Gleiches gilt übrigens auch wenn dich eine Privatperson mit etwas technischem Sachverstand ausspionieren will.
    Deshalb immer schön das Betriebssystem auf dem Laufenden halten, aufpassen auf welche Links man clickt und vor Allem nicht jeden Mist runter laden.^^


    So weit ich weiß sind aber alle Händler und Betreiber von illegalen Online Angeboten nur aufgeflogen weil sie im realen Leben "Fehler" begannen haben oder online ihre Identitäten durcheinander brachten (Ross Ulbricht).


    Was aber die Amis und Chinesen alles Für Hintertürchen in ihre Hard- und Software eingebaut haben lässt sich nur vermuten, vorhanden sind diese sicherlich. Schätze aber, daß die sowas nur "bei den richtig großen Fischen" nutzen.



    ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------




    Weil ich so schön im Schreibfluss bin noch eine kurze Erklärung zur Verschlüsselung von Mails mittels privaten und öffentlichen Keys.



    Zuhause am Computer erstellt der User zwei Schlüssel. Den öffentlichen (public Key) und den privaten (privat Key). Der private Schlüssel bleibt immer beim User, niemals rausgeben bitte! Der öffentlicher Schlüssel kann dann weitergegeben werden; oft wird dieser für jeden zugänglich im Internet bereitgestellt.


    Nehmen wir einmal an ich bin ein Whistleblower und will der FAZ/SZ/Times brisante Informationen zukommen lassen dann suche ich deren öffentlichen Schlüssel auf der jeweiligen Webside und nehme ihn um meine Nachricht zu verschlüsseln. Danach schicke ich diesen Zeichensalat per Mail an den Empfänger. Nur dieser kann dann die Nachricht mit seinem privaten Schlüssel entschlüsseln.
    Eine verschlüsselte und vor allem entschlüsselbare Rückantwort kann wiederum nur funktionieren wenn die Zeitung im Besitz des öffentlichen Schlüssel des Informanten ist. Soweit kurz die Funktionsweise.


    Die Signatur einer Nachricht funktioniert vom Prinzip her genau anders herum. Grob gesagt ([iok, seeehr grob gesagt.. :whistling: ) werden die Informationen die die Signatur darstellen mit dem privaten Schlüssel des Absenders verschlüsselt und dann mit dessen öffentlichen Schlüssel verifiziert.





    peace
    Schmodder





    @GrowNerd
    Danke für dein Angebot! Wenn ich das Ding fertig habe dann schicke ich dir ne PM, würde mich sehr freuen wenn du gegen lesen könntest. :thumbup:

    "Ich hab den besten Deal aller Zeiten gemacht."

    "Mit wem?"

    "Mit mich! " -- Tommy Chong

    Einmal editiert, zuletzt von Schmodder ()

    Gefällt mir 4
    Zitat von Schmodder

    aufpassen auf welche Links man clickt und vor Allem nicht jeden Mist runter laden.^^

    irgendwie relativ unbekannt aber sehr zu empfehlen, Smartphone oder PC, Sophos ! :)


    Warnt bei unbewussten klicks nochmal exta und hat einen "Link-Checker'



    das ist jetzt nur eine Frage aus Interesse


    Wenn ich zb weiss mit wem du kommunizieren willst und vorher deine Mail Fake mit meinem Schlüssel, dann hat man auch verkackt oder?
    (Also wenn der Empfänger nicht erkennt,das du nicht der Absender bist)


    Lg :)


    --->spannend :thumbup:

    Zitat von hYgro's

    irgendwie relativ unbekannt aber sehr zu empfehlen, Smartphone oder PC, Sophos ! :)
    Warnt bei unbewussten klicks nochmal exta und hat einen "Link-Checker'


    Cool! Das werde ich mir gleich anschauen. 8o
    Übrigens, Sophos hat auch einen guten Virenscanner (kostenlos) für Linux Betriebssysteme. Der wird von vielen Leuten gegenüber ClamAV bevorzugt. Ist aber leider kein Open Source.








    Zitat von hYgro's

    das ist jetzt nur eine Frage aus Interesse
    Wenn ich zb weiss mit wem du kommunizieren willst und vorher deine Mail Fake mit meinem Schlüssel, dann hat man auch verkackt oder?
    (Also wenn der Empfänger nicht erkennt,das du nicht der Absender bist)



    Hast ein großes Problem glasklar erkannt! :thumbup:
    Es gibt verschiedene Möglichkeiten wie man die Echtheit seines Gegenübers prüfen kann. Email-Adresse, Nicname prüfen kann tricky sein weil es ja x-Zeichen gibt die im lateinischen Alphabet genau so aussehen wie in anderen- Gerade in Foren wurde da schon viel Schindluder getrieben. Z.B. gibt es für das "e" im Lateinen dann Buchstaben in einem anderen Alphabet (Tamil, Thai usw.) die genau so aussehen.
    Fingerprint kann man checken, vorausgesetzt man findet diesen irgendwo im Netz. Ist also nur was wenn dein Gegenüber "bekannt" ist. Gleiches gilt für die Überprüfung von Signaturen, z.B. ein Bekannter von dir hat mit dem Gegenüber früher schon mal kommuniziert und daran gedacht die Echtheit dessen public Keys anhand einer Signatur bestätigt.
    Man kann auch einen Keyserver zu Rate ziehen (vorausgesetzt das Gegenüber hat seinen public Key in einen solchen hochgeladen).


    Ich hoffe inständig du verstehst was ich da zusammen geschrieben habe, ist schlecht erklärt... ...es ist schon spät...



    peace
    Schmodder

    "Ich hab den besten Deal aller Zeiten gemacht."

    "Mit wem?"

    "Mit mich! " -- Tommy Chong

    Einmal editiert, zuletzt von Schmodder ()

    Gefällt mir 1
  • PREMIUM WERBUNG
PREMIUM WERBUNG