staging.inyokaproject.org

Bei uns ist im bekanntenkreis das thema verschluesselung diskutiert worden. Dabei trat die befuerchtung auf dass man durch verschluesselung gerade auffallen wuerde. Ich bin bisher davon ausgegangen dass beim verschluesseln sinnvoller text in buchstaben-und zeichensalat verwandelt wird.Da ja fuer einen computer text sowieso nur eine sinnlose aneinanderreihung von buchstaben ist duerfte er doch verschluesselten text garnicht als solchen erkennen duerfen. Wenn er angewiesen wird nach buchstabenfolgen wie terrorist oder bombe zu suchen dann sucht er danach und findet sie oder auch nicht. Ist diese annahme richtig oder falsch? Ich persoenliche halte die nsa kontrollierte cloud fuer die sicherste der welt. Die nsa kuemmert sich um die physische sicherheit der server und ich mit meiner verschluesselung um die datensicherheit. Wohlgemerkt ich spreche hier von lokaler verschluesselung nicht von verschluesselung auf der cloud, im gegensatz zur kommunikationsverschluesselung wo ich mit dem kommunikationspartner einen kompromiss eingehen muss und auch sowieso nicht weiss wie der dann anschliessend mit der entschluesselten nachricht umgeht.

kamuta schrieb:

Bei uns ist in der familie das thema verschluesselung diskutiert worden. Dabei trat die befuerchtung auf dass man durch verschluesselung gerade auffallen wuerde.

Schwer zu sagen, in welchem Zusammenhang das diskutiert wurde. Geht es hier um E-Mail-Verschlüsselung? Weil vieles wird ja ohnehin schon verschlüsselt. Online-Banking oder viele Logins usw. …

Ich bin bisher davon ausgegangen dass beim verschluesseln sinnvoller text in buchstaben-und zeichensalat verwandelt wird.

Ja, schon, also zum Teil.

Da ja fuer einen computer text sowieso nur eine sinnlose aneinanderreihung von buchstaben ist duerfte er doch verschluesselten text garnicht als solchen erkennen duerfen.

Das ist so nicht richtig. Sprachen haben so ihre Eigenheiten und Muster. Häufungen von Buchstaben zum Beispiel (das E ist der häufigste Buchstabe in der deutschen Sprache), oder Leerzeichen … Mit GnuPG verschlüsselte Dinge haben zum Beispiel gar keine Leerzeichen und auch andere Merkmale von „Sprache“ sind nicht erkennbar.

Allerdings muss der Empfänger das Ding ja auch entschlüsseln können. Die Programme für die Entschlüsselung müssen irgendwie identifizieren können, was da zu entschlüsseln ist. Und genau da kommen dann die Header ins Spiel. Da steht dann zum Beispiel am Anfang der Nachricht sowas:

-----BEGIN PGP MESSAGE-----

Und das Ende wird ebenfalls markiert. Letztendlich haben verschlüsselte Texte immer solche Merkmale. Im Gegensatz zur Steganografie, dabei wird Material tatsächlich in „zufälligen“ Daten versteckt und wer nicht weiß, dass was da ist findet es nicht.

Man kann also sehen, dass da was Verschlüsseltes ist.

Wenn er angewiesen wird nach buchstabenfolgen wie terrorist oder bombe zu suchen dann sucht er danach und findet sie oder auch nicht.Ist diese annahme richtig oder falsch?

Ja, in den Inhalt der Nachricht kann man so nicht mehr reinschauen. Ob da ein Begriff vorkommt kann man also nicht mehr sehen.

Ich nehme mal an es geht um Geheimdienste und automatische Überwachung. Ob und in welchem Umfang die tatsächlichen Text durchsuchen weiß man nicht genau. Die durchforsten allerdings Meta-Daten. Also wer mit wem, wie oft, wann und wo. Daraus ergeben sich soziale Netze der sozialen Beziehungen und sogar Bewegungsprofile.

Diese Daten sind üblicherweise aussagekräftiger und für Computer leichter automatisch auszuwerten als tatsächliche Inhalte von Texten. Da wird als Beispiel gerne die junge Frau genannt, die morgens ihren Arbeitgeber anruft, anschließend ihren Gynäkologen, am Nachmittag die Adresse ihres Gynäkologen aufsucht und anschließend sofort mit ihrer Mutter und ihrem Freund telefoniert. Die Inhalte der einzelnen Gespräche sind irrelevant um die Situation zu erfassen. Bei solchen Auswertungen wird in gewisser Weise ein Modell erstellt, das „normale“ Verhalten von Personen wird erfasst und Abweichungen werden der automatischen Auswertung auffallen.

Das Schlimme ist, dass all diese Daten durch Verschlüsselung in keinster Weise nicht geschützt werden. Trotzdem halte ich Verschlüsselung für sinnvoll. Aus zwei Gründen:

1. Jeder E-Mail-Provider kann in die Mails reinschauen und mitlesen. Zum Beispiel für gezieltere Werbung oder wenn mal ein Server gehackt wird …

2. Viel wichtiger ist mir jedoch die Signaturmöglichkeit. Mit meinem Schlüssel signierte Mails sind definitiv von mir.

~jug

PS: von wegen Buchstabensalat. Könntest du dich bitte an die geltenden Rechtschreibregeln halten? Also vor allem die Groß- und Kleinschreibung würde die Lesbarkeit deiner Beiträge verbessern. Danke.

Mach Dir keine Gedanken um Verschlüsselung, Deine Texte sind auch ohne unlesbar 😛

Und mit dieser "native" Verschlüsselung fällst Du in Foren leider auch nicht weiter auf.

Softwareseitig verschlüsselte Mails sind allerdings problemlos als solche erkennbar, und es ist vermutlich auch nicht zuviel Paranoia, anzunehmen das diese gerne mal bevorzugt ihrgendwo zwischengespeichert werden, um sie evt. später doch noch knacken zu können. Wenn es eine gute Verschlüsselung ist, sollte das aber so schnell nichts werden. Zumindest steigt der Aufwand. Und je mehr Menschen verschlüsseln, desto weniger "verdächtig" wird das. Im Moment ist es aber wohl gut möglich, das man da in der Schublade "vermutlicher Cyberterrorist" landet. Das ist ja das "schöne" bei der anhaltslosen Überwachung, da ist jeder erst mal verdächtig. Aber ob es deswegen erstrebenswert ist, in der Kategorie: "vermutlich dummes Schaf" zu landen? Eine oft genannte Gefahr bei der lückenlosen Überwachung ist ja, das allein durch die Überwachung schon Konformität erzeugt wird, da bei jeder Aktivität immer der Gedanke mitschwingt, was wohl der Überwacher davon hält.

Dann doch lieber durch Verschlüsselung ein Signal für Privarspäre setzen, und damit leben, das man sich verdächtig macht.

kamuta schrieb:

Da ja fuer einen computer text sowieso nur eine sinnlose aneinanderreihung von buchstaben ist duerfte er doch verschluesselten text garnicht als solchen erkennen duerfen.

Ich habe in meinem Rechner 7 Festplatten. Jetzt mal ganz davon abgesehen daß das schon allein wegen dem LUKS-Header, und der Passworteingabeaufforderung beim einschalten, offensichtlicherweise verschlüsselt ist - wie würdest du anders erklären, eine Festplatte zu besitzen auf der aber nichts drauf ist, außer Zufallsdaten?

Also: Natürlich kann man das erkennen.

Wenn er angewiesen wird nach buchstabenfolgen wie terrorist oder bombe zu suchen dann sucht er danach und findet sie oder auch nicht.

Die Anweisung sieht in dem Fall dann anders aus: http://xkcd.com/538/

Die nsa kuemmert sich um die physische sicherheit der server und ich mit meiner verschluesselung um die datensicherheit.

Es gibt Leute, die meinen, sie müssten ihre verschlüsselten Platten nicht überschreiben, bevor sie sie auf Ebay verkaufen. Weil der Käufer hat ja den Schlüssel eh nicht. Was kann da schon passieren?

Verschlüsselung kann man knacken, aber überschriebene Daten garantiert nicht wieder herstellen.

Also die Sicherheit die du allein davon hast, fremden Personen deine Daten erst gar nicht zu geben (verschlüsselt oder nicht), die ist nicht so einfach von der Hand zu weisen. Ich würde Daten daher nicht ohne Not in die Cloud hochladen.

Verschlüsselung ist eine Möglichkeit um sich effektiv gegen Kriminalität zu wehren. Ich denke in diesem Zeitalter, ist es DIE Waffe der Demokratie.

Aber zum Thema, wenn du nicht erkannt werden willst, dann verschlüssel doch anonym ☺

Besteht die moeglichkeit Text in einem externen Programm zu verschluesseln, dann den "Buchstabensalat" in eine E-mail kopieren dann diese versenden und der Empfaenger kopiert den Text von der E-mail in das Dekodierprogramm und wird dann wieder entschluesselt. Wenn das Verschluesselungsprogramm den Buchstabensalat auch noch textaehnlich strukturiert dann duerfte doch der Server der E-mail Provider diese verschluesselte Mail nicht als solche erkennen-oder?

kamuta schrieb:

Besteht die moeglichkeit Text in einem externen Programm zu verschluesseln, dann den "Buchstabensalat" in eine E-mail kopieren dann diese versenden und der Empfaenger kopiert den Text von der E-mail in das Dekodierprogramm und wird dann wieder entschluesselt. Wenn das Verschluesselungsprogramm den Buchstabensalat auch noch textaehnlich strukturiert dann duerfte doch der Server der E-mail Provider diese verschluesselte Mail nicht als solche erkennen-oder?

Was du hier versuchst, nennt man Security_through_obscurity. Und das bringt wenig. Es ist eigentlich völlig egal, ob irgendwer sieht, dass da was verschlüsselt ist. Wichtig ist, dass das Verfahren sicher ist und nicht gebrochen werden kann. Siehe Kerckhoffs’_Prinzip.

Die Idee den Text irgendwie „textähnlich“ zu strukturieren wird auch wenig bringen, da schon alleine die Buchstabenhäufigkeit deutlich zeigt, dass das kein normaler Text ist. Und warum sollte irgendwer Datenmüll durch die Gegend senden (naja, außer man ist hauptberuflicher Spammer vielleicht).

~jug

Hallo,

kamuta schrieb:

Bei uns ist im bekanntenkreis das thema verschluesselung diskutiert worden. Dabei trat die befuerchtung auf dass man durch verschluesselung gerade auffallen wuerde.

Das stimmt. Deswegen gibt es einen Apell JEDEN Mailverkehr zu verschlüsseln - egal wie banal er ist.

Ich bin bisher davon ausgegangen dass beim verschluesseln sinnvoller text in buchstaben-und zeichensalat verwandelt wird.Da ja fuer einen computer text sowieso nur eine sinnlose aneinanderreihung von buchstaben ist duerfte er doch verschluesselten text garnicht als solchen erkennen duerfen.

Doch. Es gibt Algorithmen die soetwas erkennen können.

Wenn er angewiesen wird nach buchstabenfolgen wie terrorist oder bombe zu suchen dann sucht er danach und findet sie oder auch nicht. Ist diese annahme richtig oder falsch?

Ja Zwangsläufig. ☺ Entweder es regnet jetzt gerade oder eben nicht ...

Ich persoenliche halte die nsa kontrollierte cloud fuer die sicherste der welt. Die nsa kuemmert sich um die physische sicherheit der server und ich mit meiner verschluesselung um die datensicherheit. Wohlgemerkt ich spreche hier von lokaler verschluesselung nicht von verschluesselung auf der cloud,

Nein. Du gibst die Daten ja weg und bei einer Verschlüsselung arbeitet die Zeit immer gegen Dich. Was heute noch nicht geknackt werden kann, ist "morgen" vielleicht in Sekunden lesbar gemacht. Hardwaremäßig und Softwaremäßig geht die Entwicklung immer weiter ...

im gegensatz zur kommunikationsverschluesselung wo ich mit dem kommunikationspartner einen kompromiss eingehen muss und auch sowieso nicht weiss wie der dann anschliessend mit der entschluesselten nachricht umgeht.

Verstehe ich nicht?!

Grüße Klal

Wenn Englisch kein Problem darstellt, empfehle ich das FAQ zu cryptsetup. Dort nimmt der Autor auch zu einigen verbreiteten Mythen wie „versteckter“ Verschlüsselung (Punkt 5.2), glaubhafter Abstreitbarkeit (Punkt 5.18) und „Kill Switches“ (Zerstörung des Schlüssels bei x-mal falschem Passwort oder Eingabe eines speziellen Passworts, Punkt 5.21) Stellung.

@Klal Bei der Kommunikationsverschluesselung musst du einen Kompromiss mit deinem Kommunikationspartner eingehen. Wenn der kein PGP akzeptiert dann macht es auch keinen Sinn mit PGP zu verschluesseln. Und wenn er PGP akzeptiert weiss ich nicht was er nach dem entschluesseln mit der email macht. Vielleicht legt er sie plain Text auf einer Wolke in Montana ab. Ich kann nicht verschluesseln weil ich noch niemand gefunden habe der Verschluesselung akzeptiert. Vielleicht sollte ich es mal mit "Sie haben gerade 1 Million gewonnen. Wenn sie wissen wollen wo sie das Geld abholen sollen muessen sie die mail mit meinem oeffentlichen und ihrem privaten Schluessel entschluesseln"versuchen. Aber ich vermute der "Verschluesselungswiderstand"ist so gross dass man schon 10 millionen anbieten muss!!!

@jug Natuerlich habe ich bei den externen Verschluesselungsprogrammen open source unterstellt alles andere ist sowieso unsicher. Oder ist es nicht moeglich bei emailverschluesselung mit PGP so zu verschluesseln dass nicht angezeigt wird dass verschluesselt wurde ohne Beginn PGP?

kamuta schrieb:

@jug Natuerlich habe ich bei den externen Verschluesselungsprogrammen open source unterstellt alles andere ist sowieso unsicher. Oder ist es nicht moeglich bei emailverschluesselung mit PGP so zu verschluesseln dass nicht angezeigt wird dass verschluesselt wurde ohne Beginn PGP?

Nein. Ist auch nicht sinnvoll, wie ich dir schon dargelegt habe. Es wird immer die Möglichkeit geben zu erkennen dass verschlüsselt wurde. Und das muss auch so sein.

~jug

Ja ich weis verschluesselte e-mails fallen nicht auf wenn alle alles verschluesseln. Nur man kann die Leute nicht zwingen zu verschluesseln. Die in Internetforen(heise) vielgeschmaehte und scheinbar tiefgehasste de-mail waere da ein Einstieg.Die deuschen e-mail provider wollen jetzt sicher miteinander kommunizieren, das gilt aber wohl nicht wenn du deine "deutsche" email aus dem Ausland anrufst.

kamuta schrieb:

[…] Die in Internetforen(heise) vielgeschmaehte und scheinbar tiefgehasste de-mail waere da ein Einstieg.

Nein, ist sie nicht. Eine Verschlüsselung kann nur dann als „sicher“ angesehen werden, wenn diese von einem Kommunikationspartner zum anderen erfolgt. Bei der DE-Mail wird allerdings aus „Sicherheitsgründen“ die E-Mail unterwegs auf jedem Server entschlüsselt und laut offizieller Aussage auf Viren untersucht. Dabei kann die E-Mail verändert und der Inhalt gelesen werden.

Inwiefern man die E-Mail zum Schutz vor Veränderungen signieren kann ist fraglich, möglicherweise gibt es ein Backup aller privaten Schlüssel der DE-Mail. Vor allem wenn man DE-Mails über ein Webinterface verschicken kann läuft die die Sicherheit was Verschlüsselung und Signierung angeht gegen null. Man möge mich korrigieren, sollte ich irren.

Die deuschen e-mail provider wollen jetzt sicher miteinander kommunizieren, das gilt aber wohl nicht wenn du deine "deutsche" email aus dem Ausland anrufst.

Doch. Wenn der Zugriff auf dein Postfach verschlüsselt via HTTPS oder SSL/TLS-Verschlüsselung des IMAP/POP3/SMTP Protokolls erfolgt ist zumindest die Übertragung abhörsicher, sofern das Zertifikat des Servers bekannt ist und überprüft wurde (um Man-in-the-Middle-Angriffen vorzubeugen)

Allerdings liegt die E-Mail trotzdem unverschlüsselt auf den Servern und kann bei der Übertragung von einem Mailserver auf einen anderen Mailserver auch unverschlüsselt übertragen werden, je nachdem ob die Transportverschlüsselung der Mailserver aktiv ist oder nicht. Mit E-Mail „Made in Germany“ wurde zumindest die längst überfällilge Transportverschlüsselung innerhalb der Mailserver der großen deutschen Anbieter zum Standard erhoben, ob die Transportverschlüsselung bei der Übertragung zu anderen Mailanbietern aktiv ist, ist fraglich.

Der Verschluesselungsstandart von de-mail ist, soviel ich weis vom staat vorgegeben. Damit ist de-mail egal ob durchgaengig verschluesselt oder nicht, grundsaetzlich nicht sicher vor dem Staat und seinen Freunden, darueber braucht man wohl nicht zu diskutieren. De-mail so wie sie jetzt geplant ist scheint mir sicher vor Kriminellen und (nichtstaatlichen) Unbefugten-oder? Da der groesste Teil der Bevoelkerung nichts zu verbergen hat glaubt, duerfte wohl die flaechendeckende Einfuehrung von PGP noch ne ewigkeit dauern.