Fragen um Skype

    • schabbesgoi schrieb:

      Weil es zum Thema passt und der "Nerv" mit google und des prompt nachfolgenden Werbespams schon zur Sprache kam:

      Ich benutze seit einger Zeit immer öfter DuckDuckGo. Ein netter Online"bekannter" hat dazu geraten :)
      Die Ergebnisse sind bisher echt gut, das Umgehen damit war zuerst ein wenig gewöhnungsbedürftig bzw wegen der googlegewohnheit war es zuerst "seltsam".
      Außerdem muss man sich einiges erst einstellen, aber dann: sehr gut und ohne cookies und Datensammelei.

      Was meint ihr? Eine wirklich gute Alternative zum allgegenwärtigen Datensammeldienst zumindest am PC?

      de.wikipedia.org/wiki/DuckDuckGo

      Ich benutze seit langer Zeit schon "Startpage" als Standardsuche und bin sehr zufrieden.

      "Startpage" ist eine Suchmaschine aus den Niederlanden, die anonymisierte Google-Ergebnisse liefert.

      startpage.com/deu/protect-privacy.html
    • Nun, das mit dem "TE" bei Auslagerung hier, das ist so und ich finde das auch immer noch ein wenig "befremdlich".
      "Mein" erster auf diese Weise eröffneter Thread hat bei mir zuerst auch ein kleines Kribbeln erzeugt, "üblicherweise" weiß man ja, wenn man einen Faden eröffnet hat ;)

      Aber es bleibt: Sinnvoll ist es schon das halbwegs konsequente Auslagern und es führt zu neuen Gesprächen mit neuen Erkenntnissen und erweiterten Diskussionsmöglichkeiten :)
      Also: Im Endeffekt - für mich sinnvoll, wenn auch ungewohnt früher

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von schabbesgoi ()

    • Sind wir ja, immer auf der Höhe der Zeit. Du ja auch :) Ich sah noch keinen "ausgeschnittenen", der LEute betroffen hätte, die nicht "ein wenig mehr" hier involviert gewesen wären.

      Und nun wieder besser weiter zum Thema "Deines" Threads , gell? :]
      Wäre einfach zu schade drum

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von schabbesgoi ()

    • Nur zur Klarstellung, ich meinte nicht Ovey, auch wenn seine Aussage in diese Richtung geht.

      Ich meinte eher, daß, wenn man davon spricht, Kommunikationsweg X oder Dienst Y nicht mehr benutzen zu wollen, weil man auf Vertraulichkeit wert legt, sofort ungefragt Leute ankommen und einem erstmal erzählen, daß und warum ihre Kommunikation ruhig mitgelesen werden darf und warum sie nicht überwacht würden. Mal davon ab, daß mein Wunsch nach Verschlüsselung nichts mit dem Schutzbedürfnis anderer zu tun hat:

      Ich finde das erschreckend, daß wir, nachdem die Realität die schlimmsten Verschwörungstheorien übertroffen hat, trotzdem noch einen Zustand haben, wo für schiere Vernunft innerhalb einer Peergroup Rechtfertigungsdruck entsteht.
    • schabbesgoi schrieb:

      Ich glaube ja, dass vielen Leuten "das alles am Arsch vorbei" geht, weil ihnen die Überwachung anonym ist. Ist ja nicht der Nachbar, der Kollege oder die eigene Schwester, die da in den Kontoauszügen, den Mails und den Online-Bestellungen "rumschnüffelt". "Die" kennt man ja nicht, also sind sie "egal". Niemand von denen muss man real begegnen.


      Ja, das ist ein wesentlicher Punkt. Vielleicht kapieren es ja jetzt ein paar mehr, die Geschichte mit den Livechats via Webcam bei yahoo geht ja immerhin so, daß die Briten erstmal eine Gesichtserkennungssoftware zum Vorfiltern schreiben mußten, weil ihre Mitarbeiter bei der Durchsicht des Materials - man entschuldige meine Ausdrucksweise - vor lauter Titten kucken zu nix gekommen sind. Logisch, wozu verwendet jemand, der nicht zufällig von seiner Familie durch eine längere Distanz getrennt ist, Video? Ich hatte jedenfalls nie das Bedürfnis, beim Telefonieren mit meinem Freundeskreis auch Bild zu haben, die meisten davon sehe ich eh alle paar Tage in echt. Die Quote nackter Haut stellt sich wie folgt dar (O-Ton in bestem Amts-Englisch):

      Unglücklicherweise [...] hat es den Anschein, dass eine überraschende Zahl von Nutzern Videochats benutzen, um anderen Personen intime Teile ihres Körpers zu zeigen.


      So, und vielleicht überlegen jetzt nochmal alle, wer sich auch vor so ner Webcam auszieht. Neben stinknormalen Leuten - ich weiß es z.B. von mindestens einem aus meinem Bekanntenkreis - nehme ich mal an, daß das vor allem unter Jugendlichen ein verbreitetes Phänomen ist.

      Also meine lieben Ignoranten (wer sich angesprochen fühlt, ist wie üblich gemeint): Wie paßt der Gedanke, daß die Typen vom Geheimdienst eure Söhne und Töchter nackt sehen, mit "ich habe nichts zu verbergen", mh?
    • Na gut.

      Wenn man sich mit Verschlüsselung und Gedöns beschäftigen will, muß man klar eine halbe Stunde mitbringen, um ein paar grundsätzliche Dinge zu durchdenken. Da draußen kursieren allerlei Vorurteile, die wie üblich dem Umstand geschuldet sind, daß fast jeder täglich einen PC bedient und deshalb glaubt, sich zu solchen Themen kompetent äußern zu können. Als ob jeder Autofahrer automatisch Ingenieur bei BMW wäre... Also, die Blinden lernen von den Einäugigen, und deshalb muß man sich da mal von vielem, was man gehört hat, befreien.

      Punkt 1, den die NSA-Debatte zu Tage gefördert hat, ist: vernünftig implementierte Verschlüsselung funktioniert. Es ist ein Gerücht, daß man nichts machen kann, starke Crypto kann nach wie vor nicht gebrochen werden. Jeder hat es ausschließlich selbst in der Hand und Verantwortung, sich überwachen zu lassen oder nicht.

      Der Beleg dafür sind die Anstalten, die Dienste so machen, um an die Daten vor dem Verschlüsseln zu gelangen. Das fängt beim Staatstrojaner an, der etwaige Mails oder VoIP-Gespräche mitschneiden soll, bevor auf dem Transportweg ein Verschlüsselungs-Layer drüber kommt, geht über das Fälschen von Zertifikaten, wie es z.B. der Iran mit google-Mail gemacht hat, um Mails von Dissidenten mitzulesen, bis zu den Versuchen von NSA und co., sich direkten Zugriff auf die Server der großen Firmen zu verschaffen. Es ist immer das gleiche, es werden die Endpunkte angegriffen, wo die Daten unverschlüsselt vorliegen.

      Punkt 2, starke Verschlüsselung zu brechen, ist keine Frage der Rechenleistung. Es geht ja das Gerücht, daß ohnehin nur genügend Geld in die Hand genommen werden müsse, wenn der Supercomputer groß genug wäre, könne man eh nix machen. Aufgrund dieser Asymmetrie könne man gleich alle Bemühungen knicken. Das ist falsch. Vereinfacht gesagt steigt der Zeitaufwand zum Knacken von Verschlüsselung überproportional mit der Schlüssellänge, wobei man die nicht so wählt, daß sie die nächsten 2 Jahre standhält (was die Möglichkeit beinhalten würde, daß z.B. Regierungen, die einfach mal technologisch 2 Jahre weiter sind und das bloß noch keinem erzählt haben, beliebig mitlesen können), sondern überspitzt formuliert eher so, daß die kumulierte Rechenleistung des Planeten in 10 Jahren noch nicht ausreicht, um einen Schlüssel zu brechen.

      Der Beleg dafür ist wieder die NSA selbst und das Originalmaterial von Snowden, in dem an vielen Stellen steht, daß man vernünftig implementierte Verschlüsselung nicht brechen kann. Das ist der Grund dafür, daß z.B. RSA Security (bitte nicht die Firma mit dem Verfahren "RSA" verwechseln, das hat nix miteinander zu tun) 10 Mio. dafür kassiert hat, einen fehlerhaften Zufallsgenerator in ihre Produkte zu implementieren, denn wenn die der Schlüsselerzeugung zu Grunde liegenden Zahlen nicht wirklich zufällig sind, kann man auf den Schlüssel schließen. Oder auch, anderes Beispiel, daß die NSA das NIST dazu gebracht hat, einen Algorithmus zu standardisieren, der (der NSA) bekannte Schwächen enthielt, und damit eine Hintertür direkt in die offiziellen Standards einzuschleusen. Dieser ganze Aufwand (und noch viele andere viel aufwändigere Tricks und Kniffe) wird aufgebracht, weil Kryptographie funktioniert.

      Punkt 3, kommerzieller Verschlüsselung kann man nicht trauen. Firmen können dazu gezwungen werden, Hintertüren in ihre Produkte einzubauen oder Nutzerdaten herauszugeben und gleichzeitig dazu, darüber nicht reden zu dürfen. Von Geheim"gerichten" ohne Kontrollinstanz. Verschlüsselung, deren Quelltext nicht offen- und damit einem Review durch Computerwissenschaftler unterliegt, ist keine Verschlüsselung. Wer seine Laufwerke mit Microsoft Bitlocker verschlüsselt, ist zwar gedanklich einen Schritt weiter, als derjenige, der bloß "Festplattenverschlüsselung brauch ich nicht" sagt, aber verschlüsselt hat er seine Daten allenfalls vor dem Einbrecher, der seinen Laptop klaut.

      Punkt 4, lausige Verschlüsselung ist Mist. Dafür wurde der Begriff "encraption" geprägt. Viele Möchtegernprogrammierer sind der Meinung, wie man Vershlüsselung implementiert, steht ja schließlich in der Wikipedia. Das stimmt auch, aber dabei kann man in der Praxis unzählige Fehler begehen, von denen jeder einzelne drastisch sein kann, bis dahin, daß die Verschlüsselung bereits beim Anschauen auseinanderfällt. Jeder ITler mit Grundverstand weiß, daß man die Entwicklung von Kryptographie Kryptologen überläßt. Benutzt keine Software aus irgendwelchen Klitschen, die mal eben etwas auf den Markt werfen und unbelegt behaupten, ihr Produkt sei irgendwie sicher (Beispiel). Seriöse Software benutzt gut abgehangene und in der Praxis seit Jahrzehnten erprobte Bibliotheken, in denen hoffentlich bereits ein Großteil der Fehler gefunden und ausgemerzt wurde. Wer das Rad neu erfinden möchte, ist verantwortungslos, inkompetent und ein Blender. Macht einen Bogen um sowas.

      Punkt 5, Quantenkryptographie. Ja, irgendwann werden unsere heute benutzten Algorithmen auseinanderfallen. Nein, davon sind wir weit entfernt. Ja, es gibt längst mehrere Alternativen, die für die Zeit danach diskutiert werden. Nein, die werden noch nicht eingesetzt, weil es dafür noch keine Notwendigkeit gibt und ihre Sicherheit gegenüber den heute eingesetzten Verfahren noch nicht ausreichend erforscht ist.

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von pandarul ()

    • So, wie funktioniert das nun in der Praxis? (Hinweis: technische Exaktheit mag im folgenden dem Verständnis geopfert werden; es ist aber nix falsch, allenfalls arg vereinfacht.)

      Ihr hattet ja bereits ROT-13 und irgendwo geisterte bereits das Wort "Enigma" durch den Thread.

      Es handelt sich um sogenannte symmetrische Verschlüsselung. Symmetrisch, weil der Schlüssel zum Ver- und Entschlüsseln identisch ist. Beide Parteien müssen ihn kennen. Die Sicherheit des Verfahrens hängt - ausreichende Schlüssellängen vorausgesetzt - daran, daß man die Übereinkunft, wie zu Ver- und Entschlüsseln ist, vor einem Dritten geheimhält. Wenn @schabbesgoi trivialerweise @Löschberts Posting sieht und auf den ersten Blick erkennt, daß es sich um ROT-13 handelt, kann man logischerweise schon gar nicht mehr von Verschlüsselung reden.

      Solche Verfahren sind fürs Internet ersichtlich ungeeignet, weil man ohne gesicherte Verbindung ja keine Chance hat, dem Empfänger die Information zukommen zu lassen, welchen Schlüssel er zum Lesen verwenden soll.

      Also setzt man stattdessen asymmetrische Verschlüsselung ein. Da gibt es zwei Schlüssel, einen geheimen und einen öffentlichen, wobei sich der jeweils eine nicht aus dem anderen ableiten läßt. Verschlüsselt wird mit dem öffentlichen - also tatsächlich jedem bekannten - Schlüssel des Empfängers. Das geht aber nur ein eine Richtung! Entschlüsseln läßt sich die Nachricht nur mit dem geheimen Schlüssel des Empfängers, der, wie der Name schon sagt, nur dem Empfänger bekannt ist. Man generiert sich also mit geeigneter Software ein Schlüsselpaar und lädt seinen öffentlichen Schlüssel irgendwo hoch, wo ihn jeder her beziehen kann, und schon kann jeder einem verschlüsselte Nachrichten schicken.

      Nebenbei: Verschlüsselt man etwas mit seinem eigenen privaten Schlüssel, kann es jeder mit dem zugehörigen öffentlichen Schlüssel lesen. Da der private Schlüssel nur einer Person bekannt ist, ist das wie eine Unterschrift. Wenn ihr irgendwo was von "digitaler Signatur" o.ä. lest, ist genau das gemeint.

      So, in einem asymmetrischen Verschlüsselungssystem reduziert sich das Problem also darauf, daß derjenige, der jemandem eine verschlüsselte Nachricht schicken möchte, wissen muß, daß der öffentliche Schlüssel, den er verwendet, auch wirklich dem Empfänger gehört. Immerhin könnte ich mich ja als Person X ausgeben und einfach in seinem Namen irgendwo einen Schlüssel veröffentlichen. Wenn den jemand benutzt, kann ich dann natürlich lesen, weil ich den zugehörigen privaten Schlüssel habe und nicht derjenige, als der ich mich ausgebe.

      Dazu gibt es im Wesentlichen zwei Varianten, eine hierarchische und eine verteilte. Das erste kennt jeder hier von SSL. Wer sich bei eBay einloggt, bekommt die Seite per https ausgeliefert. Das Zertifikat, mit dem eBay seine Login-Seite signiert (=der private Schlüssel von eBay), damit ihr wißt, daß sie nicht manipuliert wurde, und der zugehörige öffentliche Schlüssel, mit dem euer Nutzername und Paßwort verschlüsselt werden, bevor sie zu eBay übertragen werden, sind von einer Zertifizierungsstelle unterschrieben. Das ist z.B. Verisign, deren Logo auch auf der Loginseite prangt.

      Herr eBay hat also bei Verisign seinen Ausweis vorgelegt, sein Zertifikat und die Bestätigung, daß die Domain ebay.de ihm gehört, und Verisign hat unterschrieben, daß das Zertifikat für ebay.de gültig ist. Jeder, der Verisign vertraut, vertraut damit auch der Login-Seite von eBay. Und Verisign vertrauen wir alle, weil es als vertrauenswürdige Zertifizierungsstelle in jedem Browser dieser Welt enthalten ist.

      Das System kann man beliebig verkomplizieren und über x Stufen nach unten durchreichen, es ist immer das gleiche: Wenn ein Zertifikat vorgezeigt wird, wird überprüft, wer es unterschrieben hat. Wenn demjenigen vertraut wird, gilt es als echt. Wenn für denjenigen selbst jemand anders unterschrieben hat, wird geschaut, ob dieser Instanz vertraut wird usw. Finder sich in der Kette ein vertrauenswürdiger Aussteller, ist alles gut, ansonsten wird das Zertifikat abgelehnt, weil es gefälscht sein könnte.

      Es ist offensichtlich, daß so ein hierarchisches System Schwächen hat. Wer eine Zertifizierungsstelle kompromittiert (Beispiel: Iran/Diginotar), kann sich als jemand anders ausgeben und sich in die Verschlüsselung einklinken. Nichtsdestotrotz ist das das System, nachdem derzeit SSL im Internet funktioniert.

      Die zweite Variante ist das web of trust, wo sich Nutzer gegenseitig ihre Schlüssel signieren. Die Idee ist, wenn ich jemandem aus meinem Freundeskreis vertraue, und der hat den Schlüssel einer Person signiert, mit der ich jetzt kommunizieren möchte, dann kann ich davon ausgehen, daß die Person echt ist. Je mehr Unterschriften von Leuten, die ich kenne, ein Schlüssel hat, desto höher seine Vertrauenswürdigkeit.

      Es gibt da noch triviale Methoden, z.B. kann man sich einfach mal anrufen und stumpf gegenseitig die öffentlichen Schlüssel vorlesen. Alleine der Umstand, daß ein solches Telefonat nicht gefälscht werden kann, erschlägt das Schlüsselproblem bereits. Man kann auch den Schlüssel zusammen mit einer Information tauschen, die einem Angreifer nicht bekannt sein kann, die man z.B. zuvor auf einem anderen Kommunikationskanal verabredet hat.

      Wichtig ist, daß der Schlüsseltausch nur einmal stattfinden muß. Sobald ich mir sicher bin, daß der öffentliche Schlüssel, den ich hier habe, tatsächlich von demjenigen stammt, mit dem ich verschlüsselt kommunizieren möchte, kann ich das gefahrlos tun. In der Praxis ist man an dem Punkt fertig, den Rest erledigt dann die Software, die man verwendet, so daß der eigentliche Kommunikationsvorgang für den Nutzer vollkommen identisch wie ein unverschlüsselter abläuft.

      Also:

      1. geeignete Software installieren
      2. Schlüssel generieren
      3. Schlüssel zum Kommunikationpartner schaffen und dessen Identität bestätigen

      Das ist der einzige Aufwand, den man hat, und der ist einmalig!

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von pandarul ()

    • Sicher ist, dass nichts sicher ist. Das ist zumindest meine persönliche Meinung.

      Gut, es gibt diverse, teils sehr komplexe, Verschlüsselungsmethoden. Diese sind aber auch nur dann sicher, wenn Dritte ( z.B. die Geheimdienst ) die Methoden, Schlüssel, Algorithmen etc. nicht kennen.
      Es kann dann nicht mehr Sicher sein, wenn eben das ganze Hintergrundwissen über die jeweilige Verschlüsselung bekannt ist.

      Genau hier sehe ich eben das Problem. Ich persönlich gehe davon aus, dass die ganzen Verschlüsselungsmethoden samt dazugehörigen Schlüssel ( und was sonst noch dazu gehört ) von den ganzen Verschlüsselungsanbieter, zumindest den großen Geheimdiensten ( der Geheimdienst von Papua Neuguinea wird das Wissen wohl nicht haben ), inzwischen bekannt ist. Bekannt entweder dadaurch, dass die Infos von Mitarbeitern der jeweiligen Firmen bzw. Institutionen verraten wurde, Mitarbeiter vom Geheimdienst erpresst wurde, Agenten in die Unternehmen eingeschleust wurden oder eben ein Geheimdienst selbst hinter einem Unternehmen, Institution oder Plattform steckt.

      Für mich persönlich ist daher nichts sicher.

      Vielleicht sollten wir wieder zu den alten Tugenden zurück kehren und die direkte zwischenmenschliche Kommunikation suchen und vertrauliches z.B. bei einer Tasse Kaffee oder einem Spaziergang im Wald vornehmen ?

      Im Übrigen hat die gute alte Nachrichtenübermittlungstechnik der Geheimdienste, z.B. Zahlensender, tote Briefkästen, Konspirative Treffen etc. schon lange eine Renaissance erlebt. Wer glaubt, dass in der heutigen Zeit die Geheimdienst wichtige vertrauliche Nachrichten irgendwie elektronisch über das Netz verschicken irrt sich gewaltig.
      Gruß

      Manni :D

      >> Stiehlt einer ein Geldstück, dann hängt man ihn. Wer öffentliche Gelder unterschlägt, wer durch Monopole, Wucher und tausenderlei Machenschaften und Betrügereien noch so viel zusammenstiehlt, wird unter die vornehmen Leute gerechnet. << Erasmus von Rotterdam, Humanist und Universalgelehrter, 1466 - 1532
      "Die Gerechtigkeit wohnt in einer Etage, zu der die Justiz keinen Zutritt hat." Zitat aus dem Film "Justiz"
    • @manni

      Nichts ist absolut sicher, kein Briefkasten nichteinmal ein persönliches Gespräch.
      Es geht doch grundsätzlich darum, seine Kommunikation so sicher wie möglich zu gestalten und nicht an dem Einwurf hängen zu bleiben, dass man ja nichts wichtiges geschrieben bzw. kommuniziert hätte und sich keiner dafür interessiert.

      Es geht um das Prinzip, dass keiner mitlesen, mithören, mitsehen oder sonst was kann, was ich von mir gebe, wenn ich privat einen Brief, eine Mail schreibe oder einfach nur chatte. Wenn ich dabei selbst nur 90 % des mitlesens ausschließen kann, dann habe ich schon viel erreicht.

      EDIT:
      Noch einen Nachtrag...
      Ich habe pandarul gestern explizit danach gefragt, wie groß die Wahrscheinlichkeit ist, dass beim "Errechnen" des nichtöffentlichen Schlüssels ein Treffer recht früh erzielt wird. Natürlich ist das möglich, aber die Wahrscheinlichkeit geht gegen Null.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Kaiolito ()

    • @manni:

      An den etablierten Verschlüsselungsmethoden ist nichts komplex (ok, bis auf die Details *gg*), und die Verfahren sind bekannt, genauso wie die Algorithmen, die man zum Knacken braucht. Der Witz ist, daß die im Universum versammelte Rechenleistung nicht ausreichend ist, um starke Verschlüsselung innerhalb dessen Lebensdauer zu brechen (wiederum zu Illustrationszwecken unkorrekt zugespitzt).

      Daß man "Verschlüsselung", die einem in der Black Box von irgendwelchen Firmen offeriert wird, nicht trauen kann, ist logisch und ja auch ein wesentlicher Punkt, den ich oben angeführt habe. Deshalb macht man das ja auch selbst mit etablierten und offenen Standards, die seit Jahrzehnten existieren und entsprechend grundlegend erforscht sind.

      auktions-manni schrieb:

      Vielleicht sollten wir wieder zu den alten Tugenden zurück kehren und die direkte zwischenmenschliche Kommunikation suchen und vertrauliches z.B. bei einer Tasse Kaffee oder einem Spaziergang im Wald vornehmen ?


      Hähä, und wenn ich meine gesamte private Kommunikation grundsätzlich als vertraulich betrachte? Tue ich nämlich. Nee, das ist nicht die Lösung, wäre ja auch noch schöner, daß ich in den Wald gehen muß, weil irgendwelche Verfassungsschütfeinde die Hoheit über das Netz zu haben glauben. Die Lösung lautet, immer und überall Verschlüsselung einzusetzen und sich seine Rechte zurückzuholen.

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von pandarul ()

    • So, hier geht es ja um Skype, das wollen wir ersetzen durch einen vernünftigen Messenger, der Verschlüsselung unterstützt.

      Es gibt verschiedene Software, die das tut, persönliche Vorlieben und die Tauglichkeit verschiedener Programme für die jeweilige Nutzungsanforderung muß jeder selbst herausfinden. Exemplarisch benutzen wir mal eine bekannte und beliebte Software:

      1. Pidgin (ein Multi-Messenger) herunterladen und installieren:

      pidgin.im/download/

      2. OTR (=Off-The-Record)-Plugin, das Verschlüsselung und Abstreitbarkeit implementiert, herunterladen und installieren:

      otr.cypherpunks.ca/index.php#downloads

      3. Pidgin öffnen. Es erscheint ein Dialogfeld, wo man für eins von zig Protokollen einen Account anlegen kann. Wir benutzen hier mal XMPP ("Jabber"), den vernünftigen und offenen Messenging-Standard. Siehe Bild 1.

      a) Den Nutzernamen kann man sich ausdenken.
      b) Unter "Domain" wird der XMPP-Server eingetragen, wo der Nutzer anzulegen ist. Man ist dann unter Nutzer@Server erreichbar, das ist analog einer Telefonnummer eine eindeutige Kennung. Es gibt haufenweise freie Server, die man sich im Internet ergooglen kann; wer dazu keine Lust hat, kann z.B. den vom Chaos Computer Club benutzen: jabber.ccc.de
      c) Ein Paßwort zum Anmelden brauchts natürlich auch.
      d) Unten muß ein Haken gesetzt werden, daß dieser Account erstmal anzulegen ist. Das tut glücklicherweise Pidgin ganz automatisch für euch.

      Das wars auch schon.

      4. Unter Werkzeuge -> Plugins muß man Off-The-Record-Messenging anhaken und einmal auf Konfigurieren gehen. Siehe Bild 2 und 3.

      a) Ein Schlüssel wird gleich mal automatisch generiert,
      b) Es müssen wenigstens Haken bei "enable" und "automatically..." rein, zusätzlich kann man natürlich OTR noch verpflichtend machen, dann kann man gar nicht mit Leuten chatten, die das nicht können.
      c) Da OTR neben Verschlüsselung auch Abstreitbarkeit beinhaltet, kann man die Historie der Unterhaltungen abschalten, wenn man das braucht. Eine aufgezeichnete Konversation läßt sich ja schwer bestreiten.

      Das wars auch schon.

      Was bleibt, ist, daß man mit jedem neuen Kommunikationspartner einmal gegenseitig die Schlüssel bestätigt. Da gibt es verschiedene Varianten, z.B. mit Frage/Antwort, die nur den beiden Kommunikationspartnern bekannt sind, oder man kann direkt den Fingerabdruck des Schlüssels vergleichen - das wäre dann das Vorlesen am Telefon, siehe oben. Wichtig ist, daß das ein einmaliger Prozeß ist, der auch automatisch gestartet wird, sobald dem Programm ein bis dato unbekannter Schlüssel unterkommt. Siehe Bild 4 und auch ausführlicher hier.

      Zeitaufwand insgesamt keine 20 Minuten.

      Jetzt bleibt das eigentliche Problem, nämlich die Peergroup davon zu überzeugen, dahin zu wechseln. Da muß man schon etwas rigoros sein und schlicht jede unverschlüsselte Kommunikation ablehnen. Wem 20 Minuten Aufwand zu viel sind, um meinen Wunsch nach Privatsphäre zu respektieren, der kann sich von mir aus mit der Wand unterhalten, aber nicht mit mir...

      Danke für die Screenshots in den HG, und nebenbei: Du wirst bis zum 08.04.2014 noch Windows XP ersetzen, nicht wahr?
      Bilder
      • 01-1244656856653423234.png

        118,8 kB, 451×516, 125 mal angesehen
      • 02-1244656856653423234.png

        170,87 kB, 638×638, 104 mal angesehen
      • 03-1244656856653423234.png

        97,6 kB, 403×419, 153 mal angesehen
      • 04-1244656856653423234.png

        142,78 kB, 418×437, 115 mal angesehen

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von pandarul ()

    • Es ist doch so, viele Menschen, die von einem Einbrecher heimgesucht wurden, haben damit lange zu tun. Nicht nur, weil alles durcheinander war und das eine oder andere geliebte Teil weg ist, sondern weil da einfach jemand in die privaten Räume eingedrungen ist.
      Wenn man sich jetzt vorstellt, dass das ständig passiert und gleichzeitig die Post im Briefkasten auch aufgerissen wird, dann möchte man sich davor natürlich schützen, denn das gefällt wohl keinem. Und das obwohl man ja auch freiwillig andere Leute in die Wohnung lässt und ihnen u.U. sogar den Schlüssel, auch für den Briefkasten, gibt.
      Auf der anderen Seite nutzen ja wir z.B. öffentliche Foren und geben damit freiwillig einiges preis und wenn ich so betrachte, was manche auf FB veröffentlichen, dann kann ich wirklich nur staunen. Da scheint die Tendenz ja ganz weg von der Privatsphäre zu gehen, sondern im Gegenteil, so viel Öffentlichkeit wie möglich.
      Da erfahre ich dann von wildfremden Menschen wie sie aussehen, den Beruf, den Freundeskreis, die Urlaubsreisen, die Hobbies, ihre Lieblingswitze und den Ort, in dem sie wohnen.
      Kids schimpfen in Schülergruppen heftig und verunglimpfend auf ihre Lehrerin, alles öffentlich, auffindbar mit Google und für jeden nachzulesen. Auch für den potentiellen Ausbildungsbetrieb.
      Gut, dann gibt es noch die geschlossenen Gruppen, aber so schwer wird es i.d.R. auch nicht sein, da reinzukommen.
      Wenn man das beobachtet, dann scheinen die Leute nicht mehr zu denken "ich habe nix zu verbergen", sondern sie wollen gar nix mehr verbergen, sondern möglichst alles öffentlich teilen.
      Ich hatte bisher auch eher die Tendenz "ach, wer interessiert sich denn für mich?", obwohl ich weiß, dass das eine ganze Menge Leute tun, das merke ich ja alleine an dem ganzen Spam, der mich erreicht.
      Da hat mich dieser Thread jetzt schon ein bisschen mehr sensibilisiert und regt micht dazu an, über das eine oder andere noch einmal nachzudenken und auch entsprechend zu handeln oder vielleicht auch nicht, weil es mit teilweise lästig ist und ich mich eben mit den Gegebenheiten mit Nixtun arrangiere.
      Ausgangspunkt meiner Frage war ja Skype. Das ich eben als Telefon-Alternative nutze, die Kamera ist meistens aus, weil ich annehme, dass sie zusätzlich meinen Arbeitsspeicher belastet und mit dem stimmt sowieso etwas nicht. Aber, ich quassel so vor mich hin ohne jedes Wort auf die Goldwaage zu legen, weil ich meinen Gesprächspartner ja kenne. Das ist jedenfalls bei meinen Skype-Gesprächen so. Andere veranstalten da vielleicht sogar irgendwelche Sessions mit ihnen völlig fremden Personen und das nicht zwangsläufig beruflich, sondern ganz "privat",
    • Weil zu diesem Zeitpunkt der Support endgültig ausläuft und es keine Sicherheitsupdates mehr geben wird.

      Vom kommerziellen Standpunkt aus gesehen muß man davon ausgehen, daß XP am 09.04.2014 auseinanderfällt. Eine 0-day-Lücke, die einem Angreifer die volle Kontrolle über ein System erlaubt, ist so 100.000-250.000 Euro wert. Wer auf so einer Lücke für XP sitzt, wird die nicht jetzt, sondern nach dem 08.04. verkaufen, weil sie dann nicht mehr gefixt wird, womit sie gleich mal locker die zehnfache Summe bringt. Weil ja noch Millionen von PCs mit XP am Netz sind.

      Ganz klar, wer nach diesem Datum noch XP benutzt, sollte das allen Leuten in seinem Bekanntenkreis mitteilen, damit man ihn aus Adressbüchern, Messengern o.ä. streichen kann, seine Mails im Spamfilter blacklistet und keine Raubkop ähhh Privatkopien auf DVDs oder USB-Sticks mehr mit ihm austauscht. Wegen akuter Trojanifizierungsgefahr.

      Es gibt auch für VoIP quelloffene Alternativen mit vernünftiger Verschlüsselung, z.B. Jitsi. Ich hab da aber nicht so die Ahnung von, was gut sein könnte und wie funktioniert. Einfach mal durchscrollen. Prinzipiell hat auch das o.g. XMPP eine Audio-Komponente für VoIP.
    • Mirabella Neumann schrieb:

      Ich hatte bisher auch eher die Tendenz "ach, wer interessiert sich denn für mich?", obwohl ich weiß, dass das eine ganze Menge Leute tun, das merke ich ja alleine an dem ganzen Spam, der mich erreicht.


      Die interessieren sich aber eher nicht für Dich, sondern für Dein Geld ;)
      Früher musste man den Müll im Wald vergraben. Heutzutage gibt's ja zum Glück ebay.
      Früher musste man sein Geld selbst verbrennen. Heutzutage gibt's ja zum Glück PayPal.
    • Ein Einbrecher interessiert sich auch nicht für mich, sondern für meine Wertsachen.
      Da lasse ich aber doch auch nicht einfach die Tür offen stehen, damit er sie nicht kaputtmachen und ich sie ersetzen muss. Genauso bei einem Dieb. Weil es Diebe gibt, mache ich meine Handtasche zu und passe im Idealfall gut darauf auf.
    • Super, Panda, danke schön für die Mühe, sehr interessant :)
      Nur in einer Kleinigkeit möchte ich Dir widersprechen. Es ist schon so, dass Verschlüsselungsmethoden durch technischen Fortschritt von "sichern" zu unsicheren Methoden werden. Je mehr Rechnerleistung vorhanden ist, um so "leichter" kann man "knacken". Deshalb sind ja solche Methoden, deren Namen fast jeder schon mal gehört hat, wie "WEP" oder "WPA" dann irgenwan "unsicher geworden. Und deshalb müssen auch die Schlüssel immer länger und komplizierter werden....



      Mirabella, ich sehe einen großen Unterschied ob "jemand" ohne Dein Wissen und ohne Deine Zustimmung Deinen Rechner und Deine Kommunikation überwacht oder ob man selber, freiwillig und wissentlich, "in Kontakt" mit der Welt ist und dort auch freiwillig was von sich frei gibt.
      Das ist meine Sache, was ich schreibe und veröffentliche. Es unterliegt meiner Kontrolle und ich will das so.
      Durch Geheimdienste überwacht zu werden ein ganz anderes Ding, denke ich.
      Nehemn wir als Beispiel mal das "Nacktbild". Und bleiben wir bei erwachsenen Menschen. Gut, wenn ich es wollte, dann kann ich das ins öffentliche Netz stellen. Meine Entscheidung. Wenn es mir Spaß macht. Mit dem Echo werde ich leben müssen.
      Wenn ich aber so ein "Nacktbild" aus Spaß oder Lust an der Freud einzig meinem Partner( , der sich gerade irgendwo auf Dienstreise in einem öden Hotel befindet) per email schicke...Dann möchte ich, dass nur er es sieht. Eine ganz private Sache.
      Auf keinen Fall möchte ich, dass dieses Bild später (wenn aus mir mal "was geworden ist" zum Beispiel oder ich einen Job in einem sogenannten "sicherheitsrelevanten Bereich" arbeite) von einem Unternehmen oder gar einem Geheimdienst gegen mich zum Zwecke der Erpressung verwendet werden kann.



      @Manni,

      auktions-manni schrieb:

      Gut, es gibt diverse, teils sehr komplexe, Verschlüsselungsmethoden....



      Manni, es kommt gar nicht darauf an, dass die Art der Verschlüsselung "geheim" ist. Am besten ist sie, wenn sie vollkommen bekannt, offen und ausgetestet ist. Panda erwähnte das auch schon. Wichtig ist einzig, dass sie ohne Schlüssel nicht funktioniert. Sie muss nur so kompliziert und komplex sein, dass sie nicht durch "ausprobieren" zu knacken ist und auch nicht durch Analyse des Textes durch Häufigkeiten und ähnliches.

      Als Beispiel können wir zurückgehen auf das Rot13. Hier wird jeder Buchstabe einfach um 13 Buchstaben im Alphabet verschoben. Aus einem A wird also ein N, aus einen B ein O, usw.

      Nun nehmen wir aber einen "Schlüssel" und machen den zu verschlüsselnden Text von diesem Schüssel abhängig. Und denken uns eine "Logik" dazu aus.
      Zum Beispiel.....Wir verschieben nicht jeden Buchsatben des Textes um 13 Stellen, sondern um soviel Stellen, wie die Zeichen im Schlüssel sagen.

      Das erste Zeichen im Text sei ein "A" und der Schlüssel sei "12345" (Genial, gelll? ;-). Dann verschiebt sich das A um einen Buchstaben, wird als zum "B".
      Den zweiten Buchstaben des Textes verschieben wir um den zweiten Wert des Schlüssels. Wenn das ein "C" war wird daraus (zwei weiter) nun ein "E" usw, usw.
      Wenn der Schlüssel nicht "12345" wäre sondern ein anderer, so würde ein anders Ergebnis rauskommen.
      Nun kann man also ohne den "Schlüssel" zu kennen, nicht einfach den Text wieder herstellen. Auch nicht, wenn man weiß, wie die Verschlüsselung erfolgt.

      Also in "Wirklichkeit" wird Verschlüsselung schon komplizierter gemacht, weil das Beispiel da oben würde eine Software auf einem Billig-PC trotzdem in Sekunden knacken können. Da wird noch viel mehr "gedreht und gewendet", Auch ist jeder einzelne Wert des Textes nicht nur von einem Teil des Schlüssels abhängig, sondern von jedem. Und Schlüssel sind viel länger...

      Aber das Grundprinzip bleibt: "Jeder" darf wissen, "wie" das verschlüsselt wird, was in welcher Reihenfolge beim verschlüsseln mit dem Text gemacht wird. Und trotzdem wird man es nicht zurückrechnen können ohne den Schlüssel zu kennen.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von schabbesgoi ()