Fragen um Skype

    • schabbesgoi schrieb:

      Mirabella, ich sehe einen großen Unterschied ob "jemand" ohne Dein Wissen und ohne Deine Zustimmung Deinen Rechner und Deine Kommunikation überwacht oder ob man selber, freiwillig und wissentlich, "in Kontakt" mit der Welt ist und dort auch freiwillig was von sich frei gibt.
      Das ist meine Sache, was ich schreibe und veröffentliche. Es unterliegt meiner Kontrolle und ich will das so.
      Durch Geheimdienste überwacht zu werden ein ganz anderes Ding, denke ich.


      Oh ja, das sehe ich auch so, das ist ein ganz wichtiger Punkt. Dieses "Argument" hört man sehr häufig in der Debatte, daß man sich mal nicht so haben solle und daß die Leute selbst mehr von sich preisgeben, als irgendjemand je überwachen könne. Vor allem von irgendwelchen "Innenpolitikern", die einem weismachen wollen, daß die wahre Gefahr von der Privatwirtschaft und nicht vom Staat ausginge, der wolle ja nur unser Bestes, gell?

      Aber das eine ist jedermanns freie Entscheidung, das andere nicht. Und, genauso wichtig, selbst wenn sich aus der freiwilligen Aufgabe von Privatsphäre eine Legitimation zur Überwachung ableiten ließe, was natürlich nicht der Fall ist, gibt es immernoch Millionen von Menschen, die sich ganz bewußt nicht auf Facebook oder sonstwo entblößen.

      Von daher ist das eine ganz linke Nummer, mit dem spezifischen Verhalten einzelner einen menschenunwürdigen Überwachungsapparat rechtfertigen zu wollen.

    • Schabbes, Probleme wie z.B. mit einem erotischen Foto kannst du aber immer kriegen. Heute schickst du es deinem Mann, weil er dein Mann ist. Übermorgen seid ihr geschieden. Genauso der Teenie. Heute findet er das lustig und verteilt so etwas munter durch die Gegend, morgen macht er auf einmal Karriere....
      Wenn wir jetzt aber alle für Privates in den Wald gehen, dann steht da ja irgendwann auch hinter jedem Baum und in jedem Busch irgendwer.
      Ich habe jetzt jedenfalls einiges zum Nachdenken und dafür danke ich euch :)

    • Mirabella Neumann schrieb:

      Schabbes, Probleme wie z.B. mit einem erotischen Foto kannst du aber immer kriegen. Heute schickst du es deinem Mann, weil er dein Mann ist. Übermorgen seid ihr geschieden. Genauso der Teenie. Heute findet er das lustig und verteilt so etwas munter durch die Gegend, morgen macht er auf einmal Karriere....
      Wenn wir jetzt aber alle für Privates in den Wald gehen, dann steht da ja irgendwann auch hinter jedem Baum und in jedem Busch irgendwer.
      Ich habe jetzt jedenfalls einiges zum Nachdenken und dafür danke ich euch :)


      Sicher ist das so, aber das hat mit "Vertrauen" zu tun, mit Moral, mit Gefahrenbewusstsein und mit -im wahrsten Sinne des Wortes- "Selbstbewusstsein". Sich selbst bewusst sein -> was man tut.
      Ich bestimme es selbst. Selbst dann, wenn ich "zu dumm" (oder sagen wir besser unerfahren und naiv) bin, den Falschen vertraue und mir eben nicht "genug bewusst" bin oder früher mal war.

      Ein Staat oder Dienste, die Informationen über mich sammeln, die ich nie irgendwo selber öffentlich zur Verfügung gestellt habe---ganz was anderes.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von schabbesgoi ()

    • schabbesgoi schrieb:

      Nur in einer Kleinigkeit möchte ich Dir widersprechen. Es ist schon so, dass Verschlüsselungsmethoden durch technischen Fortschritt von "sichern" zu unsicheren Methoden werden. Je mehr Rechnerleistung vorhanden ist, um so "leichter" kann man "knacken". Deshalb sind ja solche Methoden, deren Namen fast jeder schon mal gehört hat, wie "WEP" oder "WPA" dann irgenwan "unsicher geworden. Und deshalb müssen auch die Schlüssel immer länger und komplizierter werden....


      Naja, du haust jetzt aber was durcheinander. WEP z.B. ist schlicht broken by design. Das hat weniger mit technischem Fortschritt zu tun, als mit kryptologischer Forschung. Eine Reihe von mal irgendwann sicher geglaubten Verfahren ist kaputt.

      Bei gängigen asymmetrischen Verfahren ist das Faktorisierungsproblem zu lösen. Natürlich, ein Fakt ist trivial richtig: Wenn der Algorithmus zum Zurückrechnen bekannt ist und eine endliche (wenn auch große) Zeit dauert, dann wird die mit mehr Rechenleistung kürzer. Man kann also behaupten, irgendwann sei jeder Schlüssel knackbar. Deshalb ja, nochmal, wählt man seine Schlüssellängen nicht so, daß sie ein wenig besser sind als die Rechenleistung, die man beim Gegenüber vermutet, sondern so, daß sie einer Rechenleistung standhalten, die um Größenordnungen von dem abweicht, was überhaupt verfügbar ist.

      Wenn morgen jemand das Faktorisierungsproblem löst, fällt natürlich z.B. RSA auseinander. Aber das Problem ist nach heutigem Stand - und zwar nicht der Technik, sondern der Grundlagenforschung - nicht gelöst. Und für den Tag danach stehen Alternativen bereit.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von pandarul ()

    • pandarul schrieb:

      Weil zu diesem Zeitpunkt der Support endgültig ausläuft und es keine Sicherheitsupdates mehr geben wird.

      Vom kommerziellen Standpunkt aus gesehen muß man davon ausgehen, daß XP am 09.04.2014 auseinanderfällt. Eine 0-day-Lücke, die einem Angreifer die volle Kontrolle über ein System erlaubt, ist so 100.000-250.000 Euro wert. Wer auf so einer Lücke für XP sitzt, wird die nicht jetzt, sondern nach dem 08.04. verkaufen, weil sie dann nicht mehr gefixt wird, womit sie gleich mal locker die zehnfache Summe bringt. Weil ja noch Millionen von PCs mit XP am Netz sind.

      Ganz klar, wer nach diesem Datum noch XP benutzt, sollte das allen Leuten in seinem Bekanntenkreis mitteilen, damit man ihn aus Adressbüchern, Messengern o.ä. streichen kann, seine Mails im Spamfilter blacklistet und keine Raubkop ähhh Privatkopien auf DVDs oder USB-Sticks mehr mit ihm austauscht. Wegen akuter Trojanifizierungsgefahr.



      Dazu noch ein schicker "Reminder", man sollte es nicht übersehen... der countdown läuft.

      http://www.microsoft.com/de-de/windows/xp/default.aspx?CR_CC=200366447

    • Das ist doch sowieso alles irre und kaum ein Mensch ist dem noch gewachsen.
      Angenommen Sandra reiste in die USA. Dort nahm man von ihr Fingerprint und Augenscan, einfach nur, weil sie einreisen wollte.
      Sandra kauft sich 2 Jahre später ein Navi, das kann von der Polizei geortet werden.
      Sie verkauft es aber wieder bei Ebay, das ersteigert jemand um es seiner Freundin zu schenken und irgendwann in dieser Kette macht dann jemand damit einen Banküberfall. Da wird einem doch schlecht.

    • pandarul schrieb:

      Naja, du haust jetzt aber was durcheinander. WEP z.B. ist schlicht broken by design. Das hat weniger mit technischem Fortschritt zu tun, als mit kryptologischer Forschung. Eine Reihe von mal irgendwann sicher geglaubten Verfahren ist kaputt.

      pandarul schrieb:

      Falls sich jemand wirklich dafür interessiert und sich damit auseinandersetzen will, auf dem 29C3 gab es einen beeindruckenden Vortrag dazu, wie Angriffe auf Public Key Kryptographie in echt aussehen: ....


      Da hast Du sicher recht, ich habe unter den technischen Fortschritt auch den wissenschaftlichen mit einbezogen.
      Danke Dir auch für die weiterführenden Links. Dafür brauche ich aber eine ruhige Stunde um mir das rein zu tun, damit ich nicht nur sehe und höre sondern auch verstehe. Beim Thema Verschlüsselung komme ich ganz bald an die Grenze meienr mathematischen Kenntnisse, da wird es anstrengend. Bin ja nicht Mathematikerin sondern -von der AUsbildung her- Kauffrau.
      Im praktischen Berufsleben musste ich auch mal eine Verschlüsselung programmieren, für einen von den guten alten Großrechnern.
      Das Problem dabei war nicht eine ausreichend geeignete Logik der Verschlüsselung zu finden. Der Quellcode leigt offen und keiner der Security-Leute hatte daran etwas auszusetzen. Sicher genug, und bei Bedarf fast aufwandslos (nur ein bisschen mehr Rechenzeit) noch "steigerbar".
      Es war das Problem der Verwahrung des Schlüssels selbst. Angreifbar ist der Ort der Speicherung des Schlüssels gewesen. In meinem Fall schon deshalb, weil Programme zeitgesteuert damit arbeiten mussten (keine Online-Eingabe).
      Ansonsten das Problem, das sich kein normaler Mensch einen Schlüssel wie Wifsfh7734589432w§$/()=dsfjWW56#Wkfds "merken" kann. Und im "Alltagsleben will auch keiner auf sich nehmen so was fehlerfrei einzutippen, da ist Mensch überfordert.
      Also ist er irgendwo meist in Form gespeicherter Daten abgelegt und damit selber "angreifbar" bzw. abgreifbar.
      Gibt es dafür eine (mit weniger als ein paar hunderttausend Euronen bezahlbare) Lösung?

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von schabbesgoi ()

    • Na, ein richtiger Schlüssel ist ja noch wesentlich länger als dein Beispiel.

      In der Praxis wird der in einer Datei gespeichert, die mit einer Passphrase verschlüsselt wird, die sich ein Mensch merken kann. Logischerweise sinkt die Sicherheit des ganzen, wenn die Passphrase weniger Entropie hat als der Schlüssel selbst. Also kommt wahlweise dazu, daß der Schlüssel auf einem externen Speicher liegt, der nur bei Bedarf angeschlossen wird usw. Da gibt es zig Mechanismen.

      Wenn eine Software automatisch mit einem Schlüssel arbeiten muß, kommt das nicht in Frage. Dann muß ein Betriebssystem mit entsprechender Rechteverwaltung dafür sorgen, daß der Schlüssel ausschließlich von dem Prozeß gelesen werden kann, der ihn benutzt.

      Ich habe hier ein Beispiel mit täglichem Backup übers Netzwerk unter Vollverschlüsselung, das relativ trivial ist. Da das Mounten des entfernten Volumes ohnehin von root erledigt werden muß, liegt der Schlüssel in einer Datei, die root gehört und ausschließlich diesem (lesenden) Zugriff erlaubt. Es liegt natürlich die Annahme zu Grunde, daß ein Einbruch mit root-Rechten ohnehin den Schlüssel entwertet, weil ein solcher Zugriff auf die Originale gestattete und deshalb belanglos ist, ob der Schlüssel fürs Backup mit abfließt oder nicht.

      Falls die Prozesse, die den Schlüssel brauchen, nicht mit root-Rechten laufen dürfen, müssen sie halt von Root gestartet werden, mit dem Schlüssel versorgt, und dann ihre Privilegien abgeben. Natürlich muß man durch geeignete Programmierung sicherstellen, daß eventuelle Kopien des Schlüssels aus dem Speicher verschwinden, was nicht unbedingt trivial ist usw.

      Kurz; es gibt keine verbindliche Antwort auf so eine Frage. Was genau man wie macht, um was zu erreichen, muß exakt auf die Anforderungen des Einsatzszenarios und die gewünschte Sicherheit der entsprechenden Daten zugeschnitten werden.

    • Nach einem freundlichen Hinweis aus dem HG muß ich hier noch was richtig stellen. Ich verwende ja andere als die vorgestellte Software und habe deshalb nicht en detail geprüft, ob sie sich genau so verhält, wie man das auf den ersten Blick annehmen würde. Das ist natürlich nicht der Fall, zumindest nicht exakt.

      Also:

      pandarul schrieb:

      Es müssen wenigstens Haken bei "enable" und "automatically..." rein, zusätzlich kann man natürlich OTR noch verpflichtend machen, dann kann man gar nicht mit Leuten chatten, die das nicht können.


      Nicht ganz. (Link zum Bild: )

      Der erste Haken ("Privaten Nachrichtenversand aktivieren") schaltet grundsätzlich OTR ein. Man muß es dann in jedem Chat explizit aktivieren und das Gegenüber muß den Wunsch nach verschlüsselter Konversation bestätigen (=ein Popup mit "Ja" klicken).

      Der zweite Haken ("Privaten Nachrichtenversand automatisch aktivieren") sorgt dafür, daß OTR automatisch ohne ein weiteres Bestätigungs-Popup angeschaltet wird, wenn das Gegenüber eine verschlüsselte Unterhaltung initiiert. Daß man verschlüsselt kommunizieren möchte, muß man nach wie vor manuell kundtun.

      Erst mit dem dritten Haken ("Privaten Nachrichtenversand erzwingen") läuft alles vollautomatisch ab, und der Messenger handelt komplett ohne weiteres Zutun Verschlüsselung mit der Gegenseite aus.

      Da wir alle von Natur aus faul sind und nicht dauernd nachdenken oder irgendwas entscheiden wollen, möchte man also mit großer Wahrscheinlichkeit für eine sinnvolle Konfiguration alle drei Haken setzen.

      Und noch eine Anmerkung: es handelt sich um die Standardeinstellung, man kann durch einen Rechtsklick auf einen Kontakt und die Wahl von "OTR Einstellungen" für jeden einzelnen Kontakt abweichende individuelle Einstellungen vornehmen, wenn man das aus irgendwelchen Gründen braucht.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von pandarul ()

    • pandarul schrieb:

      Nebenbei: Verschlüsselt man etwas mit seinem eigenen privaten Schlüssel, kann es jeder mit dem zugehörigen öffentlichen Schlüssel lesen. Da der private Schlüssel nur einer Person bekannt ist, ist das wie eine Unterschrift. Wenn ihr irgendwo was von "digitaler Signatur" o.ä. lest, ist genau das gemeint.


      Da hab ich mal eine kleine doofe Frage...

      Wenn ich einen öffentlichen Schlüssel bereitstelle, kann das die NSA doch auch wieder lesen. Die brauchen dazu nur den öffentlichen Schlüssel. Und der ist ja öffentlich, sonst funktioniert die Verschlüsselung auch wieder nur im engen Bekanntenkreis. (in dem ich meinen "öffentlichen" Schlüssel nur nichtöffentlich rausgebe - wobei dann ein verseuchter Win8-Rechner ausreichen kann, damit es das auch wieder gewesen ist...)

      Das einzige was damit dann passiert ist dass die NSA nun nicht nur Frau Merkels Mails mitlesen kann, sondern dass sie ausserdem auch noch (relativ) sicher sein können, dass die Bauanleitung für Obamas Paketbombe von ihr gekommen ist. Und dass - im Fall deines ebay-Beispiels - jeder Rechner die SSL-Seite von ebay für den Login nutzen kann.

      Kann es sein, dass das eigentliche Problem der Privatsphäre mit einem öffentlichen Schlüssel, wie er zur weit verbreiteten verschlüsselten Kommunikation notwendig ist, nicht wirklich in den Griff zu kriegen ist?

      Klar, ich kann meine öffentlichen Schlüssel nichtöffentlich verbreiten, dann kommuniziere ich eben nur mit denen verschlüsselt, die den öffentlichen Key von mir bekommen haben. Aber so wirklich die Lösung ist das auch nicht, wenn ich jedem mit dem ich verschlüsselt kommunizieren will, erst mal unverschlüsselt den Schlüssel zum entschlüsseln übermitteln muss. Dann kann ich auch direkt auf andere Methoden ausweichen.
      Wenn Dir ein ebay-Mitarbeiter die Hand gibt und "Guten Tag" sagt, sind folgende drei
      Wahrheiten als self-evident zu erachten und als sicher gegeben anzusehen:

      1.) Zähle nicht nur deine Finger nach, sondern auch deine Hände. So Du welche hast auch die Füße.
      2.) Draussen ist es mitten in der Nacht und dunkel wie im Bärenarsch.
      3.) Der einzige Lichtschein dringt aus den Pforten der Hölle, die sich geöffnet haben weil die Welt untergeht.

    • Gut, aus dem Begriff "öffentlicher Schlüssel" ergibt sich schon, dass den jeder lesen kann, auch die NSA oder mein Nachbar.
      Da die NSA (oder mein Nachbar) aber meinen "privaten Schlüssel" nicht kennen, dieser nur bestimmten und vertrauenswürdigen Personen zur Verfügung gestellt wird, können die eben nix lesen. Die sehen nur eine verschlüsselte Mail und können sie ohne den zweiten Schlüssel (privater Schlüssel) nicht entschlüsseln....... wenn der Schlüssel gut ist oder nicht ein Zufallstreffer innerhalb der Rechenleistung die Wahrscheinlichkeit aufhebt.

    • @Löschbert:

      Daß Signieren mit dem privaten Schlüssel immer bedeutet, daß die Abstreitbarkeit der Nachrichtenherkunft verlorengeht, ist klar. Nachrichten, die dir nicht zugeordnet werden sollen, darfst du nicht signieren. Obwohl natürlich, wenn sie auch verschlüsselt sind, idealerweise deren Inhalt nicht dir zugeordnet werden kann, weil er ja nicht bekannt ist, in dem Punkt kann ich deine Ausführungen gerade nicht nachvollziehen. Natürlich kann am Kommunikationsendpunkt abgegriffen werden, also z.B., in dem man dem Empfänger die Tür eintritt und seinen Rechner mitnimmt (nebenbei bemerkt ein Grund, warum jeder ausschließlich vollverschlüsselte Systeme betreiben sollte).

      Wenn diese Gefahr real ist, nimmt man spezielle Protokolle wie das angesprochene OTR, die Abstreitbarkeit beinhalten. Da sind die Nachrichten nur innerhalb einer Sitzung signiert (=authentisch), am Sitzungsende werden aber vereinfacht gesagt die dafür verwendeten Einmalschlüssel veröffentlicht, so daß nachträglich aufgedeckte Kommunikation nicht mehr von bloß zusammengefälschter unterschieden werden kann.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von pandarul ()

    • pandarul schrieb:

      kann ich deine Ausführungen gerade nicht nachvollziehen

      Sorry, mein Denkfehler. Verschlüsselt wird vom Absender ja mit dem öffentlichen Schlüssel des Empfängers. Bin im Moment nicht wirklich fit.
      Wenn Dir ein ebay-Mitarbeiter die Hand gibt und "Guten Tag" sagt, sind folgende drei
      Wahrheiten als self-evident zu erachten und als sicher gegeben anzusehen:

      1.) Zähle nicht nur deine Finger nach, sondern auch deine Hände. So Du welche hast auch die Füße.
      2.) Draussen ist es mitten in der Nacht und dunkel wie im Bärenarsch.
      3.) Der einzige Lichtschein dringt aus den Pforten der Hölle, die sich geöffnet haben weil die Welt untergeht.

    • Was aber hat das mit SKYPE zu tun?

      Ich gehöre zu den 29,x% mit XP .... na und ?
      Ich habe auch noch 2 Vista-Lizenzen brach liegen, aber bevor ich die nutze, fließt die Donau in Richtung Baden-Württemberg.
      Windows 7 habe ich auf meinem Schleppi, aber eher notgedrungen. (Ohne Patch wäre XP wegen der SATA-HDD nicht installierbar gewesen ...)

      Solange es geht, wird auf den 4 Rechnern hier im Haushalt auch noch eine Weile weiter XP laufen.
      Abgesehen von den Kosten kann ich mir die Mühe, 4 Systeme ohne für mich zwingende Not neu aufzusetzen, echt verkneifen.
      Früher musste man den Müll im Wald vergraben. Heutzutage gibt's ja zum Glück ebay.
      Früher musste man sein Geld selbst verbrennen. Heutzutage gibt's ja zum Glück PayPal.

    • Na gut, die beiden letzten Postings zeugen natürlich von Unwissen UND Ignoranz, aber wenigstens habt ihr die Aufforderung befolgt, euch zu outen, dann weiß wenigstens jeder, daß er den computertechnischen Kontakt zu euch besser abbricht, wenn ihm seine Bankkonten/Online-Identitäten/Nacktbilder/beruflichen Dateien/[hier einsetzen] irgendwie wichtig sind.

      Um auch etwas konstruktives zu sagen; aufgrund der ähnlichen Architekturen sind viele Lücken versionsübergreifend vorhanden. An jedem Patchday, an dem eine neue Lücke für Windows 7 oder 8 gefixt wird, besteht die Gefahr, daß das identische (und eben veröffentlichte) Problem in XP existiert. Selbst wenn nicht am 09.04. sofort 0-days für XP auf dem Markt sind, ist es nur eine Frage von wenigen Monaten, bis alle XP-Rechner als offen zu betrachten sind.

      Gut, gegen Sturheit gibt es kein Gesetz, insofern wird euch natürlich niemand zwingen können, eure Rechner sicher zu betreiben. Freies Land und so.

      Aber die Aussage, für XP würden keine oder weniger "Viren" geschrieben, ist so dermaßen dämlich, daß sie wehtut.

    • Und ab 01.01.2000 sollten 99% der Computer-Systeme nicht mehr funktionieren ...

      @pandarul: Unabhängig der Tatsache, dass wir beiden uns persönlich kennen, haben wir keinen abbrechbaren "computertechnischen Kontakt". Und meine anderen Bekannten, mit denen ich Mailkontakt habe, werden diese Entscheidung ggf. selbst treffen.

      Na gut, die beiden letzten Postings zeugen natürlich von Unwissen UND Ignoranz, ...


      Und wovon zeugt Dein Posting? Denk mal selbst darüber nach ...
      Früher musste man den Müll im Wald vergraben. Heutzutage gibt's ja zum Glück ebay.
      Früher musste man sein Geld selbst verbrennen. Heutzutage gibt's ja zum Glück PayPal.