Diskussionsforum
  • 28.07.2019 19:46
    machtdochnichts schreibt

    Das reicht nicht

    > Wir brauchen Ende-zu-Ende-Verschlüsselung für alles!

    Im Prinzip stimmt das, aber wann ist Ende-zu-Ende auch wirklich Ende-zu-Ende?

    > Messenger wie WhatsApp oder Line.Me verwenden bereits heute für Text­nach­richten, Sprach- und Video­anrufe die sichere Ende-zu-Ende-Verschlüs­selung, sind also nicht mehr abhörbar.

    Das sagt man, ja.
    Aber stimmt das auch?
    Kann wirklich niemand mitlesen/mithören?
    Wer weiß das schon!?

    Hat nicht doch jemand einen Zweitschlüssel?

    Wir brauchen zuerst mehr quelloffene Software!
    Erst wenn der Quellcode offen liegt, kann man sicher sein, dass Ende-zu-Ende verschlüsselt ist! Nur dann!

    Eine "Verschlüsselungssoftware" deren Verschlüsselungsmethode nicht lückenlos offen überprüfbar ist, ist für die Sicherheit nichts wert.

    Haben die genannten WhatsApp und Line.me wirklich keine geheimen Nachschlüssel für Geheimdienste, Präsidenten und sonstige Übermächtigen?
  • 28.07.2019 20:23
    Felixkruemel antwortet auf machtdochnichts
    WhatsApp in dem Sinne macht höchstwahrscheinlich nicht wirklich eine E2E Verschlüsselung, da die Nachrichten ja auf einem Server von Facebook gespeichert werden um sie später weiterzuvermitteln bzw. im Falle eines Backups wiederherzustellen.

    Gerade, da bei einem Backup das Gerät höchstwahrscheinlich gewechselt wurde müsste der Facebook Server dem neuen Gerät den Key mitteilen und somit könnte Facebook alle Nachrichten mitlesen. Zumindest kann ich mir keine andere Lösung dafür vorstellen.


    Telegram im Gegezug bietet bei den sogenannten privaten Chats richtige E2E Verschlüsselung ohne Serverspeicherung. Hat den Nachteil, dass Nachrichten nur dann ankommen, wenn Sender und Empfänger gleichzeitig online sind und die Chats auch nur auf einem Gerät sichtbar sind und natürlich im Falle einer Neuinstallation komplett weg sind.
  • 28.07.2019 21:38
    DcPS antwortet auf Felixkruemel
    Benutzer Felixkruemel schrieb:

    > Gerade, da bei einem Backup das Gerät höchstwahrscheinlich
    >
    gewechselt wurde müsste der Facebook Server dem neuen Gerät den
    >
    Key mitteilen und somit könnte Facebook alle Nachrichten
    >
    mitlesen. Zumindest kann ich mir keine andere Lösung dafür
    >
    vorstellen.

    Backups sind unverschlüsselt. Wer diese Funktion nutzt, liefert sich selbst aus.
  • 28.07.2019 22:57
    Felixkruemel antwortet auf DcPS
    Benutzer DcPS schrieb:
    > Benutzer Felixkruemel schrieb:
    >
    >
    > Backups sind unverschlüsselt. Wer diese Funktion nutzt, liefert
    >
    sich selbst aus.
    Mindestens 95% der WhatsApp Nutzer nutzen diese standardmäßig aktivierte Funktion.
    Und selbst wenn sie es nicht täten, woher weißt du ob Facebook die Daten trotzdem nicht speichert? Die private Keys werden sie höchstwahrscheinlich eh haben.
  • 28.07.2019 23:38
    DcPS antwortet auf Felixkruemel
    Benutzer Felixkruemel schrieb:
    > Mindestens 95% der WhatsApp Nutzer nutzen diese standardmäßig
    >
    aktivierte Funktion.
    > Und selbst wenn sie es nicht täten, woher weißt du ob Facebook
    >
    die Daten trotzdem nicht speichert? Die private Keys werden sie
    >
    höchstwahrscheinlich eh haben.

    Whatsapp wird auf ein RSA-Verfahren zugreifen, a'la open pgp. Einbinden, public key an Teilnehmer hängen, fertig. Das Ver- und entschlüsseln macht die app. Bleibt zu hoffen, das genug Entropie im Schlüssel ist, um die nich recovern zu können. Das liegt aber auf dem Server, wäre reassemblierbar. Ansonsten ist whatsapp eine primitive Server-Lösung für Vermittlungssoftware. Backup ist ausgelagert, deine Daten auch. Google-Transfer, vielleicht sogar mit public key und private key (die nicht gebraucht werden).
    Es ginge auch anders, aber da ist google gefragt.
    Wenn 95% der Anwender das tun - dann haben sie sicher nicht den Hinweis von whatsapp gelesen oder sind zu bequem. Das ganze whatsapp-Verzeichnis ließe sich auch mit zip komprimieren und verschlüsseln.
    Willst du mehr Sicherheit, dann laß die Finger von whatsapp.
    Verschicke Mails, die du im mailvelope, und du hast Sicherheit ab deren Editor/Viewer.
    Threema für Nachrichten wie bei whatsapp. Backups sind dort lokal.
    Sicher sein im paranoid-state kannst du nur sein, wenn du deine selbstgeschriebene Software verstehst, auf Seitenangriffe achtest oder ungwöhnliche Methoden zur Verschlüsselung anwendest (Basis keybooks, festes unäres code/decode-Programm).
    Dann brauchst du beide Bestandteile zum Lesen, und wenn beide manuell übergeben werden, ist alles gut. Steganografie sagt dir was? Hab vor 20 Jahren mal so was gemacht, zum Spaß. War wahnsinnig schnell, nur brauchte jeder Weg ein eigenes keybook.Hab aber auch dafür eine Lösung gefunden, die gut zufällige Bücher erzeugte.
    Letztlich bleibt die Frage: Wozu? Wer dich überwachen will, schaut, was du schreibst, was du sagst, was du berührst. Damit ist es an sich komplizierter, verschlüsselt zu kommunizieren. Bleibt das offene Gespräch, das im Hirn des Gegenüber Assoziationen auslöst, die auf nur den beiden bekannten Erfahrungen beruhen. Da ist der Aufwand zu groß, das nachvollziehen zu können.
    Wünsche einen schönen Abend!
  • 02.08.2019 13:28
    Peter-1024 antwortet auf DcPS
    Hat von Euch schon mal Jemand darüber nachgedacht, warum die Google- und iPhone-Tastaturen dazu lernen?

    Sobald diese Lerndaten zentral ausgewertet werden, kann man die ganze Message schon vor der Verschlüsselung abgreifen!

    Und die Datenkraken werden schon alleine zum Trainieren ihrer KI-Software die Eingaben zentral auswerten. Bei Alexa (von Amazon) ist das ja inzwischen aufgefallen. Da waren dann auch Privatgespräche im Raum aufgezeichnet worden.
    Natürlich alles Einzelfälle und nur aus Versehen. Ein Schelm, der Schlimmes dabei denkt...!

    Leider nutzen die Meisten inzwischen WhatsApp, Chrome Browser, Google Suchmaschine, Instagram, falls noch E-Mail, dann ausgerechnet Gmail und zusätzlich Google Maps + GPS sogar durchgehend.

    Und wenn mit Hilfe von u.a. Cambridge Analytica dann solche gefährlichen V...osten, wie Trump die USA regieren, UK aus der EU aussteigt, überall radikale Populisten aus dem Boden schießen, dann wundern sie sich - meinen aber "nichts zu verbergen" zu haben...

    Nebenbei: Wer CyanogenMod bzw. jetzt LineageOS nutzt, dem dürfte aufgefallen sein, dass alle 15 Minuten eine Message über erfolgte Veränderungen auf dem Androiden an Google raus geht. Mit CyanogenMod/LineageOS lässt sich das, wie mit einer Firewall verhindern. Vom Androiden Rest der Welt hat Google ein gespiegeltes Smartphone auf seinen Servern! Was Apple, Microsoft oder Huawei anders machen - ich weiß es nicht...!?!!!


    Benutzer DcPS schrieb:
    > Benutzer Felixkruemel schrieb:
    > > Mindestens 95% der WhatsApp Nutzer nutzen diese standardmäßig
    > >
    aktivierte Funktion.
    > > Und selbst wenn sie es nicht täten, woher weißt du ob Facebook
    > >
    die Daten trotzdem nicht speichert? Die private Keys werden sie
    > >
    höchstwahrscheinlich eh haben.
    >
    > Whatsapp wird auf ein RSA-Verfahren zugreifen, a'la open pgp.
    >
    Einbinden, public key an Teilnehmer hängen, fertig. Das Ver-
    >
    und entschlüsseln macht die app. Bleibt zu hoffen, das genug
    >
    Entropie im Schlüssel ist, um die nich recovern zu können. Das
    >
    liegt aber auf dem Server, wäre reassemblierbar. Ansonsten ist
    >
    whatsapp eine primitive Server-Lösung für Vermittlungssoftware.
    >
    Backup ist ausgelagert, deine Daten auch. Google-Transfer,
    >
    vielleicht sogar mit public key und private key (die nicht
    >
    gebraucht werden).
    > Es ginge auch anders, aber da ist google gefragt.
    >
    Wenn 95% der Anwender das tun - dann haben sie sicher nicht den
    >
    Hinweis von whatsapp gelesen oder sind zu bequem. Das ganze
    >
    whatsapp-Verzeichnis ließe sich auch mit zip komprimieren und
    >
    verschlüsseln.
    > Willst du mehr Sicherheit, dann laß die Finger von whatsapp.
    >
    Verschicke Mails, die du im mailvelope, und du hast Sicherheit
    >
    ab deren Editor/Viewer.
    > Threema für Nachrichten wie bei whatsapp. Backups sind dort
    >
    lokal.
    > Sicher sein im paranoid-state kannst du nur sein, wenn du deine
    >
    selbstgeschriebene Software verstehst, auf Seitenangriffe
    >
    achtest oder ungwöhnliche Methoden zur Verschlüsselung
    >
    anwendest (Basis keybooks, festes unäres code/decode-Programm).
    >
    Dann brauchst du beide Bestandteile zum Lesen, und wenn beide
    >
    manuell übergeben werden, ist alles gut. Steganografie sagt dir
    >
    was? Hab vor 20 Jahren mal so was gemacht, zum Spaß. War
    >
    wahnsinnig schnell, nur brauchte jeder Weg ein eigenes
    >
    keybook.Hab aber auch dafür eine Lösung gefunden, die gut
    >
    zufällige Bücher erzeugte.
    > Letztlich bleibt die Frage: Wozu? Wer dich überwachen will,
    >
    schaut, was du schreibst, was du sagst, was du berührst. Damit
    >
    ist es an sich komplizierter, verschlüsselt zu kommunizieren.
    >
    Bleibt das offene Gespräch, das im Hirn des Gegenüber
    >
    Assoziationen auslöst, die auf nur den beiden bekannten
    >
    Erfahrungen beruhen. Da ist der Aufwand zu groß, das
    >
    nachvollziehen zu können.
    > Wünsche einen schönen Abend!
  • 28.07.2019 22:06
    carljiri antwortet auf Felixkruemel
    Benutzer Felixkruemel schrieb:
    > WhatsApp in dem Sinne macht höchstwahrscheinlich nicht wirklich
    >
    eine E2E Verschlüsselung, da die Nachrichten ja auf einem
    >
    Server von Facebook gespeichert werden um sie später
    >
    weiterzuvermitteln bzw. im Falle eines Backups
    >
    wiederherzustellen.
    >
    > Gerade, da bei einem Backup das Gerät höchstwahrscheinlich
    >
    gewechselt wurde müsste der Facebook Server dem neuen Gerät den
    >
    Key mitteilen und somit könnte Facebook alle Nachrichten
    >
    mitlesen. Zumindest kann ich mir keine andere Lösung dafür
    >
    vorstellen.

    Das ist exakt meine Sichtweise. Threema bietet hier weitaus mehr, auch iMessages von Apple ist mehr als nur die Worthülse E2E. Ich bin der festen überzeugung, Facebook kennt und nutzt den Schklüssel. Privatsphäre und Facebook dienste haben einfach nichts gemeinsam.
  • 28.07.2019 22:59
    Felixkruemel antwortet auf carljiri
    Stimmt.

    E2E Verschlüsselung hört sich gut an für den Laien, aber bei falscher Umsetzung hilft sie rein gar nichts, denn der Anbieter kann weiterhin alle Nachrichten lesen und die Daten verkaufen (das steht übrigens so in der Art in den AGB von WhatsApp).

    Wer WhatsApp benutzt ist selber schuld.
  • 29.07.2019 16:12
    H.ATE antwortet auf Felixkruemel
    Benutzer Felixkruemel schrieb:
    > Stimmt.
    >
    > E2E Verschlüsselung hört sich gut an für den Laien, aber bei
    >
    falscher Umsetzung hilft sie rein gar nichts, denn der Anbieter
    >
    kann weiterhin alle Nachrichten lesen und die Daten verkaufen
    >
    (das steht übrigens so in der Art in den AGB von WhatsApp).
    >
    > Wer WhatsApp benutzt ist selber schuld.

    Weißt Du wie es im Detail bei Threema aussieht?

  • 29.07.2019 18:52
    einmal geändert am 29.07.2019 18:54
    Felixkruemel antwortet auf H.ATE
    Benutzer H.ATE schrieb:
    > Benutzer Felixkruemel schrieb:
    > > Stimmt.
    > >
    > > E2E Verschlüsselung hört sich gut an für den Laien, aber bei
    > >
    falscher Umsetzung hilft sie rein gar nichts, denn der Anbieter
    > >
    kann weiterhin alle Nachrichten lesen und die Daten verkaufen
    > >
    (das steht übrigens so in der Art in den AGB von WhatsApp).
    > >
    > > Wer WhatsApp benutzt ist selber schuld.
    >
    > Weißt Du wie es im Detail bei Threema aussieht?
    >
    Auf den ersten Blick (kann mich hier auch täuschen) nein, da auch Threema nur semi-open-source ist. Zwar ist die Verschlüsselungsbibliothek Open-Source (und es gibt eine API) aber was genau damit gemacht wird eher nicht.

    Bei Telegram kannst du dir aber hingegen selber ein Blick verschaffen, dass ist komplett Open-Source.
    https://github.com/DrKLO/Telegram

    Generell sehe ich nicht-open-source Messenger immer in der Hinsicht als problematisch. Threema aber kann ja durchaus das machen was versprochen wird, zumindest sind die Backups dort sicher.
  • 30.07.2019 10:01
    diddi88 antwortet auf Felixkruemel
    > Bei Telegram kannst du dir aber hingegen selber ein Blick
    >
    verschaffen, dass ist komplett Open-Source.
    > https://github.com/DrKLO/Telegram

    Genau deshalb bekommt deren App kaum Aufmerksamkeit in der deutschen Presse bzw. grösstenteils negative. Zeitungen und Blogs bewerben WA, Threema und ähnliche Messenger, wo man als Nutzer nicht prüfen kann, wie sicher die Verschlüsselung ist. Ein Schelm, wer böses dabei denkt :-)
  • 02.08.2019 13:00
    Peter-1024 antwortet auf diddi88
    Sieh Dir mal "Signal" an!
    von Edwards Snowden empfohlen und bei Wikipedia gut beschrieben - incl. Kritik.
    Dann mit Telegram, Threema, u.a., meinetwegen WhatsApp vergleichen
    und wieder die Wikipedia Beiträge, speziell die Kritikpunkte lesen.
    Zum Schluss die Besten vergleichen.
    Dann - wenn man will (und soweit man kann) - die Kritikpunkte (pro + contra) überprüfen.

    Signal scheint mir noch der sicherste Messenger zu sein.



    Benutzer diddi88 schrieb:
    > > Bei Telegram kannst du dir aber hingegen selber ein Blick
    > >
    verschaffen, dass ist komplett Open-Source.
    > > https://github.com/DrKLO/Telegram
    >
    > Genau deshalb bekommt deren App kaum Aufmerksamkeit in der
    >
    deutschen Presse bzw. grösstenteils negative. Zeitungen und
    >
    Blogs bewerben WA, Threema und ähnliche Messenger, wo man als
    >
    Nutzer nicht prüfen kann, wie sicher die Verschlüsselung ist.
    > Ein Schelm, wer böses dabei denkt :-)
  • 29.07.2019 16:09
    Kai Petzke antwortet auf Felixkruemel
    Benutzer Felixkruemel schrieb:
    > WhatsApp in dem Sinne macht höchstwahrscheinlich nicht wirklich
    >
    eine E2E Verschlüsselung, da die Nachrichten ja auf einem
    >
    Server von Facebook gespeichert werden um sie später
    >
    weiterzuvermitteln

    Die WhatsApp-Server zur Zwischenspeicherung können verschlüsselte Nachrichten weiterleiten. Sie widersprechen also nicht der Ende-zu-Ende-Sicherheit.

    > bzw. im Falle eines Backups wiederherzustellen.

    Hier ist in der Tat ein wunder Punkt, dass WhatsApp standardmäßig ein Backup in die Cloud schreibt. Wie hoch deren Sicherheit ist, hängt von Google ab. Zu fürchten ist aber hier, dass die NSA ziemlich unbegrenzt Zugriff hat.

    > Gerade, da bei einem Backup das Gerät höchstwahrscheinlich
    >
    gewechselt wurde müsste der Facebook Server dem neuen Gerät den
    >
    Key mitteilen und somit könnte Facebook alle Nachrichten
    >
    mitlesen. Zumindest kann ich mir keine andere Lösung dafür
    >
    vorstellen.

    Sichere Cloud-Backups sind grundsätzlich möglich. Sie hängen aber davon ab, dass sich der User ein sicheres Passwort merken kann. Vergisst er das Passwort, ist das Cloud-Backup dann aber nutzlos...
  • 29.07.2019 18:56
    Felixkruemel antwortet auf Kai Petzke

    >
    > Sichere Cloud-Backups sind grundsätzlich möglich. Sie hängen
    >
    aber davon ab, dass sich der User ein sicheres Passwort merken
    >
    kann. Vergisst er das Passwort, ist das Cloud-Backup dann aber
    >
    nutzlos...

    Meinst du damit jetzt, dass man direkt die Dateien lokal verschlüsselt und dann diese in die Cloud hochlädt? Denn ohne dem liegen sie ja auch bloß (vermutlich) unverschlüsselt auf dem Server des Providers (hier Google), der ja drauf zugreifen können müsste (schließlich kann man auch die Passwort vergessen Funktion benutzen, sodass Google ja das Passwort ändern kann und es somit auch weiß).