PGP verschlüsselt eMails ja auch nur teilweise.

So wird der Inhalt der Betreffzeile grundsätzlich unverschlüsselt übertragen, statt dass das Protokoll vorsieht den Betreff ebenfalls verschlüsselt im Body mit zu übertragen und beim Empfänger wieder "auszupacken".

Technisch wäre das im Prinzip kein Problem, hat aber wohl seinen Grund, dass hier nichts passiert. So kann der Geheimdienst wenigstens die Eckpunkte der Kommunikation mitlesen. "Betreff: Heute wieder Treffen bei Ali" reicht ja schon aus.

Darauf könnte sich auch die positive Antwort auf das "zumindest teilweise zu entschlüsseln und/oder auszuwerten?" beziehen.

Benutzer wird von Ihnen ignoriert. Anzeigen

Ob eine Software wirklich unterscheiden kann zwischen zur Übertragung relevanten Headern und welchen die verschlüsselt werden können halte ich für fragwürdig.

Benutzer wird von Ihnen ignoriert. Anzeigen

wer verschlüsselt, und dann solche betreffs mitschickt, ist einfach nicht ganz dicht und verdient es wohl auch ausgeschnüffelt zu werden...

Benutzer wird von Ihnen ignoriert. Anzeigen

bugmenot schrieb:
--------------------------------------------------------------------------------
> Ob eine Software wirklich unterscheiden kann zwischen zur Übertragung
> relevanten Headern und welchen die verschlüsselt werden können halte ich
> für fragwürdig.

Die Software müsste da gar nichts unterscheiden. Statt dem echten Betreff kommt ein Platzhalter-Text (wie "PGP - no subject") rein und der echte Betreff wird im Body mittransportiert und ersetzt beim Empfänger dann wieder den Dummy-Text.


Rulf schrieb:
--------------------------------------------------------------------------------
> wer verschlüsselt, und dann solche betreffs mitschickt, ist einfach nicht
> ganz dicht und verdient es wohl auch ausgeschnüffelt zu werden...

Wie sicherst du denn deine Betreffs in PGP-Mails ab? Geheime Codewörter wie im Mittelalter? Oder besteht dein gesamter Posteingang gleich direkt aus tausenden Mails "no subject"...?

Außerdem ist vielen zur Freude der Geheimdienste diese Schwachstelle gar nicht bewusst. Die denken: PGP installiert und schon wird der gesamte Text samt Betreff verschlüsselt übertragen. Glaubst du irgendein Büro-Mensch weiß das, wenn der Admin sagt "PGP verschlüsselt die Mails"?

Schon seltsam das Ganze, wenn man sieht was ansonsten für ein technischer Aufwand betrieben wird, wenn es um das Thema verschlüsselte Kommunikation geht...



2 mal bearbeitet, zuletzt am 24.05.12 13:53 durch BarryO.

Benutzer wird von Ihnen ignoriert. Anzeigen

BarryO schrieb:

> Die Software müsste da gar nichts unterscheiden. Statt dem echten Betreff
> kommt ein Platzhalter-Text (wie "PGP - no subject") rein und der echte
> Betreff wird im Body mittransportiert und ersetzt beim Empfänger dann
> wieder den Dummy-Text.

Das setzt vorraus, dass der Subject-Header immer der einziger Header ist, der relevante Informationen enthält. Die Software kann aber nicht wissen, ob nicht ein anderer Header eventuell auch noch den Betreff enthält, wofür auch immer.

Benutzer wird von Ihnen ignoriert. Anzeigen

BarryO schrieb:
> Rulf schrieb:
> > wer verschlüsselt, und dann solche betreffs mitschickt, ist einfach
> > nicht ganz dicht und verdient es wohl auch ausgeschnüffelt zu werden...

> Wie sicherst du denn deine Betreffs in PGP-Mails ab? Geheime Codewörter wie
> im Mittelalter? Oder besteht dein gesamter Posteingang gleich direkt aus
> tausenden Mails "no subject"...?

Ich tippe mal, er verschlüsselt den Betreff gar nicht, schreibt dort aber auch keinen relevanten ("verdächtigen") Text rein.
Also statt "Betreff: Heute konspiratives Treffen 20h in der Mosschee Ali am Berge"
eher "Betreff: Heute 20h Bowlen im Clubhaus?"

Aber das ist nur meine Vermutung...

--
Für Computerforen: Ich nutze RISC OS - und wünsch' es bleibt auch so.
Für Mob.-Tel.-Foren: Ich nutze Android - und wünscht' es wäre webOS.

Benutzer wird von Ihnen ignoriert. Anzeigen

forenuser schrieb:
--------------------------------------------------------------------------------
> Also statt "Betreff: Heute konspiratives Treffen 20h in der Mosschee Ali am
> Berge"
> eher "Betreff: Heute 20h Bowlen im Clubhaus?"

Verdammt, unser Clubhaus hat keine Bowlingbahn... Das würde zu viel Aufmerksamkeit auf uns ziehen... :)

Benutzer wird von Ihnen ignoriert. Anzeigen

BarryO schrieb:
--------------------------------------------------------------------------------
> Wie sicherst du denn deine Betreffs in PGP-Mails ab? Geheime Codewörter wie
> im Mittelalter? Oder besteht dein gesamter Posteingang gleich direkt aus
> tausenden Mails "no subject"...?

da steht immer was vollkommen unverfängliches...ohne betreff landet nämlich schon aus prinzip im spamordner...

Benutzer wird von Ihnen ignoriert. Anzeigen

bugmenot schrieb:
--------------------------------------------------------------------------------
> BarryO schrieb:
>
> > Die Software müsste da gar nichts unterscheiden. Statt dem echten Betreff
> > kommt ein Platzhalter-Text (wie "PGP - no subject") rein und der echte
> > Betreff wird im Body mittransportiert und ersetzt beim Empfänger dann
> > wieder den Dummy-Text.
>
> Das setzt vorraus, dass der Subject-Header immer der einziger Header ist,
> der relevante Informationen enthält. Die Software kann aber nicht wissen,
> ob nicht ein anderer Header eventuell auch noch den Betreff enthält, wofür
> auch immer.

Nein, setzt es nicht. Wenn spezifiziert ist, dass der echte Betreff sowieso immer verschlüsselt im Body mit drin steckt ist es völlig egal was im Header steht.

> Ich tippe mal, er verschlüsselt den Betreff gar nicht, schreibt dort aber
> auch keinen relevanten ("verdächtigen") Text rein.
> Also statt "Betreff: Heute konspiratives Treffen 20h in der Mosschee Ali am
> Berge"
> eher "Betreff: Heute 20h Bowlen im Clubhaus?"
>

Genau... aber dann drüber philosophieren ob man den Rest lieber mit 2048 bit oder doch nicht besser mit 4096 bit RSA sichert.

Benutzer wird von Ihnen ignoriert. Anzeigen

wenn schon mit bezug, dann steht dort nur: es geht los

Benutzer wird von Ihnen ignoriert. Anzeigen

Rulf schrieb:
--------------------------------------------------------------------------------
> BarryO schrieb:
> ---------------------------------------------------------------------------
> > Wie sicherst du denn deine Betreffs in PGP-Mails ab? Geheime Codewörter wie
> > im Mittelalter? Oder besteht dein gesamter Posteingang gleich direkt aus
> > tausenden Mails "no subject"...?
>
> da steht immer was vollkommen unverfängliches...ohne betreff landet nämlich
> schon aus prinzip im spamordner...

Dann hast du ein Problem. Entweder nimmst du gar keinen Betreff oder im Betreff steckt dann doch irgendeine Information drin. Und wenn du da so Spielchen treibst à la "Mosschee" durch "Clubhaus" ersetzen, wie es hier "vorgeschlagen" wurde, brauchst du mit echter Kryptographie gar nicht erst anzufangen...

Benutzer wird von Ihnen ignoriert. Anzeigen

BarryO schrieb:
--------------------------------------------------------------------------------
> So wird der Inhalt der Betreffzeile grundsätzlich unverschlüsselt
> übertragen, statt dass das Protokoll vorsieht den Betreff ebenfalls
> verschlüsselt im Body mit zu übertragen und beim Empfänger wieder
> "auszupacken".
>
Welches Protokoll?
> Technisch wäre das im Prinzip kein Problem, hat aber wohl seinen Grund,
> dass hier nichts passiert. So kann der Geheimdienst wenigstens die
> Eckpunkte der Kommunikation mitlesen. "Betreff: Heute wieder Treffen bei
> Ali" reicht ja schon aus.
>
Aluhut gefällig?
> Darauf könnte sich auch die positive Antwort auf das "zumindest teilweise
> zu entschlüsseln und/oder auszuwerten?" beziehen.
Interessant, wenn ich mich damit beschäftige meine E-Mails zu verschlüsseln, werde ich in den einzig unverschlüsselten bereich, der mir nur wenig platz bietet alle Mühe geben jegliches relevante Datum zu feuern.

Deine "Codewörter aus dem Mittelalter", sind auch ein beeindruckendes Zeichen von Unverstand. Codewörter machen nach wie vor Sinn & werden eingesetzt, je relevanter etwas wird, das es selbst wenn jemand aus welchem Grund auch immer Alice oder Bobs PrivK hat, nicht ohne (erheblichen) Aufwand möglich ist E-Mails zu lesen. Codebücher lassen sich ja für einen bestimmten Zweck relativ einfach herstellen und die Algorithmen hierfür schnell und unkompliziert wechseln, zumindest solang die Zahl der Empfänger klein ist.

Ist die Zahl der Empfänger groß ist der Inhalt deiner Mail sowieso als öffentlich zu betrachten.

Nicht zuletzt lassen sich durch, nicht nur verschlüsselte sondern auch codierte Nachrichten Honeypots anbieten, um die Sicherheit der Kommunikation zu prüfen. Hier im Klartext vorzugehen wäre ein interessanter Beweis von Dummheit. "Hi, liest hier jemand mit?" ;)

Von daher: Viel Lärm um nichts.

Benutzer wird von Ihnen ignoriert. Anzeigen

Man könnte sicher auch "Samstag im englischen Garten Grillen" oder "Sonntag an der Alster flanieren" oder "Du darfst gratulieren, ich hab' die Prüfung bestanden" oder [...] in die Betreffzeile tippen.

Ich bin mir ziemlich sicher, dass die betreffende Kreise für die Betreffzeile irgendetwas finden, das zwar inhaltlich unverdächtig-sinnvolles, aber keinen Zusammenhang zum Emailinhalt hat...

--
Für Computerforen: Ich nutze RISC OS - und wünsch' es bleibt auch so.
Für Mob.-Tel.-Foren: Ich nutze Android - und wünscht' es wäre webOS.

Benutzer wird von Ihnen ignoriert. Anzeigen

Man könnte doch gleich die Passphrase im Betreff mitschicken. So kann man immer sicher mit allen kommunizieren und spart sich das lästige Austauschen von Public Keys.

BarryO schrieb:
--------------------------------------------------------------------------------
> bugmenot schrieb:
> ---------------------------------------------------------------------------
> -----
> > Ob eine Software wirklich unterscheiden kann zwischen zur Übertragung
> > relevanten Headern und welchen die verschlüsselt werden können halte ich
> > für fragwürdig.
>
> Die Software müsste da gar nichts unterscheiden. Statt dem echten Betreff
> kommt ein Platzhalter-Text (wie "PGP - no subject") rein und der echte
> Betreff wird im Body mittransportiert und ersetzt beim Empfänger dann
> wieder den Dummy-Text.
>
> Rulf schrieb:
> ---------------------------------------------------------------------------
> -----
> > wer verschlüsselt, und dann solche betreffs mitschickt, ist einfach
> nicht
> > ganz dicht und verdient es wohl auch ausgeschnüffelt zu werden...
>
> Wie sicherst du denn deine Betreffs in PGP-Mails ab? Geheime Codewörter wie
> im Mittelalter? Oder besteht dein gesamter Posteingang gleich direkt aus
> tausenden Mails "no subject"...?
>
> Außerdem ist vielen zur Freude der Geheimdienste diese Schwachstelle gar
> nicht bewusst. Die denken: PGP installiert und schon wird der gesamte Text
> samt Betreff verschlüsselt übertragen. Glaubst du irgendein Büro-Mensch
> weiß das, wenn der Admin sagt "PGP verschlüsselt die Mails"?
>
> Schon seltsam das Ganze, wenn man sieht was ansonsten für ein technischer
> Aufwand betrieben wird, wenn es um das Thema verschlüsselte Kommunikation
> geht...

Benutzer wird von Ihnen ignoriert. Anzeigen

klischeepunk schrieb:
--------------------------------------------------------------------------------
> BarryO schrieb:
> ---------------------------------------------------------------------------
> > So wird der Inhalt der Betreffzeile grundsätzlich unverschlüsselt
> > übertragen, statt dass das Protokoll vorsieht den Betreff ebenfalls
> > verschlüsselt im Body mit zu übertragen und beim Empfänger wieder
> > "auszupacken".
> >
> Welches Protokoll?

Das Protokoll, dass die PGP Corporation eigentlich zur Lösung dieser Lücke längst hätte erarbeiten müssen.

> > Technisch wäre das im Prinzip kein Problem, hat aber wohl seinen Grund,
> > dass hier nichts passiert. So kann der Geheimdienst wenigstens die
> > Eckpunkte der Kommunikation mitlesen. "Betreff: Heute wieder Treffen bei
> > Ali" reicht ja schon aus.
> >
> Aluhut gefällig?

Fisch gefällig?

> > Darauf könnte sich auch die positive Antwort auf das "zumindest teilweise
> > zu entschlüsseln und/oder auszuwerten?" beziehen.
> Interessant, wenn ich mich damit beschäftige meine E-Mails zu
> verschlüsseln, werde ich in den einzig unverschlüsselten bereich, der mir
> nur wenig platz bietet alle Mühe geben jegliches relevante Datum zu feuern.
>

Das wissen erstens viele überhaupt nicht und zweitens wäre es wie gesagt technisch kein Problem diese Lücke zu schließen. Will man aber anscheinend vorsätzlich nicht.

>
> Ist die Zahl der Empfänger groß ist der Inhalt deiner Mail sowieso als
> öffentlich zu betrachten.
>

Aha, also am besten gar nicht verschlüsseln, weil es sowieso sinnlos ist??

> Nicht zuletzt lassen sich durch, nicht nur verschlüsselte sondern auch
> codierte Nachrichten Honeypots anbieten, um die Sicherheit der
> Kommunikation zu prüfen. Hier im Klartext vorzugehen wäre ein interessanter
> Beweis von Dummheit. "Hi, liest hier jemand mit?" ;)
>

Aha, jetzt also gleich mit Absicht nicht verschlüsseln, um "den Behörden eine Falle zu stellen". Wird ja immer lustiger...

Benutzer wird von Ihnen ignoriert. Anzeigen

> Nein, setzt es nicht. Wenn spezifiziert ist, dass der echte Betreff sowieso
> immer verschlüsselt im Body mit drin steckt ist es völlig egal was im
> Header steht.


Wo soll das denn spezifiziert sein? Eine PGP-Software insbesondere als Gateway-Lösung nimmt die Mails von anderen Systemen entgegen. Wenn diese normale Emails senden, müsstest du ja schon dort die Spezifikation ändern. Das kann aber PGP nicht leisten und muss auch dafür nicht geändert werden.

Benutzer wird von Ihnen ignoriert. Anzeigen

BarryO schrieb:
--------------------------------------------------------------------------------
> klischeepunk schrieb:
> ---------------------------------------------------------------------------
> -----
> > BarryO schrieb:
> >
> ---------------------------------------------------------------------------
>
> > > So wird der Inhalt der Betreffzeile grundsätzlich unverschlüsselt
> > > übertragen, statt dass das Protokoll vorsieht den Betreff ebenfalls
> > > verschlüsselt im Body mit zu übertragen und beim Empfänger wieder
> > > "auszupacken".
> > >
> > Welches Protokoll?
>
> Das Protokoll, dass die PGP Corporation eigentlich zur Lösung dieser Lücke
> längst hätte erarbeiten müssen.
Ähm? Nicht Aufgabe derer? Mail Austausch ist in diversen RFCs völlig klar geregelt? O.O
>
> > > Technisch wäre das im Prinzip kein Problem, hat aber wohl seinen
> Grund,
> > > dass hier nichts passiert. So kann der Geheimdienst wenigstens die
> > > Eckpunkte der Kommunikation mitlesen. "Betreff: Heute wieder Treffen
> bei
> > > Ali" reicht ja schon aus.
> > >
> > Aluhut gefällig?
>
> Fisch gefällig?
>
> > > Darauf könnte sich auch die positive Antwort auf das "zumindest
> teilweise
> > > zu entschlüsseln und/oder auszuwerten?" beziehen.
> > Interessant, wenn ich mich damit beschäftige meine E-Mails zu
> > verschlüsseln, werde ich in den einzig unverschlüsselten bereich, der
> mir
> > nur wenig platz bietet alle Mühe geben jegliches relevante Datum zu
> feuern.
> >
>
> Das wissen erstens viele überhaupt nicht und zweitens wäre es wie gesagt
> technisch kein Problem diese Lücke zu schließen. Will man aber anscheinend
> vorsätzlich nicht.
>
Doch. Standards nennt man sowas. Finger weg davon.
> >
> > Ist die Zahl der Empfänger groß ist der Inhalt deiner Mail sowieso als
> > öffentlich zu betrachten.
> >
>
> Aha, also am besten gar nicht verschlüsseln, weil es sowieso sinnlos ist??
>
Genau das war die Aussage. Am besten auch nicht in Foren schreiben. Ist ganz wichtig.
> > Nicht zuletzt lassen sich durch, nicht nur verschlüsselte sondern auch
> > codierte Nachrichten Honeypots anbieten, um die Sicherheit der
> > Kommunikation zu prüfen. Hier im Klartext vorzugehen wäre ein
> interessanter
> > Beweis von Dummheit. "Hi, liest hier jemand mit?" ;)
> >
>
> Aha, jetzt also gleich mit Absicht nicht verschlüsseln, um "den Behörden
> eine Falle zu stellen". Wird ja immer lustiger...
Zumindest ist klar, ich muss mir bei dir die Mühe machen Botschaften zu verschlüsseln. Lies den ganzen text.

Benutzer wird von Ihnen ignoriert. Anzeigen

bugmenot schrieb:
--------------------------------------------------------------------------------
> > Nein, setzt es nicht. Wenn spezifiziert ist, dass der echte Betreff
> sowieso
> > immer verschlüsselt im Body mit drin steckt ist es völlig egal was im
> > Header steht.
>
> Wo soll das denn spezifiziert sein? Eine PGP-Software insbesondere als
> Gateway-Lösung nimmt die Mails von anderen Systemen entgegen. Wenn diese
> normale Emails senden, müsstest du ja schon dort die Spezifikation ändern.
> Das kann aber PGP nicht leisten und muss auch dafür nicht geändert werden.

Hat nichts mit normalen Mails zu tun. Auch bei einer Gateway-Lösung könnte man den Betreff der zu verschlüsselnden Mails durch einen Dummy ersetzen und vor der Verschlüsselung in den Body mit rein packen. Nur das müsste spezifiziert werden.

Benutzer wird von Ihnen ignoriert. Anzeigen

Lieber BarryO: schreib deine Eigene software, die kannst du dann verwenden, die community wird sie ignorieren aus genannten gründen und wenn wir dann alle vom CIAFBIWELTVERSCHWÖRERJUDENTUM überrollt werden kannst du dir ins fäustchen lachen. Selber hacken, nicht rummosern, wenn man alles besser weiss :)

Benutzer wird von Ihnen ignoriert. Anzeigen

klischeepunk schrieb:
--------------------------------------------------------------------------------
> Lieber BarryO: schreib deine Eigene software, die kannst du dann verwenden,
> die community wird sie ignorieren aus genannten gründen und wenn wir dann
> alle vom CIAFBIWELTVERSCHWÖRERJUDENTUM überrollt werden kannst du dir ins
> fäustchen lachen. Selber hacken, nicht rummosern, wenn man alles besser
> weiss :)

Das ist nicht mein Job, sonder der der Firmen, die solche Sicherheitslösungen wie PGP verkaufen wollen...

Benutzer wird von Ihnen ignoriert. Anzeigen