1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › NSA-Affäre: "Verschlüsselung ist…

Schon Lustig der der Typ selber erkennt das es nix bringt.

  1. Thema

Neues Thema Ansicht wechseln


  1. Schon Lustig der der Typ selber erkennt das es nix bringt.

    Autor: Koto 06.09.13 - 19:49

    Und zwar

    Zitat
    Es mag viele erstaunen, aber normalerweise verschlüssele ich meine E-Mails nicht. Viele meiner Kontakte haben die Technik nicht. Nur ein Ende der Kommunikation zu verschlüsseln funktioniert aber nicht, es müssen schon beide Partner entsprechende Programme haben. Vielen privaten Nutzern ist das zu kompliziert. Zitat ende

    Genau das ist das Problem. Wenn ich andere erst überreden muss. Sein System auf meines anzupassen. Solange ist Verschlüsselung unbrauchbar.

    Man schafft es nicht einmal mit 10 Freunden. Sich im Kino auf einen Film zu einigen. Macht das mal mit 30 Leuten oder mehr. Oder Behörden und Firmen.

    Solange es keinen Standard gibt, also alle Mail Programme ein System nutzen und gleich mitbringen. Wird das nie was.

    So steht auch in dem DMail Artikel bzgl der Ende zu Ende Verschlüsselung. Wenn nun die Bank was anderes nutzt als die Behörde, ist die Ende zu Ende Verschlüsselung sofort gescheitert.

    Und mal ehrlich. Wie viele EMails hat ein Otto Normal User wo man verschlüsseln muss?
    Das ist wie Whatsapp. Brisante Daten wie "Wir treffen uns morgen am Bahnhof Mehringdamm" und "bringe noch ne Packung Rama mit". Sind ja nun auch nicht heikel.

    Meine Adresse steht auch in jeder Auskunftsdatei. Telefonnummer im Telefonbuch. Viele Daten sind allgemein bekannt ohne das Sie heikel sind.

    Das soll das Schnüffeln nicht rechtfertigen, aber man sollte schon aufpassen, dass man hier nicht vollkommen übertreibt und einen Wahn verfällt.

    Außerdem. Angeblich wird ja gesammelt wie irre. Aber die Nachteile die sind alle theoretischer Natur. Es kommt immer "es könnte". So kann man auch gegen alles sein, wenn ich immer nur sehe, was alles sein könnte. Dann kann man sich echt den Strick nehmen. Mit der Einstellung.

    Ich denke auch unsere Jugend sieht das anders. Die geben die Daten freiwillig. Die haben weder Angst vor den Amis noch vor den Russen. Freies Internet, freie Daten. Eine Welt.

    Das muss nicht automatisch der Weltuntergang sein.



    2 mal bearbeitet, zuletzt am 06.09.13 19:54 durch Koto.

  2. Re: Schon Lustig der der Typ selber erkennt das es nix bringt.

    Autor: /mecki78 06.09.13 - 21:48

    Koto schrieb:
    --------------------------------------------------------------------------------
    > Solange es keinen Standard gibt, also alle Mail Programme ein System nutzen
    > und gleich mitbringen. Wird das nie was.

    Den gibt es. Er heißt S/MIME. Ist ein Hersteller und Plattform neutraler Standard, der schon bald 20 Jahre alt wird (in genau zwei Jahren). Ich kenne zumindest kein aktuelles und brauchbares Mailprogramm, dass den nicht von Haus aus unterstützt. Folgende Clients beherrschen S/MIME ohne Plugins:

    - Apple Mail (OS X, iOS)
    - Thunderbird (Windows, Linux, OS X)
    - Outlook/Outlook Express (Windows)
    - Windows Live Mail (Windows Vista oder neuer)
    - The Bat! (Windows)

    Bestimmt auch noch weitere. Grundvoraussetzung ist hierbei natürlich, dass das Programm von Haus aus MIME beherrscht. Für fast alle, die es nicht beherrschen, gibt es Plugins dafür, sogar für so einen Old School Client wie Pine (Kommandozeilen Client für UNIX, Windows und Linux, den es schon seit 1989 gibt!).

    Sobald du ein entsprechendes Zertifikat installiert hast, mit dem Mails signieren kann, bieten dir viele Clients automatisch an deine Mails zu signieren (wie von Geisterhand erscheint auf einmal ein entsprechender Button in der Toolbar, da muss man gar nichts vorher einstellen, nur ein Cert installieren). Findet der Client dann auch noch ein Cert für den Empfänger deiner Mail, dann bietet er dir genauso magisch einen Verschlüsseln Button an.

    Du musst dir praktisch nur ein Cert holen (signiert von einer CA Autorität) und in deinem System installieren (bei den meisten System bedeutet das, einfach die Datei doppelklicken oder wenn der Client Certs selber verwaltet, einmal auf die App ziehen und fertig). Danach schickst du jemanden einfach eine signierte Mail. Dadurch bekommt er automatisch den öffentlichen Schlüssel deines Certs und kann dir in Zukunft verschlüsselte Antworten senden. Umgekehrt, wenn er seine verschlüsselte Antwort signierst, dann bekommst du seinen Schlüssel und kannst wiederum verschlüsselt antworten - d.h. eigentlich muss nur die aller erste Mail bei einer Kontaktaufnahme unverschlüsselt sein, danach können beide Seiten signieren, verschlüsseln und die Signatur des anderen Prüfen.

    Die Sicherheit der ganzen Geschichte beruht darauf, dass die CA Autorität die Identität des Nutzers prüft (also auf jeden Fall die E-Mail Adresse, aber manchmal auch Namen und die Anschrift) und dann dieser Person eine signiertes Cert ausstellt. Mit ihrer Signatur sagen sie: "Ja, wir haben diesen Nutzer geprüft und ja, seine Angaben sind korrekt". Wie stark hier geprüft wird, das hängt von der jeweiligen Autorität ab. Einige prüfen sehr genau, andere eben weniger genau. Die, die sehr genau prüfen, verlangen meistens auch Geld dafür, dass sie dir so ein Cert ausstellen (kostet einmalig, das Cert ist danach über viele Jahre gültig), andere geben auch kostenlose Certs raus, prüfen dafür aber eben nicht so genau. Letztlich entscheidest du als Nutzer, welcher Autorität du traust und welcher nicht. Kennt dein System die Autorität nicht, die ein Cert signiert hat, dann traut es dieser erst einmal nicht, außer du sagst "Doch, denen traue ich" (ggf. wirst du dann beim ersten mal gefragt).

    Das Verfahren ist dem PGP Net-of-Trust nicht unähnlich. Der Unterschied ist nur, dass bei PGP einige PGP Nutzer mit ihren guten Namen dafür bürgen, dass die Angaben anderer Nutzer korrekt sind (traust du den Nutzer, dann traust du auch den Nutzern, denen dieser Nutzer traut, usw.). Bei S/MIME bürgen nur CA Autoritäten.

    Natürlich kannst du jetzt sagen "Ja, aber was wenn ich keiner CA Autorität auf der Welt traue?" Dann hast du zum einen ein echtes Problem, weil die Absicherung von HTTP Verbindungen (HTTPS) funktioniert nach genau den gleichen Prinzip und anscheinend traust du hier sehr wohl einigen CA Autoritäten ihren Job korrekt zu machen. Zum anderen verbietet dir das System auch nicht selber zu einer CA Autorität zu werden. Du erzeugst dir mit einem entsprechenden Tool ein CA Cert (das darf und kann jeder machen, das kostet auch nichts), damit kannst du dann andere Certs signieren. Natürlich werden von dir signierte Certs nur dann vertrauenswürdig, wenn ein Nutzer den Public Key deiner CA importiert hat (den musst du ihnen irgendwie zukommen lassen) und er sagt "Ja, ich traue alle Certs die von dieser CA Signiert wurden".

    Wenn es also nur um E-Mail Verkehr im Freundeskreis oder in der Familie geht, dann ist das sicherlich kein Problem. Wenn du aber wildfremden Leuten Mails schickst, dann ist es wahrscheinlicher, dass sie einer anerkannten CA Autorität trauen werden als deiner eigenen. Du kannst ja sonstwer sein (ein Hacker, ein NSA Mitarbeiter, usw.)

    Siehe:
    http://de.wikipedia.org/wiki/S/MIME#Kostenfreier_Zugang
    und
    http://de.wikipedia.org/wiki/CAcert

    Das CA Cert von CAcert.org ist in den meisten Systemen nicht von Haus aus vorhanden bzw. wenn, dann nicht als vertrauenswürdig eingestuft. Du kannst es aber einfach von deren Webseite herunterladen, installieren und, je nach System ggf. als Vertrauenswürdig einstufen, und schon funktionieren die kostenlosen CAcert.org Certs auf deinem System genauso wie wenn sie von einem großen Cert Anbieter kommen. CAcert.org selber überprüft nur deine E-Mail Adresse. Zur Absicherung deiner Identität müssen andere Nutzer deine Identität bestätigen. Also im Prinzip macht CAcert bei S/MIME das gleiche, das PGP schon immer gemacht hat, es baut ein CAcert-Web-of-Trust auf.

    Auch wenn das alles sehr kompliziert klingt, ist es das gar nicht. Noch viel einfach ist nicht machbar, wenn das Verfahren sicher sein soll. Für einen OS X Nutzer z.B. (mit Windows müsste ich das erst einmal testen), sieht das ganze so aus:

    1. Du erzeugst die einen CAcert.org Account.

    2. Du lädst das Root Cert von CAcert.org herunter und öffnest es (Doppelklick). Daraufhin erscheint ein Fenster, dass dir Informationen über das Cert anzeigt und fragt, ob (und wofür) du dem Cert vertraust. Entweder sagst du "Für alles" oder "Nur für E-Mail".

    3. Du bestätigst deine E-Mail Adresse über die Mail die CAcert.org dir gesendet hast (einfach nur auf den Link klicken und dich dann anmelden).

    4. Du lädst dein E-Mail Cert herunter (das noch nicht gesichert ist, aber dennoch schon funktioniert) und doppelklickst es (diesmal sollte kein Fenster kommen und dich was fragen, es wird einfach nur im Schlüsselbund des Systems hinterlegt).

    5. Es gibt keinen Punkt 5. Du kannst jetzt deine Mails signieren und jeder der eine signierte Mail von dir bekommt, erhält auch automatisch dein Cert. Sobald er dein Cert hat, kann er dir wiederum verschlüsselte Mails senden. Wenn sein System meckert, dass er die Identität nicht prüfen kann, dann hat er nicht das Root Cert von CAcert.org und muss es eben herunterladen und installieren (dafür braucht er keinen Account erzeugen! Außer er will einen, damit er sich auch gleich ein Cert dort holt).

    /Mecki

  3. Re: Schon Lustig der der Typ selber erkennt das es nix bringt.

    Autor: Koto 06.09.13 - 23:25

    Also halten wir fest man muss wieder irgendwas nachinstallieren. Wobei davon 90% der Leute nix wissen. Man kann nur was Suchen wo von man überhaupt Kentniss hat.

    Und das natürlich beide, weil beide ein Cert brauchen. Wenn jemand ein RE macht und hat keines ist das ganze ja wieder unverschlüsselt.

    Damit das verbeitung bzw Anwendung findet müssten die EMail Programme diese Dinger selber runterladen.

    >Kennt dein System die Autorität nicht, die ein Cert signiert hat, dann traut es dieser erst einmal nicht, außer du sagst "Doch, denen traue ich" (ggf. wirst du dann beim ersten mal gefragt).

    Auch unbrauchbar. Weiß, das gegenüber nicht was es ist, sagt er automatisch Nein.

    Nun magst Du sagten Tja die dummen sterben nicht aus. Tja der Himmel ist blau man wird daran nix ändern.



    5 mal bearbeitet, zuletzt am 06.09.13 23:37 durch Koto.

  4. Re: Schon Lustig der der Typ selber erkennt das es nix bringt.

    Autor: David64Bit 06.09.13 - 23:36

    Koto schrieb:
    --------------------------------------------------------------------------------
    > Damit das verbeitung bzw Anwendung findet müssten die EMail Programme diese
    > Dinger selber runterladen.


    Das würde die Verschlüsselung aber ad absurdum führen. Es muss in die Köpfe der Menschen rein, dass "alles einfacher" nicht immer der beste Weg ist. Es gibt nunmal Dinge die sich so nicht vereinfachen lassen. Da gehört eben auch die Technik dazu.

  5. Re: Schon Lustig der der Typ selber erkennt das es nix bringt.

    Autor: Koto 06.09.13 - 23:40

    Damit ist das gescheitert. Die meisten sind der Meinung, das Sie eh kaum was schützenwertes Mailen.

    Dazu gehöre ich zb auch.

    Sie sehen also viel Aufwand für nix. Wenn Sie es denn überhaupt wissen.

    Wer nun nach thunderbird cert sucht wird es gleich sein lassen da lange rumzusuchen. Sich irgendwo Anmelden oder gar Ausweisen. Wobei man nicht weiß ob man dehnen dann trauen kann.



    3 mal bearbeitet, zuletzt am 06.09.13 23:47 durch Koto.

  6. Re: Schon Lustig der der Typ selber erkennt das es nix bringt.

    Autor: Koto 06.09.13 - 23:51

    Sind wir mal ehrlich die Dmail, setzt sich ja auch nicht durch. Obwohl die trotz aller Kritik besser ist als die normale Mail.

    Offenbar ist den Leuten das ganze auch zu kompliziert.

    Im Übrigen mir auch. Ich habe einfach keinen Bock mich für die Dmail nur lange irgendwo auszuweisen. Am besten noch per Postident.

    Dann kostet der Mist noch Geld und keiner weiß, ob der Anbieter der NSA nicht doch Zugang gibt.

    Nachher hat man ein Cert und Service direkt von der NSA :)

  7. Re: Schon Lustig der der Typ selber erkennt das es nix bringt.

    Autor: x2k 07.09.13 - 10:32

    Koto schrieb:
    --------------------------------------------------------------------------------

    > Und mal ehrlich. Wie viele EMails hat ein Otto Normal User wo man
    > verschlüsseln muss?
    > Das ist wie Whatsapp. Brisante Daten wie "Wir treffen uns morgen am Bahnhof
    > Mehringdamm" und "bringe noch ne Packung Rama mit". Sind ja nun auch nicht
    > heikel.
    >

    Wenn Packung Rama von jemandem als Codewort für eine Bombe gebraucht wird gerätst du automatisch unter Verdacht. .... das zum thema ich hab nichts zu verbergen.
    Und ja sowas kommt auch in Deutschland vor. Es gibt einen Schriftsteller dessen namen ich vergessen habe der hat an einem buch gearbeitet und hat Wörter benutzt die sonst nur von extremisten gebraucht wurden. Dazu hat er im internet recherchiert und darauf wurde unser geheimdienst aktiv und hat angefangen ihn zu überwachen. Die haben z.b. bei der bank nach kontobewegungen gefragt darauf hat die bank das Konto gekündigt.

  8. Re: Schon Lustig der der Typ selber erkennt das es nix bringt.

    Autor: matok 07.09.13 - 17:17

    Koto schrieb:
    --------------------------------------------------------------------------------
    > Damit ist das gescheitert. Die meisten sind der Meinung, das Sie eh kaum
    > was schützenwertes Mailen.
    >
    > Dazu gehöre ich zb auch.

    Genau davon redet er im Interview ja auch. Es ist nicht in erster Linie ein technisches Problem, sondern der Denkprozess muss erstmal einsetzen. Wenn man meint, dass seine Kommunikation ruhig praktisch öffentlich sein kann, muss man sich wahrlich über Verschlüsselung keine Gedanken machen.
    Wenn man das nicht so sieht, muss man selbst aktiv werden.

    Ich habe aber auch kein Problem mit deiner Einstellung. Muss jeder selbst wissen. Jeder so, wie er mag. Aber es ist nun nicht so, dass Verschlüsselung und sichere Kanäle geplatzt sind, weil nicht alle mitmachen. Wer will, der kann, mit Gleichgesinnten.

  9. Re: Schon Lustig der der Typ selber erkennt das es nix bringt.

    Autor: potschi 07.09.13 - 21:53

    Hmm schon lustig,

    der Herr bringt genau das zu Ausdruck was tatsächlich der Fakt an der Geschichte ist.

    Seit wann behandelt man lediglich den Arm weil er hängt mit Salbe, anstatt ihn einzurenken?

    Da es wohl zu schwer ist den netten Herr Zimmermann zu verstehen, weil er von Zukunft redet. Nehmen wir doch einfach Beispiele aus der Vergangenheit:

    Es hat mal gereicht jemanden als Hexe zu bezeichen, aber nur so als Tipp. Es hat keiner mit dem Finger geschnippst und aufeinmal konnte man Hexe schreien und dann war die Person so gut wie tot.

    Oder noch besser, die Kernphysik wurde von Leuten erforscht, die eigentlich etwas anderes damit Bezwecken wollten, oder glaubt ihr Ziel war es das Amerika und Russland mit je 3000 davon aufeinaner Zielen, weil der andere ja Böse sein könnte?
    Aber da hat auch keiner mit dem Finger geschnippst und aufeinmal waren 3000 Bomben da. Was hat das Volk dann als erstes getan? Es hat seinen Kindern beigebracht wenn die Sirene für Atombombe kommt, versteckt euch unterm Tisch...

    Die Beispiele waren jetzt sehr Spitz, aber anders bringt man die Meisten menschen nicht zum NACHDENKEN.

    Das Volk hat es geduldet, bis es nicht mehr um "Sicherheit" gehen konnte. Jedesmal, es gibt noch unzählige Andere Beispiele in der Vergangenheit. Aber wir wollen ja immer weiter so machen.

    DMail ist wie man so schön sagt "Opium fürs Volk", da ohne End-zu-End Verschlüsselung nicht garantiert ist das jemand auf dem weg vom Server zu mir mitliesst.

    Aber vergleichen wir doch mal mit der Atombomben Geschichte.
    Schlaue Leute haben etwas entwickelt um das Leben "besser" für Ihre Nachkommen zu machen. Nennen wir das mal Informatik. Jetzt kommt irgendeiner der viel Geld hat und lenkt die Entwicklung in eine komplett andere Richtung, weil er hat viel Geld.

    Aber dieser jemand sagt es geht hierbei um Sicherheit! Naklar tolle Idee alle sind dabei. (Hier hört das denken bei den meisten schon auf)

    So nun baue ich riesige Gebäude durch die Ich diese "Sicherheit" noch erhöhen kann weil ich viel mehr davon habe... und es finden immernoch alle toll.

    Aufeinmal gibts irgend nen Skandal, das weckt dann schon einige Menschen auf. Diese melden sich zu Wort, aber die Mehrheit, will nicht denken, weil ist doch gerade alles voll ok.

    Aber vorsichtszahlbar bringt man allen bei, Sie sollen Ihre Daten verschlüsseln, dann ist ja alles wieder in Ordnung...


    Wie weit wird die Geschichte weitergehen bevor, es einen so großen Skandal gibt, das selbst der denkfaulste Mensch realisiert:

    Wir werden alle frei geboren, und wollen ein möglichst freies Leben haben, ohne das jemand mehr eingeschränkt wird als jemand anderes.

    Deshalb gibt es sowas wie das Grundgesetz oder die "Bill of Rights" oder?

    Naja bleibt nur abzuwarten, wie groß die Unterdrückung durch die Monarschie, die Zarrenbome oder Fukushima dieses mal wird...

    In der Stillen Hoffnung doch noch den einen oder anderen Wachzurütteln:

    Demokratie ist der versuch das Volk regieren zu lassen. Wir wählen unsere Vertretter und somit Regieren also wir mit unseren Stimmen. Müssen wir uns selbst überwachen? Oder wollten wir eigentlich mit der Einführung der Demokratie etwas anderes Bezwecken?

    Eine Demokratie vertraut dem Volk, eine Diktatur nicht!

    PS: Da die ganze Welt ja auf demokratie gepatched wird, ist somt jeder auf der Welt für mich das VOLK. Schwarze Schafe gibts immer, aber man konnte Sie auch herausbekommen in dem man das Büro verlässt...



    1 mal bearbeitet, zuletzt am 07.09.13 21:57 durch potschi.

  10. Re: Schon Lustig der der Typ selber erkennt das es nix bringt.

    Autor: Koto 08.09.13 - 04:33

    >Demokratie ist der versuch das Volk regieren zu lassen.

    Würde das Volk wirklich regieren würden sich viele umgucken.

    Ich sage da nur Idiocratie. :-)

    Hier wird unterstellt das die meisten ihre Datenfreiheit nicht für angebliche Sicherheit aufgeben würden. Da wäre ich mir echt nicht so sicher. :-)

    Wäre das so, würde das Wahlergebniss auch anders aussehen. Ich glaube nix wird passieren. Gar nix.

    Wenn ich mich umhöre ist das ein Thema für ein paar Freaks. Und eben die Medien. Die aber an Volk in masse vorbei reden.

    Komischerweise wird mit der bedrohung durch Terror eine Angst geschürt die vollkommen Irrational ist. Wahrscheinlichkeits mäßig. Das gelingt bei der bedrohung durch die Datensammelei überhaupt nicht.

    Vielleicht müsste der Iran oder Irak oder ein anderes "Bärtiges Land" :-) die Daten sammeln. :-)

    http://imageshack.us/photo/my-images/6/x54m.jpg/



    2 mal bearbeitet, zuletzt am 08.09.13 04:39 durch Koto.

  11. Re: Schon Lustig der der Typ selber erkennt das es nix bringt.

    Autor: GodsBoss 08.09.13 - 08:16

    Es gibt tatsächlich Leute, die HTTPS als kaputt (im Sinne von: nicht sicher) betrachten, weil ein Konstrukt mit zentralen Zertifizierungsstellen, denen man vertrauen muss, angreifbar ist. An genau diese Stellen wird ein Geheimdienst herantreten und, wie wir nun alle wissen, passiert das auch.

    Das einzig Sichere ist daher tatsächlich, selbst zur Autorität zu werden, dann habe ich aber keinen Vorteil mehr gegenüber OpenPGP.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  12. Fail by design

    Autor: Anonymer Nutzer 08.09.13 - 11:42

    Sehr engagiert, was /Mecki/ da schreibt.

    Aber X509 ist ein Zombie, tot und trotzdem nicht loszuwerden, und vor allem NICHT mit dem "Web of trust" -ähnlich. Denn die hierarchische Form der X509-Struktur hat so viele "Fürsten" in die Browser gespült, dass niemand dort noch einen Überblick hat.

    "Chunghwa Telekom Co., Ltd" ? Nie gehört.
    Kennen Sie "TÜRKTRUST Sertifika Hizmet Sglayicisi" ? Nein ? Der Inhaber dieses Root-Zertifikates darf Ihnen aber ihr Online-Banking absichern, Mailnutzer authentisieren und sogar Software signieren. Warum auch immer. Warnhinweis ? Keiner. Irgendjemand, den sie nicht kennen ("Mozilla", "Microsoft","Apple"), sagt ihrem Browser, dass er jemandem vertrauen kann, den Sie nicht kennen ("Türktrust" oder "Chunghwa"). Da verwechselt jemand "Fälschungssicherheit" mit "Vertrauen".

    Diese und ungefähr 178 weitere Zertifikate sind als "vertrauenswürdig" im Firefox installiert, dürfen mehr oder weniger, viele sogar Software signieren und EMail authentisieren, was im Firefox in der Regel wenig Sinn macht.
    Die NSA und andere Schlapphüte müssen nicht mal weit laufen. Zwei DoD-Zertifikate des Verteidigungsministeriums der USA erlauben so ziemlich alles unter dem Siegel der "sicheren Verbindung".

    Jeder dieser Zertifikatsinhaber kann Ihnen unbemerkt von einer sicheren Seite ("ist ja grün da oben") Software auf den Rechner spülen.

    Jetzt könnte man natürlich nach dem Prinzip "Ich kenn Dich nicht" die unbekannten Zertifikate löschen. CMD/Ctrl-A und löschen ? Fehlanzeige - jedes einzeln! Macht schon mal keiner.

    Der vermeintlich erfolgreiche Löschvorgang ist nämlich für die Hasen:
    Nach dem Löschen sind sie wieder da. Leidensfähigkeitstest, nach 180 Klicks auf "ja, ich will das Zertifikat wirklich löschen"

    Also: "Vertrauen entziehen". Kann man. Wer das bei 180 Zertifikaten gemacht hat, darf das dann nochmal in der Keychain oder ohnehin unsicheren Zertifikatsspeicher von Windows machen, dann bei Thunderbird, weil jeder seinen eigenen hat. Batch, Bulk oder Skriptfähigkeit: Fehlanzeige.

    Kurz: vergessen wir's. Nach dem nächsten Update ist das nämlich wieder zu machen.
    Unpraktikabel, selbst für Engagierte, unzumutbar für jeden. Also: status idem.
    Umgekehrt, nämlich ohne vertrauenswürdige CA, mag kein Browserhersteller mehr seine Programme ausliefern. Denn das Geschrei wäre natürlich groß, kein Online-Banking oder eine Schuhbestellung würde noch ohne Warnhinweis funktionieren.

    CACert löst das Problem auch nicht, sondern betoniert das "fail-by-design"-System noch weiter. Noch ein CA, der sich zu den 180 anderen gesellt. Snakeoil.

    Ich halte bei einem Festhalten an X509 nur selbst-signierte-Zertifikate für eine Verbesserungsmöglichkeit. Everybody is root. Denn warum sollte ich "Certigna", "Hongkong Post" oder "Juurk SA" mehr trauen als "Karl-Heinz Fummelmann", der seine Seite "Sparkasse Detmold" zertifiziert, aber nicht "Schuhhandel Müller" ? Sprich: Weg von Root-CAs, hin zu "Own CA" mit CAs NUR für eigene Subdomains.

    Klar, in der Folge: dutzende Warnhinweise "unbekanntes Zertifikat" und dann Mimimi von den ganzen Gretchen draussen, die auch bei "https://www.trojaner.de" auf "ok" klicken. Deshalb glaube ich auch selbst nicht an meinen Lösungsvorschlag :)

    Und das ist das geniale daran, dass man vermuten kann, dass die NSA und andere mit der Etablierung dieses fehlerhaften Systems nahezu perfekt und zukunftssicher den Fuß in der Tür haben. Der Fehler liegt nämlich nicht in technischen Details wie RSA mit nur 1024 Bit oder MD5 oder sonstwas. Der Fehler liegt in der Hierarchie von X509 und der Macht, den man den Betreibern von angeblich sicheren SSL-Seiten damit abgenommen hat. Und ein Millionengeschäft, das man sich auch nicht nehmen lassen will.

    Duke.

  13. Re: Fail by design

    Autor: Wurzelgnom 08.09.13 - 11:53

    Soweit stimme ich dir zu.
    Aaaaber beim Online Banking darf doch Vater Staat doch sowieso auf deine Konten kucken, spätestens bei der Steuererklärung. ;-)

    Wichtig wäre halt, dass solche Informationen das Land nicht ungewollt verlassen und das es keinen Missbrauch dritter gibt. Diese Https Zertifikate sind mir schon ewig suspekt - es ist halt ein kompromiss aus sicherheit und kompfort.

    Leider ist die erkenntnis der 64er Generation verloren gegangen, dass man keine Persönlichen Daten weitergeben sollte, schon gar nicht Online. Leider ist die Verführung der großen Player (Facebook, Google etc.) größer - sie haben sich ihre User abhängig gemacht und denen ist ihre Privatsphäre offensichtlich egal.

  14. Re: Fail by design

    Autor: Anonymer Nutzer 08.09.13 - 13:09

    Die staatliche Sicht auf Privatkonten ist doch im Rahmen der Schröder'schen Agenda 2010 mit Hartz-4 schon Tagesgeschäft - ob online oder nicht. Und das Geldwäschegesetz ist ein Witz, wirksam wie das Handyverbot beim Autofahren.

    Das verhindert so viel wie: garnichts. Ich sag nur Hoeness. Aber ich als Privatbürger darf nicht mal mehr als 100¤ anonym im Internet bezahlen. Da muss er aber sehr oft 99¤ überwiesen haben :)

    Und mir geht's übrigens prächtig, ohne hohle Facebook-"Freunde", und ich fühle mich deshalb auch nicht als Eremit. Allerdings kann man die Generation Facebook auch nicht davon überzeugen, auch nur einen Klick mehr für ihr Persönlichkeitsrecht zu tun. Aber die Evolution hat Verblödung schon öfter aussortiert.

    Duke.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. ALTE LEIPZIGER Lebensversicherung a. G, Oberursel
  2. Allianz Versicherungs-AG, München Unterföhring
  3. Bundesamt für Sicherheit in der Informationstechnik, Bonn
  4. ECKware GmbH, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. Apple iPad Air 10,9 Zoll Wi-Fi 64GB für 632,60€, Apple iPad Air 10,9 Zoll Cellular 64GB für 769...
  2. 57,90€ statt 69,90€
  3. 2.399€ (inkl. 400€ Cashback - Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Bauen: Ein Hochhaus aus Holz für Hamburg
Bauen
Ein Hochhaus aus Holz für Hamburg

Die weltweite Zementherstellung stößt jährlich mehr CO2 aus als der Luftverkehr. Ein nachwachsender Rohstoff soll Bauen umweltfreundlicher machen.
Ein Bericht von Werner Pluta

  1. Transformation Söder will E-Auto-Gutschein beim Kauf von Verbrennern
  2. Kohlendioxidabscheidung Norwegen fördert Klimaschutzprojekt mit 1,5 Milliarden Euro
  3. Rohstoffe Kobalt-Kleinbergbau im Kongo soll besser werden

Watch SE im Test: Apples gelungene Smartwatch-Alternative
Watch SE im Test
Apples gelungene Smartwatch-Alternative

Mit der Watch SE bietet Apple erstmals parallel zum Topmodell eine zweite, günstigere Smartwatch an. Die Watch SE eignet sich unter anderem für Nutzer, die auf die Blutsauerstoffmessung verzichten können.
Ein Test von Tobias Költzsch

  1. Apple WatchOS 7.0.3 behebt Reboot-Probleme der Apple Watch 3
  2. Series 6 im Test Die Apple Watch zwischen Sport, Schlaf und Sättigung
  3. Apple empfiehlt Neuinstallation Probleme mit WatchOS 7 und Apple Watch lösbar

Star Trek Discovery: Harte Landung im 32. Jahrhundert
Star Trek Discovery
Harte Landung im 32. Jahrhundert

Die dritte Staffel von Star Trek: Discovery nutzt das offene Ende der Vorgängerstaffel. Sie verspricht Spannung - etwas weniger Pathos dürfte es aber sein.
Eine Rezension von Tobias Költzsch

  1. Star Trek Prodigy Captain Janeway spielt in Star-Trek-Cartoonserie mit
  2. Paramount Zukunft für Star-Trek-Filme ist ungewiss
  3. Streaming Star Trek Discovery kommt am 15. Oktober zurück