Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Pretty Easy Privacy (Pep…

Der Artikel ist voller Falschbehauptungen, da stimmen nicht mal die Fakten

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Der Artikel ist voller Falschbehauptungen, da stimmen nicht mal die Fakten

    Autor: fdik 29.05.19 - 11:55

    Ich hab grad zu wenig Zeit. Aber ein paar:

    Ja, pEp importiert Schlüssel. Aber nein, man hat sie damit nicht “untergeschoben”, weil pEp ein Konzept hat, welcher Schlüssel beim Versenden verwendet wird – mittels Trust on First Use wird ein Schlüssel grade nicht “untergeschoben”, sondern es wird weiter der richtige verwendet.

    pEp verschlüsselt auch nicht an Empfänger, die nicht entschlüsseln können. Sondern wenn ein Empfänger verschlüsseln konnte, und er kann es inzwischen nicht mehr, dann kann es (wie bei PGP auch) sein, dass pEp noch mit dem vorherigen Key verschlüsselt. Keys von PGP-Kommunikationspartnern, die immer noch im Netz (z.B. auf Keyservern) rumschwirren, kann man auf die Blacklist setzen. Es ist vergleichbar zu PGP.

    Ja, wenn man PGP-Nutzer ist und alles auch so haben will, dann bleibt man halt bei PGP. pEp ist für Leute, die keine PGP-Nutzer sind und auch nie welche werden wollen, weil sie mit der Handhabung nicht zurecht kommen.

    Enigmail liest auch bei einer Neuinstallation die vormals vorhandene Konfiguration. Wenn man also ein Backup zurück spielt, nachdem man seinen Computer platt gemacht hat, dann ist auch eine Neuinstallation nicht im pEp-Modus. Nur wenn man quasi fabrikneu installiert, ist das der Default.

    Der Autor mag offensichtlich das manuelle Bedienen und hantieren mit PGP und seinen Schlüsseln. Das ist kein Problem, dann kann er ja PGP nehmen. Es ist nach wie vor da.

    Die Unwahrheit zu behaupten und sachlich falsch darzustellen ist allerdings nicht in Ordnung. Falls das jemand von der Redaktion liest, es wäre nett, der Artikel würde korrigiert werden – allerdings an praktisch allen Stellen, wo's um Fakten geht.

    Wer mit uns sprechen möchte, Hernani ist im Bilde mailto:hernani@pep.foundation Er kann auch telefonisch erreicht werden. E-Mail genügt zur Kontaktaufnahme.

    Bei anderen Verlagen wird man übrigens bei Tests informiert. Der Autor dieses Artikels hat nicht mit uns gesprochen.

  2. Re: Der Artikel ist voller Falschbehauptungen, da stimmen nicht mal die Fakten

    Autor: dgultsch 29.05.19 - 12:05

    Das wäre mir aber neu, dass Softwareentwickler informiert werden und dem Artikel noch mit ein paar alternativen Fakten aushelfen können bevor er erscheint.
    Ist mir persönlich zumindest noch nie passiert.
    Wenn das bei PEP gängige Praxis ist, erklärt das vielleicht die vergleichsweise positive Berichterstattung die PEP (auch hier bei Golem) in der Vergangenheit erfahren hat.

  3. Re: Der Artikel ist voller Falschbehauptungen, da stimmen nicht mal die Fakten

    Autor: fdik 29.05.19 - 12:36

    Es kann jeder selbst ausprobieren, dass die Darstellung im Artikel falsch ist. Die Praxis wird von den Verlagen gemacht und nicht von uns.



    1 mal bearbeitet, zuletzt am 29.05.19 12:37 durch fdik.

  4. Re: Der Artikel ist voller Falschbehauptungen, da stimmen nicht mal die Fakten

    Autor: mtr (golem.de) 29.05.19 - 13:14

    Hallo fdik,

    Pep nimmt automatisch Schlüssel an und nutzt diese auch zur Verschlüsselung, sofern noch keine anderen Schlüssel verwendet wurden. Das steht so auch im Artikel.

    Ein Beispiel: Ich generiere einen Schlüssel für info@pep.security und schicke ihn von einer beliebigen E-Mail-Adresse an foo@example.com. Letztere verwendet Pep. Der Schlüssel wird automatisch angenommen und landet in der Schlüsselverwaltung von Foo. Nun schreibt Foo eine Mail an info@pep.security - diese wird automatisch mit meinem untergejubelten Schlüssel verschlüsselt - entsprechend kann info@pep.security die Mail nicht entschlüsseln. Das funktioniert allerdings nicht, wenn bereits verschlüsselt mit info@pep.security kommuniziert wurde wie im Artikel beschrieben.

    Ich habe das mehrfach getestet - der Test kann von jedem reproduziert werden.

    Viele Grüße
    Moritz

  5. Re: Der Artikel ist voller Falschbehauptungen, da stimmen nicht mal die Fakten

    Autor: fdik 29.05.19 - 13:20

    Zum Vergleich bei PGP:

    Ein Scherzkeks hat einen Schlüssel auf den Keyserver hochgeladen mit einer falschen Adresse. Ein PGP-Nutzer lädt den runter und verschlüsselt damit. Der Empfänger kann nicht entschlüsseln.

    Oder kurz: das funktioniert mit JEDER Sorte Verschlüsselung, dass man, wenn man schnell genug ist, Leute verleitet, Schlüssel zu verwenden, die sie nicht verwenden sollten.

    Nun umgekehrt:

    Es ist bereits eine Verschlüsselung passiert. pEp hat sich den richtigen Schlüssel gemerkt und nimmt nicht den falschen, auch nicht wenn der neuer ist oder eine längere Schlüssellänge hat.

    Bei PGP jedoch ist das Problem nach wie vor da: es ist ein neuer Schlüssel auf dem Keyserver. Die Leute nehmen den üblicherweise – und werden plötzlich den Schlüssel eines Angreifers.

    Noch besser bei zwei pEp-Nutzern:

    pEp macht hier keine Key Election (aka “Raten, welcher Schlüssel”). Sondern pEp nimmt den Schlüssel, der mit einer Mail ankam, die mit demselben Schlüssel signiert war. Nun kann immer noch ein Angreifer eine Mail fälschen, die korrekt aussieht. Aber ein Spammen geht von pEp zu pEp nicht.

    pEp macht Key Election nur für PGP-Kommunikationspartner, denn PGP hat hier kein Konzept.

  6. Die nächste Unwahrheit im Artikel: signierte Software

    Autor: fdik 29.05.19 - 13:27

    im Artikel steht wörtlich:

    «Über Pep könnten Nutzern gefälschte Schlüssel von Nextcloud, dem Tor-Projekt oder anderen Softwareprojekten unterschoben werden. Wird die heruntergeladene Software auf dem Weg verändert und mit den gefälschten Schlüsseln signiert, könnten sich die Nutzer Schadsoftware einfangen - auch wenn sie die Software überprüft haben.»

    Bei signierter Software genügt es nie, nur zu prüfen, ob man eine gültige Signatur hat. Sondern es ist immer notwendig zu prüfen, ob die Signatur gültig ist und mit dem korrekten Schlüssel des Herstellers signiert ist. Das machen auch alle bekannten Paket-Management-Systeme so.

    Die Darstellung im Artikel ist also wiederum falsch.

  7. Re: Die nächste Unwahrheit im Artikel: signierte Software

    Autor: koelnerdom 29.05.19 - 13:33

    Kannst du uns bitte mal mit deiner ganz schlechten Krisen-PR in Frieden lassen. Es nervt.

  8. Re: Die nächste Unwahrheit im Artikel: signierte Software

    Autor: Iruwen 29.05.19 - 14:13

    fdik ignoriert gekonnt die Prämisse des Artikels:

    "Pep tritt an, die E-Mail-Verschlüsselung radikal zu vereinfachen - und macht alles noch komplizierter."

    Ein PGP-User wird sich für gewöhnlich mit der Thematik auseinandergesetzt haben und versteht das grundsätzliche Konzept, wie damit umzugehen ist und wie man auftretende Probleme löst.

    pEp möchte das ganze einfacher und transparenter gestalten und Komplexität abstrahieren - die dafür vorgesehen Automatismen fuunktionieren aber nicht, sei es aufgrund von Implementierungsfehlern oder systeminhärenten Erfordernissen, und ein durch die vermeintliche Einfachheit gelockter Anwender wird bestenfalls dumm aus der Wäsche schauen.

  9. Re: Die nächste Unwahrheit im Artikel: signierte Software

    Autor: fdik 29.05.19 - 14:45

    Ich ignoriere nichts, und schon gar nicht die Überschrift. Dass ich die Behauptung in der Überschrift nicht teile, dürfte offensichtlich sein.

    Mir ist ehrlich gesagt auch egal, wenn mal wieder ein Hardcore-PGP-Nutzer pEp schlecht findet, weil es Dinge automatisiert. pEp ist nicht für Leute gedacht, die alles von Hand machen wollen. Dafür gibt es bereits – im übrigen sehr gute – andere Tools.

    Mir geht es nur um eines: auch wenn man einen Verriss bringt, oder sogar gerade dann, sollte man sauber argumentieren und nicht sachliche Falschdarstellungen bringen.

    Schon dass im Artikel behauptet wird, man installiere etwa Software, die korrekt signiert ist, aber egal mit welchem Key, ist halt schlichtweg falsch:

    Der Autor hat das Problem des Trusts nicht verstanden.

    Es ist völlig egal, welche Keys vorliegen. Wichtig ist nur, welchen man für welchen Zweck vertraut.

    Der einzige Punkt, den der Autor IMHO im Artikel macht, ist der: aufgrund der angestrebten PGP-Kompatibilität kann man tatsächlich pEp-Nutzer trollen, indem man ihnen Fake-Keys schickt. Man kann auch PGP-Nutzer auf genau dieselbe Art und Weise trollen, indem man sie auf den Keyserver hochlädt. pEp wird darauf genauso reinfallen wie ein PGP-Nutzer. Nur dass pEp üblicherweise keinen PGP-Nutzer hat, und deshalb kann man pEp-Nutzer tatsächlich damit verwirren – weil diese eben ggf. unbedarf sind.

    Das ist der Punkt, den der Autor hat. Und das reicht ihm, um pEp in Grund und Boden zu verdammen. Ist halt so. Wir werden's überleben, uns damit beschäftigen, und schauen, wie wir das Problem kleiner kriegen.

    Die anderen Dinge im Artikel sind sachlich falsch.

  10. Re: signierte Software

    Autor: mtr (golem.de) 29.05.19 - 14:51

    Hallo fdik,

    auch diese Angriffsmöglichkeit funktioniert wie im Artikel beschrieben.

    Ein Beispiel: Ein Nutzer möchte den Tor-Browser installieren und lädt hierzu das entsprechende Paket von der Webseite des Tor-Projekts herunter. Um sicherzugehen, dass er das echte, unveränderte Paket erhalten hat, lädt er auch die Signatur-Datei herunter. Den passenden Schlüssel "Tor Browser Developers (signing key) <torbrowser@torproject.org>" hat er ebenfalls heruntergeladen und überprüft.

    Das vom Nutzer heruntergeladene Paket wurde jedoch auf dem Weg durch einen Trojaner ergänzt und mit einem Key des Angreifers signiert. Der Key des Angreifers wurde dem Nutzer zudem per Pep untergejubelt und befindet sich somit in seiner Schlüsselverwaltung.

    Überprüft der Nutzer nun das Paket, erscheint die Signatur täuschend echt: "Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>" [unknown]". So könnte sich der Nutzer Schadsoftware einfangen.

    Der Nutzer kann zwar weiterhin über die Schlüssel-ID oder den Fingerprint herausfinden, ob der Schlüssel gefälscht ist, das müsste er jedoch nicht tun, wenn er von einer integren Schlüsselverwaltung ausgehen könnte.

    Viele Grüße
    Moritz

  11. Re: signierte Software

    Autor: vecirex 29.05.19 - 15:14

    Hallo Moritz

    mtr (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > Der Nutzer kann zwar weiterhin über die Schlüssel-ID oder den Fingerprint
    > herausfinden, ob der Schlüssel gefälscht ist, das müsste er jedoch nicht
    > tun, wenn er von einer integren Schlüsselverwaltung ausgehen könnte.
    >
    > Viele Grüße
    > Moritz

    Das ist allerdings genau das, was auf der torproject.org-Webseite steht, dass das zu machen ist - kurzum: sicherzustellen, dass man mit dem richtigen Pubkey des Projekts die Signatur überhaupt prüft, so man die Software ohne Paketsystem verwenden und verifizieren will:

    https://support.torproject.org/tbb/how-to-verify-signature/

    Die zu erwartenden Ausgaben stehen da minutiös.

    Diese gesamte Darstellung wäre also entweder durch einen Angriff auf die torproject.org-Infra für Targeted-Einzelfälle abzuändern, oder der Rechner müsste so oder so schon verwanzt sein, damit der Browser das alles angreifergerecht darstellt - da helfen dann weder pEp noch PGP.

    Wird ein Paketsystem verwendet, werden die Pubkeys vom Paketsystem (z. B. apt) genutzt.

  12. Re: Der Artikel ist voller Falschbehauptungen, da stimmen nicht mal die Fakten

    Autor: mtr (golem.de) 29.05.19 - 15:40

    Hallo fdik,

    klar kann man Menschen mit Tricks dazu bringen, einen falschen Schlüssel zu verwenden. Mit Pep geht das im Unterschied dazu automatisch und ich muss den Menschen gar nicht dazu verleiten, einen falschen Schlüssel zu importieren.

    Viele Grüße
    Moritz

  13. Re: Der Artikel ist voller Falschbehauptungen, da stimmen nicht mal die Fakten

    Autor: ErwinL 29.05.19 - 15:43

    Aber die Intention, dass PEP mehr Probleme schafft, als es löst, ist genau richtig.

    Wie kann man als Thunderbird-Plugin auf die Idee kommen, das persönliche Schlüsselmanagement übernehmen zu wollen? Das kann nur in die Hose gehen.

    Habe z.B. in meinem Thunderbird die IMAP-Konten von ein paar Familienangehörigen konfiguriert. Und da erzeugt PEP mal eben ungefragt Keys für deren Konten und falls mal jemand eine Mail von meinem PC versendet, werden da unsichtbar Keys versendet, über die derjenige gar keine Kontrolle hat.
    Und nirgendwo ein Hinweis, dass man dann aber keine Mails mehr am Handy, Tablet oder Webmailer lesen kann.
    Und falls der PC mal neu aufgesetzt wird, ist es ganz vorbei.

    Also nein.
    Vor dem Enigmail-Plugin kann man nur dringend warnen, so lange da PEP automatisch angeschaltet ist.

  14. Re: signierte Software

    Autor: fdik 29.05.19 - 15:58

    Wenn Leute allen Keys vertrauen, die sie erreichen, funktioniert das Szenario im Artikel.

    Oder anders forumuliert: es funktioniert nur, wenn derjenige, der die Sicherheit überprüfen soll, alles falsch macht, und nicht weiss, was Trust bei Keys ist, und dass man überprüfen muss, mit welchem Key signiert wurde, und ob das der originale Key von Tor ist.

    Arbeitet derjenige, der die Sicherheit prüft, korrekt, dann funktioniert es nicht wie im Artikel beschrieben. Deine Behauptung bleibt falsch.

  15. Re: Der Artikel ist voller Falschbehauptungen, da stimmen nicht mal die Fakten

    Autor: ahja 29.05.19 - 15:58

    Thunderbird geht nicht davon aus, dass du nicht der "Eigentümer" eines Accounts bist. Also ist Thunderbird für Vereinsaccounts unbenutzbar.

    Was ist, wenn ich mehrere Thunderbird Installationen habe und dann ein neues Postfach anlege? Dann habe ich zwei Private Keys für den neuen Account?

    So on...

  16. Re: signierte Software

    Autor: ahja 29.05.19 - 16:04

    fdik schrieb:
    --------------------------------------------------------------------------------
    > Oder anders forumuliert: es funktioniert nur, wenn derjenige, der die
    > Sicherheit überprüfen soll, alles falsch macht, und nicht weiss, was Trust
    > bei Keys ist, und dass man überprüfen muss, mit welchem Key signiert
    > wurde, und ob das der originale Key von Tor ist.
    >
    > Arbeitet derjenige, der die Sicherheit prüft, korrekt, dann funktioniert es
    > nicht wie im Artikel beschrieben. Deine Behauptung bleibt falsch.

    Und ich hatte das pretty easy so verstanden, dass sich 0815 dau dank Pep nicht mehr damit rumschlagen muss, was nun ein Fingerprint ist und was Trust bedeutet.

    So on...

  17. Re: signierte Software

    Autor: mtr (golem.de) 29.05.19 - 17:44

    Hallo vecirex,

    der Angriffsvektor bezieht sich nicht auf Paketsysteme, sondern auf vom Nutzer heruntergeladene und überprüfte Software. Insbesondere Nutzer, die Software regelmäßig herunterladen, werden den Schlüssel nur einmal überprüfen und anschließend davon ausgehen, dass sie den richtigen Schlüssel im Schlüsselspeicher haben. Sie dürften der falschen Signatur eines durch Pep automatisch angenommenen Schlüssels vertrauen, ohne Fingerprint oder Key-ID erneut zu überprüfen. So kann Pep zum Sicherheitsproblem werden. Eine Software wie Nextcloud, die regelmäßig aktualisiert werden muss, ist vielleicht das bessere Beispiel.

    Viele Grüße
    Moritz

  18. Re: Die nächste Unwahrheit im Artikel: signierte Software

    Autor: Avarion 29.05.19 - 19:02

    Nur benutzt kaum jemand der sich mit PGP auskennt noch Keyserver. Zumindest nicht in meinem Bekanntenkreis. Dazu ist einfach schon zu sehr bekannt wie leicht sich dort unter falschem Namen Keys hinterlegen lassen.

  19. Re: signierte Software

    Autor: user6845 29.05.19 - 21:24

    > mittels Trust on First Use

    = DOS-Angriff

  20. Re: Der Artikel ist voller Falschbehauptungen, da stimmen nicht mal die Fakten

    Autor: user6845 29.05.19 - 21:36

    fdik schrieb:
    --------------------------------------------------------------------------------
    > Die Unwahrheit zu behaupten und sachlich falsch darzustellen ist allerdings
    > nicht in Ordnung. Falls das jemand von der Redaktion liest, es wäre nett,
    > der Artikel würde korrigiert werden – allerdings an praktisch allen
    > Stellen, wo's um Fakten geht.
    >

    Als 15 Jahre Nutzer von PGP muss ich sagen, das ich dem Autor leider aus ganzem Herzen zustimmen muss.
    Ich habe sehr viel verwendet und getestet, Ihr Ansatz ist zu begrüßen, leider MUSS der Benutzer immer die Kontrolle haben, d.h.:

    1) Keine Auto-Key-Generierung, aber gerne ein Fenster: Neuer Account, möchten Sie PGP-Key erstellen.
    2) Annahme von Keys: Kein Auto-Accept! Besser: Ihr Partner verwendet PGP, möchten Sie seinen Schlüssel importieren? (Ja / Nein / Key Blockieren)
    3) Verschlüsselung des Betreffs: NEIN!!! Auf Clients ohne Schlüssel möchte ich wissen worum es geht. Wer dort Daten leakt, ist selbst schuld! Betreff ist nur, worum geht es. Im Zweifel: "Siehe Mail" ;-)
    4) Trust on First Use : Kann nur vom Benutzer entschieden werden! Sonst DOS: Ich schicke allen meinen Leuten nen Key für support@... .de und schon ist dieser Empfänger gestorben, weil er nur noch verschlüsselte mails bekommt, die er nicht lesen kann. Der Benutzer weiß, ob er nun zum ersten mal mit der richtigen Person Kontakt hat.


    Sehr gute Idee, aber Umsetzung immer mit Benutzer-Einbeziehung!
    Ohne Benutzerinteraktion -> CA! Siehe HTTPS ;-) Hier: SMIME

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt am Main
  2. BWI GmbH, Meckenheim
  3. DR. JOHANNES HEIDENHAIN GmbH, Traunreut (Raum Rosenheim)
  4. Schaltbau GmbH, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 33,95€
  2. 48,49€
  3. 4,32€
  4. 1,72€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Raumfahrt: Galileo-Satellitennavigation ist vollständig ausgefallen
Raumfahrt
Galileo-Satellitennavigation ist vollständig ausgefallen

Seit Donnerstag senden die Satelliten des Galileo-Systems keine Daten mehr an die Navigationssysteme. SAR-Notfallbenachrichtigungen sollen aber noch funktionieren. Offenbar ist ein Systemfehler in einer Bodenstation die Ursache. Nach fünf Tagen wurde die Störung behoben.


    Radeon RX 5700 (XT) im Test: AMDs günstige Navi-Karten sind auch super
    Radeon RX 5700 (XT) im Test
    AMDs günstige Navi-Karten sind auch super

    Die Radeon RX 5700 (XT) liefern nach einer Preissenkung vor dem Launch eine gute Leistung ab: Wer auf Hardware-Raytracing verzichten kann, erhält zwei empfehlenswerte Navi-Grafikkarten. Bei der Energie-Effizienz hapert es aber trotz moderner 7-nm-Technik immer noch etwas.
    Ein Test von Marc Sauter

    1. Navi 14 Radeon RX 5600 (XT) könnte 1.536 Shader haben
    2. Radeon RX 5700 (XT) AMD senkt Navi-Preise noch vor Launch
    3. AMD Freier Navi-Treiber in Mesa eingepflegt

    iPad OS im Test: Apple entdeckt den USB-Stick
    iPad OS im Test
    Apple entdeckt den USB-Stick

    Zusammen mit iOS 13 hat Apple eine eigene Version für seine iPads vorgestellt: iPad OS verbessert die Benutzung als Tablet tatsächlich, ein Notebook-Ersatz ist ein iPad Pro damit aber immer noch nicht. Apple bringt aber endlich Funktionen, die wir teilweise seit Jahren vermisst haben.
    Ein Test von Tobias Költzsch

    1. Tablets Apple bringt neues iPad Air und iPad Mini
    2. Eurasische Wirtschaftskommission Apple registriert sieben neue iPads
    3. Apple Es ändert sich einiges bei der App-Entwicklung für das iPad

    1. Windows 10: Windows-Defender-Dateien werden als fehlerhaft erkannt
      Windows 10
      Windows-Defender-Dateien werden als fehlerhaft erkannt

      Der System File Checker in Windows 10 markiert neuerdings Dateien des Windows Defender als fehlerhaft. Der Bug ist auch Microsoft bekannt. Das Problem: Die neue Version des Defenders verändert im Installationsimage verankerte Dateien. Der Hersteller will das mit einem Update von Windows 10 beheben.

    2. Keystone: Mechanische Tastatur passt Tastendruckpunkte den Nutzern an
      Keystone
      Mechanische Tastatur passt Tastendruckpunkte den Nutzern an

      Die auf Kickstarter finanzierte Keystone ist eine mechanische Tastatur mit Hall-Effekt-Schaltern. Diese können die Druckstärke registrieren. Eine Software ermöglicht es der Tastatur, das Tippverhalten der Nutzer zu analysieren und Druckpunkte entsprechend anzupassen.

    3. The Witcher: Erster Netflix-Trailer mit Geralt, Ciri, Triss und Striegen
      The Witcher
      Erster Netflix-Trailer mit Geralt, Ciri, Triss und Striegen

      Netflix stellt den ersten Trailer seiner Serie The Witcher vor. Henry Cavill als Geralt von Riva kämpft dabei gegen Monster und Menschen und verwendet Hexerzeichen, Pirouettenkampf und Zaubertränke. Einige Szenen erinnern an Passagen aus den Büchern.


    1. 13:00

    2. 12:30

    3. 11:57

    4. 17:52

    5. 15:50

    6. 15:24

    7. 15:01

    8. 14:19