Der *Gläserne Mensch* Sammelthread

Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ich habe mir vor drei Jahren ein digitales Zertifikat bei http://trustcenter.de/ geholt. Da gibt es ein kostenloses Angebot für Einsteiger und das Teil ist dann 1 Jahr gültig. Nachdem Jahr bekommt man dann eine Mail und kann sich ein neues Zertifikat ausstellen lassen. Soweit so gut. Ich hab also fleißig angefangen zu signieren (das zeigt dem Leser, dass diese Nachricht von mir kommt und auf dem weg zu ihm nicht verändert wurde. signieren bedeutet aber nicht, dass die Nachricht verschlüsselt).
Probleme folgten dann prompt ein bekannter der bei einem großen deutschen Telekommunikationsunternehmen arbeitet konnte meine Mails nicht lesen (obwohl sie nur signiert waren und nicht verschlüsselt).
Jede Menge Freunde haben mich gefragt was es ist. ich habe hinterher sogar in meinen Mails extra einen Erklärungstext eingefügt. Trotzdem wurde ich oft gefragt was das denn für eine Datei ist die ich da an gehangen habe (öffentlicher Schlüssel und sig).

Letztendlich habe ich resigniert und signiere jetzt nix mehr.

Bei pgp ist halt der Beigeschmack, dass man fast nie 100%tig weiß ob der Schlüssel den man da bekommen hat auch der Person gehört oder ob da noch jemand dazwischen sitzt und die Mail neu verschlüsselt und signiert und man selbst nix davon mit bekommt (man in the middle).
sicher wäre es nur wenn man die Schlüssel nur höchst persönlich bei dem jenigen vorbei bringt mit dem man kommunizieren möchte. oder wenn es eine Instanz im Netz geben würde der man vertrauen kann.

Und zum Thema Schlüssel generieren und installieren ist doch nicht so schwer und das bekommt doch jeder hin...
der normale forumdeluxx User wird es wahrscheinlich noch hin bekommen. aber im Netz tummeln sich so viele Leute die es nicht mal hin bekommen eine schritt für schritt Anleitung mit hunderten von Screenshots richtig abzuarbeiten. wenn die anfangen zu verschlüsseln und zu signieren geht das bestimmt in die Hose.

kommen wir jetzt zum gläsernen User. Da muss ich gleich mal gestehen, dass ich auch einer von denen bin die da nicht so drauf achten (wahrscheinlich aber noch mehr als viele andere).
Hab mich aber auch schon das ein oder andere mal mit dem Thema beschäftigt und bin mir der gefahren durchaus bewusst.

Anonymisiert surfen hat für mich derzeit noch zu viele Nachteile. Bis vor ca einem Monat dachte ich eigentlich in meinem Freundeskreis würde das keiner machen, aber ich wurde eines besseren belehrt. Die Mutter eines Freundes hat doch glatt auf dem Familien Rechner Steganos installiert. Und befindet sich in einem Wahn, dass sie überall ausspioniert wird. Eigentlich ein vorbildliches verhalten aber der alte Win98 Rechner direkt am Netz ohne Router mit Personal Firewall, Virenpacket usw. vermittelt einem nicht gerade Geschwindigkeitskomfort. Zweifel ob das ganze mit win98 überhaupt sinnvoll ist seien mal dahin gestellt.

Hoffe die Diskussion hier geht noch ein wenig weiter.
 
hackemaier schrieb:
[...]
Hoffe die Diskussion hier geht noch ein wenig weiter.
Zum Vergrößern anklicken....
Hoffe ich auch :)

Wegen PGP und Co.:
Ich hab mir immer noch nicht nen Schlüssel mit PGP gemacht. Warum? Hmm, naja alles geschäftliche wird halt immer noch nicht verschlüsselt. Ob es Support anfragen sind (z.B. AMD) oder einfach nur ne Frage wegen Produkten im Olineshop oder Bewerbungen um eine Arbeitstelle…Alles wird nicht verschlüsselt. Das bedeutet dann dass es ingrunde alles sinnfrei ist.

Wenn ich einen Brief schreibe um mich irgendwo zu bewerben, dann kommt das in einen Umschlag und wird dann per Post abgeschickt. Aber im Internet?? Das ist dort nicht möglich, weil erstmal der E-Mail Empfänger von der Firma meine Public-Key braucht um meine Mail zu lesen. Und mal ehrlich: Wer macht sich da die mühe, von den jeniege die die Mail kriegen, oder unterstützen das? Keiner.

Oder ein anderes Beispiel: Die monatliche Abrechnung für die Internet- und Telefongebühren per E-Mail. Genau das gleiche, alles unverschlüsselt :hmm: GErade solche sachen wie abrechnungen sollten privat bleiben…

Ich sehe dadurch kein Verwendung für PGP, weil es ehe keiner nutzt wo es drauf ankommt…
 
Zuletzt bearbeitet:
hackemaier schrieb:
Bei pgp ist halt der Beigeschmack, dass man fast nie 100%tig weiß ob der Schlüssel den man da bekommen hat auch der Person gehört oder ob da noch jemand dazwischen sitzt und die Mail neu verschlüsselt und signiert und man selbst nix davon mit bekommt (man in the middle).
sicher wäre es nur wenn man die Schlüssel nur höchst persönlich bei dem jenigen vorbei bringt mit dem man kommunizieren möchte. oder wenn es eine Instanz im Netz geben würde der man vertrauen kann.
Zum Vergrößern anklicken....
Sicherlich kann man eine 'man in the middle' Attacke nicht vollstaendig ausschliessen, aber man kann sie erschweren. Zum einen gibt es diese vertrauenswuerde Instanzen im Netz. Die Keyringserver zum Beispiel. Dort kann jeder seinen oeffentlichen Schluessel hochladen mit der dazugehoerigen Emailadressen und einem Verfallsdatum. Um den Key zu verifizieren kann man Ihn von dritten signieren lassen. Dies steht dann alles bei dem Key auf dem Server und schafft eine gewisse Vertauensbasis.
Zum anderen kann man, wenn man eine Mail einen anderen schreibt, diese Mail mit dem persoenlichen Key signieren und mit dem oeffentlichen Key ders Empaengers verschluesseln. So ist es fuer einen 'man in the middle' schwierig die Mail abzufangen, zu veraendern und weiterzuleiten.

xtra9 schrieb:
Ich sehe dadurch kein Verwendung für PGP, weil es ehe keiner nutzt wo es drauf ankommt…
Zum Vergrößern anklicken....
Das ist IMHO die falsche Einstellung. Wenn alle darauf warten das es sich durchsetzt passiert _nichts_ und alles bleibt so wie es ist. Wenn man moechte dass sich dies aendert muss man schon mit gutem Beispiel vorrangehen und anderen zeigen wie es funktioniert und warum es Sinn macht.
 
@catch22

Ich gebe dir in fast allen punkten recht. Aber man sollte halt auch die Schwachstellen sehen und die Man in the Middle Attacke ist halt ein Problem das es bei vielen asymetrischen Verschlüsselungsverfahren gibt.

catch22 schrieb:
Zum anderen kann man, wenn man eine Mail einen anderen schreibt, diese Mail mit dem persoenlichen Key signieren und mit dem oeffentlichen Key ders Empaengers verschluesseln. So ist es fuer einen 'man in the middle' schwierig die Mail abzufangen, zu veraendern und weiterzuleiten.
Zum Vergrößern anklicken....
Wenn die schlüssel einmal ausgetauscht sind wars das mit der Man in the Middle Attacke, aber was ist wenn sie genau im Moment der ersten schlüssel übertragung statt findet?


Das mit den vertrauenwürdigen Instanzen ist schon nicht schlecht, aber ein wirkliches Problem bei PGP besteht noch im zurück nehmen eines Schlüssels. Sei es weil er kompromitiert wurde oder weil man einfach den privaten Schlüssel verloren hat. Bei ersterem kann man seinen Schlüssel dann noch für nichtig erklären, bei letzterem kann man soweit ich weiss so gut wie nichts mehr machen der Schlüssel bleibt besthen und man macht sich zusätzlich halt einen neuen, weil man einen Schlüssel ja nur mit Hilfe seines pirvaten Schlüssels für nichtig erklären kann (sollte das was ich gerade geschrieben habe falsch sein korrigier mich bitte, bin mir da nicht mehr so sicher).

Ich finde vom gedanken her das verfahren mit den digitalen Zertifikaten auf der einen seite besser gelöst auf der anderen Seite stört mich aber auch genau das.
Ich finde Sachen die alleine funktionieren ohne einen Staat, eine Firma, einen Verein oder so eigentlich immer wesentlich angenehmer als solche die kontrolliert werden. Ein plus für pgp, wenn das Problem was ich weiter oben beschrieben habe nicht wäre.
Und genau das ist halt bei den digitalen Zertifikaten besser geregelt.

Zum Thema Unternehmen...
Die sind glaube ich mehr damit beschäfftigt ihren internen Datenfluss zu verschlüsseln als den externen. Hab das jetzt schon von mehreren grossen gehört und Frage mich da auch nach dem Sinn.
 
catch22 schrieb:
[...]
Das ist IMHO die falsche Einstellung. Wenn alle darauf warten das es sich durchsetzt passiert _nichts_ und alles bleibt so wie es ist. Wenn man moechte dass sich dies aendert muss man schon mit gutem Beispiel vorrangehen und anderen zeigen wie es funktioniert und warum es Sinn macht.
Zum Vergrößern anklicken....
Da gebe ich dir auch absolut Recht. Das Problem da sich sehe ist folgendes.

Aber erstmal…: Es geht ja nicht darum jetzt seine Freunde/Kollegen zu überzeugen PGP zu nutzen. Das ist ja kein Thema und schnell gemacht, wenn man ihnen zeigt wie das Funktioniert und wie leicht es einzurichten ist. Da stimme ich noch mit dir überein, was die Aussage "mit guten beispiele voran gehen" anbelangt.

Da wo es drauf ankommt: Da wo wirklich eine Verschlüsselung angebracht ist, wird es aber nicht unterstützt (wie ich schon schrieb). Das sind zum Beispiel die monatlichen Abrechnungen für den Telefonanschluss, Internetanschluss oder sonstige Leistung die man Zahlt und als Abrechnung per E-Mail anfordert bzw. automatisch kriegt.

Wie soll man da jetzt mit guten Beispiel vorangehen und z.B. die angestellten von T-Com davon zu überzeugen, das die ab sofort alles verschlüsselt zu einen schicken? Die sind auch "nur" angestellte und machen das was ihnen der Chef sagt und würden NIE Mehraufwand betreiben als sie müssen (ob sie dürfen ist auch noch eine berechtigte Frage!). Das heißt, wenn ich jetzt die Damen und Herren anschreiben würde "Schicken sie mir ab sofort alle Rechnungen die RSA verschlüsselt sind. Meinen Public-Key finden sie auf den Servern XYZ, lassen sie mir ihren zu kommen damit ich gegebenenfalls antworten kann…" würde ich nur ein müdes lächeln ernten. Ist ja auch irgendwie nachvollziehbar, den _wieso_ sollten die ausgerechnet meinen Wünschen entsprechen, wo doch von der Oberen Chef-Etage keine solche Vorgehensweise beschlossen wurde (?).

Oder einfach eine simple Bewerbung die auf nicht elektronischen wegen in nem Briefumschlag wandert. Per E-Mail muss das auch unverschlüsselt geschehen, damit die Gegenstelle nichts kryptisches kriegt. Da kann man auch schlecht eine E-Mail vorher schreiben in der man bitte, sich seinen PK runterzuladen und den PK vom Empfänger anfordert. Ich will ja schließlich was von denen, und zwar mich um nen _job_ bewerben, und die nicht von mir.

FAZIT:
Deine absichten in allen ehren, aber als einzelner User ist so was wie von dir gedacht nicht zu bewerkstelligen. Das muss von gesetzlicher Seite aus beschlossen werden, in dem zum Beispiel ein neuer § eingeführt wird, in dem es heißt das alle Firmen dazu verpflichtet sind, zusätzlich anzubieten das die E-Mails für Abrechnungen, etc (also alle Sachen wo es wirklich auf Privatsphäre drauf ankommt) mit RSA verschlüsselt werden! Anders sehe ich keine Hoffnung meine Monatlichen Abrechungen verschlüsselt zu kriegen ;)

PMs landen im Forum unverschlüsselt in die DB:
Und jetzt mal zu vBulletin der Forensoftware von Hardwareluxx und Co. Oder phpBB etc.

Catch, bist du dir eigentlich bewusst, das jeder PM verkehr über HWL oder einem anderen Forum nicht verschlüsselt ist und ohne weitere Probleme JEDE PM von administrativer Seite aus gelesen werden kann?? Was sagst du den dazu? Jede PM die ich hier abschicke landet unverschlüsselt in der Datenbank, die man zum Beilspiel mit phpMyAdmin auslesen kann.
Und zwar unter der Tabelle prefix_pmtext (prefix = das gewählte prefix bei der conf für jede tabelle in der DB für vBulletin). Selbst wenn du dann deine PM löscht bleibt sie weiterhin in der Datenbank enthalten.

Es sollte aber jeden klar sein, dass die Administration natürlich nicht die PMs ihrer User ohne berechtigte gründe liest und das nur geschieht wen gegen die Regeln in der PM verstoßen werde und diese PMs vorher gemeldet wurden! Es ist sogar notwendig das die Administration ungehinderten Zugriff auf die PMs hatt, damit nicht ein Wort (z.B. vom Moderator ;)) gegen das andere (eines Normalen Users) steht!! Im Zweifelsfall, kann anhand der Tabelle, prefix_pmtext in der DB, immer genau nachvollzogen werden ob der Moderator oder der User einen nun scheiße erzählt! Also in dem fall ist es eine Sinnvolle Sache, das die PMs nicht verschlüsselt werden.

LG Xtra9

P.S.: Würde mich über weitere Diskussionen zum Thema "gläserner Mensch" freuen :) Also läute macht mit, sonst habt ihr ja auch zu jeden Thema was zu sagen ;)
 
Anmelden, um zu antworten.

Ähnliche Themen

K
Neuer PC für ca. 3.500 Euro gesucht
Antworten
29
Aufrufe
1K
Scrush
Scrush
SimonS
[User-Review] MSI MPG 271QRXDE QD-OLED im User-Review - Was kann der OLED 360Hz Gaming Monitor?
Antworten
0
Aufrufe
355
SimonS
SimonS
C
Gaming PC konfigurieren und anschließend kaufen
2
Antworten
36
Aufrufe
2K
zog88
zog88
Shutterfly
  • Artikel
[User-Review] LG gram 16 pro: 16 Zoll Notebook mit Intel Core Ultra 7 Prozessor, 32 GB LPDDR5x RAM, 2 TB SSD und 77-WH-Akku (16Z90SP-G.AD7BG)
Antworten
3
Aufrufe
843
Shutterfly
Shutterfly
D
[User-Review] MSI MAG 274UPFDE Lesertest
Antworten
2
Aufrufe
1K
coldcore
C
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh