konsequent - aber im Rechenzentrum unverschlüsselt

posteo.de verschlüsselt die Serverseite, aber was nutzt es, wenn die Emails unverschlüsselt durchs All schweben?

Benutzer Maeusepitter schrieb:

Deshalb nutzen ja auch ziemlich viele Provider seit Jahren SSL/TLS für den Weitertransport der Mails - etwa auch Posteo oder JPBerlin.

Immerhin reagieren Telekom, GMX und web.de jetzt endlich auf einen taz-Beitrag von vor wenigen Tagen (http://www.taz.de/!121011/). Ärgerlich nur, dass sie um die Einführung jahrealter Standards eine große PR-Kampagne basteln.

Benutzer IMHO schrieb:
Es heißt, dass die Mäil erst vom mit dem Kunden ausgehandelten SSL entschlüsselt werden muss, bevor sie mir dem des Geschäftspartner (TK bzw. UI) ausgehandelten SSL (oder wie auch immer) verschlüsselt werden kann.

Ob die auf der Festplatte der Rechner dann tatsächlich unverschlüsselt bleiben, bleibt abzuwarten.

Ich verstehe es nicht, was Du da schreibst.
Sorry, ich würde ja gerne darauf antworten.

Benutzer IMHO schrieb:
In einem Satz: es hat technische Gründe, dass die Mäil zwischendurch entschlüsselt wird.

Benutzer helmut-wk schrieb:


Soweit so gut. Und Redakteure die das auch verstanden haben halten deshalb (redaktionell) die Lanze für die End-zu-End-Verschlüsselung hoch.
Entweder man kann sich auf allen möglichen Geräten zwischendurch einloggen und muß sich auf die Integrität der Serververstandorte verlassen. ODER man hat End-zu-End-Verschlüsselung und braucht ein (möglicherweise mobiles) Endgerät das den privaten Schlüssel enthält. Wenn man seinen privaten Schlüssel in jedem Internetcafe in fremde PCs einsteckt hat man sich schnell einen Trojaner oder sonstwas eingefangen.
ABER die aktuelle Diskussion ging ja gerade darum, dass sich die NSA bei Google ganz offiziell (mit Geheimhaltungsverpflichtung) einloggt, und der britische Geheimdienst sogar Glasfaser abhört (wie oft habe ich zuvor gelesen, dass das nicht ginge).

Bei der gegenwärtigen Diskussion ist das Vertrauen in die Integrität der Rechenzentren abhanden gekommen. Und der aktuelle Fußnotenaustausch bezüglich Wirtschaftsspionage legt nahe, dass sich einige Profis mehr als bisher öffentlich bekannt auch für die Inhalte interessieren, nicht nur für die Verkehrsdaten.

Irgendwann wird ein neuer Geheimdienst in der Öffentlichkeit bekannt werden (ob es Tochterfirmen der NSA, des britischen oder der chinesischen Geheimdienstes sein werden ist doch wurscht).
Und die ganzen aktuellen Dementis erscheinen in neuem Licht als völlig aussagelos. Ja WIR hören niemanden in DIESEM Inland ab.
Die NSA macht nichts in USA und Frankfurt (De-CIX), der BND macht nix in USA, dafür in Afghanistan, und für Deutschland und USA ist der britische Dienst zuständig - haha.
Das sind miliardenschwere Organisationen, warum sollen die nicht in ein Rechenzentrum reinkommen können? Deshalb sind auf Vertrauen aufbauende Verschlüsselungen, die in Rechenzentren umformatiert werden nicht sicher, wenn es wirklich um was geht.

Benutzer IMHO schrieb:
Oder es wird eine direkte Verbindung vom Absender zum Empfänger vermittelt, damit die beiden einen Schlüssel aushandeln können. Nur das wäre nicht mehr e-Mäil, die ja abgeschickt werden kann, auch wenn der Empfänger gerade offline ist.

Die Aussage, dass das nicht geht, bezieht sich auf das Szenario, dass einer gegen den Willen des Netzbetreibers was abgreift. Eine Glasfaser kann nicht abgehört werden, denn die ist so, dass alles Licht 100%-ig drin bleibt, wer das ändert, schwächt das Signal. das am ende ankommt, nachhaltig oder erzeugt andere Effekte, die sich nachweisen lassen.

Jetzt ist es aber so, dass nicht alles Licht 100% gerade durch die Faser läuft (geht sowieso nicht, wenn die Faser gebogen ist ...), sondern mehr oder weniger lange minimale Umwege macht; und das, was mehr Umwege macht, braucht länger. Nach einigen Kilometer sind die Laufzeiten so weit auseinander, dass nur einen relative langsamere Baudrate drin ist - für hohe Übertragungsgeschwindigkeiten muss also das Signal aus der Glasfaser aus, und wieder in die nächste Glasfaser hinein - verstärkt und eben wieder so exakt digital wie am Anfang.

Bei solchen Repeatern kann im Prinzip das Signal abgegriffen werden - nur wenn der Repeater für so was nicht gebaut ist, geht das auch nicht. Allerdings lässt sich so einen Repeater ausstauschen bzw. von Anfang an ein geeignetes Gerät einsetzen.

Lange Rede kurzer Sinn: wenn die Mafia versuchen sollte, so ein Kabel abzuhören, sollte das auffallen, die kann das nicht ohne weiteres. Nur wenn die NSA das tut und das dem Kabelbetreiber auffällt, passiert nichts, weil das ja die Regierung tut (ggf. NSA gegen britische oder andere Behörden austauschen, damit der Satz stimmt).

Es ist bekannt, dass die USA die EU bei Verhandlungen mehr als einmal über den Tisch ziehen konnten, weil sie die (vertrauliche) Verhandlingstaktik der Europäer kannten, Nachrichten abgehört und von der NSA dekodiert. Es gibt Hinweise darauf, dass die NSA auch schon mal Beihilfe zur Wirtschaftsspionage für US-Firmen macht. Das war schon vor Snowdens Enthüllungen bekannt.

Die Politiker, die jetzt wichtige Verhandlungen (z.B. über die EU-US-Handelszone) anleiern, sollten eigentlich wissen, dass sie am besten damit warten, bis das, was Snowden & Co. sagen, restlos aufgeklärt ist. Aber offensichtlich ist das denen entweder egal oder so sehr "Neuland", dass sie das Problem nicht sehen.

Ne Mäil war schon immer wie eine Postkarte: außer der Empfangsadresse (bzw. bei Problemen auch die des Absenders) darf nix davon gelesen werden, bis die beim Empfänger gelandet ist - nur ob sich alle Briefträger etc. dran halten, weiß niemand. Die angekündigte Verschlüsselung sorgt dafür, dass Unbefugte (z.B. Datensammler für SPAM-Versender) Inhalt (und Absender+Empfänger!) der Mäil abgreifen können, aber "Befugte" kommen natürlich jederzeit daran, und wenn Mäils auf Servern herumliegen, sind sie so sicher wie der Server sicher vor Crackerangriffen ist. Was das bedeutet, haben wir in der Vergangenheit schon öfter erfahren können ...

Und dem großen Indianerehrenwort der USA, dass sie die Guten sind und nix Schlimmes machen, schon gar nicht gegen ihre Verbündete, trau ich auch nicht.

<
Stümmt. Und da selbst dann, wenn was verschlüsselt gespeichert ist, ja der Schlüssel auch irgendwo sein muss (und bei Mäil, die noch nicht beim Empfänger ist, muss der Schlüssel auch noch "unterwegs" sein, liegt also höchstwahrscheinlich auf einem Server der gleichen Firma), hilft nur private Verschlüsselung (PGP o.ä.).

Benutzer helmut-wk schrieb:

Und selbst da bin ich mittlerweile nicht mehr sicher, ob es nicht ein Hintertürchen für NSA und ähnliche gibt.
Aber zumindest wäre das die einzig wirklich annähernd sichere Variante.

Ansonsten traue ich weder GMX, Telekom, noch irgendeinem anderen Provider zu, dass sie bei irgendwelchen Anfragen von NSA & Co. nicht einknicken.

Benutzer Telebi schrieb:
Natürlich weiß niemand genau, was die NSA alles an geheimen Wissen hat.

Das in einen früheren Beitrag beschriebene Szenario, dass die NSA die Verschlüsselung der Europäer knacken konnte, kam daher, dass die NSA die differentielle Kryptanalyse entwickelt hatte, die erst Jahrzehnte später auch von nicht-geheimer Forschung entdeckt wurde. Theoretisch könnte die NSA also was wissen, mit dem PGP geknackt werden kann. Top secret Mathematik sozusagen.

Eine weitere theoretische Möglichkeit ist ein Quantencomputer mit vielen Qbits, was derzeit sich noch utopisch anhört. immerhin soll die NSA auch an dieser Front forschen ...

Realistischer ist, dass die "zufällige" Erzeugung von großen Primzahlen für einen neuen PGP-Schlüssel nicht so zufällig ist wie gedacht. Wenn die Zahl der potentiellen Schlüssel eingegrenzt werden kann oder sonst Eigenschaften vorausgesetzt werden dürfen, mit deren Hilfe ein Schlüssel geknackt werden kann, hilft es auch nicht, dass PGP theoretisch sicher ist. Es ist ja bekannt, dass Java-Zufallsgeneratoren zur Schlüsselerzeugung nicht geeignet sind.

Bei NSA mögen die hart bleiben (oder auch nicht), aber spätestens beim Verfassungsschutz werden sie alle benötigten Daten rausrücken.