Thread
Menü

unzureichender bzw. unvollständiger Artikel


20.11.2018 15:40 - Gestartet von Schattenschimmer
Zur Sicherheit der Daten gehört nicht nur die Übermittlung der Nachrichten, sondern auch die weitere Verwendung der Nutzerdaten durch die jeweilige App bzw. dem Anbieter. Dieser Aspekt würde hier völlig weggelassen, obwohl das der interessanteste Part ist.

Von der Logik her hat eine Ende-zu-Ende Verschlüsselung potentielle Sicherheitslöcher, wenn die Nachrichten an einem 2. Gerät gelesen werden können, da der Key irgendwo auf einem Server des Anbieters gespeichert oder relativ einfach reproduziert werden kann.

Zum Dritten wäre der juristische Aspekt interessant. Vor allem WhatsApp überschreitet das ein oder andere Gesetz und müsste eigentlich verboten werden. Eigentlich.

Wie wäre es, diesen unvollständigen Artikel zu aktualisieren?
Denn mit echter Sicherheit hat dieser Artikel nichts zu tun!

Menü
[1] helmut-wk antwortet auf Schattenschimmer
22.11.2018 12:58
Benutzer Schattenschimmer schrieb:
Von der Logik her hat eine Ende-zu-Ende Verschlüsselung potentielle Sicherheitslöcher, wenn die Nachrichten an einem 2. Gerät gelesen werden können, da der Key irgendwo auf einem Server des Anbieters gespeichert oder relativ einfach reproduziert werden kann.

Es gibt auch die Möglichkeit, dass sich zwei Geräte über ihre "öffentlichen" Schlüssel (die nirgendwo hinterlegt sein müssen, also ggf. für das Gespräch neu erzeugt werden) einen gemeinsamen Schlüssel aushandeln, der nur ihnen bekannt ist. Die einzige Schwachstelle wäre, dass jemand sich als Gegenüber ausgibt, der nicht der gewünschte Gesprächspartner ist - was bei Kontakt per Händy her unwahrscheinlich ist.

https://de.wikipedia.org/wiki/Elgamal-Verschl%C3%BCsselungsverfahren

Aber es wäre sicher interessant zu erfahren, wie die Verschlüsselung bei den Messengern genau funktioniert, das hab ich dem Artikel auch nicht entnehmen können.

Zum Dritten wäre der juristische Aspekt interessant. Vor allem WhatsApp überschreitet das ein oder andere Gesetz und müsste eigentlich verboten werden. Eigentlich.

An welche Gesetze denkst du konkret?
Menü
[1.1] Schattenschimmer antwortet auf helmut-wk
22.11.2018 19:43
1. Teil - Verschlüsselung
Bei den Schlüsseln ist mir im Text ein Fehler unterlaufen: Es sollte "von dritten heißen", nicht "zweiten".
Damit meine ich z.B. den Zugang per Browser oder die Neu-Installation auf einem neuen Gerät.
Beim Browserzugang werden die Nachrichten z.T. gespiegelt. Demnach liegt der Schlüssel irgendwo oder kann anhand der Zugangsdaten generiert werden.
Bei einer Neuinstallation können die alten Nachrichten wiederhergestellt werden. Auch hier muß dann der Schlüssel irgendwo liegen oder wird anhand der Zugangsdaten generiert/wiederhergestellt. Mal abgesehen davon, daß die Daten irgendwo im www gespeichert werden müssen, um sie wieder laden zu können.
Aus meiner Sicht sind das potentielle Sicherheitslücken.
Oder möchte irgendwer seine Hände dafür ins Feuer legen, daß Whatsapp nicht doch in die Nachrichten schauen kann (denkbar über einen weiteren Key) oder daß die Daten nicht lesbar irgendwo liegen und auf einen Hacker warten?

Hier sehe ich eine höhere Sicherheit bei z.B. Threema:
1. Nachrichten können nur auf einem Gerät angezeigt werden, eine "Spiegelung" ist nicht möglich. Ich kann mir gut vorstellen, daß diese Einschränkung der Sicherheit geschuldet ist.
2. Bei einer Neuinstallation kann der alte Account (mit oder ohne Nachrichten) nur wiederhergestellt werden, wenn man selber eine Datensicherung angelegt hat. Auch dies dürfte der Sicherheit (dem Verschlüsselungskey) geschuldet sein, der nicht regeneriert werden kann.

Sollte ich falsch liegen, dann lasse ich mich gerne eines Besseren belehren. :)
Menü
[1.1.1] Schattenschimmer antwortet auf Schattenschimmer
22.11.2018 20:08
2. Whatsapp und die Gesetze
Ich bin kein Jurist, daher hier nur meine Ansichten aus meinem laienhaften Verständnis heraus.

Seit Jahren (vor der DSGVO) verstößt gegen das Grundrecht auf informalle Selbstbestimmung, da sämtliche Kontaktdaten bei der Installation (und auch später) zum Server überträgt. Das Bundesverfassungsgericht hat dies aus dem allgemeinen Persönlichkeitsrecht im Grundgesetzt (Art. 1 und 2) hergeleitet:
https://www.grundrechteschutz.de/gg/recht-auf-informationelle-selbstbestimmung-272

Das Amtsgericht Bad Hersfeld hat zu Whatsapp ein interessantes Urteil gefällt:
http://www.lareda.hessenrecht.hessen.de/lexsoft/default/hessenrecht_lareda.html#docid:7876045

In diesem Punkt verstößt Whatsapp gegen Art.2 §2 DSGVO, sofern es keine private Nutzung ist.

Weiterhin verstößt Whatsapp gegen Art. 15 DSGVO (Auskunftsrecht der betroffenen Personen). Bei mir hat der Support von Whatsapp mehrfach freundlich auf die Funktion in der App hingewiesen (Warum dauert das eigentlich drei Tage???), diese Auskunft ist jedoch nicht erschöpfend. Weiterführende Anfragen ignoriert Whatsapp - mehrfach!

Art. 17 DSGVO (Recht auf Löschung)
Ich glaube nicht, daß Whatsapp Daten von Benutzern, dessen Daten gelöscht werden sollen, wirklich löscht bzw. immer wieder löscht, wenn ein anderer Benutzer wiedermal die Kontaktdaten unfreiwillig auf den Server überträgt.

Art. 18 DSGVO (Einschränkung auf Verarbeitung)
Siehe oben, zu Artikel 17, das wird bei Whatsapp ähnlich gehändelt werden.

Im übrigen gibt es viele Beschwerden über Whatsapp, gerade wegen der Weiterverarbeitung von Daten. Oder Berichte von Juristen, die darlegen, daß Whatsapp im Grunde illegal ist. Das Netz ist voll davon.....

Wie gesagt, daß ist nur meine Meinung als Laie und davon auch nur ein Auszug. Es gibt noch mehr Punkte gegen Whatsapp oder Gesetze, gegen die Whatsapp verstößt. Das Netz ist voll davon....einfach mal googeln, das ist absolut interessant.

Auch hier lasse ich mich gerne eines besseren belehren, wenn ich falsch liegen sollte.

@teltarif:
Wie wäre es, bei den Messengern den juristischen Aspekt zu durchleuchten?
Welcher Messenger ist legal? Gibt es überhaupt legale Messenger?
Oder die Frage, bei welchem Messenger meine Daten am sichersten sind?
Menü
[1.1.1.1] helmut-wk antwortet auf Schattenschimmer
22.11.2018 21:05
Benutzer Schattenschimmer schrieb:

Ja, das war interessant. Leider bin ich auch zu wenig Jurist, um die Punkte alle richtig bewerten zu können.

Und noch ne Kleinigkeit:
....einfach mal googeln, das ist absolut interessant.

Ich bin doch nicht verrückt und vertrau Google meine Suchanfragen an! Wenn du schon Wert auf Datenschutz legst, solltest du mindestens startpage zwischen dir und Google setzen, oder ganz auf eine andere Suchmaschine umsteigen.

Ich wette, du nutzt auch Google maps und keine Alternative ...
Menü
[1.1.1.1.1] Schattenschimmer antwortet auf helmut-wk
22.11.2018 21:33
Wette verloren ;)
Ich nutze Google schon eine ganze Weile nicht mehr, aber das Verb googeln hat sich halt eingebürgert.
Bingen klingt komisch, fireballen ist kaum besser und duckduckgoen noch komischer..... ;)))
Menü
[1.1.1.1.1.1] helmut-wk antwortet auf Schattenschimmer
24.11.2018 15:18
Benutzer Schattenschimmer schrieb:
Wette verloren ;)

Ups, Pech gehabt.

Bingen klingt komisch, fireballen ist kaum besser und duckduckgoen noch komischer..... ;)))

LOL

Ich sag auch nie "startpagen" ... aber vermeide auch das Wort googeln.
Menü
[1.1.2] helmut-wk antwortet auf Schattenschimmer
22.11.2018 20:50
Benutzer Schattenschimmer schrieb:
1. Teil - Verschlüsselung Bei den Schlüsseln ist mir im Text ein Fehler unterlaufen: Es sollte "von dritten heißen", nicht "zweiten".
Damit meine ich z.B. den Zugang per Browser oder die Neu-Installation auf einem neuen Gerät.
Beim Browserzugang werden die Nachrichten z.T. gespiegelt. Demnach liegt der Schlüssel irgendwo oder kann anhand der Zugangsdaten generiert werden.

Ich habe "End-to end" bisher immer so verstanden, dass der Absender verschlüsselt, der Vermittler (also z.B. der Server eines Managers) keine Ahnung hat, was drin steht, und der Empfänger entschlüsselt. Verschlüsselter Speicherung ist für meine Begriffe ein anderes Thema.

Aber klar, wenn der Empfänger die übermittelte Nachricht auf dem Messenger-Server lassen will, dann muss sie dort verschlüsselt sein ...
Menü
[1.1.2.1] Schattenschimmer antwortet auf helmut-wk
22.11.2018 20:55
Ich stimme im Grunde zu.

Nur frage ich mich, wie dann bei einer Neuinstallation die alten Nachrichten wieder hergestellt werden?
Oder wie werden die Nachrichten auf einem weiteren Gerät gespiegelt?

So sicher kann die Verschlüsselung dann meines Erachtens nicht sein....