Aktion 23 Fnorum

Bwana Honolulu hat geschrieben:Oh, super, sämtliche eMail-Verschlüssellung hat Sicherheitslücken.

efail hat geschrieben:Because of the specifics of the CBC mode of operation, an attacker can precisely modify plaintext blocks if she knows the plaintext. S/MIME encrypted emails usually start with "Content-type: multipart/signed" so the attacker knows at least one full block of plaintext as shown in (a).

ich verstehe ehrlich gesagt nicht, warum man nicht hier ansetzt. Dann sollte man doch die email eben anders beginnen, zum beispiel mit irgendeinem Kommentar.

fehlgeleitet hat geschrieben:ich verstehe ehrlich gesagt nicht, warum man nicht hier ansetzt.

Wer sagt denn, daß das nicht getan werden wird? So 'nen Standard ändert man nur halt nicht "mal eben", das ist eine längerfristige Lösung.

entwarnung: https://blog.fefe.de/?ts=a4076a8a

Daß Enigmail 2.x nicht betroffen ist, hatte ich auch schon gelesen. Der Rest ist mal wieder fefe, also mit Vorsicht zu genießen von wegen "Heise besteht ja gefühlt auch nur noch aus Spectre-Geraune. Kommt mal bitte alle wieder runter.". Fand übrigens auch diesen Twitterthread interessant, der die "Entwarnung", die fefe da zitiert hat, kritisiert.

Hab' dazu auch noch ein Statement von ProtonMail (via) und diesen Artikel, der kontroverse Meinungen dazu beleuchtet, entdeckt.

Ach ja, und zu Thunderbird/Enigmail noch diesen Kommentar.

Ich verstehe auch nicht die missverständlichen Empfehlungen von EFF & Co., die alle danach klingen, als sei PGP prinzipiell kaputt und man sei besser dran, es zu deinstallieren und nicht mehr zu nutzen. Das verunsichert die Leute total und schreckt sie davon ab, Verschlüsselung zu nutzen.

Totales Kuddelmuddel und Drama im Netz zu dem Thema. Der Überblick von heise scheint mir ganz brauchbar. Bei der SZ wird's noch mal ein bißchen mehr für Laien erklärt. BSI & Co. geben Verhaltenstips. Und generell werden irgendwelche Schwarzen Peter verteilt.

Oh, auch nicht so schön (also, aus Krypto-Sicht):

Ars Technica hat geschrieben:Police in the Netherlands said they decrypted more than 258,000 messages sent using IronChat, an app billed as providing end-to-end encryption that was endorsed by National Security Agency leaker Edward Snowden.

[...]

Tuesday’s statement didn’t say how investigators were able to decrypt the IronChat communications. While police said they were able to discover the server used to send the encrypted messages and eventually take it offline, that alone shouldn’t be enough to read communications that are truly end-to-end encrypted.

[...]

An article published by Dutch public broadcaster NOS said a version of the IronChat app it investigated suffered a variety of potentially serious weaknesses. Key among them: warning messages that notified users when their contacts’ encryption keys had changed were easy to overlook because they were provided in a font much smaller than the rest of the conversation. While crypto keys often change for legitimate reasons, such as when someone obtains a new phone, a new key might also be a sign a third party is trying to intercept the communications by encrypting them with a key it controls.

[...]

The IronChat app, Schellevis reported, also failed to automatically check if the server it used to exchange messages with other users was the correct one. A panic-button feature, which was supposed to let users instantly delete messages, was also practically useless, the article said, citing a tweet from privacy researcher Floor Terra.

Bei heise gibt#s dazu auch 'nen deutschen Artikel, aber mit weniger Details.

Bwana Honolulu hat geschrieben:Gerade hier gelesen: Es gibt wohl mittlerweile noch ein neues Verschlüsselungssystem für Jabber namens OMEMO, das die Vorteile der bestehenden Verschlüsselungslösungen OTR (Perfect Forward Security und glaubhafte Abstreitbarkeit) und OpenPGP (Verschlüsselung auch von Offline-Nachrichten) kombiniert. Das Ding basiert wohl auf letztendlich auf der Verschlüsselung von Signal, die als ziemlich gut gilt.

So, mittlerweile hab' ich auf meinem Händy Conversations installiert (Open Source und gratis, wenn man's über F-Droid bezieht statt über Google Play) und mir einen neuen Account auf dem Jabber-Server des Chaos Computer Clubs angelegt (also jabber.ccc.de), mit dem das alles gratis nutzbar sein sollte (der Server von Conversations kostet ja leider, also würden auch wieder Bezahldaten etc. durch's Netz fliegen)...

So, mittlerweile sind wir schon zwei, die Conversations nutzen, nämlich Xerxes und ich. Es ist aber unter Android eigentlich gar nicht so schwer einzurichten, und die Bedienung ist letztendlich nicht viel anders als bei WhatsApp oder Signal. Es wird halt nur etwas kniffliger, wenn man es nicht für 2,39€ bei Google Play kaufen und dann noch 8€/Jahr für den Serveraccount latzen will. OK, ehrlich gesagt stört mich der Preis weniger, und sobald ich wieder ein regelmäßiges Einkommen habe, werde ich schauen, daß ich dem Projekt was spenden kann. Ich will nur keinen Google Play Store nutzen und mich auch nicht monetär binden, wenn ich nicht muss. Was ihr macht, bleibt euch überlassen.

Also, hier 'ne kurze Anleitung:

1. F-Droid
Um Google Play zu umgehen, solltet ihr idealerweise F-Droid auf eurem Händy installiert haben. F-Droid ist eine Art alternativer Appstore für gratis verfügbare Open Source-Apps.
Generell müsst ihr, um Apps zu installieren, die nicht aus dem Play Store kommen, die entsprechenden Rechte freischalten. In der Regel findet ihr diese Rechte unter Einstellungen / Apps & Benachrichtigungen / Erweitert / Spezieller Zugriff / Unbek. Apps installieren. Da ihr F-Droid aus dem Browser installiert, müsst ihr hier zuerst dem Browser die entsprechenden Rechte geben (und später wieder wegnehmen). Ältere Händys haben nur die Möglichkeit, das Installieren von Apps außerhalb des Play Stores generell zuzulassen unter Einstellungen / Sicherheit / Unbekannte Quellen.

Jetzt könnt ihr die F-Droid-Homepage ansteuern und F-Droid herunterladen und installieren. Danach solltet ihr dem Browser die Rechte wieder wegnehmen, aber sie F-Droid dafür geben.

2. Conversations-Client
Jetzt, da ihr F-Droid installiert haben, könnt ihr euch den Conversations-Client dort gratis herunterladen. Es gibt dort ein paar ähnliche Clients wie bzw. Nebenentwicklungen (Forks) von Conversations, aber der eigentliche Client ist dieser hier hier von Daniel Gultsch.

Installiert den Client auf euer Händy, aber wenn ihr einen Account einrichten sollt (für 8€/Jahr), dann wählt die Option Nutze eigenen Provider. Hier könnt ihr entweder einen bestehenden Jabber-/XMPP-Account auf einem anderen Server nutzen (sofern ihr schon einen Account habt), oder einen neuen Account anlegen. Der Server muss lediglich ein paar bestimmte XMPP-Erweiterungen unterstützen... wenn ihr euch damit nicht beschäftigen wollt, nehmt einfach den Server vom CCC (jabber.ccc.de) oder einfach jabber.de, die funktionieren beide.

Ich werd' die Anleitung später ggf. noch ergänzen und bebildern.

Tja, WhatsApp ist damit offiziell Kernschrott:

Forbes hat geschrieben:[...] Facebook announced earlier this year preliminary results from its efforts to move a global mass surveillance infrastructure directly onto users’ devices where it can bypass the protections of end-to-end encryption.

In Facebook’s vision, the actual end-to-end encryption client itself such as WhatsApp will include embedded content moderation and blacklist filtering algorithms. These algorithms will be continually updated from a central cloud service, but will run locally on the user’s device, scanning each cleartext message before it is sent and each encrypted message after it is decrypted.

[...]

habs direkt deinstalliert, danke für den hinweis.