Amateurfunk Forum - Archiv

Nur mal so OT, weil Du es angesprochen hast, Gerhard:

[quote]denn die e-mail Verschlüsselung mit mime und pgp wurden geknackt.[/quote]

Jede Verschlüsselung ist zu knacken, wenn man weiß, wie sie erstellt wird. Also gibt es von jeder Verschlüsselungsart mindestens einen, der weiß, wies geht - der weiß, auf welche Bits er schauen muß, um hinter den Schlüssel zu kommen Da kann soviel Zufall dabei sein, wie er will: Maschinen erstellen die Codes und die sind berechenbar, weil wir ihnen das Rechnen erst beibringen...

Vor Kurzem konnte sich noch keiner vorstellen, daß 2048 Bit SSL geknackt werden könnte. Es wird heute schon 4096 beworben, weil die 2048 teilweise schon gezielt mitgelesen werden! Das sind alles Hindernisse, jedoch wird sich die Spirale immer weiter nach oben drehen.

Nichts desto trotz ist SSL noch die leichteste Hürde bei diesem Datenschutzgewusel. Nach einiger Recherche und Nachfragen scheint man in so einem Hobbyforum noch mit einer vereinfachten Datenschutzerklärung (Baukasten/Muster z.B. Ju*aForum!) tatsächlich auszukommen. Solange kein Kommerz dahinter steckt (also auch keine Werbelinks, Fratzenbuch, Zwitscher u.ä., denn das ist bereits die Weitergabe von Daten!). Problem ist halt nur die Userabfrage. Die könnte man bei einem Login zwischenschalten, denke ich. Der Begrüßungsbildschirm mit der DS-Erklärung - nur nicht zeitgesteuert, sondern per Mausklick - könnte das erstmal erledigen.

Bei phpBB läßt sich das doch meine ich entsprechend einstellen, ob Zeit oder Maus?! Ist sehr lange her ....

Nur so zur Info, ich habe heute eine E-Mail von AgriBid bekommen, dass offenbar die Online Aktivität in keiner Relation zum Aufwand des DSGVO steht. Die Plattform kündigt ihre Schließung an.

Desweiteren berichtete mir eine Kundin (eine Reederei) heute, dass sie eine rechtskundige Person seit mehreren Tagen beschäftigt ist sich mit den Auswirkungen der DSGVO und dem Schutz der Reederei gegen Abmahnverfahren abzusichern. Nach 3 Arbeitstagen noch ohne verwertbares Ergebnis.

Ich bin in der glücklichen Situation demnächst in Rente zu sein, meine Stammkunden betreue ich weiter, Neue kommen nur noch per Mundpropaganda dazu. Die Inhalte meiner Geschäfts-Homepage habe ich gelöscht.

Nebenbei: Unsere Nachbarstaaten haben Inhalte verweigert und Ausnahmen erwirkt, nur unsere Merkel Regierung hat diese unternehmensfeindlichen Verordnungen kommentarlos durchgewinkt.

[quote]Nebenbei: Unsere Nachbarstaaten haben Inhalte verweigert und Ausnahmen erwirkt, nur unsere Merkel Regierung hat diese unternehmensfeindlichen Verordnungen kommentarlos durchgewinkt.[/quote]

Ich fürchte fast, dass wir mittlerweile von Leuten regiert werden, denen das geistige Rüstzeug dazu fehlt, derartige nicht ganz triviale Sachverhalte zu durchschauen und die Konsequenzen, welcher dieser EU-Regulierungswahn für unser Land hervorbringt, zu erkennen. Oder eben [b:p37xibhy]erkennen zu wollen[/b:p37xibhy].

73 de Peter

[quote]die e-mail Verschlüsselung mit mime und pgp wurden geknackt.[/quote]
Nein, dies Aussage in dieser Form hat eher Blöd-Zeitungs-Niveau. Nicht die Verschlüsselung wurde geknackt sondern das sind eher Seitenkanal-Angriffe.

Es ist immer etwas heikel, Fachbeiträge in Medien einzuordnen, speziell wenn es kein ausgesprochenes Fachmedium ist mit einem Spezi als Redakteur. Oft zählt Auflage vor Inhalt. Wenn ein MdB auf einer (partei-)internen Versammlung glaubwürdig versichert, (mehrfach rückgefragt), daß ein komplettes Interview mit ihm in einer seriösen (sehr großen) Zeitung abgedruckt wurde, zu dem er mit dem Redakteur nie auch nur das geringste telefoniert, gesprochen, ausgesagt hat, dann verliert man ziemlich viel vom Vertrauen an Medien. Auch bei anderen Veranstaltungen habe ich es erlebt, daß der Zeitungsartikel bei mir die Frage aufwarf, ob das die von mir besuchte Veranstaltung war, oder noch eine zweite stattfand. Im Fall des MdB erklärte der auf Rückfrage, nicht reagiert zu haben und es zu ignorieren, weil jede Reaktion nur wieder als Bestätigung ausgelegt wird und evtl. weiter ausgenutzt wird. Es ging bei den Themen immer um aktuelle Sachen, die die Redakteure sehr frei nach ihrem Gusto behandelten ---- UND wesentliche Teile einfach weg ließen.

Lange Rede kurzer Sinn: die DSGVO ist wieder so ein Ding, wo ich den Medien allenfalls zu 5% vertraue ....... Damit sage ich aber jetzt nicht, daß unsere Politiker mit Fachkompetenz auf allen Gebieten gesegnet sind und ich denen alles glaube. Es kommen viele aus der Wirtschaft und die haben ihre Fachkenntnisse mitgenommen. Die DSGVO ist allerdings ein juristisches Ungetüm, bei dem einige IT-Grundkenntnisse nicht eingeflossen sind.

Für mich ist eigentlich nur wichtig, das Daten von mir nicht an Dritte weiter gegeben werde. Da wo ich einen Daten-Abdruck hinterlassen habe, war er i.d.R. für den Kontakt mit dieser Stelle abgesprochen und erforderlich.

73 Peter

(OE hat nach meinem Verständnis die DSGVO nicht verwässert o.ä. , sondern lediglich einen Pflock bei der Abmahnindustrie eingeschlagen.)

[quote]Nur mal so OT, weil Du es angesprochen hast, Gerhard:
[quote]denn die e-mail Verschlüsselung mit mime und pgp wurden geknackt.[/quote]
Jede Verschlüsselung ist zu knacken, wenn man weiß, wie sie erstellt wird. Also gibt es von jeder Verschlüsselungsart mindestens einen, der weiß, wies geht - der weiß, auf welche Bits er schauen muß, um hinter den Schlüssel zu kommen Da kann soviel Zufall dabei sein, wie er will: Maschinen erstellen die Codes und die sind berechenbar, weil wir ihnen das Rechnen erst beibringen...

Vor Kurzem konnte sich noch keiner vorstellen, daß 2048 Bit SSL geknackt werden könnte. Es wird heute schon 4096 beworben, weil die 2048 teilweise schon gezielt mitgelesen werden! Das sind alles Hindernisse, jedoch wird sich die Spirale immer weiter nach oben drehen.
[/quote]

Das ist ja mal Schwachsinn hoch drei!

Die sichersten Chiffrieralgorithmen sind OpenSource, für jedermann zugänglich und einsehbar! Im Falle von OpenSSL sogar als OpenSource implementiert und auf Fehler und Schwachstellen hin überprüfbar! Wie will der Autor eines Chiffres denn Deinen Chiffretext entschlüsseln, wenn er keine Ahnung von Deinem geheimen Schlüssel hat und auch nicht weiß wie Deine Daten in etwa aussehen? - GAR NICHT oder nur per Brute Force (wildes Ausprobieren von Schlüsseln) bis er mal etwas sinnvolles entschlüsselt und das dauert bei 2048 Bit RA-Schlüsseln immer auch heute noch seeeehr lang. Eine Verdopplung der Schlüsselmenge dehnt die dafür erforderliche Zeitdauer um ca. Faktor 6 bis 7. - Mitlesen tut heute bei 2048 Bit langen Schlüsseln niemand, auch nicht die NSA.

SSL ist überhaupt nicht geknackt, denn SSL ist nur ein Konzept wie man Verschlüsselung auf Socket-Ebene einsetzt (Secure Socket Layer). Das hat aber auch gar nichts mit dem verwendeten Algorithmen zu tun. Es gibt aber in der Tat Chiffre, die SSLv2 und SSLv3 genannt werden, die tatsächlich als nicht mehr ausreichend sicher betrachtet werden. Einen sicheren Chiffre kann man mit SSL aber einsetzen. - Da aber TLS (Transport Layer Security), jetzt aktuell in Version 1.2 und 1.3 als Draft, SSL bereits seit einigen Jahren beerbt hat, ist SSLv2 und SSLv3 bei wirklich merkbefreiten Internetprovidern anzutreffen, vornehmlich zur Absicherung derer SMTP-Server. Diese sind auch der Grund, warum das noch nicht vollständig in der Versenkung verschwunden ist.

An OpenPGP oder S/MIME ist erst einmal grundsätzlich [b:32jpm2g7]gar nichts[/b:32jpm2g7] geknackt. OpenPGP als Standard könnte mal überarbeitet und vor allen Dingen mit moderneren Algorithmen ausgestattet werden, denn CBC oder CFB ist nun wirklich nicht mehr zeitgemäß und bietet auch keine Authentifizieren/Signierung. Diese muss, und das ist im Standard leider nur optional, extra durchgeführt werden. - Das Ergebnis: Die Leute benutzen Email-Verschlüsselung ohne die Signierung/Validierung. *kopfschüttel* Und dies macht den Efail-Angriff überhaupt erst möglich! Dabei gibt es moderne Algorithmen wie zum Beispiel GCM (Galois Counter Mode), der verschlüsseln [b:32jpm2g7]und[/b:32jpm2g7] authentifizieren in einem Rutsch machen kann. Hier ist es nicht möglich unbemerkt den Chiffretext zu verändern.

Was viele Leute nicht verstehen: Verschlüsselter Text ist per se zwar erst einmal verschlüsselt, aber man kann ihn dennoch verändern. Ein so veränderter Chiffretext lässt sich auch problemlos entschlüsseln, sodass das Ergebnis nicht mehr dem Ausgangsmaterial entspricht. Um Veränderungen an Klartext aber auch vor allen Dingen an Chiffretext zu erkennen, muss ein sogenannter Hash-Algorithmus eingesetzt werden. Ein Hash ist die verlustbehaftete Bildung einer Art Checksumme über das Dokument und es ist aufgrund der Verlustbehaftung nicht möglich vom Hash auf die Ursprungsdaten zu schließen noch eine Kollision (einen anderen Text mit gleichem Ergebnis) zu erzeugen.

Efail zeigt lediglich auf, welche Implementationen an MUAs (Mailprogrammen) defekt sind und die Backend-Programme wie GNUPG nicht korrekt bedienen/auswerten. Der Rest passiert per HTML/CSS/JS im Browser des Mailprogramms. Die Daten werden per HTML/CSS/JS geklaut und ausgeleitet, sprich: Dein treues Mailprogramm schickt den entschlüsselten Inhalt der Email freiwillig dem Angreifer zu... Wer HTML-Mails benutzt und auch noch ungefragt Bilder/Code/whatever nachladen lässt, der hat mit Sicherheit in der IT aber sowas von gar nichts am Hut und dem gehört zur Strafe das Bankkonto leergeräumt, ehrlich!

Also, mal die Bälle flach halten: Verschlüsselung funktioniert nach wie vor genauso sicher, wie der Nutzer diese einstellt. Hat er keine Ahnung davon, braucht er sich nicht zu wundern, wenn es schiefgeht!

73!

Sven

[quote]Das ist ja mal Schwachsinn hoch drei![/quote]
Warum braucht man dann immer neue Verschlüsselungsmethoden, weil die älteren "unsicher" werden?

[quote]Die sichersten Chiffrieralgorithmen sind OpenSource, für jedermann zugänglich und einsehbar![/quote]
Was OpenSSL vor zwei Jahren eindrucksvoll bewiesen hat. Das waren zwar auch überwiegend Konfigurationsprobleme, wenn diese aber eben machbar sind, ist das System eben doch nicht sicher. Es waren ja doch einige Serverfarmen betroffen und daß dort lauter merkbefreite Vollpfosten arbeiten, kann ich mir nun nicht vorstellen!

[quote][quote]Das ist ja mal Schwachsinn hoch drei![/quote]
Warum braucht man dann immer neue Verschlüsselungsmethoden, weil die älteren "unsicher" werden?
[/quote]

Braucht man i.d.R. ja nicht, höchstens längere Schlüssel. Natürlich gibt es Ausnahmen bei denen sich gezeigt hat, dass die verwendetem Verfahren prinzipiell nicht sicher sind. Aber inzwischen gibt es eben auch genügend beweisbar sichere Verschlüsselungsverfahren.
Was fehlerhaft sein kann ist lediglich die Implementierung.

[quote]
[quote]Die sichersten Chiffrieralgorithmen sind OpenSource, für jedermann zugänglich und einsehbar![/quote]
Was OpenSSL vor zwei Jahren eindrucksvoll bewiesen hat. Das waren zwar auch überwiegend Konfigurationsprobleme, ...[/quote]
Eben! Der Algorithmus an sich ist sicher.

Hallo zusammen,
am Montag wurde im qrpforum auf https umgestellt und seit dem kann ich auch mit FF wieder zugreifen:
https://www.qrpforum.de/index.php?page=Index

Edge, Opera und FF zeigen eine sichere Verbindung an.

73
Gerhard

In der Regel dürften hiervon die IP Adresse, Call, Mailadresse, Name, Geburtsdatum etc betroffen sind.

Unnötige IP Speicherung
Bereinigung von Daten auf Nachfrage
Auskunftspflicht

Weiterhin spielen die Regeln aus dem TMG eine Rolle, an das sich auch leider nicht alle Forenbetreiber halten (wie z.B Klarnamen/Call Pflicht etc).

Gruß JAn

@Gerhard, toll dass sie auf https:// umgestellt haben, hoffentlich vergessen sie die notwendige Datenschutzerklärung der letzten Jahre nicht noch "nachzureichen", welche seit Umstellung auf das WBB System seit Jahren gar nicht erst vorhanden ist (weder im Impressum, Nutzungsbedingungen, noch im Registrierungsvorgang wird auch nur ein Ton darüber verloren!) und für die neue haben sie auch nur knapp eine Woche Zeit ...

[quote]@Gerhard, toll dass sie auf https:// umgestellt haben, hoffentlich vergessen sie die notwendige Datenschutzerklärung der letzten Jahre nicht noch "nachzureichen", welche seit Umstellung auf das WBB System seit Jahren gar nicht erst vorhanden ist (weder im Impressum, Nutzungsbedingungen, noch im Registrierungsvorgang wird auch nur ein Ton darüber verloren!) und für die neue haben sie auch nur knapp eine Woche Zeit ... [/quote]

Hallo Alexander,
ich hatte das auch dem admin dl1jgs mitgeteilt, das eine Datenschutzerklärung auch vorhanden sein muss. Wenn man in meinem link ganz nach unten geht, findet man in den Nutzungsbedingungen unten auch eine Erklärrung zum Datenschutz.

73
Gerhard

@Gerhard,

ich befürchte, das der Satz "Die Telefonnummer ist unbedingt notwendig damit wir zur Überprüfung zurück rufen können. Wir versichern, dass diese Daten vertraulich behandelt werden und nirgendwo außerhalb des Admin Bereiches gespeichert werden." da gemäß dem aktuellen TMG nicht ausreicht, zumal die genannte Projektseite unumstritten einen kommerziellen Hintergrund hat und da weit aus mehr Angaben notwendig sind. Sei's drum, muss ein jeder Betreiber selber entscheiden, wie er damit umgeht, den wie bei allen bekannten größeren Abmahnwellen nach diversen Änderungen von Verordnungen und Gesetzen gehe ich persönlich davon aus, das sich die entsprechenden Instutitionen bereits die Zungen Wund geleckt haben, damit die serienreifen Betteleinschreiben möglichst schnell eingetütet sind und pünktlich zugestellt werden können.

Nützlichster Tip von allen: Kopf einziehen, den Sturm über einen hinweg fegen lassen und wenn's ruhig geworden ist, mal vorsichtig nachschauen, was noch übrig geblieben ist ...

[quote]Nützlichster Tip von allen: Kopf einziehen, den Sturm über einen hinweg fegen lassen und wenn's ruhig geworden ist, mal vorsichtig nachschauen, was noch übrig geblieben ist ...[/quote]

Das nutzt nichts, wenn der Sturm einen dann doch erwischt hat. Grade wenn der Kommerz sichtbar ist, ist das grauslich, was man da alles erklären muß.


@Sven, das ist Ansichtssache:

[quote]Eben! Der Algorithmus an sich ist sicher.[/quote]

Wenn man die Verschlüsselung, ob Anwendung oder Algorithmus, mit einer Fehlkonfiguration aushebeln kann, ist das dann wirklich sicher? Um den Algorithmus ist ja immer eine Art Anwendung. Wenn die nicht dicht ist, kannst Du Beton in den Rechner gießen, irgendeiner kommt mit dem Bohrammer und macht ihn an der brüchigsten Stelle auf Als "Quatsch" würde ich das also nicht abtun, denn ein Bausteinstein macht noch kein Haus.

Ich werde an Verschlüsselungen sicher nicht alles schlecht reden, aber die Frage klingelt immer im Hinterkopf, weshalb ich die Angelegenheit seit damals mit einer gewissen "Distanz" betrachte. Auf Zeit ist für mich nichts 100% sicher!

Schau Dir das Onlinebanking an. Warum wurden die klassischen TAN-Zettel, die damals als [b:2js7m5mj][u:2js7m5mj]absolut sicher[/u:2js7m5mj][/b:2js7m5mj] galten, abgeschafft? Freundliche Trojaner und Phishing wurden zum Sport der Szene, kopieren oder entwenden der Zettel waren garnicht nötig. Selbst die TAN-Tresore aus bekannten Anwendungen konnten vor etwa 10 Jahren mit einem Trojaner in bestimmten Fällen gehackt werden.

Aktuell wird die optische TAN als absolut sicher gepriesen. Ist das in 5 Jahren immer noch so? SMS-TAN, wo 90% der Mobiltelefone ohne echte Firewall rumeiert? Die Datenverteilung ist cleverer, als vor 15 Jahren noch - so daß man dem System JETZT auch durchaus Vertrauen schenken kann, weil man Zugang, Kartennummer, IBAN und noch den richtigen Chip mit seinem Schlüssel braucht. Wie weit ist Cybercrime in 5 weiteren Jahren?

Das geht jetzt aber weit übers Ziel der DSGVO raus - ist ja "nur" Kohle ;-> "Peanuts", wie manche Schwerkraftbefreite über Milliarden-Beträge zu hüsteln pflegen...

Was nutzt die tollste Verschlüsselungsmethode, wenn vor dem Verschlüsseln beim Absender und nach den Entschlüsseln beim Empfänger kleine grüne Männchen eingebaut wurden, die einfach gleich den Klartext mitlesen.
73 Peter