Cryptools for the lazy one....

taki

unregistriert

1

Freitag, 14. Juni 2013, 17:06

Android
https://guardianproject.info/ (Browser, verschlüsselt und anonymisiert)
https://www.whispersystems.org/ (Telefonate & SMS , verschlüsselt)
http://threema.ch/de/ (SMS/Bilder, verschlüsselt)
https://www.surespot.me/ (SMS/Bilder, verschlüsselt, open source)

iOS
https://mike.tig.as/onionbrowser/ (Browser, verschlüsselt und anonymisiert)
http://threema.ch/de/ (SMS, verschlüsselt)

Desktop
https://www.torproject.org/projects/torbrowser.html.en (Browser, verschlüsselt und anonymisiert)
https://www.eff.org/https-everywhere (Browser Plugin, versucht nach einer liste von websiten die verschlüsselte variante aufzurufen)
https://addons.mozilla.org/de/firefox/addon/https-finder/ (automatische listen-erweiterung für https everwhere)
https://addons.mozilla.org/de/firefox/addon/requestpolicy/ (Stoppt unerlaubtes nachladen von Inhalten fremder Webseiten)

Dienstleister
https://www.ip6.li (Kleiner (privater) E-Mail Anbieter, löschung der IP's der Logins alle 24h, PGP-Unterstützung im Webmail-Portal, ActiveSync-Unterstützung fürs Smartphone)
https://x.ip6.li Wegwerf-Mailadressen
https://www.posteo.de Bezahlter Mail-Dienst aus Deutschland, setzt laut eigener Aussage den Fokus auf Sicherheit

Verschiedenes
http://help.duckduckgo.com/customer/port…esktop/articles (DuckDuckGo als Suchmaschine in den Adressleisten der Browser)

Dieser Beitrag wurde bereits 12 mal editiert, zuletzt von »taki« (28. Oktober 2013, 09:23)

Smals

Aeterni

Beiträge: 987

Vorname: Philip

Wohnort: Hamburg

Beruf: Student

2

Freitag, 14. Juni 2013, 19:58

Ghostery sollte denke ich für jeden Pflicht sein.
Das HTTPS Everywhere klingt gut und wird die Tage mal getestet. Das Torproject werde ich mir wohl auch mal anschauen.

Aber bei denn Android Sachen weiß ich net so recht.
Whispersystems klingt erst mal richtig cool. Aber wie wird der Schlüssel Austausch umgesetzt wenn ich bei scheinbar jedem Anrufer der Whispersystems nutzt einfach umschalten kann?
Bei Threema scheint das wirklich sicher gelöst worden zu sein aber es gilt halt wie bei Whispersystems leider auch: Es bringt dir gar nichts so lange die Leute mit denen du Kontakt hast nicht bereit sind auch diese Systeme zu nutzen.
Das ist ja schon das Problem mit PGP. Eigentlich ist es ziemlich einfach. Super Sicher. Aber die doofen Leute sind einfach zu faul es zu nutzen.
Und das Hauptproblem bei Android ist einfach dass die Leute selbst eine "Hello World" App installieren ohne sich darüber zu wundern dass die App zugriff auf Positions Daten, SD Speicher, Telefonspeicher, Kontackte, Emails, SMS, Telefon, Internet, eingehende Nachrichten/Anruffe und was es sonst noch so gibt will.

Und naja bei iOS ist eh Hopfen und Malz verloren. Auf die Handys hat der Apfel Konzern eh vollen zugriff. (Man denke nur an von Apple bei allen Usern gelöschte Apps.)

o
L_
OL
This is Schäuble. Copy Schäuble into your signature to help him on his way to Überwachungsstaat.

taki

unregistriert

3

Freitag, 14. Juni 2013, 22:01

Das Problem liegt nur zum Teil bei den Usern.... Es wäre ja ein leichtes, Ende-zu-Ende-Verschlüsselung in Facebook einzubauen. (Plugin für den Browser -> ver-und-entschlüsselt alles was als textnachricht kommt und geht lokal auf dem rechner....sollte man mal bauen, hab ich als proof of concept schon gesehen)

In der letzten krypto-Vorlesung hatten wir die Idee, jedem Studenten am Anfang des Studiums einen Schlüssel zu generieren und diesen automatisch mit seinem Mail-Konto zu verknüpfen. Dazu ne Zwei-Faktor-Auth als SMS aufs Handy und schon wäre zumindest die Kommunikation zwischen Studenten/Profs/etc. über die Mail-Adressen der Hochschulen sicher...

Ist aber auch nicht gewollt. Genau so wenig wie bei WhatsApp (Threema ist ja das gleiche nur verschlüsselt).

taki

unregistriert

4

Donnerstag, 20. Juni 2013, 16:57

update

Smals

Aeterni

Beiträge: 987

Vorname: Philip

Wohnort: Hamburg

Beruf: Student

5

Donnerstag, 20. Juni 2013, 18:02

Ich denke man kann sich auch schon sehr helfen wenn man es schafft nicht immer die selben Dienste eines großen Anbieter zu nutzen:

Anonyme Suchmaschiene

Routen plane ich z.b lieber mit OpenStreetMap
Änderungen sind meist deutlich schneller in OpenStreetMap als in GoogleMaps.

o
L_
OL
This is Schäuble. Copy Schäuble into your signature to help him on his way to Überwachungsstaat.

taki

unregistriert

6

Dienstag, 25. Juni 2013, 10:49

update

taki

unregistriert

7

Montag, 1. Juli 2013, 01:52

Die Lethargie mit der sich gefühlte 99% der Bevölkerung dem aktuellen Stand der Überwachung hingeben empfinde ich einfach nur zum kotzen.

Schade drum, ich hätte mit mehr gerechnet...

Fanatik

Meister des Ordens

Beiträge: 3 724

Vorname: Wolf

Wohnort: Hamburg

8

Montag, 1. Juli 2013, 06:45

Zitat von »taki«

Die Lethargie mit der sich gefühlte 99% der Bevölkerung dem aktuellen Stand der Überwachung hingeben empfinde ich einfach nur zum kotzen.

Schade drum, ich hätte mit mehr gerechnet...

Joa so ein wenig überrascht bin ich auch. Bei ACTA ist tammtamm, aber die Amis im großen Style BigBrother spielen interessierts keine Sau O_o

Knüpft noch einen auf!

Fairas

Inaktiver Veteran

Beiträge: 673

Vorname: David

9

Montag, 1. Juli 2013, 07:36

Die Leute haben andere Probleme.....

Demokratie ist die schlechteste Regierungsform, mit Ausnahme aller Anderen die wir bis jetzt ausprobiert haben!

Winston Churchill

Smals

Aeterni

Beiträge: 987

Vorname: Philip

Wohnort: Hamburg

Beruf: Student

10

Montag, 1. Juli 2013, 11:28

Seien wir doch ehrlich: Bei ACTA ging es wahrscheinlich 90% leider wirklich nur um Downloads und die dumbatzen hatten gar nicht verstanden was da noch so auf dem Spiel stand. (Ich sag nur Medikamente.)

Wann immer möglicht https zu nutzen ist zwar cool aber eigentlich müsste man dann auch konsequenter Weise 90% de Zertifizierungsstellen aus hauen.
Zur Zeit können die Geheimdienste mir garantiert jederzeit ein gültiges Zertifikat unter schieben. (Und das ganze bringt natürlich nichts wenn man dann damit dann die ganzen US Firmen ansurft die die Daten eh weiter geben.)

o
L_
OL
This is Schäuble. Copy Schäuble into your signature to help him on his way to Überwachungsstaat.

taki

unregistriert

11

Montag, 15. Juli 2013, 10:04

update

Smals

Aeterni

Beiträge: 987

Vorname: Philip

Wohnort: Hamburg

Beruf: Student

12

Montag, 15. Juli 2013, 11:38

Was mal interessant wäre für Android wäre die Möglichkeit Applikationen seiner Wahl immer falsche Positionsdaten zu geben. Z.b denn ausgewählten apps immer mitzuteilen man würde gerade auf Rathaus Markt stehen oder so was unnützens.

o
L_
OL
This is Schäuble. Copy Schäuble into your signature to help him on his way to Überwachungsstaat.

taki

unregistriert

13

Montag, 28. Oktober 2013, 09:09

Ghostery raus, RequestPolicy rein...
Posteo hinzugefügt...

Anmerkung: Wenn die Mailanbieter untereinander nicht verschlüsselt kommunizieren, bringt die verschlüsselte Verbindung zwischen mir und meinem Mailanbieter nur wenig. Es gibt also aktuell keine Alternative zu PGP oder SMIME.

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »taki« (28. Oktober 2013, 09:25)

Fanatik

Meister des Ordens

Beiträge: 3 724

Vorname: Wolf

Wohnort: Hamburg

14

Montag, 28. Oktober 2013, 12:29

Hmm warum Ghostery raus?

Knüpft noch einen auf!

Smals

Aeterni

Beiträge: 987

Vorname: Philip

Wohnort: Hamburg

Beruf: Student

15

Montag, 28. Oktober 2013, 14:46

Zitat von »taki«

Ghostery raus, RequestPolicy rein...
Posteo hinzugefügt...

Anmerkung: Wenn die Mailanbieter untereinander nicht verschlüsselt kommunizieren, bringt die verschlüsselte Verbindung zwischen mir und meinem Mailanbieter nur wenig. Es gibt also aktuell keine Alternative zu PGP oder SMIME.

Leider
Und wenn man es wirklich 100% sicher haben will muss man den Schlüssel Austausch beim ersten mal eigentlich auch bei einem Persönlichen Treffen durchführen.

o
L_
OL
This is Schäuble. Copy Schäuble into your signature to help him on his way to Überwachungsstaat.

taki

unregistriert

16

Dienstag, 29. Oktober 2013, 12:52

Zitat von »Smals«

Zitat von »taki«

Ghostery raus, RequestPolicy rein...
Posteo hinzugefügt...

Anmerkung: Wenn die Mailanbieter untereinander nicht verschlüsselt kommunizieren, bringt die verschlüsselte Verbindung zwischen mir und meinem Mailanbieter nur wenig. Es gibt also aktuell keine Alternative zu PGP oder SMIME.

Leider
Und wenn man es wirklich 100% sicher haben will muss man den Schlüssel Austausch beim ersten mal eigentlich auch bei einem Persönlichen Treffen durchführen.

Muss man nicht. Es bringt niemandem etwas, dir einen falschen öffentlichen Schlüssel unter zu schieben, da ich mit meinem privaten Schlüssel die mit dem falschen öffentlichen Schlüssel verschlüsselte Nachricht nicht entschlüsseln kann...

taki

unregistriert

17

Dienstag, 29. Oktober 2013, 12:55

Zitat von »Fanatik«

Hmm warum Ghostery raus?

Man kann ja mit RequestPolicy festlegen von welchen Domains etwas geladen wird. Wird nichts geladen, kann auch nicht getrackt werden.

Ghostery wäre rein aus Bequemlichkeit noch zu installieren, hat aber bei mir öfter mal das Auto-Update verweigert und auch das automatische übernehmen neuer Filter-Regeln.

Smals

Aeterni

Beiträge: 987

Vorname: Philip

Wohnort: Hamburg

Beruf: Student

18

Dienstag, 29. Oktober 2013, 13:26

Zitat von »taki«

Zitat von »Smals«

Zitat von »taki«

Ghostery raus, RequestPolicy rein...
Posteo hinzugefügt...

Anmerkung: Wenn die Mailanbieter untereinander nicht verschlüsselt kommunizieren, bringt die verschlüsselte Verbindung zwischen mir und meinem Mailanbieter nur wenig. Es gibt also aktuell keine Alternative zu PGP oder SMIME.

Leider
Und wenn man es wirklich 100% sicher haben will muss man den Schlüssel Austausch beim ersten mal eigentlich auch bei einem Persönlichen Treffen durchführen.

Muss man nicht. Es bringt niemandem etwas, dir einen falschen öffentlichen Schlüssel unter zu schieben, da ich mit meinem privaten Schlüssel die mit dem falschen öffentlichen Schlüssel verschlüsselte Nachricht nicht entschlüsseln kann...

Wenn dir jemand von mir einen falschen Öffentlichen-Schlüssel gibt kann er Mails von dir an mich die er abfängt lesen da sein Privater Schlüssel zum entschlüsseln ist.
Außerdem könnte er dir Mails schicken und sie Signieren als kämmen sie von mir.
Das macht natürlich nur richtig viel Sinn wenn er als Mann in the Middel sitzt und die Mail dann erst mit meinem echten Public Key verschlüsselt weiterschickt, aber davon ist aus zu gehen wenn er schon die Schlüsselübergabe kompromittieren kann. (Wenn ich nicht davon ausgehe das der Angreifer sich in die Mitte hängen kann brauche ich meine Mails gar nicht verschlüsseln sondern darf niemanden an meinen Rechner lassen.)
Asynchrone Verschlüsselung ist in sofern bei der Schlüsselübergabe Robust das es nicht stört wenn jemand anders denn Schlüssel mit liest aber das unterschieben eines Falschen Schlüssels ist die Schwachstelle.

o
L_
OL
This is Schäuble. Copy Schäuble into your signature to help him on his way to Überwachungsstaat.

Dieser Beitrag wurde bereits 5 mal editiert, zuletzt von »Smals« (29. Oktober 2013, 13:46)

taki

unregistriert

19

Dienstag, 29. Oktober 2013, 14:25

Na ja, wenn du auf die 100% Sicherheit bestehst gebe ich dir Recht, ein persönliches Treffen im Wald ohne technische Geräte würde dem sehr nahe kommen. Praktikabel ist das allerdings kaum. Aber bei Verwendung von Digitalen Unterschriften und Public-Key-Servern wird der Aufwand für Angreifer sehr/zu groß. Von daher muss man sich meiner Meinung nach nicht persönlich treffen um eine akzeptable Sicherheit der Kommunikation gewährleisten zu können. Z.B. eine telefonische weitergabe des Hashwertes des öffentlichen Schlüssels....

Smals

Aeterni

Beiträge: 987

Vorname: Philip

Wohnort: Hamburg

Beruf: Student

20

Dienstag, 29. Oktober 2013, 15:58

Klar die andere Möglichkeit ist natürlich den Schlüssel von einer Vertrauensvollen stelle wie nem Public-Key-Server Signiert ausgehändigt zu bekommen.
Aber auch hier und beim Web-Of-Trust ist es eigentlich dem Konzept nach fahrlässig denn aller ersten Schlüssel online zu tauschen.
und im Zuge der Medienberichte aus diesem Jahr kann halt die Frage auftauchen wie vertrauenswürdig die großen Key-Server Betreiber wirklich sind.
(Für uns wahrscheinlich Vertrauenswürdig genug. Für jemand der was großes Veröffentlichen möchte würde ich das nicht unbedingt bejahen.)

o
L_
OL
This is Schäuble. Copy Schäuble into your signature to help him on his way to Überwachungsstaat.

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Smals« (29. Oktober 2013, 16:13)