sg-presse@lists.piratenpartei.de
Betreff: Mailingliste der SG Bundes-PR
Listenarchiv
- From: Jens Stomber <jens.stomber@piratenpartei.de>
- To: Mailingliste der SG Presse - Diskussion <sg-presse@lists.piratenpartei.de>
- Subject: Re: [Sg-presse] Fwd: Das falsche Pferd: DE-Mail bekommt asymmetrisches PGP
- Date: Mon, 09 Mar 2015 20:40:32 +0100
- List-archive: <https://service.piratenpartei.de/pipermail/sg-presse>
- List-id: Mailingliste der SG Presse - Diskussion <sg-presse.lists.piratenpartei.de>
Hallo Dirk,
ja, den Providern kann man natürlich nicht trauen, darum geht es mir aber
nicht.
Verschlüsselungsprotokolle sind immer hybrid: Mit einem asymmetrischen
Verfahren wird zunächst ein symmetrischer Sitzungsschlüssel ausgetauscht, mit
dem dann die eigentlichen Kommunikationsinhalte verschlüsselt werden.
1. Rein symmetrische Verschlüsselungsprotokolle gibt es nicht.
2. PFS (Perfect Forward Secrecy) geht nicht bei zeitlich asynchroner
Verbindung, weil dabei beide Seiten *gleichzeitig* den geheimen
Sitzungsschlüssel mit Diffie-Hellman-Schlüsselaustausch aushandeln müssen.
Der Autor hat offenbar keine Ahnung von Verschlüsselung.
--
Jens Stomber - Pirate Party Germany
http://wiki.piratenpartei.de/Benutzer:ZombB
mobile: +49-151-54828237 \o\ zrtp: zombb@ostel.co
e-mail: jens.stomber@piratenpartei.de /o/ key id: 0x6951B4FA
fingerprint: D331 9041 7DCB 4779 C0D1 FCA0 7EDE 42DB 6951 B4FA
jabber: zombb@jabber.ccc.de \o\ twitter: @ZombBi
councillor of the European Pirate Party /o/ https://europeanpirates.eu/
coordinator squad nsa-scandal \o\ http://is.gd/stopnsa
Am Montag, 9. März 2015, 20:14:13 schrieben Sie:
> Hi Jns,
>
> erklärst Du uns zwecks weiterbildung bitte, welche konkreten Punkte in
> diesem Mail falsch sind und wie der Sachverhalt richtig zu verstehen ist.
>
> Ich denke insbesondere an das:
>
> Gleichzeitig schreibt die TKÜV vor, dass Provider im Bedarfsfall Plaintext
>
> > liefern können müssen, darum heissen sie ja Provider. Wie sie das machen
> > und dass sie das machen, darüber dürfen sie laut TKÜV nicht sprechen
>
> und das:
>
> D.h. das closed source Mailprogramm wird z.B. eine systematische
>
> > Programmierung vorsehen, mit dem der Provider den privaten Schlüssel und
> > das Passwort dazu aus dem open source Plugin zum Provider uploaden kann.
> > Das kann keiner nachprüfen, darüber kann keiner sprechen und das ist der
> > einzig wahrscheinliche Weg, der TKÜV Verordnung der Prodiver
nachzukommen.
>
> Lieben Dank,
> Dirk
> @moonopool
>
>
>
>
> Am 9. März 2015 um 19:59 schrieb Jens Stomber
<jens.stomber@piratenpartei.de
> > ACHTUNG: Bitte nicht diesen Schwachsinn glauben, der Autor hat
> > offensichtlich
> > keine Ahnung wie Verschlüsselung funktionirt!
> >
> >
> > --
> > Jens Stomber - Pirate Party Germany
> > http://wiki.piratenpartei.de/Benutzer:ZombB
> > mobile: +49-151-54828237 \o\ zrtp: zombb@ostel.co
> > e-mail: jens.stomber@piratenpartei.de /o/ key id: 0x6951B4FA
> > fingerprint: D331 9041 7DCB 4779 C0D1 FCA0 7EDE 42DB 6951 B4FA
> > jabber: zombb@jabber.ccc.de \o\ twitter: @ZombBi
> >
> > councillor of the European Pirate Party /o/ https://europeanpirates.eu/
> > coordinator squad nsa-scandal \o\ http://is.gd/stopnsa
> >
> > ---------- Weitergeleitete Nachricht ----------
> >
> > Betreff: Das falsche Pferd: DE-Mail bekommt asymmetrisches PGP
> > Datum: Montag, 9. März 2015, 10:27:42
> > Von: Thomas Asta <thomasasta@googlemail.com>
> > An: AKV-ML: Die Hauptmailingliste des AKV (Plenum/Vollversammlung) <AKV-
> > ML@listen.akvorrat.org>, Bündnis gegen Ueberwachung (in Gruendung)
> > <buendnisgegenueberwachung@listen.akvorrat.org>, debate@lists.ccc.de
> >
> > Hallo
> >
> > DE-Mail bekommt PGP.
> >
> > http://www.heise.de/newsticker/meldung/De-Mail-integriert-Ende-zu-Ende-Ver
> > schluesselung-mit-PGP-2570632.html
> >
> > Es ist jedoch ein falsches Pferd, somit ein totes Pferd, wenn nicht gar
> > ein
> > trojanisches Pferd.
> >
> > Das DE-Mail-Programm ist closed source und PGP soll quelloffen als Plugin
> > implementiert werden.
> > Gleichzeitig schreibt die TKÜV vor, dass Provider im Bedarfsfall Plaintext
> > liefern können müssen, darum heissen sie ja Provider.
> >
> > Wie sie das machen und dass sie das machen, darüber dürfen sie laut TKÜV
> > nicht sprechen (darum machen wir das hier: Eigentlich eine schlimmere
> > Zensur von freien Unternehmen als das Verbot von Sattelitenanlagen für
> > Bürger in Singapur).
> >
> > Hinzu kommt die Option der Quellen-TKÜ ("key logger").
> > D.h. das closed source Mailprogramm wird z.B. eine systematische
> > Programmierung vorsehen, mit dem der Provider den privaten Schlüssel und
> > das Passwort dazu aus dem open source Plugin zum Provider uploaden kann.
> >
> > Das kann keiner nachprüfen, darüber kann keiner sprechen und das ist der
> > einzig wahrscheinliche Weg, der TKÜV Verordnung der Prodiver
nachzukommen.
> > SIMsMe der Post muss ebensolche Lösungen parat halten. Keines der
> > Unternehmen reagiert auf diese Anfragen und ist daher unseriös gegenüber
> > Sicherheitsarchitekturanfragen. Die Vermarktung als "sicher" ist daher
> > eine
> > Farce, wenn nicht eine bewusste Irreleitung der Kunden - da die Verordnung
> > der TKÜV ja bekannt ist.
> >
> > Ende-zu-Ende wird also mit asymmetrischen Mittel umgesetzt, das als
> > Phoenix
> > aus der Asche kommt - wurde PGP doch als altbackend, wenn nicht sogar als
> > verbrannt erklärt:
> >
> > http://www.heise.de/ct/ausgabe/2015-6-Editorial-Lasst-PGP-sterben-2551008.
> > html
> >
> > Dabei kann End-zu-Ende Verschlüsselung auch symmetrisch umgesetzt
werden
> > und ist Verschlüsselung ist damit wesentlich schneller neu zu generieren
> > und auch in einem 2-Partein-Verfahren von beiden Seiten generierbar (vgl.
> > z.B.
> >
> > http://www.quora.com/How-would-you-explain-Instant-Perfect-Forward-Secrecy
> > -IPFS-in-laymans-terms )
> > Jeder der zwei Kommunikationsteilnehmer generiert jeweils die Hälfte des
> > smmetrischen Passwortes.
> >
> > Daraus folgt als Forderung an die DE-Mail:
> > 1. Das DE-Mail-Programm muss ebenso quelloffen sein wie ein mögliches
> > Crypto-Plugin
> > 2. Die Ende-zu-Ende Verschlüsselung muss symmetrisch und nicht
> > asymmetrisch
> > implementiert werden
> > 3. Die Ende-zu-Ende Verschlüsselung solle auch ein manuelles edieren des
> > Passwortes ermöglichen.
> >
> > Andernfalls bleibt DE-Mail ein weiterhin toter Trojaner, gegenüber dem
> > quelloffene Lösungen aus privater oder community Programmierung
> > vorzuziehen
> > sind.
> >
> > LG Tom
> > -------------------------------------------------------------
> > --
> > Sg-presse mailing list
> > Sg-presse@lists.piratenpartei.de
> > https://service.piratenpartei.de/listinfo/sg-presse
Attachment:
signature.asc
Description: This is a digitally signed message part.
- [Sg-presse] Fwd: Das falsche Pferd: DE-Mail bekommt asymmetrisches PGP, Jens Stomber, 09.03.2015
- Re: [Sg-presse] Fwd: Das falsche Pferd: DE-Mail bekommt asymmetrisches PGP, Der Moonopool, 09.03.2015
- Re: [Sg-presse] Fwd: Das falsche Pferd: DE-Mail bekommt asymmetrisches PGP, Jens Stomber, 09.03.2015
- Re: [Sg-presse] Fwd: Das falsche Pferd: DE-Mail bekommt asymmetrisches PGP, Der Moonopool, 09.03.2015
- Re: [Sg-presse] Fwd: Das falsche Pferd: DE-Mail bekommt asymmetrisches PGP, Jens Stomber, 09.03.2015
- Re: [Sg-presse] Fwd: Das falsche Pferd: DE-Mail bekommt asymmetrisches PGP, Der Moonopool, 09.03.2015
Archiv bereitgestellt durch MHonArc 2.6.19.