Page 4 of 5

Re: Jondonym unsicher!

Posted: Sat Apr 02, 2016 15:18
by anondim
Ochnö wrote:Zu dem Thema hatte sich Rolf Wendolsky aka jondos bereits hier im Forum geaussert.Bspw. das Dresden daran arbeitet die Verschluesselung auf die naechste Stufe anzuheben
Nicht ganz. SHA1 soll durch SHA2 ersetzt werden. Das ist aber Hash, nicht Verschlüsselung. Verschlüsselung von AES128 auf AES256 umzustellen oder AES ganz zu ändern wurde vorgeschlagen, aber immer abgelehnt. Ohne Angabe von Gründen oder mit Performance- und Aufwand-Argument. Nicht das einzige, was cane verhindert hat.
jondos wrote:* Die Migration auf SHA256 läuft bereits, in Zusammenarbeit mit der TU Dresden. Noch vor Ende 2016 wird diese abgeschlossen sein.
Ochnö wrote:Auch das Aenderungen geplant sind was den JDF betrifft.
Betrifft nur die Enbindung in FF, nichts um die Anonymitätslücken zu stopfen.
jondos wrote:* Da Mozilla Mitte 2016 die Add-On-API umstellen wird, sind wir sind dabei, eine völlig neue JonDoFox-Erweiterung zu entwicklen.
HaiHai wrote:Hast du (oder jemand anderes) inzwischen eine Alternative gefunden?
Ja, aber ist noch nicht fertig und scheint umfassender zu sein als nur Proxy und Browser http://www.vepjulilja.com/

Re: Jondonym unsicher!

Posted: Sat Apr 02, 2016 20:02
by xg27
- aber kein iso, dass ich einfach prüfe und brenne.
Die tails-devs propagieren jetzt den 'Installations-Assistenten' und schieben das einfache downloaden und 'dd-en' in den Hintergrund,aber:

https://tails.boum.org/news/index.en.html

dann =>install
dann =>'start the journey'
dann =>'mit Debian oder Ubuntu'
dann =>'commandline+gnupg'
dann=>'lets go'

und bittesehr! blablabla usw und auch:

Code: Select all

wget --continue http://dl.amnesia.boum.org/tails/stable/tails-i386-2.2.1/tails-i386-2.2.1.iso 
der link zum ganz normalen downloaden, aber eben nicht gerade leicht zu finden.

Der Schluessel wurde geaendert, ist aber mit dem alten tails-schluessel signiert; wenn man ein altes und vertrauenswuerdiges tails-iso hat dann kann man ihn leicht verifizieren. Ansonsten eben mit debian keyring wie dort beschrieben. Oder den neuen Schluessel von verschiedenen Quellen mit verschiedenen inet-verbindungen, hardware etz, oft herunterladen und vergleichen.


Viel Spass beim Stress!

Re: Jondonym unsicher!

Posted: Sat Apr 02, 2016 21:12
by Ochnö
http://www.vepjulilja.com/

Nettes Wortgeklingel.Mischung aus Esoterik und adv. blah blah silicon valley ;)

Re: Jondonym unsicher!

Posted: Sun Apr 03, 2016 15:43
by anondim
Wieso? Der Anonymitätsteil scheint mir die Mix-Struktur zu sein, die wir hier auch haben. Und sonst, was soll daran falsch sein? Also ich finde, die scheinen an dem zu basteln, was ich hier schon lange suche.

Die Lücken im Jondobrowser waren ja so groß, dass man ihn lieber eingestellt hat. Die DVD gibt's auch nicht mehr, JDF bietet gegen vieles keinen Schutz und wird trotzdem nicht aktualisiert, sinnvolles wie http-Anonymisierung hat man sogar rausgenommen und die Hardware wurde hier nie berücksichtigt. Da wohl schon. Ist wohl noch ziemlich am Anfang, viele Infos gibts noch nicht. Auf was technisches wäre ich mal gespannt. Sagte ja wie es aussieht noch nicht fertig.

Re: Jondonym unsicher!

Posted: Sun Apr 03, 2016 19:55
by Ochnö
anondim wrote:Wieso? Der Anonymitätsteil scheint mir die Mix-Struktur zu sein, die wir hier auch haben. Und sonst, was soll daran falsch sein? Also ich finde, die scheinen an dem zu basteln, was ich hier schon lange suche.
"Basteln"ist das richtige Wort.
Die Lücken im Jondobrowser waren ja so groß, dass man ihn lieber eingestellt hat.
nett was du dir da aus den Fingern saugst.Der dev ist zum Tor project gewechselt.Lieber waere er geblieben-nur will in Deutschland niemand zahlen...
Die DVD gibt's auch nicht mehr,
Das war Canes privates project.Dafuer reicht seine Kraft nicht mehr.
JDF bietet gegen vieles keinen Schutz und wird trotzdem nicht aktualisiert, sinnvolles wie http-Anonymisierung hat man sogar rausgenommen
Keine Ahnung welchen JDF du verwendest...
und die Hardware wurde hier nie berücksichtigt. Da wohl schon. Ist wohl noch ziemlich am Anfang, viele Infos gibts noch nicht. Auf was technisches wäre ich mal gespannt. Sagte ja wie es aussieht noch nicht fertig.
Hardware nie beruecksichtigt?
Ja traeumst du tasaechlich davon das dir jemand eine"open source"hardware produziert?Wolkenkuksheim oder Pipi Langstrumpf?

Irgendwie scheints du deren txte durch eine rosarote Brille zu lesen.
Was da abgesondert wird ist noch uebler als das gefasel der snake oil Industrie.

Re: Jondonym unsicher!

Posted: Fri Apr 08, 2016 20:02
by anondim
Eigentlich wollte ich nur einen Hinweis geben, weil gefragt wurde, ob jemand eine Alternative gefunden hat. Ich konnte ja nicht wissen, dass hier jeder blöd angemacht wird der Textstellen findet, die du nicht findest und ein bisschen Ahnung von IT hat. Tip für die Zukunft. Nicht auf alles draufhauen, was du nicht verstehst, Herr Foren-Troll.

Aber vielleicht zum Nachdenken. Lies mal die Changelogs. Dann wirst du sehen, dass die http-Anonymisierung gelöscht wurde. Argument war, dass die im Jondobrowser vorhanden ist. Dass der inzwischen eingestellt wurde, so dass die http-Anonymisierung fehlt, vorher auch schon, wenn man was anderes verwendet hat, hast du wohl nicht bemerkt. Schutz gegen Canvas gibt es im JDF auch nicht. Gegen DOM auslesen auch nicht zuverlässig. Dass die fehlende Abschaltung der Addon-API ein Problem ist, weiß man seit langem, trotzdem IST JDF sogar ein Addon. Vor ein paar Tagen geisterte durchs Netz, dass es ein paar Hackern aufgefallen ist, seitdem Panik und Mozilla beteuerte schnell dass man alles ändern wird. Wenn cane, der viel selbst verbockt hat, schreibt dass JDF nichtmal aus den Quellen kompiliert werden kann geht dir einer ab. Aber wehe, ein anderer sagt was, dann blökst du unsachlich rum. Frag doch mal deinen cane, was an JDF alles nicht stimmt und wogegen der keinen Schutz bietet. Da wirst du eine Rieeesenliste bekommen. Vielleicht glaubst du ihm ja.

Dass die Hardware in ein Sicherheitskonzept einbezogen werden muss, weiß jeder Anfänger. Muss ich dir jetzt sagen, dass auch cane das schon gesagt, aber nie gemacht, hat? Jetzt sagen welche, sie arbeiten dran und alles was du hast ist, ja, was eigentlich? Unsachliches Bla Bla.

Ich sehe schon. Fehler, zu denken das hier sei was ernsthaftes. Wenn keine Antworten gewünscht sind und man hier nur unter sich spielen will, sagt es doch. Ich bin raus.

Re: Jondonym unsicher!

Posted: Sat Apr 09, 2016 19:08
by xg27
anondim wrote:.......... weil gefragt wurde, ob jemand eine Alternative gefunden hat.
Das hier ist vielleicht eine Alternative:

https://privacy-handbuch.de/handbuch_94.htm

Hoehrt sich ganz vernuenftig an

https://subgraph.com/sgos/index.en.html

und ist anscheinend ein sehr kleines Sicherheitsunternehmen (3 Leute); das wuerde mich schon ansprechen. Bei groesseren oder grossen Unternehmen bin ich sehr vorsichtig.Remember canonical!

Re: Jondonym unsicher! download von t mit wget

Posted: Mon Apr 11, 2016 16:41
by x4info
Hallo,

erst einmal Danke für den Hinweis.
xg27 wrote: ...

Code: Select all

wget --continue http://dl.amnesia.boum.org/tails/stable/tails-i386-2.2.1/tails-i386-2.2.1.iso 
Frage mich aber ob ich nicht mit https "s" am Ende als Protokoll herunterladen sollte.
Deshalb habe ich es wie folgt probiert - habe aber eine Meldung bzgl. des keys, mit der ich nicht klar komme und deshalb nochmal nachfragen möchte. (pm war ursprünglichgeplant - bleibt aber im Postausgang hängen)

Code: Select all

user@host:~$ gpg --keyid-format long --import tails-signing.key
gpg: Schlüssel DBB802B258ACD84F: Öffentlicher Schlüssel "Tails developers (offline long-term identity key) <tails@boum.org>" importiert
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg: importiert: 1 (RSA: 1)
gpg: 3 marginal-needed, 1 complete-needed, PGP Vertrauensmodell
gpg: Tiefe: 0 gültig: 7 unterschrieben: 0 Vertrauen: 0-, 0q, 0n, 0m, 0f, 7u
gpg: nächste "Trust-DB"-Pflichtüberprüfung am 2019-12-11
user@host:~$ wget -v -O /media/Transcend/t/tails-i386-2.2.1.iso https://dl.amnesia.boum.org/tails/stabl ... -2.2.1.iso
--2016-04-10 12:47:53-- https://dl.amnesia.boum.org/tails/stabl ... -2.2.1.iso
Auflösen des Hostnamen »dl.amnesia.boum.org (dl.amnesia.boum.org)«... 195.154.14.189, 198.199.103.96, 212.47.229.219, ...
Verbindungsaufbau zu dl.amnesia.boum.org (dl.amnesia.boum.org)|195.154.14.189|:443... verbunden.
FEHLER: Dem Zertifikat von »dl.amnesia.boum.org« wird nicht vertraut.
Der Zertifikat-Eigentümer paßt nicht zum Hostname »»dl.amnesia.boum.org««.
user@host:~$ 

@xg27
xg27 wrote: Viel Spass beim Stress!
Wie ist denn das gemeint? Bezieht sich das auf die Arbeit mit Tor? Viele notwendige Einstellungsänderungen? (diesbezüglich muß ich noch mal im Privacy-Handbuch nachlesen - glaube da gab es was)

Schon mal Danke.

Gruß

x4info

Re: Jondonym unsicher!

Posted: Tue Apr 12, 2016 18:41
by xg27
@x4info:

pm gesendet.

Re: Jondonym unsicher!

Posted: Sat Apr 16, 2016 19:51
by b4akc7
Ohh man - es ist erstaunlich, welche Legenden hier nach einem Jahr über einen ominösen "cane" aufgebaut werden.
Verschlüsselung von AES128 auf AES256 umzustellen oder AES ganz zu ändern wurde vorgeschlagen, aber immer abgelehnt. Ohne Angabe von Gründen oder mit Performance- und Aufwand-Argument. Nicht das einzige, was cane verhindert hat.
Soso - dieser "cane" hat also die Umstellung auf AES256 verhindert. Interessant.

Das JonDonym Protokoll und die Crypto wurden und werden von der TU Dresden entwickelt unter Leitung von Dr. Köpsell. Der "cane", den ich kenne, hatte nur sehr wenig Einfluss auf Entscheidungen zum Protokoll und sieht außerdem seit Jahren SHA als größeres Problem.
Dass die Hardware in ein Sicherheitskonzept einbezogen werden muss, weiß jeder Anfänger. Muss ich dir jetzt sagen, dass auch cane das schon gesagt, aber nie gemacht, hat?
Der "cane", den ich kenne, hat das Open Source Hardware Projekt Cryptostick (heute Nitrokey) von Anfang an unterstützt und unterstützt es noch heute (siehe z.B. SLAC 2016). Das ist sein kleiner Beitrag für Open Source Hardware, den ein Einzelner leisten kann, es gibt keinen Grund für einen Vorwurf.

Meint jemand, ein Mitarbeiter von JonDonym hätte in seiner Freizeit eine Computer Hardware in Open Source entwickeln können? Glaubt jemand, man könnte mit $100.000 aus einer Crowdfunding Kampagne eine brauchbare Open Source Hardware für einen PC Ersatz entwickeln?


Der Beitrag mit dem Hinweis auf "Vepjulilja" (siehe oben, Poster: anondim) wird von dem "cane", den ich kenne, als sinnlose Werbung eingestuft. Es gibt derzeit noch nichts brauchbares von diesem Projekt außer heiße Luft.
Derzeit befindet sich Vepjulilja nach der Konzeption in der Vorbereitung der Finanzierung der Umsetzung durch Crowdfunding.
Große Worte auf der Webseite, erstmal abwarten, was dabei rauskommt.

Viele Crowdfunding Projekte wurden mit Wucht gegen die Wand gefahren, beispielsweise einige sogenannte Privacy-Boxen, die nicht viel mehr bieten, als einen Werbeblocker, nur mal als Beispiel: http://www.golem.de/news/privacy-boxen- ... 20250.html

"Privacy" ist ein echter Renner bei Crowdfunding Projekten. Mit ein bisschen verdeckter Werbung in Foren, in denen über Privacy diskutiert wird, kann man die Einnahmen wahrscheinlich deutlich steigern. Die Hinweise auf "Vepjulilja" tauchen in letzter Zeit öfters in verschiedenen Foren auf. ;-)