cane "Es verlassen keine Informationen Ihren Rechner."

Ungenauigkeiten und Unvollständigkeiten sind eine Sache. Aber Lügen gehen zu weit. Oder kapieren sie es nicht? Das Zeitintervall ändert sich abhängig von der Anzahl der aufgerufenen Seiten. Der Aufruf der Zwangsseiten erfolgt auf dem Mix. Damit wird dem Mix die Änderung des Zeitintervalls mitgeteilt. Verbindungsdaten, Unterscheidungsmerkmale.

cane "Wort-Klaubereien, Verdrehungen...."

Noch eine Lüge. Es gibt kein Tracking ist eine total andere Aussage als es gibt kein Tracking auf dem Mix. Das erste bedeutet dass es kein Tracking gibt. Das zweite bedeutet dass es ein Tracking gibt, nur auf dem Mix nicht. Tatsache.

cane "Unsere Software ist von unabhängigen Wissenschaftlern analysiert"

Bla, bla, bla das ist doch völlig egal, es hat nichts mit dem zu tun was ich schrieb, also warum schreiben sie es? Außerdem unabhängig..... klar. Die Publikationen kann ich nirgends in einer für mich verständlichen Sprache finden.

Undokumentiert und geheim sind zwei total unterschiedliche Dinge. Wenn sie das nichtmal wissen.

cane "vollständige Bearbeitung der Werbeeinblendung durch den JonDo Client AUF IHREM RECHNER"

Entweder lügen sie jetzt oder haben es vorher getan. Eben haben sie noch gesagt die Zwangsseiten, das ist die Werbeeinblendung, wird vom Mix abgerufen. Jetzt sagen sie es findet vollständig auf dem Client statt. Sie widersprechen sich schon wider. Genau deswegen kommen solche Diskussionen auf, wegen ihren verqueren Aussagen. Ich bitte um eine Antwort von jemandem der weiß was wirklich implementiert ist ob ihre erste oder ihre zweite Aussage stimmt. Beide können nicht stimmen, denn sie widersprechen sich.

So langsam verstehe ich wer die Probleme in der Software zu verantworten hat. Keine varibalen Keylängen... Die grundlegendste Funktion fehlt.... Mannomann...... Da sie es nicht zu wissen scheinen, sich auf das NIST zu verlassen ist ein Teil des Problems. Aber nein, ignorieren sie es, ich bin sicher das geht weit über ihr Verständnis der Materie hinaus.

cane "Bitte ein Link"

http://www.iacr.org/ Suchen sie selbst.

Das sind nur die Versuche auf handelsüblichen Rechnern. Dass die Fähigkeiten von Geheimdiensten nicht öffentlich verlinkbar sind dürfte selbst ihnen bekannt sein. Aber ja, setzen sie ruhig weiter auf NIST-Empfehlungen und auf die kürzesten Schlüssel, die zu kriegen sind.

Von "jenseit aller technischer Möglichkeiten" könnten sie nur sprechen, wenn sie Einblick in Geheimdiensttechnik hätten. Ich unterstelle mal dass sie das nicht haben, insofern ist ihre Aussage nicht belastbar.

Aber belassen wir es dabei, ich bin nicht hier um ihre Arbeit zu machen und sie würden das Ergebnis auch ablehnen weil es ihnen zu sicher wäre.

Ich nehme von dieser mit ihnen verschwendeten Zeit mit, dass es besser ist alte Jondos-Software zu benutzen und von undokumentierten Funktionen, inkl. Tracking der Anzahl der aufgerufenen Seiten und Weitergabe an die Mixe, die die Anonymität kompromittieren können, auszugehen.

Kapieren SIE es nicht?

Der JonDo Client ruft den Payment-Reminder nach eigener Zählung ohne den Kaskaden irgendetwas anderes mitzuteilen als die gewünschte URL wie eine ganz normale Webseite von der Mix-Kaskade ab. Die Mixkaskade LIEFERT DIE GEFORDERTE WEBSEITE, das ist ihre Aufgabe. Die Zählung der Seiten, die Auswahl der Sprache usw. erfolgt durch den JonDo AUF IHREM RECHNER.

Eine Verkettung der Aufrufe von Webseiten ist bei JonDonym nicht möglich. Jeder Request wird einzeln anonymisiert. Auch der Aufruf der Payment-Reminder kann von den Exit-Mixen nicht mit anderen Aufrufen verkettet werden oder einem bestimmten User zugeordnet werden.

Es gibt weder undokumentierte noch geheime Funktionen bei unserer Software. (Da Sie auf Wort-Klaubereien bestehen nochmals zur Klärung.)

Das ist ihr Problem. Englisch ist üblich bei wissenschaftlichen Publikationen und z.B. die Universtät Trondheim wird für Sie keine Ausnahme machen.

Mensch.....unser ehemaliger Mix-Troll-Betreiber (ehemals als 9511 und aaaaa bekannt) aus der Schweiz ist wieder da.
Und dann auch noch mit haargenau den gleichen Sprüchen von früher. Endlich wieder etwas worüber man lachen kann,looooool


Mensch....hätte nicht gedacht,dass Hochdeutsch für Sie als Schweizer so schwer zu verstehen ist
Aber wir habens schon kapiert: Alle Wissenschaftler,die nicht ihrer Meinung sind,können ja nur gekauft sein.
Obrigens,draußen wartet schon die CIA auf Sie.


Jaja...die Geheimdienste und ihre Möglichkeiten.
Nur seltsam,dass die damalige Ausschreibung für den Verschlüsselungs-Standard AES unter anderem auch von der NSA mitgetragen wurde,damit eben dieser Standard von ihnen selbst verwendet werden kann.
Aber schon verstanden......AES ist für die Geheimdienste wohl nur deswegen interessant damit die ihn selbst wieder knacken können,falls sie selbst das Passwort vergessen haben. Genial.


Zeigen Sie uns erstmal welche Einblicke Sie in diese Technik haben.....andernfalls ist ihre Aussage auch nicht mehr als ne haltlose Behauptung.


Na,wenn Sie schon soweit sind: Zeigen Sie uns doch mal die Unterschiede anhand des Codes.Das wäre schon überzeugend.
Ich bezweifle das aber,denn bei ihren früheren provokanten Troll-Postings haben Sie nie welche Belege vorgebracht,sondern nur Behauptungen aufgestellt dass die JonDos Mixe Loggen würden......die Verschlüsselung nicht hoch genug wär gegen Geheimdienst-Angriffe.....und die User dieses Boards alle doof wären (und damit meine ich ihre Beleidigungen gegen diverse user hier).

Es ist schon traurig,dass ihr Ego es anscheinend immer noch nicht verwunden hat,dass man Sie damals aus dem Team der Mixbetreiber gekickt hat.
Selber schuld,wenn man auch Infos leaken wollte,welche eine Straftat in Form von versuchter Strafvereitelung darstellten.
Gehen Sie mal zu nem Psychotherapeuten,lol Und keine Sorge.....die unterliegen der Schweigepflicht. Außer Sie wollen uns erzählen,dass die auch zur CIA gehören,rofl.

Vorsicht, die Schlüssellängen asymmetrischer und symmetrischer Kryptosysteme sind nicht direkt vergleichbar. Ein 1024 Bit RSA-Schlüssel soll von der Stärke her z.B. in etwa einem 80 Bit symmetrischen Schlüssel entsprechen. Siehe: https://en.wikipedia.org/wiki/Key_size Abschnitt "Asymmetric algorithm key lengths"

Geschwindigkeit. Und die ist bei der Anonymisierung von Internetverkehr kritisch, während das beim E-Mail-Einsatz nicht der Fall ist.
Okay, dann schauen wir uns doch einmal an, was die Tor-Leute an Verschlüsselung eingebaut haben: https://gitweb.torproject.org/torspec.g ... r-spec.txt Dort gibt es einen Abschnitt "0.3 Ciphers", in dem erläutert wird, dass 128-bit AES (ja, genau die Schlüssellänge, die Sie lächerlich finden) benutzt wird und die asymmetrischen Schlüssel eine Länge von 1024 Bit haben. Wenn das der Ihrer Meinung nach weltweit führende Anonymisierungsdienst (aus gutem Grund, wie Sie sagten!) benutzt, dann kann es so schlecht nicht sein.

Nein, nicht das Einzige. Logisch wäre es auch, die default-Konfiguration unangetastet zu lassen, da das Arbeit erspart und die Zeit sinnvoller genutzt werden kann (genau das haben wir gemacht).

Wo wäre denn Ihrer Ansicht nach die Dokumentation sinnvoll?

cane "Auch der Aufruf der Payment-Reminder kann von den Exit-Mixen nicht mit anderen Aufrufen verkettet werden oder einem bestimmten User zugeordnet werden"

Unter Berücksichtigung des sich verändernden Zeitintervalls geht das.

cane "Es gibt weder undokumentierte noch geheime Funktionen bei unserer Software."

Dann zeigen Sie mir bitte die Stelle, an der die Zählung der aufgerufenen Seiten, der sich verändernde Zeitintervall und der Aufruf der Zwangsseiten dokumentiert ist. Da es in der Software codiert ist, das ist eine der invasiveren Methoden, die ich nicht unterstellen wollte ohne Beweise zu haben, müsste sie zumindest aus dem Changelog hervorgehen. Das ist aber nicht so. Undokumentierte Funktionen auf dem Mix wären schlimm genug, aber nicht wirklich neu. Auf der Client-Software ist das aber, zumindest für jeden ernstzunehmenden Softwareentwickler, der Supergau.

cane "Das ist ihr Problem. Englisch ist üblich bei wissenschaftlichen Publikationen und z.B. die Universtät Trondheim wird für Sie keine Ausnahme machen."

Aha, ich bin also gezwungen auf englisch zu kommunizieren. Denken sie mal nach! Im größten Teil der Welt ist englisch bei wissenschaftlichen Publikationen komplett unüblich.

Der Post von Systemshocker wird ignoriert, da er es nichtmal ansatzweise versteht und nur mit seinen kindischen und bereits widerlegten Pöbeleien kontert. Wozu eigentlich? Was ist der Sinn? Wie deutlich muss man es ihm und anderen machen, als dass cane es mehrfach zugibt, dass es ein Tracking gibt? Aber Hauptsache mal das Schandmaul aufgerissen.

georg koppen "Vorsicht, die Schlüssellängen asymmetrischer und symmetrischer Kryptosysteme sind nicht direkt vergleichbar."

Vorsicht Herr Koppen, das ist genau das was ich sagte, und was pussel und cane jetzt hoffentlich endlich kapiert haben, wahrscheinlich werden sie jetzt auch ein Troll genannt. Wenn nicht frage ich mich warum ich, obwohl ich das selbe sagte.

georg koppen "Geschwindigkeit."

Wie gesagt, der Ressourcenverbrauch ist nicht so unterschiedlich, dass es auf die Geschwindigkeit einen für die Anwendung nennenswerten Einfluss hätte. Das ist nicht der Flaschenhals bei Jondos.

georg koppen "Okay, dann schauen wir uns doch einmal an, was die Tor-Leute an Verschlüsselung eingebaut haben"

Das ist ein Missverständnis. Es ist mir bewusst, dass die Verschlüsselung bei Tor ebenso schwach ist wie bei Jondos. Weltweit führend versteht man üblicherweise im Sinne von die meisten Nutzer. In diesem Sinne habe ich es gemeint.

georg koppen: "Nein, nicht das Einzige. Logisch wäre es auch, die default-Konfiguration unangetastet zu lassen, da das Arbeit erspart und die Zeit sinnvoller genutzt werden kann (genau das haben wir gemacht)."

Dass es Arbeit erspart den schwächeren Algorithmus weiter zu nutzen, wobei fraglich ist warum man ihn überhaupt implementiert hat statt gleich den längsten Schlüssel zu nutzen, ist aus ihrer Sicht (ihr Aufwand) sinnvoll. Aber aus Sicht der Nutzer (höhere Sicherheit) nicht. Inwieweit die Zeit sinnvoller genutzt wurde als die Sicherheit auf den aktuellen Stand zu bringen kann ich nicht erkennen.

Warum wird eigentlich an einem Nachfolger für AES gearbeitet, wenn laut cane der kürzeste AES-Schlüssel noch sicher ist?

Übrigens sehe ich auch nicht wo cane einen demnächst relevanten Zeitplan für einen AES Nachfolger entdeckt hat. Das NIST hat bisher nur einen für den SHA Nachfolger veröffentlicht. Und bis der verfügbar sein wird, wird es auch noch über ein Jahr dauern.

georg koppen "Wo wäre denn Ihrer Ansicht nach die Dokumentation sinnvoll?"

Laut cane ist doch alles dokumentiert, wozu dann die Frage? Grundsätzlich wäre eine einheitliche Dokumentation generell sinnvoll, nicht nur in diesem Zusammenhang. Hilfsweise wäre das Wiki zumindest ein Anfang. Jedenfalls müsste die Funktion, soweit sie in der Client-Software ist, aus den Changelogs hervor gehen.

Aber machen sie sich keine Mühe. Ich habe daraus gelernt, siehe was ich daraus mitnehme. Misstrauen gegenüber Jondos und Finger weg vom Forum. Weil da fehlt es an Fachwissen und es geht offensichtlich nur darum Eindringlinge möglichst schnell lächerlich zu machen.

Wenn ich einen abschließenden Vorschlag machen darf, der viel Aufwand und Ärger auf beiden seiten ersparen sollte. Vieleicht sollten sie sich mit dem Forum beschäftigen. Canes widersprüchliche und in weiten Teilen von Unkenntnis gekennzeichnete Aussagen verschlimmern die Situation immer weiter. Die anderen Trolle ignoriert man einfach, das ist egal.

Das ist leider nicht der Fall. Ich kann Ihnen aus Erfahrung sagen, dass wir immer wieder Nutzer haben, die sich beschweren, dass nicht einmal die Premiumdienste schnell genug sind und die schon herumjammern, wenn es Verzögerungen im Millisekunden-Bereich gibt. Deswegen nutzen wir bisher 128Bit AES für die symmetrische Verschlüsellung, da es nachwievor keine praktisch relevanten Angriffe dagegen gibt. Dennoch: Wir haben die Migration auf eine stärkere Verschlüsselung im Auge, um diese am Start zu haben, falls 128Bit AES nicht mehr sicher genug sind.
Damit andere Nutzer die nötigen Informationen leicht(er) finden.
Okay, das werden wir morgen nachreichen, denke ich.
Doch, mache ich.
Skepsis gegenüber JonDos finde ich aus Nutzersicht durchaus nicht schlecht, schließlich sitzen wir als Anbieter eines Anonymisierungsdienstes sozusagen an delikater Stelle. Wenn Sie der Meinung sind, dass es bei uns an Fachwissen fehlt, dann kann ich sie nur einladen, dieses fehlende Wissen im Forum oder auf anderen Kanälen mitzuteilen, so dass alle etwas davon haben. Ich würde Sie auch nicht als Eindringling bezeichnen, geschweige denn lächerlich machen wollen. Wozu auch.