state-in-the-middle

Fragen zur Organisation, spezielle technische Fragen zum Dienst,
xg27
Posts: 1111
Joined: Mon Jun 24, 2013 13:39

Re: state-in-the-middle

Post by xg27 » Wed Jun 26, 2013 7:57

Somit kann der lokale JonDo anhand der Trust-Chain prüfen, dass der richtige Schlüssel für die Verschlüsselung verwendet wird und nicht beim ISP gegen einen kompromittierten Key ausgetauscht wurde. Dafür braucht er nur die public Keys der JonDonym CAs.
Also der Nutzdatenstrom ist symmetrisch verschluesselt und nur die Mixer authentisieren sich;nicht der lokale JonDo.

So waren also doch die "fife spying eyes" der Grund fuer die relative Ruhe um kaskadenverschluesselte Systeme.
Ich wollte nur mal erwähnen, dass die Verteidigungsmöglichkeiten gegen einen globalen Angreifer eher in geschlossenen Netzen liegen als bei Rauschgeneratoren.
Also Handeln ist mehr von den usern gefordert als von einigen wenigen Entwicklern.

Das heisst, die user muessen sich kollektiv daran erinnern wer hier eigentlich der Hase ist und wer der Igel.

Wenn schon geschlossene Netzwerke wie zB. Freenet im web-of-trust-mode, dann waere es wohl auch sinnvoll die Uebertragungsinfrastruktur zu dezentralisieren inclusive eines dezentralen DNS-managments.Also den ISP,der vor jedem user sitzt,zu entsorgen.

Dazu braucht es einen Paradigmenwechsel bei den usern vom dumm-bequemen verantwortungslosen Konsumenten hin zum verantwortungsbewussten Mitgestalter eines gemeinsamen Netzes.

cane

Re: state-in-the-middle

Post by cane » Wed Jun 26, 2013 11:50

Also Handeln ist mehr von den usern gefordert als von einigen wenigen Entwicklern.
Das ist schon immer so. Es gibt eine Vielzahl von Angeboten, die Software Entwickler bereits gemacht haben: JonDonym, Tor, OpenPGP, OTR, I2P, Freenet, Tahoe-LAFS, Freifunk.... Debian..... Die User müssen aber selbst aktiv werden, um sie nutzen.

Das fängt mit der Auswahl des Betriebssystems an, wie wir jetzt bestätigt bekommen haben.

Mit JonDonym, OpenPGP und vertrauenswürdigen E-Mail Providern (siehe: https://www.anonym-surfen.de/help/email-provider.html ) kann man seine E-Mail Kommunikation vor Überwachung schützen, auch gegen potente Angreifer.

Wenn man nur JonDonym auf seinem MacBook installiert und weiterhin Google und Facebook nutzt, ist der Schutz gegen Überwachung nur sehr begrenzt.

JonDonym kann ein Baustein in einem Konzept sein, um sich gegen Überwachung zu schützen. Die 3 aktiven Entwickler bei JonDonym können aber (bei realistischer Einschätzung) kein System aufbauen, dass quasi "auf Knopfdruck" gegen einen konzertierten Angriff von 40.000 Mitarbeitern der NSA Sicherheit bieten kann.

Es gibt kein Krypto-System, das bei Beibehaltung der Annehmlichkeiten des Internet auf Knopfdruck vollständigen Schutz gegen Überwachung durch die NSA und Konsorten bieten könnte!

Das gesamte Schutzkonzept muss jeder Nutzer selbst überdenken. Ein regierungs-kritischer Blogger in Vietnam hat andere Anforderungen als ein Internetnutzer in Saudi Arabien, der einfach nur nackte Jungfrauen im Netz sucht, oder ein deutscher Nutzer, der seine private Kommunikation schützen möchte.

Dieses Schutzkonzept ist immer wieder neu zu evaluieren, da es ständig Veränderungen im Hase-und-Igel Wettlauf gibt. Ein Beispiel: seit Google die starke SSL-Verschlüsselung für alle Dienste eingeführt hat, ist das "Lauschen am Draht" für die NSA wenig effektiv. Also hat die NSA Google kompromittiert und lässt sich die Daten direkt von den Google-Servern liefern. Das ist nicht erst seit Snowden bekannt, sonder wurde schon vor einem Jahr von W. Binney public gemacht. Neu hinzu gekommen sind jetzt Apple, Microsoft und Facebook.

Der Sicherheitsexperte Pete Swire hat diese allgemeine Tendenz (betrifft nicht nur NSA und Konsorten) als Reaktion auf die Zunahme der Verschlüsselung in dem Paper beschrieben: "From Real-Time Intercepts to Stored Records: Why Encryption Drives the Government to Seek Access to the Cloud" http://idpl.oxfordjournals.org/content/ ... VXIzrgbfae

Der Wettlauf kann noch viel weiter gehen, als sich bisher erahnen lässt. Es ist für die NSA durchaus im Bereich des Möglichen und finanzierbar, einen Supercomputer zu bauen, der AES128 oder RSA 1024 Schlüssel im 8-Minuten-Takt knackt. (Das Paper finde ich gerade nicht.) Das würde nicht reichen, um den gesamten Tor- und JonDonym Datenverkehr on-the-fly zu knacken, aber einzelne Verbindungen wären durchaus möglich. Es gibt keine Anhaltspunkte, dass die NSA dieses Spezialcomputer wirklich baut, das neue Datacenter in Bluffdale hat andere Aufgaben. Aber das Wettrüsten könnte unendlich weiter gehen.

Es ist eine internationale politische Lösung nötig, die das Menschenrecht auf unbeobachtete private Kommunikation respektiert.

Das muss die Zivilgesellschaft von den Regierenden erzwingen.

cane

Re: state-in-the-middle

Post by cane » Wed Jun 26, 2013 12:27

Ergänzung: Das Paper zu dem hypothetischen Superkomputer, der AES128 in sinnvollem Zeitrahmen knacken könnte ist: "CAESAR: Cryptanalysis of the Full AES Using GPU-Like Hardware" http://2012.sharcs.org/slides/biryukov.pdf oder hier http://2012.sharcs.org/accepted.html

xg27
Posts: 1111
Joined: Mon Jun 24, 2013 13:39

Re: state-in-the-middle

Post by xg27 » Wed Jun 26, 2013 21:39

cane wrote:
Also Handeln ist mehr von den usern gefordert als von einigen wenigen Entwicklern.
Das ist schon immer so. Es gibt eine Vielzahl von Angeboten, die Software Entwickler bereits gemacht haben: JonDonym, Tor, Op......
Das kann man gar nicht oft genug sagen.
By the way, wie schaetzen Sie mint-debian (LMDE) ein im Vergleich zu Debian?
Das fängt mit der Auswahl des Betriebssystems an, wie wir jetzt bestätigt bekommen haben.
Gibt es da etwas Neues?
Mit JonDonym, OpenPGP und vertrauenswürdigen E-Mail Providern (siehe: https://www.anonym-surfen.de/help/email-provider.html ) kann man seine E-Mail Kommunikation vor Überwachung schützen, auch gegen potente Angreifer.
Da merkt man dann schnell den Unterschied zwischen Gemeinsamem und Eigenem: keiner will mitmachen und verschluesselte mails kann man sich bestenfalls selbst schicken. Die Begruendungen reichen vom trivialen "sowieso nichts zu Verbergen haben" zum etwas originelleren "ich fuerchte mich doch nicht vor denen die sich vor mir fuerchten".
Eigentlich zun totlachen, wenn es nicht so traurig waere.
Das muss die Zivilgesellschaft von den Regierenden erzwingen.
Wenn die Ermittlungsarbeit durch Totalueberwachung automatisiert wird, dann werden viele Beamte arbeitslos werden. Vielleicht bringt diese Erkenntnis neue Verbuendete...

cane

Re: state-in-the-middle

Post by cane » Thu Jun 27, 2013 20:38

By the way, wie schaetzen Sie mint-debian (LMDE) ein im Vergleich zu Debian?
Gleichwertig, würde ich sagen. Aktuellere Software, sieht hübscher aus aber Debian ist sehr gut getestet.
keiner will mitmachen und verschluesselte mails
Einer muss den Anfang machen. ;-)

Um ein bischen mit verschlüsselten E-Mails zu spielen, kann man "Adele" als Trainingspartner für die ersten Versuche nutzen. Die ist ein freundlicher Robot und antwortet auf jede verschlüsselte E-Mail sofort, ebenfalls verschlüsselt. [ Link gelöscht, da Inhalt nicht mehr verfügbar Wir werden das Thema in kürze in unserer Online-Hilfe haben. ]

Wenn man es selbst beherrscht, kann man besser überzeugen.

xg27
Posts: 1111
Joined: Mon Jun 24, 2013 13:39

Re: state-in-the-middle

Post by xg27 » Fri Jun 28, 2013 18:29

cane wrote:.....
Danke fuer die nuetzlichen infos!

Ich weiss, ich strapaziere Ihre Geduld, aber kann man sich als normaler Sterblicher irgendwo einlesen ueber die Interpretation von logs?

cane

Re: state-in-the-middle

Post by cane » Sat Jun 29, 2013 3:56

Da kann ich Sie nur an Ixquick oder DuckDuckGo verweisen. Vielleicht jemand anderes einen Tip?

xg27
Posts: 1111
Joined: Mon Jun 24, 2013 13:39

Re: state-in-the-middle

Post by xg27 » Sat Jun 29, 2013 21:29

cane wrote:Da kann ich Sie nur an Ixquick oder DuckDuckGo verweisen. Vielleicht jemand anderes einen Tip?
Danke trotzdem!

cane

Re: state-in-the-middle

Post by cane » Wed Jul 03, 2013 17:32

Wer sich über "Adele" (den OpenPGP-Robot) informieren will und ein bischen trainieren möchte, kann in unserer Online-Hilfe nachlesen:

https://www.anonym-surfen.de/help/email-openpgp.html

(Das OpenPGP "Web of Trust" fehlt noch und ein paar Kleinigkeiten, kommt in Kürze.)

xg27
Posts: 1111
Joined: Mon Jun 24, 2013 13:39

Re: state-in-the-middle

Post by xg27 » Wed Jul 03, 2013 21:32

cane wrote:Wer sich über "Adele" (den OpenPGP-Robot) informieren will und ein bischen trainieren möchte,...
Und nochmals Danke!
Ich hoffe keine zusaetzliche Arbeit verursacht zu haben; war nicht meine Absicht.

Post Reply