verschlüsselung

Opertunistic Encryption mit Firefox 37 und Ubuntu 14.04 LTS

| Niklas

Firefox 37 hat ein neues Feature: Opertunistic Encryption, oder auch „TLS for http://“. Die Idee ist einfach: Wir versuchen einfach mal, die Seite über HTTPS zu laden, auch wenn das Zertifikat nicht nicht stimmt, behaupten aber auch nicht, die Seite wäre sicher. Einfach, aber wirkungsvoll. Ich finde es aktuell schrecklich, das es entweder verschlüsselt und authentifiziert mit teurem Zertifikat, oder völlig unverschlüsselt gibt. Sollte nicht viel mehr der Unterschied verschlüsselt und nicht authentifiziert (http) oder verschlüsselt und authentifiziert (https) sein?

Natürlich ist es ein leichtes, die Verschlüsselung auszuhebeln, wenn man ein aktiver Angreifer/MITM ist. Aber es hilft gegen passives Belauschen. Und das muss nicht mal die NSA sein, es geht auch um Sachen wie FireSheep. Auf jeden Fall ist die Idee das man so, wenn möglich, ein verschlüsselte Verbindung bekommt, aber da man ja nicht weiß, mit wem man redet, behauptet niemand, das die Verbindung sicher sei.

Weiterlesen

Warum E-Mail-Verschlüsselung nach PGP gar nicht so einfach ist

| Niklas

Eigentlich sollte dieser Beitrag anders heißen: „Mein Vorschlag für E-Mail-Verschlüsselung nach PGP„. Nur dann habe ich weiter gelesen, und festgestellt, dass das alles gar nicht so einfach ist. 🙁

Aber der Reihe nach: In der aktuellen c’t steht ein sehr interessantes Editorial über PGP. Der Autor fordert: „lasst PGP sterben!“. Interessant ist auch dieser Kommentar des Autors:

Es geht mir um massenhafte E-Mail-Verschlüsselung — also solche, die jeder, ständig und ohne drüber nachzudenken benutzt. Wann immer eine Diskussion anfängt, wie man das realisieren könnte, kommt jemand: „Wir haben doch PGP“ — und damit ist die Diskussion auch schon wieder zu Ende. Das muss aufhören. PGP hat das in den letzten 20 Jahren nicht hinbekommen — und es wird das in den nächsten 20 Jahren auch nicht mehr erreichen.

Ich denke, er hat Recht damit. PGP ist kompliziert zu bedienen, und leidet unter dem Problem, dass jeder Schlüssel für jeden ausstellen kann. Mir ist klar, dass das vielleicht sogar gewollt ist, um dafür zu sorgen, das die Leute ihre Schlüssel verifizieren, aber massentauglich ist das leider nicht. Ich habe trotzdem Vertrauen zu PGP und würde es auch benutzen, wenn ich mal wirklich geheime Informationen austauschen möchte, es hilft aber nicht gegen ständiges passives Abhören, weil es einfach nicht einfach genug ist, um ständig benutzt zu werden. (Wie eben z.B. die Verschlüsselung in Apples iMessage).

Weiterlesen

Seiten: 1 2