freenigma Kram

Ich hab's wohl überlesen, weil ich kein Webmailgedöns nutze und was ich so lese, gefällt mir nicht. Aber bei gulli kann man über freenigma in Mailverschlüsselung per GnuPG für jedermann und bei Golem in Freenigma: Firefox-Erweiterung verschlüsselt Web-Mailer lesen.

Warum ich das genauso wenig mag wie damals diesen Cipherkram und jeden freenigma Benutzer bzw. dessen Schlüssel als nicht vertrauenswürdig einstufen werde trotz des Zauberwortes SSL?

You will receive an e-mail with a unique registration URL. Click on it. We will use your e-mail address as your account name. Enter your first name and last name and enter all e-mail addresses from which you want to use freenigma. Finally you have to choose your password.

You manage all contacts and trusted persons with whom you want to exchange encrypted e-mails on the freenigma server. For the experts: the entire key management takes place on the server. Your keys are managed on the server while the encryption itself takes place within the client. For the non-experts: don't worry - you won't find any complicated terms in freenigma. Everything is simple and intuitive to use.

For the experts: when making an encryption request, the freenigma extension sends nothing more than the list of recipient addresses to the freenigma server. In response, it receives a random session key for symmetric encryption within the client as well as an asymmetrically encrypted session key for all the recipients. AES encryption is then performed within the client using the unencrypted session key. Then, the user script in the client combines the symmetrically encrypted mail text and the asymmetrically encrypted session key to create the OpenPGP binary format.

Aus der freenigma FAQ.

Das Passwort, mit dem ich meinen freenigma Account einrichte (Susi?), wird also das Passwort sein, mit dem mein privater Schlüssel neben dem öffentlichen Schlüssel auf dem freeenigma Server erst erzeugt, gesichert und dann abgespeichert bleibt. Auch wenn die Ver- und Entschlüsselungsvorgänge lokal per Javascript erfolgen, der gemeinsame Sitzungsschlüssel wird schon mal bei freenigma erzeugt und auch ansonsten hängt alles davon ab, wie freenigma mit meinem Account, meinem Passwort und meinen Schlüsseln umgeht? Nein Danke. Auch wenn die Leutchen guten Willens sein sollten, hängt darüber hinaus alles davon ab, wie gut deren Server gesichert ist und auch alles bei meinem Gegenüber im Webbrowser stimmt? Außerdem wird noch zentral gespeichert, mit wem ich alles (auch noch verschlüsselt) kommuniziere? Nein Danke.

Die Stoßrichtung, alles einfacher für die Nutzer zu machen, was Krypto angeht, ist ja per se nicht verkehrt, auch wenn - ich wiederhole mich - der vernünftige und sichere Einsatz von Kryptografie Hirnschmalz und Einsatzwillen bedingt, an denen es vielfach mangelt und allzu viel Kryptovereinfachung einfach nur ungesund ist.

Auch die Firefoxerweiterungsidee ist nett, aber wenn, dann Bitteschön a la Enigmail für Thunderbird, denn die Installation von GnuPG mit den Installern und dem gpg4win Paket dürfte selbst für WinDAUs kein großes Problem darstellen. Wer es nicht will, braucht auch keine monströse GnuPG Konfigurationsdatei und schnell sind auch anfängerkompatible Kurz-Howto's online, die sich speziell freenigma widmen würden. Aber so ist freenigma in meinen Augen einfach nur Bullshit.

Posted by Kai Raven in Anonymität, Datenschutz, Internet / TeKo, Kryptografie, Netz, Owl, Software
Comments (9) Trackback (1)

Trackbacks

Trackback specific URI for this entry

Freenigma
ff stellt in seinem Blog ganz kurz Freenigma vor. Eine entsprechende Meldung gab es die Tage bei Heise. Warum auch ich Freenigma nicht fuer das tolle Konzept halte, zeigt Kai schoen im Rabenhorst. Mal wieder die eigentliche Umsetzung...

Weblog: echox's blog
Tracked: Jul 19, 20:05

Comments

Display comments as (Linear | Threaded)

#1 - Missi 2006-07-19 14:42 - (Reply)

Kai, ich will ehrlich sein: Ich warte doch schon etwas länger auf dein Statement in der Sache. :o)

#1.1 - Kai Raven 2006-07-19 14:49 - (Reply)

lol :)

#2 - kiesow 2006-07-19 16:59 - (Reply)

bei gulli entdeckt? ich hab es mir vorhin auch mal angeschaut und bin bei der gleichen problematik hängengeblieben. weshalb sollte ich irgendwem meinen *privaten* schlüssel anvertrauen? das ist doch absoluter schwachsinn. irgendwo in deren FAQ ist auch ein punkt "wäre es nicht toll, wenn die webmail eigene verschlüsselungslösung anbieten würden?" und als antwort steht sowas wie "nein, weil man weiss ja nie, was die dann mit den nachrichten und schlüsseln anstellen." das war der punkt, an dem ich erstmal überlegen musste, ob die extension erst gemeint oder satire ist.

#2.1 - Kai Raven 2006-07-20 06:26 - (Reply)

Wäre nicht das erste Mal, dass ich auf einen guten Fake hereinfalle :)

#3 - alex 2006-07-19 22:20 - (Reply)

man muss aber auch mal sagen, dass so eine realisierte verschlüsselung besser ist als gar keine. für den normalbenutzer reicht das angebotene völlig aus, alles andere ist derzeit schlicht und ergreifend zu kompliziert und nicht zumutbar.

#3.1 - Kai Raven 2006-07-20 06:22 - (Reply)

Beim Web-of-Trust gibt es die zwei schönen Begriffe des Vertauens und der Zuverlässigkeit, die sich im Kontext des WoT auf den einzelnen Schlüsselbesitzer und ihre Verbindungen untereinander beziehen. Aber die beiden Begriffe kann man auch mit Ergänzung um die Begriffe Sicherheit und sicherer Kontext auf die zugrundeliegende Technik und ihre Umsetzung beziehen. Neben der Bedingung, dass kryptografische Software Open Source zu sein hat und Verfahren einsetzt, die Kryptoanalysen standhält und beim Einsatz zur Kommunikation Angriffe durch Dritte ausschließt, gehört dazu auch, dass der Anwender weitestgehende Kontrolle über die Anwendung und den Prozess behält, was insbesondere den Schutz privater Schlüssel und Passphrases bei Public Key Kryptografie einschließt. Hinzu kommt, dass an einer verschlüsseltenr Kommunikation zwischen zwei Kommunikationspartnern am besten auch nur die beiden Partner beteiligt sein sollten. Mit Deinem Argument ist jede Verschlüsselungstechnik zulässig, auch wenn sie den Kriterien widerspricht oder gar Snake Oil Kryptografie darstellt. Was Deine zweite Ausage angeht, kann ich nur sagen, dass ich seit elf Jahren mit einer Vielzahl unterschiedlichster Personen zu tun hatte, die unterschiedlichste "Skills" aufwiesen und die mit "allem anderen" sehr wohl zurechtkamen und kommen. Viele Anwender sehen kein Problem darin, sich in komplizierte Anwendungen in anderen Bereichen (z. B. Multimedia) und ihre Dokumentationen einzuarbeiten, sind dann aber empört, wenn es bei Kryptografie nicht sofort mit einem Knopfdruck läuft. Sicherlich kann man die eine oder andere kryptografische Anwendung verbessern, was ihre Usability angeht. Bei vielen Projekten kann man sich sogar als Anwender mit Hinweisen und Vorschlägen einbringen, statt die beleidigte Leberwurst zu geben, zu schweigen und eine Anwendung zu verdammen. Hinzu kommt, dass Kryptografie einfach auf mathematischen Vorgängen beruht, die schon selbst kompliziert sind und deren sichere, kryptografische Umsetzung ebenfalls kompliziert ist. Wer also mehr Interesse dafür aufbringt, was er da eigentlich macht, wenn er Button X drückt, hat sich damit auseinanderzusetzen, da führt kein Weg daran vorbei. Und wie ich bereits im Beitrag sagte, wer partout nicht mit einfachen Anwendungen wie Enigmail/Thunderbird, Zfone, GnuPG/Psi, OTR/Gaim zurechtkommt, der sollte es lieber sein lassen, als sich auf Lösungen einzulassen, die scheinbar zuverlässig, vertrauenswürdig und sicher sind.

#3.1.1 - Kai S. 2006-07-20 17:02 - (Reply)

Hallo Kai Raven, Also Deiner Meinung, es handele sich bei »Enigmail/Thunderbird, Zfone, GnuPG/Psi« um einfache Anwendungen, ist zu widersprechen. Aus folgenden Gründen: (1) Natürlich ist die Kombination Thunderbird - GnuPG - Enigmail nicht so unendlich schwierig. Aber wenn man als Interessierter im Internet sucht, dann landet man häufig bei PGP, und dann gibt es noch solche verwirrenden Bezeichnungen wie beispielsweise OpenPGP, GnuPT, GnuPP. Man weiß einfach gar nicht, worauf es ankommt. Dazu kommt, dass asymmetrische Kryptosysteme erheblich schwerer zu verstehen sind als symmetrische Kryptosysteme. Was ich übrigens bei Enigmail äußerst schwierig finde, ist nicht die Verschlüsselung, sondern die Signierung. Da könnten die Softwareentwickler durchaus Veränderungen einbringen. Also eine wirklich einfache Anwendung ist das nicht. Man muss drei Komponenten installieren, um erfolgreich E-Mails verschlüsseln zu können. Das muss man erst einmal wissen. Selbst Kryptographie-Profis haben gelegentlich nicht nur einen einzigen Schlüssel veröffentlicht, sondern versehentlich einen weiteren ungültigen Schlüssel. Dann erhält man eine E-Mail: »Kannst du mir die E-Mail nocheinmal senden, ich habe versehentlich meine Passphrase vergessen.« (2) Zfone ist vom Konzept her sicherlich ziemlich einfach zu bedienen. Jedoch sollte man hinzufügen, dass es sehr häufig Probleme mit der Internettelefonie gibt, die nichts mit Zfone unmittelbar zu tun haben, sondern mit QoS und Traffic-Shaping. Zfone ist aus der Sicht des Anwenders keine einfache Anwendung. Zfone müsste unmittelbar in den VoIP-Client integriert sein, um als einfache Anwendung zu gelten. Außerdem gibt es zur Zeit noch keine VoIP-Telefone zum Anschluss an das LAN, die eine Zfone-Funktionalität haben. Dies wäre aber eine Voraussetzung dafür, dass sich Zfone massenhaft verbreiten kann. Wenn überhaupt, dann erscheint zur Zeit der Einsatz eines SRTP-Telefons sinnvoll zu sein - aber wie sicher sind die? (3) Ich selbst habe die Kombination GnuPG und Psi einsetzen wollen, bin aber aufs erhebliche Probleme bei der Registrierung unter Windows XP gestoßen. Also bei mir funktioniert diese Kombination zur Zeit noch nicht. Theoretisch ist diese Kombination relativ einfach, aber es klappt halt nicht. Fazit: Man sollte sagen, dass Kryptographie generell relativ kompliziert ist. Zum Einstieg sollte man symmetrische Kryptosysteme empfehlen - beispielsweise KeePass oder TrueCrypt. Einsteiger können auf diese Weise sichere Kryptosysteme kennenlernen, gewinnen ein gewisses Interesse an der Kryptographie und können dann später in einem weiteren Schritt auch ihre Kommunikation verschlüsseln. Grüße

#3.1.1.1 - Kai Raven 2006-07-20 18:05 - (Reply)

Zu 1: Hey, man ist im Internet. Da gibt es Sachen wie die Wikipedia, Lexika, einfache und kompliziertere Anleitungen, Mailinglisten, Foren, Blogs und das Usenet. Überall werden diese Begriffe erklärt und der Unterschied zwischen asymmetrischer & symmetrischer Verschlüsselung u. a. ebenfalls. Dort kann man sogar etwas lernen und nicht nur das neueste YouTube Video saugen. Ansonsten siehe meine Bemerkungen zu Dokumentationen, anderen Anwendungen und der Mitwirkung. Nein, die Leute sind einfach stinkend faul. Zu 2: Vom Konzept her einfach zu bedienen, aber aus der Sicht des Anwenders keine einfache Anwendung? Was ist daran so schwierig, Zfone zu installieren, den SIP Client auf einen bestimmten Port einzustellen und *zuzuschauen*, wie Zfone grafisch anzeigt, wie die verschlüsselte Verbindung zustandekommt? Was die Probleme angeht, Zfone im Client usw. - nicht umsonst sind das erste Betas, Integration in Clients geplant usw., was Du wiederum dazu sagen solltest. Ich hatte auch zuerst ein Installationsproblem. Ja und? Den Bugreport genutzt, den Zimmermann anbietet und weiter geht's. Aber darum ging es ja auch überhaupt nicht. Zu 3: Nicht zulässige Verallgemeinerung eines individuellen Problems, die ich schon hundertmal gehört habe. Zu Fazit: "Man sollte sagen" - das habe ich bereits im Beitrag und dann auch noch mal im letzten Kommentar gesagt. TrueCrypt? Wieder eine unzulässige Verallgemeinerung, nur weil Du damit zurecht gekommen bist. Ich hatte erst letztens einen Mailwechsel zu TrueCrypt, wo jemand größere Probleme damit hatte. Und Nein, ich glaube nicht, dass es einfacher wird, wenn man später Leuten erklären muss, warum sie jetzt auf einmal zwei Schlüssel brauchen und wieso jetzt auf einmal einer "öffentlich" ist. Und damit das noch einmal etwas deutlicher wird: Ich persönlich bin wie gesagt, immer für zweckmäßige Vereinfachungen und Verbesserungen zu haben (was ja eine Binsenweisheit ist), aber ich halte überhaupt nichts davon (nicht nur bei Krypto), jedem passiven Anwender oder "Netizen" permanent den Arsch nachtragen zu wollen und seine Bedürfnisse eines faulen und bequemen "IT-Lebens" zu befiedigen.

#3.1.1.1.1 - Kai S. 2006-07-20 19:20 - (Reply)

Hallo Kai Raven, Du hast recht, wenn Du schreibst, dass die Leute »einfach stinkend faul« sind. Aber was kann man dagegen tun? Die Faulheit kann man denen doch nicht abnehmen. Du gehörst zu den ganz wenigen, die Zfone bereits einsetzen. Ich habe Zfone auch installiert - es war überhaupt kein Problem. Aber was bringt das, wenn das kaum einer hat? Du gehst davon aus, dass es ganz einfach ist, »den SIP Client auf einen bestimmten Port einzustellen«. Mal ganz ehrlich: Wer weiß denn überhaupt, was ein Port ist? Also wenn die ganze Angelegenheit nicht innerhalb von 20 Minuten klappt, dann lässt man es wieder sein. Gruß

Add Comment

Name
Email
Homepage
In reply to
Comment	To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly. Enter the string from the spam-prevention image above: BBCode format allowed
	Remember Information?