Kenneth Coldy
Banned
- Registriert
- Dez. 2011
- Beiträge
- 4.476
MountWalker schrieb:
Dafür, bzw. dagegen, gibts Truecrypt.
News Thunderbird 31.5 schließt fünf Lücken
- Ersteller fethomm
- Erstellt am
- Zur News: Thunderbird 31.5 schließt fünf Lücken
Dafür, bzw. dagegen, gibts Truecrypt.
Und was hilft dir die Verschlüsselung, wenn ein Keylogger deine Passwort-Eingabe loggt? Na? Dämmerts?cbtestarossa schrieb:
Wenn der Admin zu neugierig ist, oder der Eindringling von außen, dann bist du wieder am Arsch. Denn dann hast du einfach einen Hardware-Keylogger an der Backe. Gibts für ganz kleines Geld, und bemerken wirst du sie im Zweifel nicht. Frag mal die TAZ, die können ein Lied davon singen.
Eben. Du bist dir nicht sicher. Ich bin mir hingegen sicher, dass es NICHT geht.
Server erwartet: Dein Passwort
Du sendest: Hash deines Passworts
Was passiert wohl?
Ja, denken wir mal in dieser Richtung weiter...
1.) Illegal agierende Angreifer, die auf diese Weise z.B. Zugang zu Shopping- und Banking-Konten erlangen wollen: Die müssen mir erst einmal einen entsprechenden Virus unterschieben. Physischen Zugriff auf meinen PC haben sie wohl kaum. Wenn, dann würden die das Ding auseinander schrauben und die Einzelteile verkaufen.
2.) Legale Angreifer, sprich Polizeibehörden sowie staatliche Spione: Die müssen sich keinen Zugriff auf meinen PC verschaffen, um meine Mails zu lesen. Die winken einfach bei meinem Provider mit dem passenden Zettel. Alle Mails, die jetzt nicht per PGP o.ä. verschlüsselt wurden, sind direkt lesbar. Warum? Weil nur der Schritt vom Mailclient zum Provider verschlüsselt ist, nicht aber die Postfächer beim Provider oder die Kommunikation zwischen Providern.
Du siehst... Arschkarte für dich.
E-Mail SOLL auch nicht wie ein Messenger funktionieren. Daran mal gedacht?
Gehen wir deinen Wunschzettel durch:
- Alle Mailprotokolle, abgesehen von Microsoft EAS, sind uralte offene Standards
- Sicher? Nichts ist sicher, außer du verwendest End-to-End - Verschlüsselung. Das wiederum setzt aber eine globale Public-Key-Verwaltung voraus. Schwer zu lösen.
- Einfach zu bedienen? Was ist SCHWER an Mail? Mails sind so elementar einfach, dass du sie von der Command Line via Telnet schicken kannst. Einfacher kann ein Protokoll nicht sein.
Von deinem Wunschkonzert bleibt also nur die Frage nach einer brauchbaren und leicht bedienbaren End-to-End - Verschlüsselung. Die Frage wird aber noch ewig offen bleiben.
W
Wolfsrabe
Gast
Vorausgesetzt, daß beide Partner, die eine End-to-End-Verschlüsselung ihrer Email-Kommunikation wünschen, keine Keylogger o.ä. auf ihren Rechnern haben, bleibt als einzig sichere Übertragung des öffentlichen Schlüssels ja nur noch die persönliche Übergabe bzw. Austausch desselben. Dies wäre dann aber auch nur einmal nötig. Seh ich das richtig?
Nun, rein theoretisch kannst du den Public Key auch einfach unverschlüsselt per Mail verteilen oder über Key-Server. Es geht ja nur darum, dass Besitzer deines Public Key dir Nachrichten schicken können, die du dann mit deinem Private Key entschlüsseln kannst.
Es gibt aber noch keine No-Brainer - Lösung für PGP, was das angeht. Du kannst, soweit ich weiß, nicht einfach eine Mailadresse ins Adressfeld tippen und dann kümmert sich PGP allein um den PubKey. Wär ja noch schöner...
Und natürlich kann Mail-Verschlüsselung eines sowieso nicht: Perfect Forward Secrecy. Dafür bräuchte man einen direkten Schlüsselaustausch mit dem Gesprächspartner, der hier aber nicht möglich ist. Wenn dir jemand den Private Key klaut, wars das. Dann kann er rückwirkend alles entschlüsseln.
Es gibt aber noch keine No-Brainer - Lösung für PGP, was das angeht. Du kannst, soweit ich weiß, nicht einfach eine Mailadresse ins Adressfeld tippen und dann kümmert sich PGP allein um den PubKey. Wär ja noch schöner...
Und natürlich kann Mail-Verschlüsselung eines sowieso nicht: Perfect Forward Secrecy. Dafür bräuchte man einen direkten Schlüsselaustausch mit dem Gesprächspartner, der hier aber nicht möglich ist. Wenn dir jemand den Private Key klaut, wars das. Dann kann er rückwirkend alles entschlüsseln.
Halo, ich habe viele Jahre Thunderbird genutzt, schade das es nicht weiterentwickelt wirt. Zuletz hat mein Kaspersky ständig Schwachstellen in Thunderbird gemeldet. Nehme jetzt "Postbox". Kostet einmalig 20,00 Euro und baut auf Thunderbird auf mit Weiterentwicklung.
Das Problem ist nicht den Public Key geheim zu halten (wie der Name schon sagt darf der ja öffentlich bekannt sein), sondern sicherzustellen, dass der Public Key auch wirklich zu der richtigen Person gehört.
Je nachdem, welches Sciherheitslevel man benötigt bzw. wie paranoid man ist bleibt dann im Extremfall nur ein Persönliches treffen.
Je nachdem, welches Sciherheitslevel man benötigt bzw. wie paranoid man ist bleibt dann im Extremfall nur ein Persönliches treffen.
TBird wird nicht "nicht mehr weiterentwickelt" sondern wird lediglich als "feature complete" angesehen und erhält nur noch relevante Fixes. Wenn dir ein Feature einfällt, dass beim TBird wirklich fehlt und vor allem nicht per Extension gelöst werden kann, dann her damit.nubiraCDX schrieb:
Und was Kasperkopfsky meldet, darauf solltest du so oder so keinen Pfifferling geben.
cbtestarossa
Fleet Admiral
- Registriert
- Okt. 2011
- Beiträge
- 10.401
Daaron schrieb:
1. Um einen Keyloger ging es auch nicht sondern um Programme die im Hintergrund einfach Daten (in dem Fall Klartext) auslesen können.
2. Hier geht es nicht um den Versand des Passwortes an den Server sondern um die Verschlüsselung dieses von/zur Festplatte/RAM.
3. Genau, deshalb benötigen wir Email2, einen neuen offenen sicheren Standard den alle anwenden
Zuletzt bearbeitet:
Was für Programme sollen das sein? Malware ist oftmals so designed, dass sie ihre Fähigkeiten umfangreich erweitern kann.cbtestarossa schrieb:
Hash-Funktionen sind Einweg-Funktionen. Klar, was das bedeutet?
Die Verschlüsselung ist aber kein Problem, für dessen Lösung ein komplett neues Protokoll notwendig ist. Du KANNST Mails bereits End-to-End verschlüsseln, wenn du es darauf anlegst. Mit PGP gibt es sogar eine freie Implementierung, die in vielen Mailclients funktioniert. Lediglich am Key Exchange haperts etwas, und daran würde ein neues Mail-artiges Protokoll GAR NICHTS ändern.
Statt dessen würde ein neues Protokoll vollkommen neue Adressierungs-Schemata benötigen (weil name@domain.tld ja für e-mail belegt ist), du bräuchtest vollkommen neue Dienste auf den Servern, du bräuchtest neue Client-Programme, du bräuchtest neue Web-Oberflächen, du bräuchtest neue APIs für alle gängigen Programmiersprachen,...
Dein Problem: Auto 1.0 fährt mit endlichen fossilen Rohstoffen. Offensichtliches Problem.
Deine Lösung: Auto 2.0 erfinden, dass gar nichts mit dem Auto 1.0 zu tun hat, für das neue Straßen gebaut werden müssen, neue Garagen, neue Werkstätten, neue gesetzliche Regelungen,... Und all das nur, damit Auto 2.0 nicht mit fossilen Rohstoffen betrieben wird.
Praktische Lösung: Auto 1.0 mit der "Elektromotor"-Extension ausrüsten
cbtestarossa
Fleet Admiral
- Registriert
- Okt. 2011
- Beiträge
- 10.401
Häng dich doch nicht an HASH auf da ich ja schrieb "oder andere Methoden"
Es geht darum dass im Ram der Klartext nur ganz kurz auftauchen sollte, wenn überhaupt.
Lies doch einfach mal langsam.
Bzgl. Email2
Na und, dann erfinden wir halt mal etwas neues wenn es besser ist.
Willst du alle Fosile der IT beibehalten?
Dann bräuchten wir auch kein SPDY oder HTTP/2.
Wenn es ne gute Lösung gibt dann wird diese sich durchsetzen und auch eingebaut werden.
Es geht darum dass im Ram der Klartext nur ganz kurz auftauchen sollte, wenn überhaupt.
Lies doch einfach mal langsam.
Bzgl. Email2
Na und, dann erfinden wir halt mal etwas neues wenn es besser ist.
Willst du alle Fosile der IT beibehalten?
Dann bräuchten wir auch kein SPDY oder HTTP/2.
Wenn es ne gute Lösung gibt dann wird diese sich durchsetzen und auch eingebaut werden.
Zuletzt bearbeitet:
Hash geht nicht, also brauchst du eine echte Verschlüsselung. Jetzt muss deren Key natürlich wieder irgendwo liegen, sonst bringt es nix. Du hast also die Wahl:cbtestarossa schrieb:
- du gibst dein E-Mail - Passwort ein
- du speicherst dein E-Mail - Passwort, aber verwendest den verschlüsselten Keyring deines OS (so vorhanden), gibst also nur dein User-Passwort ein
- du verwendest ein Key-Management - Werkzeug und gibst DA ein Passwort ein
- du verschlüsselst die Passwörter im Mailclient, aber musst ein Entsperr-Passwort eingeben
Da beißt sich die Maus in den Schwanz, oder?
Schlechter Vergleich.
SPDY & HTTP/2 definieren nur die Übertragung von Daten, nicht deren Struktur. Das wäre so, als würdest du IMAP, POP3 und SMTP revolutionieren. Blöd nur, dass diese Protokolle alles können, was sie sollen.
Gegenfrage: Muss man tatsächlich Auto 2.0 mit neu erfundenen Rädern bauen, wenn Auto 1.1 mit Elektromotor das Ziel auch erreicht, aber dabei noch kompatibel zur Garage 1.0 ist?
W
Wolfsrabe
Gast
Daaron schrieb:
Ist zwar mehr als nur einfach ein "Feature", aber Thunderbird für iOS und Android wäre traumhaft. Zusammen mit dem PGP-Plugin wäre Ende-zu-Ende-Veschlüsselung dann wirklich plattformübergreifend und auch mobil möglich.
Gargamelanie
Newbie
- Registriert
- Apr. 2014
- Beiträge
- 3
Denke das dürfte viele interessieren: SoftMaker stellt für das Thunderbird-Projekt einen Vollzeitprogrammierer zur Verfügung und bindet eine erweiterte Version in sein neues Officepaket ein: http://softmaker.de/ofwtb.htm
liquidstyle
Lieutenant
- Registriert
- Nov. 2005
- Beiträge
- 766
Warum steht im Titel eigentlich Version 31.5? Das sollte 38.0.1 sein 
K
Kausalat
Gast
@ liquidstyle
Die Meldung ist von Ende Februar 2015.
Die Meldung ist von Ende Februar 2015.
Ähnliche Themen
