Hallo Leute,
da sich die elektronisch vernetzte Menschheit momentan in einer Informationskrise befindet, habe ich gestern mal kurz nachgedacht, was es für einfache Möglichkeiten daraus gibt. Vielleicht kann mich auch hier jemand auf den neuesten Stand bringen.
Bezüglich der direkten Kommunikation ging bei mir schließlich alles auf die Frage zurück: Wie kann man eine gesicherte Verbindung erstellen, von der man weiß, dass sie genügend sicher ist?
Die Eigenschaft genügend ist hier sehr wichtig, weil die Wahl des Threat-Modells eine individuelle Wahl nur zwischen den Kommunikationspartnern ist (wie sie sich darauf einigen ist interessante aber eine andere Frage).
Die Informationskrise existiert wohl, da die meisten Kommunikationspartner sich nur auf die leere Menge als Threat-Modell einigen können (vielleicht weil sie es nicht anders können oder wissen).
Die Frage kam mir aus folgender Motivation:
Die einfache Idee die mir kam, ist sich ein Hub-Programm zu schreiben, was an die zahlreichen Messenger-Protokolle ankoppelt, so dass über die Messenger(-Protokolle) und der angebundenen Server nur verschlüsselte Nachrichten geschickt werden. Wenn Alice und Bob das Hub-Programm benutzen, dann können sie damit eine gesicherte Verbindung aufbauen. Dann sieht, speichert und synchronisiert Charly (der Server) unfreiwillig nur die gesicherten Nachrichten.
Was ich gerne hätte, wäre so ein Programm, dass es mir erlaubt, den Grad des Geheimnisses zwischen Alice und Bob möglichst stetig einzustellen. Eine OTR-Implementierung ist vermutlich das höchste der Gefühle. Doch zum Beispiel benötige ich nicht immer perfekte Folgenlosigkeit (würde aber immer noch z.B. Instant-DataMining verhindern). Auch kommt mir die Frage auf, wie es mit Stream-Verschlüsselung aussieht? Ich kenne nur Plug-Ins für gesicherte Text-Verbindung - was ist da los? Gibt es hier vielleicht auch schon Lösungen?
Viele Grüße
Bergmon
Gesicherte Kommunikation - wie?
-
Chromanoid
- Moderator
- Beiträge: 4256
- Registriert: 16.10.2002, 19:39
- Echter Name: Christian Kulenkampff
- Wohnort: Lüneburg
Re: Gesicherte Kommunikation - wie?
Nur als Hinweis: wir hatten neulich ein ähnliches Thema (Sichere Kommunikation). Vielleicht findest Du da den ein oder anderen interessanten Tipp.
Re: Gesicherte Kommunikation - wie?
Hi,
danke für den Tipp. Ich hatte dort in der Tat schon vor einer Weile reingeschaut, doch war mir der Thread mittlerweile völlig entfallen. Die Diskussion zeigt mir, dass die Frage natürlich nicht bei direkter Kommunikation endet. Da ich völlig unerfahren mit der Thematik bin, kann ich keine objektive Einschätzung geben, deswegen schreibe ich nur aus persönlicher Sicht - aus der Sicht eines (Windows-)Anwenders:
Ich habe gestern noch ein bißchen weiter gesucht und bin nun bei folgenden Möglichkeiten gelandet (PC-only):
Für reine text-basierte Kommunikation benutze ich jetzt Miranda NG mit dem OTR-PlugIn und die große Frage für Audio-/Video-Streaming konnte ich mir gestern auch beantworten - bin damit aber nicht völlig zufrieden:
Das Programm nennt sich Jitsi und die Wahl fällt darauf, da es XMPP implementiert. Ein überraschend flexibles Protokoll und schon seit einigen Jahren in der Entwicklung.
Ich bin von den Einstellungsmöglichkeiten des Programms völlig positiv überrascht. Man hat die Wahl zwischen verschiedenen Audio/Video Decodern/Encodern und man kann an den verwendeten Sicherheitsprotokollen rumspielen (hier ist man also eventuell in der Lage ein Threat-Modell zu modellieren - sehr gut!). Das geht sehr in die Richtung, wie ich mir das vorgestellt habe. Aber: Es ist überhaupt nicht Resourcen schonend. Es belegt schon 200MB im RAM nach dem Start und sogar 300MB nach einem kleinen Testlauf der gesichterten Verbindung. Liebe Entwickler, das geht leider so nicht! (Nichts gegen Java im Allgemeinen, doch ich denke eine Ursache ist, dass es Java verwendet und das ist nach meiner Erfahrung ein echter Widerspruch für einen schonenden Umgang mit dem Arbeitsspeicher). Über die Performance bei (verschlüsselten) Audio-/Video-Übertragungen kann ich momentan nichts schreiben, da ich es einfach noch nicht ausprobiert habe.
Beide Programme (Miranda NG, Jitsi) sind außerdem Open-Source, sie sind also in (an)ständiger Entwicklung. Für Android gibt es wohl auch bald einen Jitsi-Client.
Wen es interessiert: Ich hatte für meinen kleinen Test eine OTR-Verbindung zwischen Jitsi und Miranda NG aufgebaut. Dabei gab es wohl ein paar Probleme bei der Verifizierung des jeweiligen Clients. Ich konnte auf Jitsi-Seite nur über die direkte Eingabe des Private-Keys meine Miranda-Seite verifizieren, wohingegen ich auf Miranda NG-Seite meinen Jitsi-Client auch über ein anderes Verfahren verifizieren konnte. Anwendungsfehler sind hierbei nicht ausgeschlossen, ich werde es zu späterer Zeit wieder testen.
Vielleicht kennt hier jemand auch einen anderen XMPP-Client, der etwas schlanker ist? Selbst Skype erscheint mir mit seinen 70MB jetzt effizient :roll: (aber natürlich ist es nicht sicher).
Viele Grüße
Bergmon
Kleiner Nachtrag: Hier ist eine Liste von XMPP-Clients. Es kommen im Endeffekt nur die in Frage, wo es ein grünes Licht (ein Ja) in der OTR-Spalte gibt. Es gibt auch schon Implementierungen für Android. Über die Erkenntnis der Performance führt wohl jetzt nur Trial-and-Error, wobei die einzigen nicht Java-Implementierungen für Windows, die OTR unterstützen, Vaccum IM und Gajim sind. Ersteres gibt es wohl momentan für Windows nur in einer 32Bit-Version und die Website ist zu dem noch auf Russisch. Gajim wird jetzt ausprobiert, gibt es aber auch nur in der 32Bit-Version.
danke für den Tipp. Ich hatte dort in der Tat schon vor einer Weile reingeschaut, doch war mir der Thread mittlerweile völlig entfallen. Die Diskussion zeigt mir, dass die Frage natürlich nicht bei direkter Kommunikation endet. Da ich völlig unerfahren mit der Thematik bin, kann ich keine objektive Einschätzung geben, deswegen schreibe ich nur aus persönlicher Sicht - aus der Sicht eines (Windows-)Anwenders:
Ich habe gestern noch ein bißchen weiter gesucht und bin nun bei folgenden Möglichkeiten gelandet (PC-only):
Für reine text-basierte Kommunikation benutze ich jetzt Miranda NG mit dem OTR-PlugIn und die große Frage für Audio-/Video-Streaming konnte ich mir gestern auch beantworten - bin damit aber nicht völlig zufrieden:
Das Programm nennt sich Jitsi und die Wahl fällt darauf, da es XMPP implementiert. Ein überraschend flexibles Protokoll und schon seit einigen Jahren in der Entwicklung.
Ich bin von den Einstellungsmöglichkeiten des Programms völlig positiv überrascht. Man hat die Wahl zwischen verschiedenen Audio/Video Decodern/Encodern und man kann an den verwendeten Sicherheitsprotokollen rumspielen (hier ist man also eventuell in der Lage ein Threat-Modell zu modellieren - sehr gut!). Das geht sehr in die Richtung, wie ich mir das vorgestellt habe. Aber: Es ist überhaupt nicht Resourcen schonend. Es belegt schon 200MB im RAM nach dem Start und sogar 300MB nach einem kleinen Testlauf der gesichterten Verbindung. Liebe Entwickler, das geht leider so nicht! (Nichts gegen Java im Allgemeinen, doch ich denke eine Ursache ist, dass es Java verwendet und das ist nach meiner Erfahrung ein echter Widerspruch für einen schonenden Umgang mit dem Arbeitsspeicher). Über die Performance bei (verschlüsselten) Audio-/Video-Übertragungen kann ich momentan nichts schreiben, da ich es einfach noch nicht ausprobiert habe.
Beide Programme (Miranda NG, Jitsi) sind außerdem Open-Source, sie sind also in (an)ständiger Entwicklung. Für Android gibt es wohl auch bald einen Jitsi-Client.
Wen es interessiert: Ich hatte für meinen kleinen Test eine OTR-Verbindung zwischen Jitsi und Miranda NG aufgebaut. Dabei gab es wohl ein paar Probleme bei der Verifizierung des jeweiligen Clients. Ich konnte auf Jitsi-Seite nur über die direkte Eingabe des Private-Keys meine Miranda-Seite verifizieren, wohingegen ich auf Miranda NG-Seite meinen Jitsi-Client auch über ein anderes Verfahren verifizieren konnte. Anwendungsfehler sind hierbei nicht ausgeschlossen, ich werde es zu späterer Zeit wieder testen.
Vielleicht kennt hier jemand auch einen anderen XMPP-Client, der etwas schlanker ist? Selbst Skype erscheint mir mit seinen 70MB jetzt effizient :roll: (aber natürlich ist es nicht sicher).
Viele Grüße
Bergmon
Kleiner Nachtrag: Hier ist eine Liste von XMPP-Clients. Es kommen im Endeffekt nur die in Frage, wo es ein grünes Licht (ein Ja) in der OTR-Spalte gibt. Es gibt auch schon Implementierungen für Android. Über die Erkenntnis der Performance führt wohl jetzt nur Trial-and-Error, wobei die einzigen nicht Java-Implementierungen für Windows, die OTR unterstützen, Vaccum IM und Gajim sind. Ersteres gibt es wohl momentan für Windows nur in einer 32Bit-Version und die Website ist zu dem noch auf Russisch. Gajim wird jetzt ausprobiert, gibt es aber auch nur in der 32Bit-Version.
Re: Gesicherte Kommunikation - wie?
Der Thread mag etwas älter sein, aber das Thema ist ja irgendwie immer aktuell:
Das ist keine sehr gute Liste. Erst dachte ich, Pidgin würde einfach fehlen, aber der Titel ist ja "Clients, die nur XMPP (Jabber) unterstützen" - eine unnötige Einschränkung.
Ich benutze es und bin relativ zufrieden damit.
Allerdings bin ich kein übertrieben großer Fan von OTR. Denn sobald man von verschiedenen Geräten den selben Account benutzt gehen die Probleme mit dem Schlüssel los. Ganz schlimm wird es, wenn man auf mehreren Geräten gleichzeitig eingeloggt ist. Ein riesiger Nachteil ist auch, dass beide zur Schlüsselaushandlung online sein müssen, das OTR auf Mobiltelefonen praktisch nutzlos macht. Klar, man kann sich z.B. per XMPP mit Facebook verbinden und darüber mit anderen Leuten verschlüsselt chatten. Aber man muss warten, bis der andere online ist, damit ein Schlüssel ausgehandelt wird, ansonsten kann man nur unverschlüsselte Nachrichten schreiben oder einen alten Schlüssel benutzen, in der Hoffnung, dass die Nachricht nicht unentschlüsselbar ankommt. Aus meiner Praxiserfahrung heraus kann ich sagen, dass es zwar theoretisch möglich ist, aber einfach nicht robust. Und wenn ich mich nicht darauf verlassen kann, dass Nachrichten ankommen und lesbar sind, brauch ich gar nicht erst anfangen zu schreiben.
Es gibt für mich schlicht keine Kommunikationslösung, die ich benutzen und empfehlen will. Es ist eine Sache zu sagen, dass Facebook und Whatsapp böse sind und gemieden werden sollte, aber es gibt einfach keine brauchbare Alternative, sowohl von den Protokollen als auch von den Clienten her. XMPP kann zum Beispiel zwar Gruppenchats, aber das Feature ist wohl größtenteils unbrauchbar. Man kann zwar Leuten sagen, sie könnten einen XMPP Client verwenden um über Facebook zu chatten und so schonmal mit allen, die alternative Clienten benutzen verschlüsselt kommunizieren (was eine Übergangslösung sein könnte), aber alle XMPP Clienten die ich für Android getestet habe, waren Mist und haben die Hälfte der Zeit Probleme verursacht. WhatsApp mag zur Hälfte aus Sicherheitslücken bestehen, aber der Client stürzt wenigstens nicht ab und die Nachrichten kommen in der Regel an.
Aktuell will ich noch linphone testen, was auf den ersten Blick recht gut aussieht (wäre vor allen Dingen ein guter Skype Ersatz). Aber ansonsten habe ich mir erst neulich wieder WhatsApp installiert denn letztendlich sieht es so aus: Man kann sich beschweren und alles doof und unsicher finden, oder man kann mit Leuten reden, die keine Nerds sind. Und mein Freundeskreis besteht nunmal nicht nur aus Nerds.
Das ist keine sehr gute Liste. Erst dachte ich, Pidgin würde einfach fehlen, aber der Titel ist ja "Clients, die nur XMPP (Jabber) unterstützen" - eine unnötige Einschränkung.
Ich benutze es und bin relativ zufrieden damit.
Allerdings bin ich kein übertrieben großer Fan von OTR. Denn sobald man von verschiedenen Geräten den selben Account benutzt gehen die Probleme mit dem Schlüssel los. Ganz schlimm wird es, wenn man auf mehreren Geräten gleichzeitig eingeloggt ist. Ein riesiger Nachteil ist auch, dass beide zur Schlüsselaushandlung online sein müssen, das OTR auf Mobiltelefonen praktisch nutzlos macht. Klar, man kann sich z.B. per XMPP mit Facebook verbinden und darüber mit anderen Leuten verschlüsselt chatten. Aber man muss warten, bis der andere online ist, damit ein Schlüssel ausgehandelt wird, ansonsten kann man nur unverschlüsselte Nachrichten schreiben oder einen alten Schlüssel benutzen, in der Hoffnung, dass die Nachricht nicht unentschlüsselbar ankommt. Aus meiner Praxiserfahrung heraus kann ich sagen, dass es zwar theoretisch möglich ist, aber einfach nicht robust. Und wenn ich mich nicht darauf verlassen kann, dass Nachrichten ankommen und lesbar sind, brauch ich gar nicht erst anfangen zu schreiben.
Es gibt für mich schlicht keine Kommunikationslösung, die ich benutzen und empfehlen will. Es ist eine Sache zu sagen, dass Facebook und Whatsapp böse sind und gemieden werden sollte, aber es gibt einfach keine brauchbare Alternative, sowohl von den Protokollen als auch von den Clienten her. XMPP kann zum Beispiel zwar Gruppenchats, aber das Feature ist wohl größtenteils unbrauchbar. Man kann zwar Leuten sagen, sie könnten einen XMPP Client verwenden um über Facebook zu chatten und so schonmal mit allen, die alternative Clienten benutzen verschlüsselt kommunizieren (was eine Übergangslösung sein könnte), aber alle XMPP Clienten die ich für Android getestet habe, waren Mist und haben die Hälfte der Zeit Probleme verursacht. WhatsApp mag zur Hälfte aus Sicherheitslücken bestehen, aber der Client stürzt wenigstens nicht ab und die Nachrichten kommen in der Regel an.
Aktuell will ich noch linphone testen, was auf den ersten Blick recht gut aussieht (wäre vor allen Dingen ein guter Skype Ersatz). Aber ansonsten habe ich mir erst neulich wieder WhatsApp installiert denn letztendlich sieht es so aus: Man kann sich beschweren und alles doof und unsicher finden, oder man kann mit Leuten reden, die keine Nerds sind. Und mein Freundeskreis besteht nunmal nicht nur aus Nerds.
Lieber dumm fragen, als dumm bleiben!
https://jonathank.de/games/
https://jonathank.de/games/