Author

Topic: PRISM? Nein, danke! Wer nicht will, der muss nicht: PRISM-BREAK.org (Read 7155 times)

legendary
Activity: 1245
Merit: 1004
Quote
Sie verwenden möglicherweise eine Browser-Erweiterung zum Schutz der Privatsphäre, die mit Startpage nicht kompatibel ist. Deaktivieren Sie diese Erweiterung und wiederholen Sie die Suche. Wenn das Problem dadurch nicht behoben wird, rufen Sie an unter (212) 447-1100 (USA) oder senden eine Problembeschreibung an autoquery @ ixquick.com.

 Grin Grin Grin
legendary
Activity: 1245
Merit: 1004

Hab mittlerweile "issues" solche URLs ohne https abzurufen (obwohl die Infrastruktur broken ist)

Quote
The requested URL /2012/01/03/most-common-user-agents was not found on this server.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.

Von PGP/GPG rate ich ab, das schaut so aus als wenn viel Wert of Metadaten gelegt wurde. Was man wohl als Entusiast auch mit "Web of Trust" bezeichnen könnte. Für die Sicherheitsesotheriker das täglich Brot. Ich signiere meine Postings NIE, um alles abstreitbar zu halten. Dann lieber Vertrauliches in einem einfachen .zip Attachement, das über privat getauschte Keys verschlüsselt wurde.

Zu base64 encodeten Messageblocks mit OTP encoding, die via Clipboard cut&pasted wurden gehe ich hier mal nicht ein, das ist die Königsklasse, das ist Mathematisch beweisbar nicht knackbare Verschlüsselung. Das interessiert schliesslich keinen.
legendary
Activity: 1882
Merit: 1108
Als ob das nicht jeder vernünftige Mensch erwartet hätte...

Naja...wenn man sich die restliche Kommentare auch in anderen threads anschaut kommt man zu zwei möglichen Schlussfolgerungen: entweder haben auch die vernüftigen Menschen das nicht so erwartet oder die Zahl der vernüftigen Menschen ist sehr klein.
sr. member
Activity: 394
Merit: 250
guckguck...hallöle
@Chefin:  Bin nicht so tief drin im Thema, daher Danke für deine umfangreiche Erläuterungen



Als ob das nicht jeder vernünftige Mensch erwartet hätte...

vernünftige Menschen..... wie, wo, wat, gibt`s die wirklich?..... hier?    Shocked  ....ach, nasowas, naguckemol...   Grin
hero member
Activity: 574
Merit: 500
freedomainradio.com
Als ob das nicht jeder vernünftige Mensch erwartet hätte...
legendary
Activity: 1882
Merit: 1108
Das ist der Trugschluss: man macht der NSA nichts schwer, weil sie die Daten dort abgreifen, wo sie entstehen. Nicht dort wo sie weiterverarbeitet werden. Einen Internetbackbone anzuzapfen heist direkt die Daten die dein Rechner sendet zu speichern. Egal zu wem und wohin. Und Verschlüsselungen ala HTTPS werden doch sowieso auf dem Webserver sofort entschlüsselt(zum verarbeiten), das ist vorneweg drauf ausgelegt nicht übermässig rechenintensiv zu sein.

Also es hilft nicht mal ansatzweise, irgendwem irgendwas schwer zu machen. Der einzige der es schwer hat ist man selbst, weil man deutlich mehr Aufwand treibt, auf Komfort verzichtet und sich in FALSCHE Sicherheit wiegt.

Zu wissen, das man abhört wird, ändert das verhalten. unschön, aber momentan unvermeidbar. Zu meinen, man hat die Sicherheit wieder hergestellt, sorgt dafür das man sein Verhalten lässt wie es ist und damit dem Staat in die Hände spielt.

http://www.stern.de/panorama/besuch-vom-staatsschutz-nach-facebook-eintrag-wie-ein-griesheimer-ins-visier-der-nsa-geriet-2038324.html

Ein paar Freunde die nichts böses wollten, nichts verbotenes tun, einfach nur mal zeigen, das sie es nicht in ordnung finden. Und das kommt dabei raus. Es scheint als müssten wir in Zukunft wenn die Polizei vor der Türe steht, erstmal einen Anwalt anrufen, bevor man überhaupt Hallo sagt. Und eigentlich war ich immer der meinung, die Polizei wäre dazu da, mich zu schützen. Dafür zahle ich doch Steuern und nicht dafür das ich schon terrorverdächtig bin, wenn ich mal meinen Unmut kund tue.

Die Kommunikation zu Facebook ist 100% HTTPS, also Verschlüsselt. Prism-break.org verkauft Schlangenöl...zumindest wenn man den Begriff nicht zu eng fasst. Nutzloses zeugs, das einem nicht hilft. Es spielt absolut keine Rolle welchen Browser ich benutze, welches Mailprogramm und welches Chatprogramm. Solange ich will das jemand anderes es lesen kann, können es auch die Spione. Mich würde es nichtmal wundern wenn prism-break.org vom Staat käme um zu verhindern, das vieleicht doch noch erfolgreiche Massnahmen entwickelt werden, die zu knacken nicht ohne weiteres möglich sind.

Edit: hatte deinen Einwurf bzgl asymetrischer Verschlüsselung übersehen.

Sicher ist eine Verschlüsselung die symetrisch mit einem sehr fetten Schlüssel gemacht wird. 128Bit dürften momentan noch nicht knackbar sein. Jedenfalls nicht in einer Zeit in für die die Informationen relevant sind. 256Bit ist unknackbar, da die Lebensdauer der Sonne nicht ausreicht, selbst wenn man quantenphysik dazu kalkuliert.

Asymetrische Verschlüsselung und dazu gehört alles was du so aufgezählt hast(öffentlicher Schlüssel und privater Schlüssel) dürften bei 4096 den breakpoint erreicht haben an dem unsere gesamte Existenz nicht ausreicht es zu knacken. Also wären wohl 1024 irgendwann noch knackbar und 2048 theoretisch knackbar. Aber es gibt eine gewaltige Schwachstelle: Der Schlüsseltausch. Dieser DARF nur über einen Weg erfolgen, den die NSA nicht kontrolliert. Damit bleiben nicht viele Wege über. Alles was Handy und Computer heist fällt schonmal raus.

Fall1: man ist noch nicht aufgefallen und wird folglich nur pauschal überwacht
Briefinhalt könnte man noch als halbwegs sicher betrachten, steganografische Briefe sind dann wohl noch 100% sicher. Hat man den key einmal ausgetauscht, darf man der Kommunikation vertrauen.

Fall2: man ist schon im Visier, weil man aufgefallen ist
jetzt dürfte es kompliziert werden. Im Worstcase killt man den Rechner, bzw das Betriebssystem und erzwingt eine Neuinstallation. Spätestens beim ersten Update kann man nun Spionagesoftware unterjubeln und jede Kommunikation abhören. Dann ist auch keine symetrische Verschlüsselung mehr sicher, erst recht keine Asymetrische. Und welche deiner Kumpel alles überwacht werden müssen hat man ja schon anhand der Kontaktdaten, die sich einfach nicht verschlüsseln lassen. Du kannst nicht verschlüsselt meine Adresse auf den Brief schreiben und erwarten das er trotzdem richtig ankommt. Hauptstrasse 3 muss Hauptstrasse 3 bleiben. Und so funktioniert auch das Internet. Man weis, wer mit wem kommuniziert und weis damit wem man überwachen muss. Wo die Paranoia zu hoch ist, wird der dicke Hammer benutzt. jeder Form der elektronischen Kommunikation ist ab jetzt als komprimittiert anzusehen.

Warum? Weil die nicht wissen, ob wir harmlos oder gefährlich sind. Also MÜSSEN sie uns überwachen, um das rauszufinden. Und je stärker wir uns abschotten, desdo mehr der Verdacht wir hätten was zu verbergen.

Während ich das schreibe, fällt mir ein Aspekt ein den ich bisher übersehen hatte
Wenn alle oder zumindest ein sehr hoher Prozentsatz anfangen alle Kommunikation zu verschlüsseln, wird es als Merkmal nutzlos. Man weis ja, das nicht 2 Milliarden Menschen potentielle Terroristen sind. Andererseits, wenn die so weiter machen, könnte es doch dazu kommen, das wir 2 Milliarden potentielle Terroristen auf der Welt haben werden. Unter dem Aspekt dieses Merkmal zum Normalen zu machen, lohnt es sich wohl, einiges an Aufwand zu treiben. Wirkung zeitg es aber erst, wenn wirklich viele mitmachen.


Persönlich würde ich aber eher zu neuen Methoden greifen bzw entwickeln. Alles was es so im Mainstream gibt, weis die NSA auch und wird schon lange Strategien entwickelt haben, das zu untergraben. Der Ansatz der ihnen das Leben schwer macht muss aus neuen Ideen kommen. Wiederrum ein grund vorhandene Systeme NICHT zu nutzen.

Ums mal aus der Versenkung zu holen und meine damalige Aussage mit den jetzt bekannt gewordenen Fakten zu untermauern

http://www.heise.de/newsticker/meldung/XKeyscore-Quellcode-Tor-Nutzer-werden-von-der-NSA-als-Extremisten-markiert-und-ueberwacht-2248328.html

Auch wenn vor 1 Jahr viele mich noch als Miesepeter hingestellt haben. Ich hoffe das sich doch die einen oder anderen etwas tiefer mit der Materie beschäftigt haben und sich nicht auf Scheinsicherheit einlassen. Dieser Schritt war logisch und klar erkennbar, wenn man sich in die Lage der NSA versetzt. Ich hatte schon mehrfach geschrieben, NSA sind keine böse Buben in Form der Panzerknacker, die aus innerer Überzeugung böse sind. Es sind Menschen die meinen, das richtige zu tun. Das sie durch falsche Idiologie zu diesem Schluss kommen, merken sie letztendlich nicht. Den falsch und richtig ist immer vom Standpunkt abhängig. Was wir als falsch empfinden empfindet der Täter noch lange nicht genauso.
legendary
Activity: 1882
Merit: 1108
@klabaki

Kennst du Datex-P? Vermutlich nicht, weil es vor deiner Geburt war. Aber schon damals konnte man Rechner via Fernverbindung hacken.

Später kam BTX, auch da war man nicht sicher.

Dann kam AOL/Compuserve und das Spiel ging weiter.

Irgendwann sagte einer, es gäbe wieder was neues, hacken ging aber immer noch.

Und jetzt kommst du und willst der Welt erzählen was das Internet ist. Meinst du nicht, das du dich da ein bischen übernimmst? Wenn du dich wirklich so als der Kompetenzbolzen hinstellen willst, dann erkläre mal wieso heute das Internet schlechter ist wie es früher war in bezug auf das Thema Sicherheit. Da bin ja ich mal voll gespannt.

Den ich werde dir jedes Argument das du bringst wie Seidenpapier zerreisen. Heute muss ich mich schon anstrengen bis ich einen Rechner hacken kann. Das ging 95 im Internet noch deutlich einfacher. Es gab nichts spaßigeres als wenn im IRC einer mit AOL-IP reinkommt um dann in weniger als 2 Minuten Fischfutter zu sein und wenn er es wagt ein zweites mal zu kommen, konnte er davon ausgehen das er seinen PC neu installieren muss. Und das war gelebte Realität. Wir konnten PCs in der regel in 1-2 minuten kappern. Aber zu holen gabs damals praktisch nichts, finanzielles Interesse bestand auch keines. Es war ein Sport. Aber SICHER war es garantiert nicht.

Was sich geändert hat, ist das Nutzerverhalten, inzwischen wird das halbe Leben am PC abgewickelt und völlig hirnlos dem PC vertraut wie der eigenen Mutter. Und klabaki...du bist hier schliesslich bei Bitcoin, das ist geradezu die Krone des Vertrauens in den PC. Aber man muss eben auch zugestehen, das vieles inzwischen deutlich sicherer geworden ist. Auch wenn dir das alles wie offene Scheunentore vorkommt, so sind es doch eher Mauslöcher im Hochhaus. Die muss man erstmal finden, bevor man in den PC reinkommt. Deswegen findet heute 95% des Hackens durch social engeneering statt. Also man bringt den User dazu, etwas zu klicken. Nur dann hat man Erfolg. Dann sind die technischen Belange dahinter egal. Wenn ich den User dazu bringe etwas anzuklicken, dann wird er verseucht, egal ob er Java-script an oder aus hat. Den er wird es einschalten, wenn er nichts sieht. Er hat ja drauf geklickt WEIL er was sehen will.

Also höre endlich auf, hier weiter mit technischen Gedöns zu kommen. Wenn ich dir einen Werkzeugkasten gebe kannst du sicherlich kein Auto repaprieren. Ein KFZ-Handwerker kann das und zwar mit dem selben Werkzeugkasten. Es ist IMMER der Mensch der entscheidet und der etwas nützliches oder schädliches aus einem Gegenstand macht. Auch aus virtuellen Gegenständen.

Deine Argumentation zielt nur drauf ab, dein Gewissen vom Lernzwang zu befreien. Statt das du lernst mit dem Internet umzugehen suchst du die Schuld beim PC, bei der Software oder sonst wo. Aber damit machst du nichts besser, weil immer noch der selbe Dummkopf(zu verstehen als unwissend) vor dem Monitor sitzt.
legendary
Activity: 1135
Merit: 1166
In einer der nächsten Firefox Version wird es gar nicht die Option geben, Javascript auszuschalten. Spätestens dann werden sich allmählich die Webdeveloper von JS-freiem Internet verabschieden.
Und ja, mich schaut auch täglich der NoScript-Knopf an. Die Option "Forbid Script Globally" führt mich aber leider im Alltag nicht mehr weit... Sad

Ist schon passiert, my Ubuntu-System in der Arbeit hat schon auf Firefox 23 upgedated (zu Hause verwende ich Debian Wheezy, ist mir sympathischer da Canonical in letzter Zeit immer wieder mal "komische" Ideen hatte).  Für mich funktioniert NoScript (mit aktiviertem Blocker) allerdings sehr gut - einige Seiten, die ich regelmäßig verwende, sind auf der Whitelist, und ansonsten kann man JS auch temporär recht leicht für die aktuelle Seite aktivieren wenn man ihr vertraut und feststellt, dass irgendwas nicht geht.
sr. member
Activity: 308
Merit: 250
@Klabaki:
Ich denke, Chefin hat schon ein ausreichend gutes Verständnis technisches Verständnis. Das ist glaube ich nicht der Punkt.
(Was soll eigentlich der Hinweis auf turing-vollständig - das sind doch im Prinzip mehr oder weniger alle Programmiersprachen - oder soll das nur Eindruck schinden? Wink )

Ich kann mich noch an gute alte Zeiten erinnern, als ich noch mit einem Mosaic-Browser durch ein reinrassiges HTML-Internet gesurft bin.
Aber  - da gebe ich Chefin recht: die Tage sind leider vorbei!!
In einer der nächsten Firefox Version wird es gar nicht die Option geben, Javascript auszuschalten. Spätestens dann werden sich allmählich die Webdeveloper von JS-freiem Internet verabschieden.
Und ja, mich schaut auch täglich der NoScript-Knopf an. Die Option "Forbid Script Globally" führt mich aber leider im Alltag nicht mehr weit... Sad
Wed
legendary
Activity: 1231
Merit: 1018
hmm scheiße ^^
aber joa doch, klingt sinnig.
vielleicht sollte ich auch etwas tun
legendary
Activity: 1882
Merit: 1108
leider genau umgedreht.

Einer von 10 hat den selben Fingerprint ist gut
Einer von 3 Millionen hat den selben Fingerprint ist schlecht

Deiner ist Unique, also einmalig. damit ist das sowas wie ein Namensschild.
Wed
legendary
Activity: 1231
Merit: 1018
Wenn ich das richtig verstanden habe, interessiert die Anzahl der information bits nicht.
Der Wert "one in xxx browsers have the same fingerprint as yours" ist relevant. Je niedriger das xxx, desto anonymer.

Versteh ich es dann richtig das folgendes Ergebnis richtig gut ist?

Quote
Your browser fingerprint appears to be unique among the 3,212,164 tested so far.

Currently, we estimate that your browser has a fingerprint that conveys at least 21.62 bits of identifying information.

Wenn ja, tolle Sache und das alles ohne TOR und mit proprietären Systemen Cheesy
legendary
Activity: 1882
Merit: 1108
Du willst also nachdem wir endich Autobahnen haben mir erklären, das Feldweg fahren völlig ausreicht um ans Ziel zu kommen? Hast ja recht...ich komme ans Ziel.

Aber Sinn macht deine Aussage deswegen immer noch nicht.
legendary
Activity: 2702
Merit: 1261
Aber grundsätzlich hast du natürlich recht: die Datenlecks im Internet kommen davon das man das Internet benutzt. Wenn man das Internet nicht mehr nutzt sind die Daten für die NSA nicht mehr greifbar.

Man...manchmal möchte ich nur noch schreien: Herr schmeiss Hirn vom Himmel

 Grin Grin Grin

Was allerdings funktioniert ist, die angesprochenen Mechanismen und Tools bewusst und konsequent mit einem bestimmten Nutzungsverhalten einzusetzen. Damit werden für as Datamining viele unterschiedliche virtuelle Identitäten angelegt. Allerdings ist auch klar: Ein minimaler Fehler (eine seltene Redewendung in anderem Kontext, das gleiche Suchverhalten, eine exotische Einstellung im Browser/System etc.) und das ganze Kartenhaus stürtzt in sich zusammen.
legendary
Activity: 1882
Merit: 1108

In diesem Artikel der EFF wird TorButton an mehreren Stellen empfohlen (S. 14 & 16):

https://panopticlick.eff.org/browser-uniqueness.pdf

Allgemein ist dieser Artikel sehr lesenswert! Die Referenzen 15 und 19 zum Thema TorButton möchte ich nochmal hervorheben:

Hier findet man die Folien zu einer Präsentation über mögliche Schwachstellen des Tor Browser Bundles, sowie ein Verzeichnis mit Online-Demos, die diese Schwachstellen ausnutzen:

15.: http://pseudo-flaw.net/content/defcon/ Das ist wichtiger Lesestoff für alle Tor-Benutzer!!

Und hier die Dokumentation zu TorButton - man sieht, dass bereits gegen einige (aber nicht alle, z.B. .noconnect-Timing fehlt) von diesen Schwachstellen vorgegangen wird:

19.: https://www.torproject.org/torbutton/design

Mir fällt auf, dass gefühlte 95% der Schwachstellen auf JavaScript, Java oder Flash zurückzuführen sind. Ich empfehle, alle drei genannten Übeltäter zu deaktivieren/deinstallieren.
Dann kann man sich voll auf die verbleibenden 5% konzentrieren, zum Beispiel: Die CSS-History-Schwäche:

http://ha.ckers.org/weird/CSS-history.cgi

...oder Datenlecks im Browser-Cache:

http://crypto.stanford.edu/sameorigin/safecachetest.html

Funktionieren diese beiden Tests bei euch? Bei mir jedenfalls nicht, und ich weiß gerade nicht, ob's an meiner speziellen Browser-Konfiguration liegt (Ich habe History und Cache deaktiviert.), oder ob die Schwachstellen allgemein schon behoben wurden.


99% aller Verkehrsunfälle sind auf Verkehr zurück zu führen.

Mein Satz ist so sinnlos wie deine Ausführung. Was du deaktivieren willst IST das Internet heute. Die Zeiten als HTML den Funktionsumfang von Notepad hatte sind vorbei. Und die kommen auch nicht wieder. Und Bitcoin wirst du auch nicht mehr los, weil ohne die aktiven Inhalte keine Tradingseite mehr funktioniert. Aber grundsätzlich hast du natürlich recht: die Datenlecks im Internet kommen davon das man das Internet benutzt. Wenn man das Internet nicht mehr nutzt sind die Daten für die NSA nicht mehr greifbar.

Man...manchmal möchte ich nur noch schreien: Herr schmeiss Hirn vom Himmel

Herr schmeiss Hirn vom Himmel
hero member
Activity: 574
Merit: 500
freedomainradio.com
Endlich mal Menschen, die sich nicht freiwillig ausspionieren lassen!
sr. member
Activity: 308
Merit: 250
Mir fällt auf, dass gefühlte 95% der Schwachstellen auf JavaScript, Java oder Flash zurückzuführen sind. Ich empfehle, alle drei genannten Übeltäter zu deaktivieren/deinstallieren.
Dann kann man sich voll auf die verbleibenden 5% konzentrieren, zum Beispiel: Die CSS-History-Schwäche:

Meine Hauptsorge ist eigentlich, dass sich Google, Amazon & co bald (oder jetzt schon?) nicht mehr über Cookies die Benutzerprofile tracken, sondern über Fingerprinting.
Daher brauche ich es sogar vielleicht noch mehr für den Alltagsgebrauch mit (leider) Javascript.

hero member
Activity: 675
Merit: 514
Diese Seite gibt's noch:
http://bfp.henning-tillmann.de/
Allerdings wird da kein Score angezeigt oder so, einfach nur ne Liste mit den Daten.
sr. member
Activity: 308
Merit: 250
Vorweg bin in Kryptografie nicht ganz so bewandert. Was meinst du mit bekannten Punkt? Bei D-H besteht das Problem der Man in the Middle Attacke, wie auch beim PublicKey. Also jemand leitet die Nachrichten über sein eigenes System und tauscht die Publickeys gegen eigene aus wenn welche getauscht werden.
Deswegen gibt es bei PGP / GnuPG das "Web of Trust"
Du kannst im Key-Manager einstellen wie sehr du dem Schlüssel vertraust.
Und man kann Schlüssel signieren wenn man glaubt das der Schlüssel echt ist.

OK, Man in the Middle ist grundsätzlich möglich. Allerdings kann man sich dagegen nicht nur über "absolut sichere" Übermittlung wehren. Man könnte den Fingerprint nochmal z.B. telefonisch verifizieren. Oder man publiziert seinen Publickey so flächendeckend (wie z.B. John), dass es ziemlich witzlos ist. Dann sehe ich eigentlich keine Probleme?

Das ganze Keyserver und vor allem WOT Konzept finde ich besch... äh sehr sub-optimal Wink
Per WoT lieferst Du jedem weltweit eine Liste Deiner engsten/vertraulichsten Kontakte. Das ist für mich Facebook-GAU hoch 10!
Und ein Keyserver ist auch bestenfalls eine reine Spam-Schleuder.
Ich verbiete es meinen Kontakten, mir zu vertrauen!
Und persönlich könnte ich auf zentrale Keyserver verzichten. Alternativ wäre ein Keyserver eine gute Idee, der nur ordentlich gehashte Email-Adressen abfragen lässt.

Zu Fingerprinting: Wenn ihr Alternativen zu Firegloves kennt, bitte posten. Das Tool wird nicht mehr weitergepflegt...


newbie
Activity: 34
Merit: 0
Deswegen gibt es bei PGP / GnuPG das "Web of Trust"
Du kannst im Key-Manager einstellen wie sehr du dem Schlüssel vertraust.
Und man kann Schlüssel signieren wenn man glaubt das der Schlüssel echt ist.
Bei meiner Paranoia trauen ich nur Keys die ich persönlich erhalte. Grin Die Idee von WOT finde ich ganz gut, und vielleicht fehlt es mir an Wissen darüber aber so wie ich es momentan sehe ist es einfach zu anfällig durch Benutzer die leichtfertig damit umgehen.  Huh
hero member
Activity: 675
Merit: 514
Vorweg bin in Kryptografie nicht ganz so bewandert. Was meinst du mit bekannten Punkt? Bei D-H besteht das Problem der Man in the Middle Attacke, wie auch beim PublicKey. Also jemand leitet die Nachrichten über sein eigenes System und tauscht die Publickeys gegen eigene aus wenn welche getauscht werden.
Deswegen gibt es bei PGP / GnuPG das "Web of Trust"
Du kannst im Key-Manager einstellen wie sehr du dem Schlüssel vertraust.
Und man kann Schlüssel signieren wenn man glaubt das der Schlüssel echt ist.
newbie
Activity: 34
Merit: 0
Danke klabaki

Gerade festgestellt ohne Useragent geht Startpages nicht
Freut mich, dass das Fingerprinting etwas Beachtung findet.
Wenn ihr übrigens einen zu verhunzten Fingerprint habt, seid ihr unter Umständen wesentlich auffälliger.
Am besten wäre, sich z.B. über Firegloves den populärsten Fingerprint einzustellen, s. auch
http://techblog.willshouse.com/2012/01/03/most-common-user-agents/

Wenn man aber alle Möglichkeiten des Fingerprinting abschöpft, wird man sich wohl wenig schützen können.
Danke für den Verweis auf das Addon
Quote
Nochmal zu PGP/GPG - asymmetrische Verschlüsselung:
Wieso darf der public key nicht über einen bekannten Punkt ausgetauscht werden? Wird dann 4096Bit unsicher, wenn beide Publickeys bekannt sind?
Da steckt doch Diffie-Hellmann Exchange als Prinzip dahinter, oder?
Hatte ich bislang für sicher gehalten....

Vorweg bin in Kryptografie nicht ganz so bewandert. Was meinst du mit bekannten Punkt? Bei D-H besteht das Problem der Man in the Middle Attacke, wie auch beim PublicKey. Also jemand leitet die Nachrichten über sein eigenes System und tauscht die Publickeys gegen eigene aus wenn welche getauscht werden.
sr. member
Activity: 308
Merit: 250
Freut mich, dass das Fingerprinting etwas Beachtung findet.
Wenn ihr übrigens einen zu verhunzten Fingerprint habt, seid ihr unter Umständen wesentlich auffälliger.
Am besten wäre, sich z.B. über Firegloves den populärsten Fingerprint einzustellen, s. auch
http://techblog.willshouse.com/2012/01/03/most-common-user-agents/

Wenn man aber alle Möglichkeiten des Fingerprinting abschöpft, wird man sich wohl wenig schützen können.


Nochmal zu PGP/GPG - asymmetrische Verschlüsselung:
Wieso darf der public key nicht über einen bekannten Punkt ausgetauscht werden? Wird dann 4096Bit unsicher, wenn beide Publickeys bekannt sind?
Da steckt doch Diffie-Hellmann Exchange als Prinzip dahinter, oder?
Hatte ich bislang für sicher gehalten....
full member
Activity: 224
Merit: 100
Ƶ = µBTC
Das Problem dabei: Wenn jeder nur noch NAT bekommt wird es schwer P2P Netze zuz betreiben. Das NAT Tunneluing funktioniert eher schlecht und ist auch noch vom Provider abhängig. Bei manchen geht UDP nicht richtig, bei anderen können IP/Port Zuordnungen nicht über längere Zeit stabil gehalten werden. Damit hängt alles an den paar zentralen Serveren, die über echte Adressen verfügen.

IPv6 wäre eine Lösung, aber die Verbreitung läuft extrem schleppend. Ich hatte 5 Jahre lang gekämpft, bis ich vor vier Jahren alle meine Knoten ordentlich im Dual-Stack laufen hatte. Dabei musste ich X Provider durchmachen, da bei jedem irgend etwas nicht verfügbar war oder einfach nicht funktioniert hat und der Provider auch kein Interesse daran hatte, das Problem zu lösen. Bis heute muss ich an diversen Stellen noch Tunnel nutzen, weil die Provider es nicht auf die Reihe bekommen. Gleichzeit werden meine IPv4 Adressen immer teurer - vorzugsweise bei den Providern, die IPv6 gar nicht erst auf die Reihe bekommen.
Ich sehe das Problem auch... Cry

Zurzeit nutze ich IPv6-Tunnel, als Übergangslösung.


Wie hast du den Header entfernt? Ich hatte danach schon gesucht aber nicht gefunden.
Bei Firefox musst du unter about:config den Inhalt dieser Variablen leeren:
  • image.http.accept
  • intl.accept_languages
  • network.http.accept-encoding
  • network.http.accept.default

Ich habe jetzt mal mit netcat beobachtet, welche Header mein Browser versendet:
Code:
GET /pfad/zur/datei.html HTTP/1.1
Host: name-des-webservers
Connection: keep-alive
Referer: http://name-des-webservers/pfad/zur/verlinkenden/datei.html
Cache-Control: max-age=0

Der Cache-Control-Header wird erst ab dem zweiten Abruf einer Datei gesendet.
Der Referer-Header wird gesendet, wenn die Datei von einer anderen Datei aus verlinkt wurde.

Diese Headers sind so ziemlich der (minimale) Standard, den jeder Bot verschickt, der sich durchs Netz hangelt. Deshalb fällt man damit nicht auf.

Leider kann diese Tarnung leicht zerstört werden, sobald man versehentlich noch einen anderen Header mitschickt.
Z.B. der Do-Not-Track-Header: Ich kann nur dringend empfehlen, die Option "Tell websites that I don't want to be tracked" zu deaktivieren, weil man sonst sehr leicht getrackt werden kann.
Auch wichtig, aber eigentlich sowieso klar: keine Cookies, und kein JavaScript, außer bei Seiten denen man sehr vertrauen kann. (z.B. bitcointalk.org Wink)

Ich kann nur jedem empfehlen, mit Tools wie netcat oder wireshark zu beobachten, was der eigene Browser so alles an Informationen durchs Internet pustet.
Es sollte höchstens soviel wie oben sein, besser weniger (z.B. den Referer-Header braucht man auch nicht unbedingt), weil man dadurch so aussieht wie ein Bot, und die Bots machen ja einen großen Teil der Netzwerkauslastung aus.
newbie
Activity: 34
Merit: 0
Welche Webseiten sind das?
Bei mir klappt's ohne User-Agent ganz gut, wobei ich auch noch nicht alle Webseiten getestet habe.
Ist schon etwas länger her das ich es probiert habe, daher fällt mir nur google ein. Huh Ehrlich gesagt hab ich es auch nicht wirklich freiwillig ausprobiert ich hatte damals den UserAgent für was anderes entfernt und vergessen ihn wieder "einzuschalten"  Grin
Quote
Mit nur 12.44 Bits warst du ja schon ganz gut, aber...

Bietet jemand weniger? Cool
Wie hast du den Header entfernt? Ich hatte danach schon gesucht aber nicht gefunden.
legendary
Activity: 2702
Merit: 1261
Meiner Meinung nach sollte aber jeder, der einen kreativen/kleveren Inhalt bereitstellen kann, die Möglichkeit haben, einen eigenen Webserver zu betreiben. Das geht aber schlecht, wenn man hinter einem NAT sitzt, d.h. sich die IP-Adresse mit vielen Leuten teilen muss.

Dabei könnte I2P eine Lösung sein.

Das Problem dabei: Wenn jeder nur noch NAT bekommt wird es schwer P2P Netze zuz betreiben. Das NAT Tunneluing funktioniert eher schlecht und ist auch noch vom Provider abhängig. Bei manchen geht UDP nicht richtig, bei anderen können IP/Port Zuordnungen nicht über längere Zeit stabil gehalten werden. Damit hängt alles an den paar zentralen Serveren, die über echte Adressen verfügen.

IPv6 wäre eine Lösung, aber die Verbreitung läuft extrem schleppend. Ich hatte 5 Jahre lang gekämpft, bis ich vor vier Jahren alle meine Knoten ordentlich im Dual-Stack laufen hatte. Dabei musste ich X Provider durchmachen, da bei jedem irgend etwas nicht verfügbar war oder einfach nicht funktioniert hat und der Provider auch kein Interesse daran hatte, das Problem zu lösen. Bis heute muss ich an diversen Stellen noch Tunnel nutzen, weil die Provider es nicht auf die Reihe bekommen. Gleichzeit werden meine IPv4 Adressen immer teurer - vorzugsweise bei den Providern, die IPv6 gar nicht erst auf die Reihe bekommen.
full member
Activity: 224
Merit: 100
Ƶ = µBTC
Ohne UserAgent sind es nur noch 12,44
http://www.imagebam.com/image/664ed3266520818

das Problem ohne User Agent werden einige Webseiten falsch dargestellt von daher hab ich ihn an

Welche Webseiten sind das?
Bei mir klappt's ohne User-Agent ganz gut, wobei ich auch noch nicht alle Webseiten getestet habe.

Mit nur 12.44 Bits warst du ja schon ganz gut, aber...

Quote
Within our dataset of several million visitors, only one in 538 browsers have the same fingerprint as yours.

Currently, we estimate that your browser has a fingerprint that conveys 9.07 bits of identifying information.

Browser Characteristic    bits of identifying information    one in x browsers have this value    value
User Agent    5.87    58.48   
HTTP_ACCEPT Headers    7.21    147.82   
Browser Plugin Details    1.75    3.37    no javascript
Time Zone    1.74    3.35    no javascript
Screen Size and Color Depth    1.74    3.35    no javascript
System Fonts    1.75    3.35    no javascript
Are Cookies Enabled?    1.95    3.85    No
Limited supercookie test    1.74    3.35    no javascript

Bietet jemand weniger? Cool
full member
Activity: 224
Merit: 100
Ƶ = µBTC
Wenn ich das richtig verstanden habe, interessiert die Anzahl der information bits nicht.
Der Wert "one in xxx browsers have the same fingerprint as yours" ist relevant. Je niedriger das xxx, desto anonymer.
Zwischen diesem "xxx" und der Anzahl an Bits besteht ein direkter Zusammenhang:

Anzahl Bits = Logarithmus zur Basis 2 von xxx

Also es sind letztlich nur unterschiedliche Darstellungen derselben Größe.
Welche Darstellung man anschaulicher findet, ist Geschmackssache; deshalb wird auf der Webseite einfach beides angezeigt.

Also wenn du schreibst...

Within our dataset of several million visitors, only one in 10,768 browsers have the same fingerprint as yours.
...dann kann man einfach mit dem Logarithmus zur Basis 2 ausrechnen, dass du (ungefähr) 13.39 Bits an Informationen rausschickst.


Solange man nicht an den System Fonts rumspielt, gehört man doch zu den 99% oser sehe ich das jetzt falsch?
So einfach ist das leider nicht. Die Fonts sind auf verschiedenen Systemen seeeehr unterschiedlich.
Und die Fonts sind nicht das einzige Merkmal, mit dem man Systeme unterscheiden kann. Das wird in diesem Artikel der EFF sehr gut beschrieben:

https://panopticlick.eff.org/browser-uniqueness.pdf

Absolut lesenswert! Dort wird unter anderem auch gesagt, was mit dem Test so alles nicht gemessen werden kann. Es gibt nämlich noch einige Merkmale, die zum Fingerabdruck gehören, die leider in diesem Test nicht berücksichtigt werden konnten.
Unser Browser-Fingerabdruck ist also größer als uns in diesem Test angezeigt wird. Cry

Ich fänd's toll, wenn's in Zukunft noch mehr solche Tests gäbe, die noch mehr Attribute erfassen.
legendary
Activity: 1316
Merit: 1003
Solange man nicht an den System Fonts rumspielt, gehört man doch zu den 99% oser sehe ich das jetzt falsch?
sr. member
Activity: 388
Merit: 250
Wenn ich das richtig verstanden habe, interessiert die Anzahl der information bits nicht.
Der Wert "one in xxx browsers have the same fingerprint as yours" ist relevant. Je niedriger das xxx, desto anonymer.
hero member
Activity: 675
Merit: 514
21.59 bits: Chrome 29 beta mit NotScripts
21.59 bits: Chrome 29 beta incognito Window
20.59 bits: Chrome 29 beta, Javascript und Java aktiviert
Lol
sr. member
Activity: 388
Merit: 250
Quote
Within our dataset of several million visitors, only one in 10,768 browsers have the same fingerprint as yours.



Ich benutze NoScript...
newbie
Activity: 34
Merit: 0
Wir können ja hier mal einen kleinen Contest machen:
Wer schickt am wenigsten Bits in seinem Browser-Fingerabdruck? Cheesy
Biete 14.3 Bits
http://www.imagebam.com/image/1e0b0a266514283

Edit:
Ohne UserAgent sind es nur noch 12,44
http://www.imagebam.com/image/664ed3266520818

das Problem ohne User Agent werden einige Webseiten falsch dargestellt von daher hab ich ihn an

PS:
Sollte vielleicht auch verraten welche Addons dafür verantwortlich sind  Grin :
Cookie Whitelist with Button
YesScript ist eine Blacklist für Javascript (falls jemand ein Addon kennt das alles erstmal Black listet bitte melden  Smiley )
UserAgent Switcher
Web Developer damit kann man bspw leicht Javascript komplett abstellen und Referrer deaktiveren
Flashblock damit kann man Flash leicht aktivieren und deaktiveren.
full member
Activity: 224
Merit: 100
Ƶ = µBTC
Den Link auf die EFF-Seite möchte ich nochmal hervorheben:

https://panopticlick.eff.org/

Das gibt einen ungefähren Eindruck, wieviele Bits an Informationen man durch die Weltgeschichte schickt und dabei jeder Webseite auf die Nase bindet, auch wenn man sonst keine Daten eingibt.

Wir können ja hier mal einen kleinen Contest machen:
Wer schickt am wenigsten Bits in seinem Browser-Fingerabdruck? Cheesy

Also dieser Aufruf zum Contest war schon ernst gemeint.
Ich suche nämlich noch nach Möglichkeiten, meinen Browser-Fingerabdruck zu verkleinern.

Mein bisher bestes Ergebnis...

Quote
Within our dataset of several million visitors, only one in 525,767 browsers have the same fingerprint as yours.

Currently, we estimate that your browser has a fingerprint that conveys 19 bits of identifying information.

...erreiche ich mit diesen Einstellungen:

Quote
Browser Characteristic    bits of identifying information    one in x browsers have this value    value
User Agent    7.6    194.51    Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6
HTTP_ACCEPT Headers    5.14    35.37    text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 gzip, deflate en-us,en;q=0.5
Browser Plugin Details    1.75    3.36    no javascript
Time Zone    1.74    3.35    no javascript
Screen Size and Color Depth    1.74    3.35    no javascript
System Fonts    1.75    3.35    no javascript
Are Cookies Enabled?    0.44    1.35    Yes
Limited supercookie test    1.74    3.35    no javascript

Also das sind 19 Bit an identifizierenden Informationen.

Bietet jemand weniger? Cool
full member
Activity: 224
Merit: 100
Ƶ = µBTC
das hab ich bei hidden services in TOR ja auch.

Du hast völlig recht: Wenn man nur die Funktionalität betrachtet, die dem Endanwender zur Verfügung gestellt wird, dann hat I2P nichts zu bieten, was Tor nicht auch hat.

Aber es gibt auch einige Eigenschaften, die für I2P sprechen:
  • I2P ist vollständig dezentral und selbstorganisierend. Bei Tor gibt's die zentrale Netzwerkdatenbank.
  • I2P ist vollständig "trustless", also kein Node vertraut einem anderen. Bei Tor vertrauen einzelne Nodes darauf, dass andere ihre maximale Bandbreite etc. korrekt angeben.
  • Bei I2P werden einzelne Datenpakete weitergeleitet, bei Tor ganze Streams. Der Unterschied ist, dass bei Tor Anfrage und Antwort, Hin- und Rückweg immer auf dem selben Weg stattfinden, was einige Angriffe auf die Anonymität erleichtert.
  • Wegen der Ausrichtung auf einzelne Datenpakete sind I2P-Verbindungen auch robuster gegen Ausfall einzelner Nodes: Wenn man eine große Datei lädt, und dabei einige der benutzten Nodes ausfallen, werden die Datenpakete einfach über einen anderen Weg zum Ziel geschickt. Bei Tor wäre die Verbindung komplett abgebrochen.
  • Durch die Paketorientierung entsteht auch ein Geschwindigkeitsvorteil für I2P.
  • I2P benutzt "Knoblauch"-Routing statt "Zwiebel"-Routing Cheesy d.h. bei Tor wird eine Nachricht in mehrere Hüllen von Verschlüsselung gepackt, bei I2P werden mehrere Nachrichten (die an unterschiedlichen Stellen nochmals unterschiedliche Routen wählen können) in mehrere Hüllen gepackt. Das erschwert einige Angriffsszenarien.
  • I2P wurde von Anfang an als Darknet konzipiert, die Ausgänge in die restliche Welt sind nur Nebensache. Bei Tor ist es umgekehrt. Wer also ein Darknet nutzen möchte, hat bei I2P den Vorteil, dass das der Schwerpunkt der Entwicklung ist.
  • Tor hat öffentlich bezahlte Entwickler, die eine Schwachstelle bei einem Angriff von staatlicher Seite sein könnten. I2P-Entwickler verstecken sich im I2P.
legendary
Activity: 2912
Merit: 1309

Vielleicht ist es aber auch noch zu früh, um den DAU ins Boot zu bekommen. Mir würde es völlig reichen, wenn sich I2P etc. erstmal unter kreativen Menschen und Techies weiter verbreitet.
Im normalen IPv4-Internet ist es meistens so, dass das gemeine Volk nur eine IP-Adresse pro Haushalt bekommt, oder sogar noch weniger. Die Verteilung der IP-Adressen erfolgt zentral von der ICANN ausgehend, und folgt dabei der Verteilung des Kapitals. Die Verteilung des Kapitals ist aber selten gleich der Verteilung von Kreativität und Know-How.
Meiner Meinung nach sollte aber jeder, der einen kreativen/kleveren Inhalt bereitstellen kann, die Möglichkeit haben, einen eigenen Webserver zu betreiben. Das geht aber schlecht, wenn man hinter einem NAT sitzt, d.h. sich die IP-Adresse mit vielen Leuten teilen muss.

Dabei könnte I2P eine Lösung sein. Zusätzlich zur Anonymität bietet I2P nämlich auch einen anderen Vorteil:
Jeder kann seinen eigenen Server betreiben, auch hinter NAT/Firewalls. Die I2P-Adressverteilung erfolgt völlig dezentral: Sobald man sich ein kryptografisches Schlüsselpaar erstellt hat, hat man eine I2P-Adresse.
Anders ausgedrückt: Ich halte die I2P-Netzwerktopologie für gerechter als die des normalen Internets.


das hab ich bei hidden services in TOR ja auch.
(ich sollte mir i2p mal wieder ansehen, das letzte mal ist schon Jahre her)
full member
Activity: 224
Merit: 100
Ƶ = µBTC
Aber die Idee ist gut. Mein (utopischer) Wunsch ist, dass die meisten privaten Dinge (Foren, Webseiten, Börsen, ...) im Darknet wie z.B. I2P laufen. Dann müssten sich die Betreiber auch keine Gedanken mehr um Abmahnungen und ein Impressum machen. Daneben würde das Netzwerk durch die grössere Anzahl an Peers gestärkt.
Da haben wir den gleichen Wunsch. Wink

Aber versuch mal den Normal DAU ins Boot zu bekommen: Da benutzt ja einer meine teueres Internet mit, da sind ja andere Leute auf meinem Rechner, ich habe nichts zu verbergen, ist mir zu kompliziert, bringt ja sowieso alles nichts, das benutzen nur Kinderficker und Terroristen, das ist sicher illegal ...
Danke. Du beschreibst sehr gut, welche Argumente der angepasste Otto-Normal-Bürger hervorbringt, nur damit er seine Gewohnheiten nicht ändern muss. Angry
Einfach so weiter machen wie bisher ist eben einfacher, und wenn mal wieder in den Nachrichten was von PRISM kommt, dann ist das eben nur die nächste Sau, die durchs Dorf getrieben wird. Cry

Vielleicht ist es aber auch noch zu früh, um den DAU ins Boot zu bekommen. Mir würde es völlig reichen, wenn sich I2P etc. erstmal unter kreativen Menschen und Techies weiter verbreitet.
Im normalen IPv4-Internet ist es meistens so, dass das gemeine Volk nur eine IP-Adresse pro Haushalt bekommt, oder sogar noch weniger. Die Verteilung der IP-Adressen erfolgt zentral von der ICANN ausgehend, und folgt dabei der Verteilung des Kapitals. Die Verteilung des Kapitals ist aber selten gleich der Verteilung von Kreativität und Know-How.
Meiner Meinung nach sollte aber jeder, der einen kreativen/kleveren Inhalt bereitstellen kann, die Möglichkeit haben, einen eigenen Webserver zu betreiben. Das geht aber schlecht, wenn man hinter einem NAT sitzt, d.h. sich die IP-Adresse mit vielen Leuten teilen muss.

Dabei könnte I2P eine Lösung sein. Zusätzlich zur Anonymität bietet I2P nämlich auch einen anderen Vorteil:
Jeder kann seinen eigenen Server betreiben, auch hinter NAT/Firewalls. Die I2P-Adressverteilung erfolgt völlig dezentral: Sobald man sich ein kryptografisches Schlüsselpaar erstellt hat, hat man eine I2P-Adresse.
Anders ausgedrückt: Ich halte die I2P-Netzwerktopologie für gerechter als die des normalen Internets.

Und ich erlebe mit Freude, dass I2P jetzt schon so genutzt wird: Wenn ich über I2P-Websites surfe, sehe ich jede Menge kleine witzige, pfiffige und schöne Dinge, die im kommerziellen Internet schon fast ausgestorben sind.
I2P ist nicht nur eine Technologie, sondern auch eine lebendige Gemeinschaft!! Das erkennt man aber erst, wenn man dem weißen Kaninchen in seinen Bau gefolgt ist...

Ohje, ich schweife ab...


...zurück zum Thema:

Ein Problem, das ich nicht ausreichend adressiert sehe:
https://panopticlick.eff.org/
Sehe ich auch so, darauf müsste stärker hingewiesen werden.
Die Verschleierung der IP-Adresse ist nutzlos, wenn man durch den Browser-Fingerabdruck identifiziert werden kann.

Den Link auf die EFF-Seite möchte ich nochmal hervorheben:

https://panopticlick.eff.org/

Das gibt einen ungefähren Eindruck, wieviele Bits an Informationen man durch die Weltgeschichte schickt und dabei jeder Webseite auf die Nase bindet, auch wenn man sonst keine Daten eingibt.

Wir können ja hier mal einen kleinen Contest machen:
Wer schickt am wenigsten Bits in seinem Browser-Fingerabdruck? Cheesy
legendary
Activity: 1014
Merit: 1001
Quote
Da benutzt ja einer mein teueres Internet mit, da sind ja andere Leute auf meinem Rechner, ich habe nichts zu verbergen, ist mir zu kompliziert, bringt ja sowieso alles nichts, das benutzen nur Kinderficker und Terroristen, das ist sicher illegal ...
LOL, genau so!
legendary
Activity: 2702
Merit: 1261
Leider hängt I2P sehr stark an Oracle-Java und darf deshalb nicht auf meine Server.
Huh
Ich verwende I2P mit OpenJDK 6, und es funktioniert problemlos...
Sun/Oracle/Whatever© Java käme für mich auch nicht in Frage. Wink

OpenJDK gibt es für die meisten meiner Server nicht - zumindest nicht ohne grösseren Aufwand. gcj wäre eine Option, aber das Makefile war, als ich es letztes mal benutzt habe, nur mässig gepflegt und ich musste einiges patchen.

Aber die Idee ist gut. Mein (utopischer) Wunsch ist, dass die meisten privaten Dinge (Foren, Webseiten, Börsen, ...) im Darknet wie z.B. I2P laufen. Dann müssten sich die Betreiber auch keine Gedanken mehr um Abmahnungen und ein Impressum machen. Daneben würde das Netzwerk durch die grössere Anzahl an Peers gestärkt. Aber versuch mal den Normal DAU ins Boot zu bekommen: Da benutzt ja einer meine teueres Internet mit, da sind ja andere Leute auf meinem Rechner, ich habe nichts zu verbergen, ist mir zu kompliziert, bringt ja sowieso alles nichts, das benutzen nur Kinderficker und Terroristen, das ist sicher illegal ...
full member
Activity: 224
Merit: 100
Ƶ = µBTC
I2P hat einen anderen Schwerpunkt als TOR. TOR ist hauptsächlich ein Verbindungs-Mixer, während I2P im Kern ein Darknet ist, d.h. die Peers sind alles I2P Knoten.
Stimmt.
Im Grunde finde ich diese Schwerpunktsetzung sogar besser, dadurch ergänzen sich Tor und I2P ganz gut.

Leider hängt I2P sehr stark an Oracle-Java und darf deshalb nicht auf meine Server.
Huh
Ich verwende I2P mit OpenJDK 6, und es funktioniert problemlos...
Sun/Oracle/Whatever© Java käme für mich auch nicht in Frage. Wink
legendary
Activity: 2702
Merit: 1261
I2P hat einen anderen Schwerpunkt als TOR. TOR ist hauptsächlich ein Verbindungs-Mixer, während I2P im Kern ein Darknet ist, d.h. die Peers sind alles I2P Knoten. Leider hängt I2P sehr stark an Oracle-Java und darf deshalb nicht auf meine Server.
full member
Activity: 224
Merit: 100
Ƶ = µBTC
Bei mir klappt Tor eigentlich ganz gut, wenn man sich mal dran gewöhnt hat, dass Webseiten ein bisschen langsamer laden.  Auch für XMPP Chats läuft es gut, für Voice/Video ist die Bandbreite natürlich zu klein.  (Und man muss damit leben, dass man von einigen Seiten geblockt wird.)

Geht mir auch so. Smiley
Bei mir zuhause ist der ISP sowieso der Flaschenhals, da macht die Verzögerung von Tor auch nicht mehr viel aus.

Aber dabei möchte ich euch auf das Invisible Internet Project hinweisen:

http://i2p2.de

Das könnte im Prinzip so etwas werden wie Tor, nur schneller. Grin

Der Unterschied kommt daher, dass Tor verbindungsorientiert arbeitet - Tor setzt auf TCP auf.
Bei I2P hingegen findet das Zwiebel-Routing schon auf Paketebene statt, ist also hardware-näher und dadurch effizienter.
legendary
Activity: 1135
Merit: 1166
Wenn man nicht gerade derk aktuelle Staatsfeind der USA ist, bieten TOR und andere Tools ganz gute Möglichkeiten. Die Nutzung ist allerdings extrem unbequem und mit vielen Einschränkungen verbunden. Mal eben per Internet kommunizieren ist dann nicht mehr drin. Facebook, Google, GMX etc. sind dann aber sowieso Tabu.

Bei mir klappt Tor eigentlich ganz gut, wenn man sich mal dran gewöhnt hat, dass Webseiten ein bisschen langsamer laden.  Auch für XMPP Chats läuft es gut, für Voice/Video ist die Bandbreite natürlich zu klein.  (Und man muss damit leben, dass man von einigen Seiten geblockt wird.)
legendary
Activity: 2702
Merit: 1261
...
Selbst TOR ist komprimittierbar, wenn man die Exitnodes kontrolliert. Und da TOR "kostenlos" ist aber Geld für den betrieb schluckt, fragt euch mal ob das wirklich alles Enthusiassten sind die da Geld "spenden" oder nicht doch ein paar äusserst finanzkräftige Leute im Hintergrund mithelfen.

TOR ist eine von der NSA mitfinanzierte Entwicklung. Allerdings werden definitiv nicht alle Relays von den Geheimdiensten betrieben. Bei meinen Knoten bin ich mir da sogar ziemlich sicher Grin. Bisher habe ich weder im Code noch im Datenverkehr der Knoten Unstimmigkeiten festgestellt. Falls dort Backdoors eingebaut sind, sind diese extrem Clever angelegt, sodass sie einem Programmierer im Source-Code nicht so leicht auffallen und auch beim Datenverkehr keine Auffälligkeiten zeigen.

Wenn man nicht gerade derk aktuelle Staatsfeind der USA ist, bieten TOR und andere Tools ganz gute Möglichkeiten. Die Nutzung ist allerdings extrem unbequem und mit vielen Einschränkungen verbunden. Mal eben per Internet kommunizieren ist dann nicht mehr drin. Facebook, Google, GMX etc. sind dann aber sowieso Tabu.
full member
Activity: 224
Merit: 100
Ƶ = µBTC
@Chefin, domob
Ich denke, bei prism-break.org (und in diesem Thead) geht es nicht darum, den Sinn und Unsinn von Verschlüsselungstechnik zu diskutieren, sondern eher darum, dass die Leute, die diese Technik sowieso verwenden wollen, sich austauschen können, und eine Liste von interessanten Projekten finden, die sie sonst selbst mühsam zusammensuchen müssten.
So ist zumindest mein Verständnis von dieser Webseite. Man sieht das auch gut an den Kommentaren weiter oben.

Eine Diskussion über Sinn und Unsinn von Kryptographie mag ganz interessant sein, aber dafür haben wir ja schon einen eigenen Thread, oder man kann einen neuen aufmachen.





So, genug Off-Topic, zurück zum Thema:

Das gleiche Unternehmen bietet mit der gleichen Privacy Policy auch anonymisierte Google-Suchergebnisse an, nämlich auf der Seite:

http://startpage.com

Letztere wird bei PRISM Break genannt, vermutlich weil man sich den Namen leichter merken kann. Roll Eyes

Kann ich nur empfehlen, speichert sie euch ein. Ist die beste anonymisierte Suchmaschine die ich kenne.

Inzwischen gehe ich zu YaCy über. Es ist etwas ungewohnt, aber man gewöhnt sich ja bekanntlich an alles. Ich kann es euch nur empfehlen:

http://yacy.net

Je mehr Leute es benutzen, desto besser werden die Suchergebnisse. Wink
legendary
Activity: 1135
Merit: 1166
legendary
Activity: 1882
Merit: 1108
Das ist der Trugschluss: man macht der NSA nichts schwer, weil sie die Daten dort abgreifen, wo sie entstehen. Nicht dort wo sie weiterverarbeitet werden. Einen Internetbackbone anzuzapfen heist direkt die Daten die dein Rechner sendet zu speichern. Egal zu wem und wohin. Und Verschlüsselungen ala HTTPS werden doch sowieso auf dem Webserver sofort entschlüsselt(zum verarbeiten), das ist vorneweg drauf ausgelegt nicht übermässig rechenintensiv zu sein.

Also es hilft nicht mal ansatzweise, irgendwem irgendwas schwer zu machen. Der einzige der es schwer hat ist man selbst, weil man deutlich mehr Aufwand treibt, auf Komfort verzichtet und sich in FALSCHE Sicherheit wiegt.

Zu wissen, das man abhört wird, ändert das verhalten. unschön, aber momentan unvermeidbar. Zu meinen, man hat die Sicherheit wieder hergestellt, sorgt dafür das man sein Verhalten lässt wie es ist und damit dem Staat in die Hände spielt.

http://www.stern.de/panorama/besuch-vom-staatsschutz-nach-facebook-eintrag-wie-ein-griesheimer-ins-visier-der-nsa-geriet-2038324.html

Ein paar Freunde die nichts böses wollten, nichts verbotenes tun, einfach nur mal zeigen, das sie es nicht in ordnung finden. Und das kommt dabei raus. Es scheint als müssten wir in Zukunft wenn die Polizei vor der Türe steht, erstmal einen Anwalt anrufen, bevor man überhaupt Hallo sagt. Und eigentlich war ich immer der meinung, die Polizei wäre dazu da, mich zu schützen. Dafür zahle ich doch Steuern und nicht dafür das ich schon terrorverdächtig bin, wenn ich mal meinen Unmut kund tue.

Die Kommunikation zu Facebook ist 100% HTTPS, also Verschlüsselt. Prism-break.org verkauft Schlangenöl...zumindest wenn man den Begriff nicht zu eng fasst. Nutzloses zeugs, das einem nicht hilft. Es spielt absolut keine Rolle welchen Browser ich benutze, welches Mailprogramm und welches Chatprogramm. Solange ich will das jemand anderes es lesen kann, können es auch die Spione. Mich würde es nichtmal wundern wenn prism-break.org vom Staat käme um zu verhindern, das vieleicht doch noch erfolgreiche Massnahmen entwickelt werden, die zu knacken nicht ohne weiteres möglich sind.

Edit: hatte deinen Einwurf bzgl asymetrischer Verschlüsselung übersehen.

Sicher ist eine Verschlüsselung die symetrisch mit einem sehr fetten Schlüssel gemacht wird. 128Bit dürften momentan noch nicht knackbar sein. Jedenfalls nicht in einer Zeit in für die die Informationen relevant sind. 256Bit ist unknackbar, da die Lebensdauer der Sonne nicht ausreicht, selbst wenn man quantenphysik dazu kalkuliert.

Asymetrische Verschlüsselung und dazu gehört alles was du so aufgezählt hast(öffentlicher Schlüssel und privater Schlüssel) dürften bei 4096 den breakpoint erreicht haben an dem unsere gesamte Existenz nicht ausreicht es zu knacken. Also wären wohl 1024 irgendwann noch knackbar und 2048 theoretisch knackbar. Aber es gibt eine gewaltige Schwachstelle: Der Schlüsseltausch. Dieser DARF nur über einen Weg erfolgen, den die NSA nicht kontrolliert. Damit bleiben nicht viele Wege über. Alles was Handy und Computer heist fällt schonmal raus.

Fall1: man ist noch nicht aufgefallen und wird folglich nur pauschal überwacht
Briefinhalt könnte man noch als halbwegs sicher betrachten, steganografische Briefe sind dann wohl noch 100% sicher. Hat man den key einmal ausgetauscht, darf man der Kommunikation vertrauen.

Fall2: man ist schon im Visier, weil man aufgefallen ist
jetzt dürfte es kompliziert werden. Im Worstcase killt man den Rechner, bzw das Betriebssystem und erzwingt eine Neuinstallation. Spätestens beim ersten Update kann man nun Spionagesoftware unterjubeln und jede Kommunikation abhören. Dann ist auch keine symetrische Verschlüsselung mehr sicher, erst recht keine Asymetrische. Und welche deiner Kumpel alles überwacht werden müssen hat man ja schon anhand der Kontaktdaten, die sich einfach nicht verschlüsseln lassen. Du kannst nicht verschlüsselt meine Adresse auf den Brief schreiben und erwarten das er trotzdem richtig ankommt. Hauptstrasse 3 muss Hauptstrasse 3 bleiben. Und so funktioniert auch das Internet. Man weis, wer mit wem kommuniziert und weis damit wem man überwachen muss. Wo die Paranoia zu hoch ist, wird der dicke Hammer benutzt. jeder Form der elektronischen Kommunikation ist ab jetzt als komprimittiert anzusehen.

Warum? Weil die nicht wissen, ob wir harmlos oder gefährlich sind. Also MÜSSEN sie uns überwachen, um das rauszufinden. Und je stärker wir uns abschotten, desdo mehr der Verdacht wir hätten was zu verbergen.

Während ich das schreibe, fällt mir ein Aspekt ein den ich bisher übersehen hatte
Wenn alle oder zumindest ein sehr hoher Prozentsatz anfangen alle Kommunikation zu verschlüsseln, wird es als Merkmal nutzlos. Man weis ja, das nicht 2 Milliarden Menschen potentielle Terroristen sind. Andererseits, wenn die so weiter machen, könnte es doch dazu kommen, das wir 2 Milliarden potentielle Terroristen auf der Welt haben werden. Unter dem Aspekt dieses Merkmal zum Normalen zu machen, lohnt es sich wohl, einiges an Aufwand zu treiben. Wirkung zeitg es aber erst, wenn wirklich viele mitmachen.


Persönlich würde ich aber eher zu neuen Methoden greifen bzw entwickeln. Alles was es so im Mainstream gibt, weis die NSA auch und wird schon lange Strategien entwickelt haben, das zu untergraben. Der Ansatz der ihnen das Leben schwer macht muss aus neuen Ideen kommen. Wiederrum ein grund vorhandene Systeme NICHT zu nutzen.
legendary
Activity: 1135
Merit: 1166
legendary
Activity: 1882
Merit: 1108
Würde es hier um "keine Macht den Werbefutzis" gehen wären eure Vorschläge sicherlich super. Zwar muss man bei vielen Programmen Abstriche hinnehmen, dafür das sie die Daten seriös behandeln und nicht weiter verkaufen.

Aber hier gehts um Prism. Hier gehts drum, das es 2 Hersteller von Superservern gibt die locker eine 100Gbit Glasfaser abhören, speichern und in Echtzeit analysieren um dann mit entsprechenden Massnahmen auch zu reagieren. Bis hin zum automatisierten man in the middle. Und hier geht es drum, das solche technik nicht nur von China für ihre große Mauer benutzt wird, sondern vorallem von der USA(deswegen ist wohl auch einer der Hersteller aus Israel).

Was hilft eine anonyme Suchmaschine, wenn alle Anfragen dorthin bereits mitgelooged werden. Was hilft Verschlüsselung auf Basis von Zertifikaten wenn diese Zertifikataussteller der NSA zuarbeiten MÜSSEN.

Selbst TOR ist komprimittierbar, wenn man die Exitnodes kontrolliert. Und da TOR "kostenlos" ist aber Geld für den betrieb schluckt, fragt euch mal ob das wirklich alles Enthusiassten sind die da Geld "spenden" oder nicht doch ein paar äusserst finanzkräftige Leute im Hintergrund mithelfen.

Ihr stützt euch hier auf jeden Strohhalm und nehmt kritiklos alles hin, dabei sollte doch gerade jetzt klar werden, das genau aus diesem kritiklosen Verhalten erst soviel Daten zusammen durchs Internet gejagt werden und die Begehrlichkeiten geweckt haben. Wenn ich mir Prism-break.org genau anschaue, sehe ich nicht wirklich viele unabhängige Projekte. Sei es opensource-Clients für firmenkontrollierte Netzwerke, sei es Opensource, die mit Budget von 500 Millionen im Jahr hantieren. Und da kann ich mir beim besten Willen nicht vorstellen, das es alles Spendengeld ist. Überall wo es zentrale Strukturen gibt in der Kommunikation, können Staaten Druck ausüben um sich Zugang zu verschaffen. Eigentlich liest sich Prism-break.org eher wie ein Werbeflyer für Opensource das die momentane Angst der Menschen ausnutzt Opensource public zu machen und als Lösung anzubieten. Aber es löst natürlich nicht die Probleme, es verlagert sie nur von einem zum anderen Anbieter.
newbie
Activity: 42
Merit: 0
Das gleiche Unternehmen bietet mit der gleichen Privacy Policy auch anonymisierte Google-Suchergebnisse an, nämlich auf der Seite:

http://startpage.com

Letztere wird bei PRISM Break genannt, vermutlich weil man sich den Namen leichter merken kann. Roll Eyes

Kann ich nur empfehlen, speichert sie euch ein. Ist die beste anonymisierte Suchmaschine die ich kenne.
legendary
Activity: 1764
Merit: 1007
mittlerweile bietet jeder browser von haus aus eine no-tracking funktion. sogar chrome, einfach mal in den einstellungen gucken.


du meinst aber nicht die einstellung

Quote
Send a ‘Do Not Track’ request with your browsing traffic

oder? :·>
sr. member
Activity: 308
Merit: 250
Ein Problem, das ich nicht ausreichend adressiert sehe:
https://panopticlick.eff.org/

Da ist die einzige mir bekannte Lösung FireGloves:
https://addons.mozilla.org/en-US/firefox/addon/firegloves/

full member
Activity: 224
Merit: 100
Ƶ = µBTC
Eine weitere Seite, die ich empfehlen kann, die aber nicht bei PRISM Break genannt wird, ist:

http://ixquick.com

Das ist eine Suchmaschine für Webseiten, Bilder und Videos mit lobenswerter Privacy Policy und eigener Search Engine.

Das gleiche Unternehmen bietet mit der gleichen Privacy Policy auch anonymisierte Google-Suchergebnisse an, nämlich auf der Seite:

http://startpage.com

Letztere wird bei PRISM Break genannt, vermutlich weil man sich den Namen leichter merken kann. Roll Eyes
legendary
Activity: 1764
Merit: 1000
mittlerweile bietet jeder browser von haus aus eine no-tracking funktion. sogar chrome, einfach mal in den einstellungen gucken.

die seite ist richtig gut, habe sie auch favoritisiert!
full member
Activity: 174
Merit: 253
Danke, "Disconnect" kannte ich noch nicht...
Disconnect habe ich gerade getestet. Die App blockt Daten von Tracking Seiten und sendet dafür Daten an den hauseigenen Server. Deren Versprechen nix zu loggen ist keinen Satoshi wert. Besser noscrypt + https-everywhere!
legendary
Activity: 1135
Merit: 1166
Sehr gute Vorschläge (hab ich aber schon vor einiger Zeit gesehen und mich sehr gefreut, dass ich einiges davon schon länger verwende).  Bei mir regelmäßig im Einsatz:  Tor (auch Orbot), HTTPS Everywhere + NoScript + Iceweasel, DuckDuckGo (weil Google meine Tor-Anfragen blockiert, inzwischen bin ich aber auch so sehr zufrieden), OSM (auch als Mapper, das macht Spaß Cheesy), Pidgin + OTR + Gibberbot + Jitsi mit ZRTP (funktioniert im Moment täglich perfekt für Video und Sprache), owncloud, Bitmessage, GPG + Enigmail + Icedove, Bitcoin + Namecoin, Cyanogenmod + F-Droid (und nur freie Apps) und Debian.  Also fast aus jeder Kategorie etwas (Blog hab ich "Eigenbau" auf meiner Homepage, und Social Network ist bei mir leider, leider nocht Facebook - allerdings ohne dass ich vorhabe, jemals wieder was dort zu posten, und mit genau 5 Freunden).

Ich kann all das persönlich sehr empfehlen!  Übrigens hab ich auch gar nicht den Eindruck, dass ich mit Tor zu sehr auf Komfort beim Surfen verzichten müsste (oder ich bin schon dran gewöhnt Cheesy) - wenn man bei ein paar wichtigen Seiten (oder Seiten, die Tor leider blockieren) gezielt Ausnahmen setzt, läuft es sehr gut und ich fühle mich deutlich sicherer (besonders wenn ich irgendwo freie WLANs verwende und dergleichen).  Nur sollte man dann natürlich noch mehr als sonst darauf achten, für alle kritischen Dinge HTTPS zu verwenden (und auf die Zertifikate Acht zu geben).
full member
Activity: 224
Merit: 100
Ƶ = µBTC
Wow, da hat wirklich jemand gute Arbeit gemacht - bookmarked & saved&forwarded!

Genau das war auch meine erste Reaktion, als ich die Seite zum ersten Mal gesehen hab'. Wink
legendary
Activity: 1218
Merit: 1001
Nette Seite, obwohl das Meiste bekannt ist.

Owncloud nutze ich auf einem eigenen Sever und dort auch meinen eigenen Mailserver.
newbie
Activity: 19
Merit: 0
Danke, "Disconnect" kannte ich noch nicht...
full member
Activity: 224
Merit: 101
Wow, da hat wirklich jemand gute Arbeit gemacht - bookmarked & saved&forwarded!

Bei Email fällt mir noch ein:

http://www.epostmail.org/index.html

...ist aber schon etwas älter...
legendary
Activity: 1316
Merit: 1003
Bitcoins werden da mindestens noch 2x empfohlen.
Nämlich in Form von Namecoin und Bitmessage.
full member
Activity: 224
Merit: 100
Ƶ = µBTC
Hi Leute,

letztens wurde mir in einem Bitmessage-Channel diese Webseite gezwitschert:

http://prism-break.org

Man findet dort eine schöne Zusammenstellung von freien Alternativen, mit denen man Datenkraken das Leben schwer machen kann.

Und was wird da direkt als erstes für Online-Transaktionen empfohlen?
Na was wohl, Bitcoin natürlich!

Aber auch die anderen Sachen können für uns Bitcoiner ganz interessant sein, obwohl natürlich keine Technologie den gesunden Menschenverstand ersetzen kann.

Was haltet ihr davon? Welche Alternativen verwendet ihr bereits?
Jump to: