Geniale Lösung für Web-basisertes Verschlüsseln

Etwas unfassbar Praktisches – ich staune immer noch: In einem Artikel über Edgar Snowden wird auf Business Insider erklärt, wie PGP bzw. OpenPGP funktionieren. Dort empfiehlt man PGP Encryption Rool (iGolder), eine Web-Maske, in die man den öffentlichen Schlüssel des Empfängers postet, dann den Klartext der Nachricht. Man erhält dann einen verschlüsselten Text, den man per copy paste nur noch mit einem beliebigen E-Mail-Programm oder per Webmail verschicken kann.

Ich habe es ausprobiert – es funktioniert. Da der Betreiber der Website den geheimen Schlüssel des Empfängers nicht besitzt, hat die Sache keinen Haken. Ich finde das genial. (Allerdings würde ich mir von denen kein Schlüsselpaar erzeugen lassen.)

[Update] Das ist missverständlich ausgedrückt: Ich meinte natürlich, wenn man den Source Code hätte – es ware ein optimaler Ersatz für die PrivacyBox, die es leider nicht mehr gibt.

image_pdfimage_print
Juli 14, 2013 | abgelegt unter Internet and Computer, Links I Like, Privacy 

Kommentare

21 Kommentare zu “Geniale Lösung für Web-basisertes Verschlüsseln”

  1. Unglauebiger am Juli 14th, 2013 3:22 pm

    Naja, ich glaube du hast ausser Acht gelassen, dass man in das Feld „Message to Encrypt“ natuerlich seine Nachricht im Klartext einfuegen muss. Diese wird wenn man auf „Encrypt Message“ klickt doch an den Server uebermittelt, damit dieser die verschluesselte Nachricht erzeugen kann. Somit koennte der Server also die Nachricht im Klartext speichern und fuer andere Zwecke verwenden…

  2. LinuxProfi am Juli 14th, 2013 3:27 pm

    Klasse Idee gefaellt mir.
    Ich schicke an einen Dritten meine unverschluesselte Mail damit diese Mail verschluesselt wird. Dann Sende Ich die verschluesselte Mail an den Addressaten.
    Fast so genial wie DE mail.
    Ich habe leider noch keine Seite von der NSA gefunden, die die Mails auch in dieser genialen Weise verschluesselt. Damit wuerden wir der Behoerde einen Schritt sparen.

    Groucho: How would you like a job at the mint?
    Chico: Mint? I don’t like mint. What other flavors you got?

  3. Jan-Malte am Juli 14th, 2013 3:29 pm

    „Da der Betreiber der Website den geheimen Schlüssel des Empfängers nicht besitzt, hat die Sache keinen Haken.“

    Ich sehe da schon einen Haken: Der Betreiber sieht Klartext und zugehörigen Chiffretext. Für diese Information fänden sich bestimmt Abnehmer.

  4. admin am Juli 14th, 2013 3:40 pm

    Jan-Malte: das stimmt, allerding wären die ruiniert, wenn das rauskäme, das ist ja kein „soziales Netzwerk“:
    https://www.igolder.com/privacy/

    „iGolder is registered as iGolder Ltd in the Republic of Belize“. Hihi.

  5. Webmole am Juli 14th, 2013 3:43 pm

    Sehr gute Idee nur bedingt zu gebrauchen.

    Was weiß igolder.com? Die Verbindungen führen in die USA.

    Durch den öffentlichen Key vermutlich die Zieladresse und einen Augenblick später kommt die Mail durch Netz.
    Den verschlüsselten und unverschlüsselten Text und jetzt nur noch den Mailverkehr überwachen und man kennt den Absender und das kann die NSA oder die Briten.

    Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
    Domain Name: IGOLDER.COM
    Registrant:
    Jean-Claude Morin

    Whois Server:
    whois.godaddy.com
    ASN:
    AS26496 AS-26496-GO-DADDY-COM-LLC – GoDaddy.com, LLC (registered Oct 01, 2002)
    IP Location:
    New York – New York City – Godaddy.com Llc

  6. admin am Juli 14th, 2013 3:48 pm

    Der Absender wird doch eh nicht verborgen, es geht nur um den Inhalt. GoDaddy is der grösste US-Provider, der Kunden zusichert, als Inhaber der Domain unerkannt zu bleiben. Das sagt also gar nichts aus. Die werden schon mit der NSA kooperieren.

  7. Shogun am Juli 14th, 2013 4:04 pm

    „We are sad to announce iGolder will be ceasing operations on August 1st, 2013.“

  8. Patrix am Juli 14th, 2013 4:05 pm

    Das kann jetzt nicht Dein Ernst sein? Wenn man zuerst den Klartext hinschicken muss um die Verschlüsselung hinzukriegen, kann sich unterwegs ja jeder bedienen, *unabhängig* davon wo der Server schlussendlich steht. Ich würde mich hüten, dass irgendwelchen DAUs als Sicherheitsgewinn zu verkaufen.

  9. admin am Juli 14th, 2013 4:19 pm

    Shogun. das hab eich nicht gesehen, steht das auf der Website?

    Vielleicht habe ich mich falsch ausgedrückt: Ich war eher darüber begeistern, wie einfach das ginge. Das hätte die „Zeit“ vielleicht anstatt ihrer Strongbox nehmen sollen. Das Tool wäre doch ein idealer Eratz für die frühere Privacy-Box. Notfalls kann man mit Tor drauf gehen.

  10. Matz am Juli 14th, 2013 4:31 pm

    … „das stimmt, allerding wären die ruiniert, wenn das rauskäme“ …

    m(

    Genauso ruiniert wie Microsoft, Google, Facebook, Apple etc. es nun sind.

    Die Verschlüsselung hat in „meinem Hoheitsgebiet“ zu geschehen und kein Dritter hat das was verloren. Dir etwas über Sicherheitskonzepte und Angriffsszenarien zu erzählen, sollte eigentliche Eulen nach Athen tragen sein.

  11. admin am Juli 14th, 2013 5:02 pm

    Ich frage mich, wie die das gemacht haben. Das sollte doch Open source sein, aber wo kriegt man den Code her?

  12. lemmy Caution am Juli 14th, 2013 6:17 pm

    1. Schritt: Du gibst „pgp tools“ in google ein.
    2. Schritt: Treffer lesen.
    Der erste Treffer bei mir ist https://gpgtools.org/‎ . Das mag schon einmal auf brauchbare Lösungen für mac und windows hinzuweisen. Vielleicht kann das mal jemand testen ?

    Der zweite Treffer ist ppgp.sourceforge.net/‎ . Die scheinen aber die aktuellen Key Größen von 2048 Bit nicht anzubieten.

    Wer da auf Programmier-Ebene aktiv werden will:
    Für Java könnte man sich selbst etwas mit Bounty Castle schreiben.
    http://bouncycastle-pgp-cookbook.blogspot.de/
    Für Python könnte das interessant sein: http://wiki.python.org/moin/GnuPrivacyGuard
    In C dürften sich problemlos brauchbare Bibliotheken finden lassen.
    Das hat mich nun 15 Minuten gekostet.

  13. admin am Juli 14th, 2013 6:21 pm

    Java habe ich gar nicht installiert, aber eigentlich brauche ich das auch für Jondonym. ;-(

    http://www.heise.de/security/meldung/BSI-empfiehlt-Deinstallation-von-Java-1782352.html

  14. Unglauebiger am Juli 15th, 2013 7:44 am

    Also, am besten wäre es so etwas durch Javascript zu realisieren (natürlich ohne Ajax oder Ähnliches), damit nichts an den Server geschickt wird zur Verschlüsselung. Hier ein Projekt, das das mit Javascript realisiert:
    http://www.hanewin.net/encrypt/
    http://www.hanewin.net/encrypt/PGencode.htm

    Ja, man muss dan Javascript erlauben, aber das ist wesentlich besser, als per Post oder Get Daten an den Server zu schicken…

  15. admin am Juli 15th, 2013 9:05 am

    Ich habe gestern übrigens
    http://ppgp.sourceforge.net/ ausprobiert, weil ich immer noch etwas Elegantes für den Stick brauche, aber das ist auch Schrott.
    Schlüssel darf nur 1024 bit gross sein (obwohl das Programm grössere Schlüssel importieren kann), und es ist nicht in der Lage, mehrere mit GnuPG exportierte Schlüssel zu importieren, sondern nur alle einzeln. Da säße ich ja Stunden dran.

  16. ...der Trittbrettschreiber am Juli 15th, 2013 11:02 am

    Stunden? Ich kaue seit Äonen an Thunderbird und enigmail herum – wird langsam fade, meine Mandibelflora.

  17. Webformular-Nachrichten nun auch verschlüsselt | Nics Bloghaus am Juli 15th, 2013 6:38 pm

    […] die Idee brachte mich Burkhard Schröder, als den Dienst iGol­der […]

  18. elvis am Juli 16th, 2013 8:31 am

    admin am Juli 14th, 2013 6:21 pm

    Java habe ich gar nicht installiert, aber eigentlich brauche ich das auch für Jondonym. ;-(

    http://www.heise.de/security/meldung/BSI-empfiehlt-Deinstallation-von-Java-1782352.html
    Unglauebiger am Juli 15th, 2013 7:44 am

    Also, am besten wäre es so etwas durch Javascript zu realisieren (natürlich ohne Ajax oder Ähnliches), damit nichts an den Server geschickt wird zur Verschlüsselung. Hier ein Projekt, das das mit Javascript realisiert:
    http://www.hanewin.net/encrypt/
    http://www.hanewin.net/encrypt/PGencode.htm

    Ja, man muss dan Javascript erlauben, aber das ist wesentlich besser, als per Post oder Get Daten an den Server zu schicken…

    Java oder Javascript?
    Warum nicht gleich in PHP?
    So was wird in C oder C++ geschrieben.

  19. admin am Juli 16th, 2013 9:42 am

    Dann schreib das doch mal.

  20. Unglauebiger am Juli 16th, 2013 2:48 pm

    Javascript ist schon richtig. Normales Javascript kann so programmiert werden, dass keine Daten an den Server geschickt werden müssen, weil der Browser den Code ausführt. Bei einer Verschlüsselung bietet sich das natürlich an.

    Da ist die PHP Lösung völlig unsinnig, denn der unverschlüsselte Text wird ja an den Server übermittelt. Es sei denn man hat blindes Vertrauen in den Betreiber der Website und des Servers.

    Darüber hinaus ist es recht einfach den Javascript-Code zu untersuchen um auszuschließen, dass irgendetwas per Ajax o.Ä. übermittelt wird. Bei PHP kann man das nicht, weil der Code ja nicht für den Besucher der Website einsehbar ist.

  21. lemmy Caution am Juli 16th, 2013 8:41 pm

    Das mit dem Java Unsicher meint das plug-in im Browser. Ansonsten ist das einfach eine Entwicklungs/Runtime Umgebung auf deinem Rechner.
    Standalone JavaScript ist auch ok. Mir schwebte sowas wie ein JavaFX Client vor. Läuft nix mit Web, Browser, sondern einfach als standalone Anwendungen. Werd mir das mal anschauen, aber ich hab momentan eigentlich sowieso genug IT für Geld um die Ohren.

    Einfach so ein Spielzeug, in dem man öffentliche PGP Schlüssel von anderen Leuten verwalten kann, mit den öffentlichen Schlüsseln einen Text verschlüsseln kann, den dann der mit dem dazugehörigen privaten Schlüssel entschlüsseln kann. Den verschlüsselten Text kann man dann ja dann auch über Facebook übermitteln. Oder ist das jetzt irgendwo dumm?
    Vermutlich gibts das schon 100 mal, aber bestimmt besser als Sudoku Rätsel lösen.
    Je mehr verschlüsseltes Zeugs ausgetauscht wird, desto grauer werden die Haare von den NSAs. Oder man könnte mal schauen wie Facebook reagiert, wenn man da total viel über Osama bin Laden redet und massig pgp-verschlüsselte Texte austauscht.

Schreibe einen Kommentar