|
|
|
|
| Real-time updated, P2P websites
using Bitcoin cryptography and the BitTorrent network | |
Gibts das auch mit Kürbisgeschmack?
|
|
|
|
|
|
|
Liest man so im VeraCrypt Changelog:
Cut mount/boot time by half thanks to a clever optimization of key derivation
denkt man sich, kann man auch mal wieder die Systemplatte zu machen.
25 (!) Sekunden von Enter drücken bis Passwort richtig, der Typ hat doch komplett nen Schuß weg.
|
|
|
|
|
|
|
|
|
|
|
Nein, danke, ich will kein zweites Passwort PINM eingeben müssen.
|
|
|
|
|
|
|
ELI5: Warum ist dass denn bei VeraCrypt so kompliziert für den User und sonst nirgends (dmcrypt bspw.)?
|
|
|
|
|
|
|
Weil manche Entwickler besser im Abwägen von Herumspielmöglichkeiten gegen Benutzbarkeit sind als andere.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von Danzelot am 20.03.2016 18:20]
|
|
|
|
|
|
| Zitat von kRush*
Nein, danke, ich will kein zweites Passwort PINM eingeben müssen.
| |
Dann lass es halt bleiben \o/
--
Dass die Standardeinstellung(en) bei Veracrypt insbesondere beim Systemstart, sagen wir, diskutabel sind, was die Dauer angeht, will ich gar nicht leugnen.
Aber noch schnell 'nen Zahlenwert zur Passphrase finde ich völlig unproblematisch.
|
|
|
|
|
|
ACHTUNG WERBUNG
|
https://www.qabel.de
Erstes Release, Android und Windows (Linux und MacOS darf man sich selbst kompilieren). Ein verschlüsselter Cloud Speicher mit Chat, zumindest momentan. Ist kostenlos (An Privatkunden verdient man eh nichts )
Der Plan ist, auf der Infrastruktur mit den selben Keys und der selben Kontaktliste noch andere Dienste laufen zu lassen, das ist mit dem Plattform-Gerede gemeint.
Ich hab da mitgebaut, deshalb die Werbung.
(Ps.: Der Feature-Umfang ist bisher sehr gering, es gibt noch kein Kontaktlisten-Sync zwischen Desktop/Android, ist halt ein erstes Release. Die Crypto und die Grundlagen steht aber immerhin.)
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von audax am 21.03.2016 0:14]
|
|
|
|
|
|
| Zitat von audax
https://www.qabel.de
Erstes Release, Android und Windows (Linux und MacOS darf man sich selbst kompilieren). Ein verschlüsselter Cloud Speicher mit Chat, zumindest momentan. Ist kostenlos (An Privatkunden verdient man eh nichts )
Der Plan ist, auf der Infrastruktur mit den selben Keys und der selben Kontaktliste noch andere Dienste laufen zu lassen, das ist mit dem Plattform-Gerede gemeint.
Ich hab da mitgebaut, deshalb die Werbung.
(Ps.: Der Feature-Umfang ist bisher sehr gering, es gibt noch kein Kontaktlisten-Sync zwischen Desktop/Android, ist halt ein erstes Release. Die Crypto und die Grundlagen steht aber immerhin.)
| |
Finde ich top. Habe seit zwei Monaten jeden Tag auf eurer Webseite vorbeigeschaut bezüglich Neuigkeiten.
Ich werde das mit Sicherheit bald(tm) auf Linux mal ausprobieren.
|
|
|
|
|
|
|
| Zitat von audax
https://www.qabel.de
Erstes Release, Android und Windows (Linux und MacOS darf man sich selbst kompilieren). Ein verschlüsselter Cloud Speicher mit Chat, zumindest momentan. Ist kostenlos (An Privatkunden verdient man eh nichts )
Der Plan ist, auf der Infrastruktur mit den selben Keys und der selben Kontaktliste noch andere Dienste laufen zu lassen, das ist mit dem Plattform-Gerede gemeint.
Ich hab da mitgebaut, deshalb die Werbung.
(Ps.: Der Feature-Umfang ist bisher sehr gering, es gibt noch kein Kontaktlisten-Sync zwischen Desktop/Android, ist halt ein erstes Release. Die Crypto und die Grundlagen steht aber immerhin.)
| |
Hachja, die Britta
https://www.youtube.com/watch?v=ag26sZnH4e8
|
|
|
|
|
|
|
| Zitat von audax
https://www.qabel.de
Erstes Release, Android und Windows (Linux und MacOS darf man sich selbst kompilieren). Ein verschlüsselter Cloud Speicher mit Chat, zumindest momentan. Ist kostenlos (An Privatkunden verdient man eh nichts )
Der Plan ist, auf der Infrastruktur mit den selben Keys und der selben Kontaktliste noch andere Dienste laufen zu lassen, das ist mit dem Plattform-Gerede gemeint.
Ich hab da mitgebaut, deshalb die Werbung.
(Ps.: Der Feature-Umfang ist bisher sehr gering, es gibt noch kein Kontaktlisten-Sync zwischen Desktop/Android, ist halt ein erstes Release. Die Crypto und die Grundlagen steht aber immerhin.)
| |
Ich frage mich, woran du auf dem Bild denkst, so träumerisch abseits blickend. An mich vielleicht? <3
/edit: Bild
--
Mein erster Eindruck (blahblah, wieder irgendwelcher webzwonull-pseudosicher-marketinggelaber-krimskrams) wich dann doch kurz drauf einem "das klingt gar nicht so doof, muss ich mir mal in Ruhe angucken und mal die quellen durchwühlen".
Mach ma Linux!!11 :]
Schön finde ich übrigens den Teil der Lizenz zu "Deshalb schließt unsere Lizenz die Nutzung durch zum Beispiel Militär, Geheimdienste und alle, die anderen Menschen Schaden zufügen, per se aus." — das wurde ja fefeesk auch schon mal gefordert, umgesetzt hatte ich's bisher noch nicht gesehn.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von FuSL am 21.03.2016 23:17]
|
|
|
|
|
|
Nur mal so kurz: Linux geht, aber man muss es selbst kompilieren. Wir wollen gerade nur keinen Support dafür leisten. Entwickelt wird der Desktop Client auf Linux...
Ich denke auf dem Bild übrigens daran, wie ich pull requests wegen fehlender Tests ablehnen werde
Und an dich natürlich. <3
| Zitat von Gore
| Zitat von audax
https://www.qabel.de
Erstes Release, Android und Windows (Linux und MacOS darf man sich selbst kompilieren). Ein verschlüsselter Cloud Speicher mit Chat, zumindest momentan. Ist kostenlos (An Privatkunden verdient man eh nichts )
Der Plan ist, auf der Infrastruktur mit den selben Keys und der selben Kontaktliste noch andere Dienste laufen zu lassen, das ist mit dem Plattform-Gerede gemeint.
Ich hab da mitgebaut, deshalb die Werbung.
(Ps.: Der Feature-Umfang ist bisher sehr gering, es gibt noch kein Kontaktlisten-Sync zwischen Desktop/Android, ist halt ein erstes Release. Die Crypto und die Grundlagen steht aber immerhin.)
| |
Hachja, die Britta
https://www.youtube.com/watch?v=ag26sZnH4e8
| |
In der Tat <3
Ist ne Gute.
¤dit: hdgdl siglo <3
|
[Dieser Beitrag wurde 3 mal editiert; zum letzten Mal von audax am 22.03.2016 0:48]
|
|
|
|
|
|
| Zitat von Siglo_1 Finde ich top. Habe seit zwei Monaten jeden Tag auf eurer Webseite vorbeigeschaut bezüglich Neuigkeiten.
Ich werde das mit Sicherheit bald(tm) auf Linux mal ausprobieren.
| |
Falls du Probleme beim Bauen hast, dann meld dich ruhig. Entweder mit nem Issue auf Github, oder direkt bei mir.
Wenn du es direkt aus den Quellen kompilierst hast du natürlich auch den Vorteil, dass du keine uralte Release-Version benutzen musst
Für Android bauen wir übrigens auch Nightly-Builds, die kommen aber natürlich nicht in den Play Store und sind mit einem anderen Key signed. Natürlich kann man sich das Ding auch selbst kompilieren.
Vorteil der aktuellen Dev-Version: Kontakt Export auf Android läuft
|
|
|
|
|
|
|
|
|
|
|
Ich finde das interessant. Besonders, da Moxie beteiligt war, bekommt die ganze Sache einen Vertrauensvorschuss.
Warum sollte ich Threema jetzt noch mehr vertrauen als Whatsapp? Eigentlich gibt es keinen Grund.
|
|
|
|
|
|
|
Gab es denn jemals einen Grund Threema mehr zu vertrauen als anderen? So wie ich das mitbekommen habe war das immer so ne "wir sind halt nicht Facebook" Nummer.
|
|
|
|
|
|
|
| Zitat von [2XS]Nighthawk
Gab es denn jemals einen Grund Threema mehr zu vertrauen als anderen? So wie ich das mitbekommen habe war das immer so ne "wir sind halt nicht Facebook" Nummer.
| |
War halt einfach der in DE am verbreiteten Crypto-Messenger. Im Gegensatz zu Whatsapp habe sie zumindest behauptet gute Verschlüsselung zu haben. In dem Punkt sind ja nun beide gleich auf.
|
|
|
|
|
|
|
| Zitat von [2XS]Nighthawk
Gab es denn jemals einen Grund Threema mehr zu vertrauen als anderen?
| |
Nicht wirklich - "Vertrauen ist gut, Kontrolle ist besser" - was ohne OpenSource bei jedem noch so toll verschlüsselten Tool schwierig ist.
Gleiches gilt ja auch weiter für whatsapp.
Es braucht niemand denken das WA das jetzt aus lieber zur Privatsphäre seiner Nutzer implementiert hat
Was meiner Meinung nach etwas milde stimmend ausgelegt werden kann ist das Geschäftsprinzip hinter WA(Facebook):
FB baut seine Nutzernetzwerke mit Hilfe der Metadaten. Inhalte können ihnen diesbezüglich relativ egal sein.
Es bleibt natürlich die Frage ob das alles das gelbe vom Ei ist - grundsätzlich ist der Schritt aber mal in eine nicht falsche Richtung
|
|
|
|
|
|
|
Wenn die Crypto richtig gemacht wurde ®©™
und die Leute die Schlüssel ganz old-school GPG-style in persona vergleichen (was bei Smartphones dank QR-Codes relativ einfach sein sollte, aber wahrscheinlich dennoch nur von einem kleinen Bruchteil der Nutzer praktiziert wird)
dann muss die Plattform an sich immer noch wasserdicht sein. Und das lässt bei bei closed-source halt schon deutlich schwieriger "zeigen" als bei OSS. Wobei das natürlich generell extrem schwierig ist; zu zeigen, dass ein Stück Software eine bestimmte (deterministische!) Funktion erfüllt, ist einfach, man testet es[1]. Zu zeigen, dass ein Stück Software eine Funktion erfüllt und *sonst nichts* ist viel schwieriger.
Meine simple Ansicht: Gute Transportverschlüsselung + gute E2EE reichen für die meisten Leute lang. Und wenn das Smartphone gehackt wird, ist meistens sowieso noch viel mehr weg.
[1] Daher das Dilemma mit den "tollen" Hardware-RNGs in CPUs. Die Dinger könnten genauso gut einen Zähler AES-verschlüsseln und das ausgeben, das kann man nicht wirklich unterscheiden (mit dem Unterschied, dass wenn ich meine Crypto mit diesen Zufallszahlen mache, jemand mit dem Schlüssel zum AES leichtes Spiel hat).
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von csde_rats am 06.04.2016 11:17]
|
|
|
|
|
|
In einer Closed-Source Umgebung (was ja immer zutrifft, wenn man die App aus einem geschlossenen Store installiert), ist WA nun so gut wie es eben geht - inkl. Testimonial aus der "Szene".
|
|
|
|
|
|
|
Jo
| (was ja immer zutrifft, wenn man die App aus einem geschlossenen Store installiert) | |
Sind reproducible Builds so (zu) schwierig für Apps?
|
|
|
|
|
|
|
In gewissen Grenzen machbar, man würde halt auch wie bei Truecrypt auch gewisse Abweichungen drin haben.
Wobei, wenn man die ipa bzw apk mit Ida zerlegt und mit bindiff vergleicht sollte das halbwegs aussagekräftig sein (wenn man denn Zeit und Muse hat hat)
|
|
|
|
|
|
|
|
|
|
|
Sollten da nicht auch Abweichungen durch unterschiedliche Timestamps oder so vorkommen?
|
|
|
|
|
|
|
|
|
|
|
| Zitat von csde_rats
Jo
| (was ja immer zutrifft, wenn man die App aus einem geschlossenen Store installiert) | |
Sind reproducible Builds so (zu) schwierig für Apps?
| |
Auf iOS zumindest unmöglich, in Apples Bergwerk werden die Binaries verändert.
|
|
|
|
|
|
Wilde Spekulationen!
|
Genymotion grade so:
Scheinbar hat Facebook nicht mehr so großen Bock auf Leute die WA auf dem PC installieren. Ist nur ne alte Müllnummer von mir, trotzdem schade dass das nicht mehr so einfach geht.
Man könnte glatt ne Verschwörungstheorie aufstellen, warum simultan zum Ausrollen der glorious End-To-End-Verschlüsselung auf einmal gegen Sandboxing/VM-Nutzung vorgegangen wird. Nehmt das bitte als den uninformierten Bullshit der es ist, als Gegengewicht zu den "Textsecure = Garantiert sicher" Leuten.
Ich bin echt hammer gespannt darauf, wie Whatsapp (besonders in den USA) jetzt abgehört wird. Nie im Leben setzen die nur auf Infektionen und nienienie im Leben lassen sie (fast) allen Smartphone-Nutzern jetzt wirksame Crypto.
Ich seh vor allem zwei Optionen: WA Signatur geht "verloren" und die Behörden können schön ihren eigenen Keyexchange rein-updaten... oder: Wenn jemand ganz lieb fragt, macht Facebook das selbst und gibt dann den Key raus.
Bei einer Konfrontation wie Apple vs FBI wärs noch spannender, die Crypto im Axolotl-Protokoll kann nämlich wirklich noch niemand im Nachhinein brechen. Ich geh zumindest nicht davon aus, ist schließlich ein kompetent gemachter OTR Ableger... und OTR war zum Zeitpunkt des NSA-Skandals noch bewiesenermaßen sicher, seitdem gabs zumindest keine neuen Nachrichten dazu.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von Snowblind1911 am 27.04.2016 23:22]
|
|
|
|
|
|
Die End-to-End-Verschlüsselung ist die von Signal, nach meinem Stand kann man die als sicher bezeichnen. Aber ist doch eh egal, Metadaten reichen Geschäften und Geheimdiensten für die meisten praktischen Zwecke (Werbung, Fahndung, Drohnenmord) aus.
|
|
|
|
|
|
|
Jo, das Verfahren ansich ist sicher, aber nix hindert WA daran, den Secret Key mal eben noch mit dem Schlüssel der Behörden hochzuladen.
Bei OTR können die gleichen Nachrichten mit unterschiedlichen Schlüsseln sogar unterschiedliche Länge haben, und da man die verschlüsselte Datei/Nachricht ansich nicht von Zufallswerten unterscheiden und seinen secret Key nicht auslesen kann, reichen zwei Zeilen Extracode und ein versteckter Public Key für eine komplette Sabotage die man nicht mal mit Trafficanalyse aufklären kann.
Naja, wir werden sehen. Seit die Nachfolgersuche für TC begonnen hat weiß ja fast jeder, dass man gute Crypto erst besiegelt hat wenn sie 10 Jahre keiner aufkriegt.
Für wahre Aluhüte gibts ja auch noch Chatsecure, da kann man nichtmal mit den Metadaten was anfangen wenn der Server Tor zulässt.
|
[Dieser Beitrag wurde 3 mal editiert; zum letzten Mal von Snowblind1911 am 27.04.2016 23:52]
|
|
|
|
|
|
|
|
|
Thema: Verschlüsselung und Anonymität III ( Privatsphäre jetzt ) |