View previous topic :: View next topic |
Author |
Message |
monade Apprentice
Joined: 17 Mar 2005 Posts: 204 Location: Berlin
|
Posted: Tue Jan 19, 2010 9:45 pm Post subject: Sichere Datenübertragung |
|
|
Hi,
ich muss mit einem Kollegen im Moment etwas größere (~10MB), sensible Daten austauschen. Wir beide sitzen in wechselnden Netzen, meistens hinter einem Router, ohne feste IP im Netz. Mail (auch verschlüsselt) ist zu unsicher. Wir haben beide keinen (sicheren) Server zur Verfügung, auf den wir die Daten hochladen könnten. Im Grunde scheidet jede Variante aus, bei der die Daten, egal ob verschlüsselt oder nicht, bei einem Dritten zwischengespeichert werden. Variante der Wahl wäre normalerweise ssh, aber geht natürlich nicht, wenn keiner von uns beiden ne IP im Netz hat..
Fällt euch trotzdem was ein, wie wir dir Daten austauschen könnten? Ich vermute ja die Antwort lautet Nein, weil die Kombination "keine IP im Netz" + "keine dritte Partei erlaubt" alles ausschließt.. aber vielleicht täusche ich mich ja? |
|
Back to top |
|
|
l3u Advocate
Joined: 26 Jan 2005 Posts: 2616 Location: Konradsreuth (Germany)
|
Posted: Tue Jan 19, 2010 10:08 pm Post subject: |
|
|
Wieso ist per E-Mail und verschlüsselt mit gnupg (public key) zu unsicher? Wenn keiner der Teilnehmer ne IP oder zumindest eine Route hat ist's natürlich bissl schwierig anderweitig … |
|
Back to top |
|
|
monade Apprentice
Joined: 17 Mar 2005 Posts: 204 Location: Berlin
|
Posted: Tue Jan 19, 2010 10:15 pm Post subject: |
|
|
Das "Mail ist zu unsicher" hab ich ein bisschen leichtfertig geschrieben. Eigentlicher Hintergrund ist, dass wir dazu verpflichtet sind, dass die Daten zu keinem Zeitpunkt für Dritte zugänglich sind - und wie gesagt: egal ob verschlüsselt oder nicht. |
|
Back to top |
|
|
l3u Advocate
Joined: 26 Jan 2005 Posts: 2616 Location: Konradsreuth (Germany)
|
Posted: Tue Jan 19, 2010 10:18 pm Post subject: |
|
|
Also ohne Zugriff auf nen Router, damit man zumindest per Port sowieso an Port 22 kommt, zumindest von einer Seite, seh ich da schwarz … |
|
Back to top |
|
|
ChrisJumper Advocate
Joined: 12 Mar 2005 Posts: 2400 Location: Germany
|
Posted: Tue Jan 19, 2010 10:43 pm Post subject: |
|
|
Monade,
also außer sich an der Forschung zur Quantenkryptographie zu beteiligen fällt mir da keine alternative ein. ;)
Aber mal Ersthaft. Ich würde versuchen die Daten zu verschlüsseln und in Stücke zu zerteilen, das man selbst wenn man einen Teil erhält damit (möglichst nichts) anfangen kann. Sie anschließend an (unterschiedliche) dritte zu Verteilen oder sie notfalls via Post zu versenden. Evtl. auch Teile via P2P-Netzwerken austauschen.
Wie lange darf denn der Zeitraum sein in dem man die Daten austauscht? Notfalls könnte man auch diese Padding-Felder von diversen Protokollen verwenden oder Checksummen modifizieren. Ich bin mir fast schon sicher das sich dazu Material finden lässt.
Aber hier lässt sich darüber streiten, ob eine (einem Dritten) unbekannte Informationsquelle eine hinreichend sicher ist. Allerdings scheint dies ja schon gegen deine "Verpflichtung" zu Verstoßen. Generell kann man bei einer entsprechend starken Verschlüsselung aber davon ausgehen das dritte dies nicht öffnen können.
Grüße
Chris |
|
Back to top |
|
|
monade Apprentice
Joined: 17 Mar 2005 Posts: 204 Location: Berlin
|
Posted: Tue Jan 19, 2010 11:10 pm Post subject: |
|
|
Ich sehe das durchaus auch so, dass es genug Wege gäbe, die als hinreichend sicher einzustufen wären. Es ist eher mein Kollege - mir vorgesetzt - der in diesem Fall etwas sehr paranoid bzw. bürokratisch ist.
In naher Zukunft werde ich VPN-Zugang zu einen "sicheren" Server haben, insofern ist die Problematik sowieso nur temporär. Aber mich hat die Frage ganz einfach auch allgemeinwissenstechnisch interessiert . |
|
Back to top |
|
|
AmonAmarth l33t
Joined: 03 Mar 2005 Posts: 727
|
Posted: Tue Jan 19, 2010 11:24 pm Post subject: |
|
|
die idee mit dem VPN empfinde ich auch als die entsprechenste. einen kostenlosen VPN zugang bekommst du bei hamachi. allerdings weiß natürlich keiner welche verbindungsdaten die bande da mitschreibt. soltle dir aber recht egal sein wenn du eine sichere übertragung verwendest a la ssh. wenn du noch paranoider bist schreib die daten in ein encfs oder in ein cryptoloop container, versende diese verschlüsselten daten über die verschlüsselte ssh verbindung, welche über eine (verschlüsselte) VPN verbindung dann ausgetauscht wird. (was noch geht wäre openVPN im hamachi VPN....*hust*) |
|
Back to top |
|
|
slick Bodhisattva
Joined: 20 Apr 2003 Posts: 3495
|
Posted: Wed Jan 20, 2010 7:01 am Post subject: |
|
|
Also geht man davon aus das die Daten sicher verschlüsselt sind könnte man den Austausch über div. Messanger realisieren (MSN/ICQ/Skype/...). Im Regelfall kommen die über jeden (NAT) Router.
Also ich bin ja auch ein wenig paranoid, aber verschlüsselt und ggf. gesplittet hätte ich dabei keine Bedenken und ich meine bei den Messanger laufen File-Transfers immer direkt und nicht über die Server. |
|
Back to top |
|
|
Keepoer Apprentice
Joined: 30 Mar 2004 Posts: 293 Location: Zwischen Kassel und Edewecht pendelnd
|
Posted: Wed Jan 20, 2010 9:13 am Post subject: |
|
|
Morgen,
wenn das wirklich so sicher sein soll, warum nehmt ihr dann nicht einen TrueCrypt-Container, den ihr euch hin und her schickt?
MfG
Keep |
|
Back to top |
|
|
ScytheMan l33t
Joined: 30 Nov 2005 Posts: 605
|
Posted: Wed Jan 20, 2010 10:43 am Post subject: |
|
|
slick wrote: | Also geht man davon aus das die Daten sicher verschlüsselt sind könnte man den Austausch über div. Messanger realisieren (MSN/ICQ/Skype/...). Im Regelfall kommen die über jeden (NAT) Router.
Also ich bin ja auch ein wenig paranoid, aber verschlüsselt und ggf. gesplittet hätte ich dabei keine Bedenken und ich meine bei den Messanger laufen File-Transfers immer direkt und nicht über die Server. |
*paranoidmodus = an*
kommt drauf an, bei msn hat z.b. pidgin keine implementierung für direkte übertragung. sämtliche proprietäre sw (d.h. skype sowies) fliegt raus weil zu unsicher (könnte ja ne copy beim nsa landen).
würde xmpp bevorzugen. |
|
Back to top |
|
|
l3u Advocate
Joined: 26 Jan 2005 Posts: 2616 Location: Konradsreuth (Germany)
|
Posted: Thu Jan 21, 2010 12:03 pm Post subject: |
|
|
Um mal nen ganz harten Real-Life-Vorschlag zu bringen: Auf ne CD/DVD brennen oder auf nen USB-Stick, von mir aus auch verschlüsselt, und per Post schicken. Dauert auch nur einen Tag. |
|
Back to top |
|
|
SvenFischer Veteran
Joined: 05 Feb 2003 Posts: 1033 Location: Berlin
|
Posted: Fri Jan 22, 2010 8:26 am Post subject: |
|
|
1. Wenn der Empfänger seinen eigenen Mailserver bei sich hat, dann würde es doch gehen!?
2. Skype - jetzt steinigt mich nicht, das Ding tut aber seinen Dienst sehr gut. Das ist eine verschlüsselte Punkt-zu-Punkt (oder?) und die zu sendende Datei ist zudem nochmals verschlüsselt.
3. Teamviewer? _________________ Core2Duo, 4GB RAM, AMD/ATI 4850 and nice person in front! |
|
Back to top |
|
|
tazinblack Veteran
Joined: 23 Jan 2005 Posts: 1146 Location: Baden / Germany
|
Posted: Mon Jan 25, 2010 6:53 am Post subject: |
|
|
l3u wrote: | Um mal nen ganz harten Real-Life-Vorschlag zu bringen: Auf ne CD/DVD brennen oder auf nen USB-Stick, von mir aus auch verschlüsselt, und per Post schicken. Dauert auch nur einen Tag. |
Also da kann ich mich nur anschließen : wenns wirklich nirgends zwischengespeichert werden soll, würde ich auch die Post empfehlen, denn das gute alte Postgeheimnis ist nach wie vor ziemlich unantastbar.
<paranoidmodus>
Die Daten vorher noch in nen versteckten Truecryptcontainer auf nem USB-Stick
</paranoidmodus>
Und schon sollte das sicher sein.
Allerdings würde ich es keinen anderen Paket- bzw. Postdienstleister geben. Was die alles bei mir schon auf die Terrasse gestellt, oder irgend nem Nachbarn gegeben haben ist nicht mehr schön. _________________ Gruß / Regards
tazinblack
_______________________________________________________
what's the point in being grown up if you can't be childish sometimes |
|
Back to top |
|
|
b3cks Veteran
Joined: 23 Mar 2004 Posts: 1481 Location: Bremen (GER)
|
Posted: Mon Jan 25, 2010 7:25 am Post subject: |
|
|
Postgeheimnis... naja. Zumal es dann ja auch über (unkontrollierbare) Dritte geht, was ja nicht gewollt ist. Dann nur mit versiegelten Umschlägen, der Datenträger natürlich verschlüsselt und persönlicher Entgegennahme. Dann hätte man auch das von taz genannte Problem nicht, dass der Postbote das Paket irgendwo abgibt.
Nur wäre das analog die Offline-Variante zu signierten, verschlüsselten E-Mails mit verschlüsseltem Anhang. Solange keiner der beteiligten einen eigenen elektronischen Mittelsmann (Server) auftreiben kann, auf den beide Seiten gesichert zugreifen können, sehe ich da auch kaum eine Möglichkeit. _________________ I am /root and if you see me laughing you better have a backup. |
|
Back to top |
|
|
l3u Advocate
Joined: 26 Jan 2005 Posts: 2616 Location: Konradsreuth (Germany)
|
Posted: Mon Jan 25, 2010 5:43 pm Post subject: |
|
|
Dann halt die CD dem Empfänger persönlich in die Hand drücken! Was für Top-Secret-Staatsgeheimnisse wollt ihr eigentlich übermitteln?! :-D |
|
Back to top |
|
|
schachti Advocate
Joined: 28 Jul 2003 Posts: 3765 Location: Gifhorn, Germany
|
Posted: Mon Jan 25, 2010 6:30 pm Post subject: |
|
|
Hmm, Ihr misstraut der Post, verschlüsselte Mail ist auch zu gefährlich - aber es kratzt Euch nicht, wenn die verschlüsselten Daten durch das Netz mehrerer Provider/Carrier gehen? _________________ Never argue with an idiot. He brings you down to his level, then beats you with experience.
How-To: Daten verschlüsselt auf DVD speichern. |
|
Back to top |
|
|
misterjack Veteran
Joined: 03 Oct 2004 Posts: 1657
|
Posted: Mon Jan 25, 2010 9:53 pm Post subject: |
|
|
l3u wrote: | Dann halt die CD dem Empfänger persönlich in die Hand drücken! |
Da kann man überfallen werden, auch zu unsicher *scnr* _________________ „Meine Meinung steht fest! Bitte verwirren Sie mich nicht mit Tatsachen.“ |
|
Back to top |
|
|
Josef.95 Advocate
Joined: 03 Sep 2007 Posts: 4681 Location: Germany
|
Posted: Tue Jan 26, 2010 12:21 am Post subject: |
|
|
Quote: | l3u wrote: | Dann halt die CD dem Empfänger persönlich in die Hand drücken! |
Da kann man überfallen werden, auch zu unsicher *scnr* | Schlimmer noch,
man stelle sich vor der Räuber wird gegriffen, da würde dann vermutlich sogar mit Staatsmacht versucht die Daten zu entziffern... |
|
Back to top |
|
|
Max Steel Advocate
Joined: 12 Feb 2007 Posts: 2270 Location: My own world! I and Gentoo!
|
Posted: Tue Jan 26, 2010 6:50 am Post subject: |
|
|
Fazit: Wirklich sichere Datenübertragung gibt es nicht, irgendwas kann immer passieren.
Aber wenn man die Daten nicht gerade persönlich auf CD übergeben kann, dann müsste eine Übertragung eines *crypt-Containers über verschiedene (d. soll h. splitted über verschiedene) gesicherte Übertragungstools völlig ausreichen. Den Schlüssel sollte man natürlich gesondert übertragen, oder am besten davor ab"sprechen", man will natürlich 4126ths bit ${Verschlüsselungsmethodik}.
Außerdem, wer sagt uns eig das nicht jeder Rechner bereits eine Hintertür besitzt damit ${Staat} (Auch Welt-Polizei, oder ganz einfach USA genannt) eindringen kann wenn sie es für nötig erachten (Was sie in diesem Stand natürlich ziemlich oft tun werden). und so weiter und so fort... blabla...
Ich wende mich wieder meiner Arbeit zu. _________________ mfg
Steel
___________________
Heim-PC: AMD Ryzen 5950X, 64GB RAM, GTX 1080
Laptop: Intel Core i5-4300U, 16GB RAM, Intel Graphic
Arbeit-PC: Intel i5-1145G7, 16GB RAM, Intel Iris Xe Graphic (leider WSL2) |
|
Back to top |
|
|
monade Apprentice
Joined: 17 Mar 2005 Posts: 204 Location: Berlin
|
Posted: Tue Jan 26, 2010 7:58 am Post subject: |
|
|
Danke für all eure Vorschläge!
Das Problem ist am Ende eher theoretischer denn praktischer Natur, weil sich das "Problem" ja mit dem nahenden VPN-Zugang in Luft auflösen wird. Wie gesagt, mich hats auch eher prinzipiell interessiert und tatsächlich sind ja ein paar interessante Methoden aufgekommen . Wobei ich ja den klassischen Raubüberfall bei der persönlichen Übergabe der CD noch bevorzuge gegenüber dem modernen Raubüberfall durch evil Eve: bei ersterem merkt man wenigstens, wenn einem was gestohlen wurde !
Die Daten sind kein Staatsgeheimnis, im Grunde sind sie sowas ähnliches wie Patientendaten und bei sowas gilt: man sollte sich nicht anmaßen für die Patienten zu beurteilen was sicher ist und was nicht, sondern besser gar kein Risiko eingehen.
Und dennoch wäre ich nicht ganz so paranoid wie mein Kollege. Denn am Ende des Tages lässt sich schon darüber streiten ob eine VPN-Verbindung eigentlich wirklich sicherer ist als ne verschlüsselte Mail.. |
|
Back to top |
|
|
think4urs11 Bodhisattva
Joined: 25 Jun 2003 Posts: 6659 Location: above the cloud
|
Posted: Wed Jan 27, 2010 11:13 pm Post subject: |
|
|
monade wrote: | Denn am Ende des Tages lässt sich schon darüber streiten ob eine VPN-Verbindung eigentlich wirklich sicherer ist als ne verschlüsselte Mail.. |
Ja und nein.
Ja weil ja im Gegensatz zu einer Mail die VPN-Verbindung eher 'Streamcharakter' hat d.h. ohne Zwischenspeicherung ausgetauscht wird, die Mail hingegen auf einem bis mehreren zwischengelagerten Mailserver(n) auf den Platten landet. Diese sind ingesamt angreifbarer als eine nur für einen kurzen Zeitraum bestehende Verbindung.
Nein weil es einfacher ist eine Mail durch mehrere ineinander verschachtelte Verschlüsselungsverfahren zu schicken als eine WebDAV/SSL-Übertragung durch einen IPSec/AES256-Tunnel der einen GRE-Tunnel als Transportmedium benutzt um ein keybased- (täglicher Keywechsel min.) OpenVPN-VPN abzusichern das zusätzlich via einer stunnel-security-by-obscurity Geschichte via zufällig gewählter highports versteckt wurde ohne akuten Gehrinkrampf hinzubekommen _________________ Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
Back to top |
|
|
pablo_supertux Advocate
Joined: 25 Jan 2004 Posts: 2948 Location: Somewhere between reality and Middle-Earth and in Freiburg (Germany)
|
Posted: Thu Jan 28, 2010 12:17 am Post subject: |
|
|
l3u wrote: | Um mal nen ganz harten Real-Life-Vorschlag zu bringen: Auf ne CD/DVD brennen oder auf nen USB-Stick, von mir aus auch verschlüsselt, und per Post schicken. Dauert auch nur einen Tag. |
ich wollte gerade dasselbe sagen. Zusätzlich kann der Empfänger dann das Medium vernichten.
100% Sicherheit gibt en nämlich nicht. _________________ A! Elbereth Gilthoniel!
silivren penna míriel
o menel aglar elenath,
Gilthoniel, A! Elbereth! |
|
Back to top |
|
|
ChrisJumper Advocate
Joined: 12 Mar 2005 Posts: 2400 Location: Germany
|
Posted: Thu Jan 28, 2010 1:40 am Post subject: |
|
|
Das Problem ist ja meistens, das auf einem der beiden Computer schon ein keylogger/trojaner läuft. Schon ist diese ganze Mühe in den meisten fällen hinfällig. Ganz zu schweigen von einer Hintertür in der Hardware/Software....
Ich denke in den meisten Fällen kann man viel einfacher an Sensible Daten kommen, sei es der Mülleimer oder der Fotokopierer/Fax mit Netzwerkfunktion und angeschlossenem WLAN ;D
Eine einfache Idee, die auch nicht zu teuer ist wären zwei Prepayed-Karte und darüber eine Verschlüsselte Verbindung aufzubauen, wie bei einem Modem ;)
Problemstellen sind da wo man sie nicht erwartet etwa, ein USB-Verlängerungskabel für die Tastatur mit integriertem Keylogger oder eine versteckte Mini-Kamera/Micro. Die irgendwo im Raum platziert wird wenn niemand hinschaut.
:) oder noch einfacher, demjenigen ein Paket schicken mit einem Nagelneuen gewonnenen Handy, Maus, Tastatur die man vorher natürlich Erweitert hat. |
|
Back to top |
|
|
ScytheMan l33t
Joined: 30 Nov 2005 Posts: 605
|
Posted: Thu Jan 28, 2010 10:41 am Post subject: |
|
|
pablo_supertux wrote: | l3u wrote: | Um mal nen ganz harten Real-Life-Vorschlag zu bringen: Auf ne CD/DVD brennen oder auf nen USB-Stick, von mir aus auch verschlüsselt, und per Post schicken. Dauert auch nur einen Tag. |
ich wollte gerade dasselbe sagen. Zusätzlich kann der Empfänger dann das Medium vernichten.
100% Sicherheit gibt en nämlich nicht. |
wieso nicht gleich einfach den bitcode verschlüsselt ausdrucken, da spart man sich die computer schnittstelle und der gegenüber übt gleichzeitig noch ein bisschen kopfrechnen |
|
Back to top |
|
|
|