Ich habe eine ganze Weile \u00fcberlegt, was ich dar\u00fcber schreiben will. Irgendwie besch\u00e4ftigt und vor allem beunruhigt mich der Fall doch mehr als mir lieb ist. Darum der Eintrag.<\/p>\n
Die Vorgeschichte <\/strong><\/p>\n Hushmail<\/a> bietet seinen Kunden sichere, verschl\u00fcsselten E-Mail, mit dem Slogan „Free Email with Privacy“. Der Nutzer l\u00e4dt sich dazu ein Java-Applet auf seinen Client, dort wird die Mail verschl\u00fcsselt und nur die verschl\u00fcsselte Mail landet auf den Mailservern von Hushmail. Der Dienst verwendet starke Verschl\u00fcsselung und bew\u00e4hrte Algorithmen und Protokolle wie AES und OpenPGP. Aus diesem Grund wird Hushmail auch von Sicherheitsexperten und Privacy-Anw\u00e4lten weltweit empfohlen und eingesetzt. Allerdings gibt es eine zweite Variante der Verschl\u00fcsselung, weil es einigen Nutzern zu m\u00fchsam war, das Java-Applet auf ihren Rechner zu installieren. Dabei erfolgt die Verschl\u00fcsselung serverseitig auf den Rechnern von Hushmail.<\/p>\n Der Fall<\/strong><\/p>\n Wie u.a. The Register<\/a> und Wired<\/a> berichtet, wurde Hushmail jetzt per Gericht gezwungen, die Verschl\u00fcsselung soweit aufzubrechen, dass Beweisdaten f\u00fcr den illegalen Handel androider Steroide (also Dopingmittel) dem Gericht im Klartext vorliegen. In diesem Fall wurde vermutlich die serverseitige Verschl\u00fcsselung so modifiziert, dass die privaten Verschl\u00fcsselungskeys einzelner \u00fcberwachter Nutzer im Klartext abgespeichert werden, so dass eine Entschl\u00fcsselung aller Nachrichten und E-Mails trivial m\u00f6glich ist.<\/p>\n Anders ausgedr\u00fcckt … wer einem serverseitigen Dienst die Verschl\u00fcsselung von Daten anvertraut, ist selbst schuld. Der Server kann kompromittiert worden sein und Hacker k\u00f6nnen Zugriff auf alle Daten erhalten. Der Server kann per Gerichtsbescheid von Beh\u00f6rden \u00fcberwacht werden ja es w\u00e4re sogar denkbar, dass die Betreiber eines solchen Dienstes selbst nicht ganz koscher sind. Wired stellt konkret die Frage:<\/p>\n Die verwendete Java-Architektur l\u00e4sst das zumindest technisch zu. Hushmail hat zwar den Source Code des Java-Applets ver\u00f6ffentlicht, aber ob das tats\u00e4chlich von Hushmail angebotene Applet aus diesem Source Code kompiliert wurde ist schwer festzustellen. Nat\u00fcrlich gibt es Java Decompiler, z.B. den DJ Java Decompiler<\/a> den ich selbst gern verwende. Allerdings ist der Source Code manchmal nur schwer zu verstehen und Hintert\u00fcren k\u00f6nnen unter Umst\u00e4nden sogar im Zufallszahlengenerator<\/a> versteckt sein.<\/p>\n F\u00fcr den Nutzer stellt sich die konkrete Frage, kann man Hushmail in Zukunft noch trauen oder nicht.<\/p>\n Das Fazit<\/strong><\/p>\n Der staatliche Trend, Nutzer immer weiter aussp\u00e4hen zu wollen ist ungebrochen. Die folgende Tabelle soll ein paar Ideen geben, wo es gerade hingeht:<\/p>\n Es kann nicht mehr lange dauern, dann wird der Versuch, seine Privatsph\u00e4re zu erhalten bereits strafbar. Der Trend ist jedenfalls klar erkennbar. Ausgenommen sind \u00fcbrigens nur Priester, Strafverteidiger und Abgeordnete. Hat eigentlich mal jemand die Straff\u00e4lligkeitsquote bei Bundesinnenministern untersucht? Die muss deutlich \u00fcber dem Bundesdurchschnitt liegen. Mir fallen da spontan Kanther (Spendenaff\u00e4re), Schily (Verfassungsbruch, Nebenverdienst) und Sch\u00e4uble (schwarze Koffer) ein. 20%, das ist eine krasse Quote.<\/p>\n","protected":false},"excerpt":{"rendered":" Ich habe eine ganze Weile \u00fcberlegt, was ich dar\u00fcber schreiben will. Irgendwie besch\u00e4ftigt und vor allem beunruhigt mich der Fall doch mehr als mir lieb ist. Darum der Eintrag. Die Vorgeschichte Hushmail bietet seinen Kunden sichere, verschl\u00fcsselten E-Mail, mit dem Slogan „Free Email with Privacy“. Der Nutzer l\u00e4dt sich dazu ein Java-Applet auf seinen Client, […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[9,14],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/378"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=378"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/378\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=378"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=378"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=378"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}„The key point, though, is that in the non-Java configuration, private key and passphrase operations are performed on the server-side. This requires that users place a higher level of trust in our servers as a trade off for the better usability they get from not having to install Java and load an applet,“ sagte Brian Smith, CTO von Hushmail gegen\u00fcber The Register.<\/ul>\n
„But can the feds force Hushmail to modify the Java applet sent to a particular user, which could then capture and sends the user’s passphrase to Hushmail, then to the government?“<\/ul>\n
\n