Follow

need : protonmail wurde mal für sicher gehalten, stimmt aber nicht. eins von uns versucht seit Tagen bei tutanota einen account zu machen und bekommt immer die Antwort, die IP sei geblockt. Blocken die generell Tor? Was kann mensch da machen? Und gibt es noch eine Anbieter*in in der Form?

@queerstelle ich bin bei mailbox.org. Die scheinen generell Tor gegenüber gut gestimmt zu sein. Haben auch ein Feature über das unverschlüsselte emails bei Ankunft mit deinem public key verschlüsselt werden damit nichts im klartext auf deren Servern liegt.

Rechenzentrum ist halt in Deutschland und sie werden mit Polizei anfragen kooperieren müssen.

@spacekookie oh hab "kostenlos" vergessen. Menschen ohne Wohnung und ohne Hartz4 haben auch probleme n Euro aufzubringen und vor allem die Bezahung zu organisieren.

@queerstelle @spacekookie schreibt mal den leuten von systemli, oder fragt freund:innen, die schon dort sind, nach nem invite-code?

@unsuspicious haben die so komplett verschlüsselte Server, dass ohne pgp systemli zu systemli geht? Unbekannt sind die uns nicht, aber genutzt wie riseup, immer nur mit pgp.

@unsuspicious okay. :) Geht um die Unmöglichkeit pgp zu nutzen. Damit Menschen nicht völlig lost und isoliert rumsitzen und verzweifeln, nutzten wir bisher protonmail/ tutanota als Notfallersatz. Aber das klappt gerade nicht. :(

@queerstelle versteh, bin aber bei der problemstellung überfragt. viel erfolg bei der suche... vielleicht mal den tutanota support fragen?

@unsuspicious @queerstelle Ansonsten schaut euch mal DeltaChat an, das ist ein email client der sich wie ein Messenger benutzen lässt und sehr auf einfach zu benutzen getrimmt ist. Zwischen DeltaChat & DeltaChat verschlüsselt der automatisch mit gpg/autocrypt, das sollte sich auch mit thunderbird einrichten lassen, könnte aber auf der th seite schwieriger sein (zumindest mit enigmail ging das). Aber wenn ihr eh auf tutanota zu tutanota gesetzt habt, könnte das eine Lösung sein.

@queerstelle @unsuspicious das webinterface von systemli hat pgp-integration, und die mailboxen selber sind mit dem login-passwort verschlüsselt.

@queerstelle Falls möglich: Nicht E-Mail nutzen, selbst mit PGP gibt es dort zu viele Angriffsvektoren. Klar will mensch auch reguläre Mail verschlüsselt haben gerne, aber für alles aktivistische lieber Signal oder meinetwegen auch e2e Matrix-Raum.

@ljrk signal? du meinst die handy-app? also wir nutzen pgp/ thunderbird auf tails. welche angriffsmöglichkeiten gibt es da? e2e = so was wie zB conversations oder matrix? wir sehen bisher jedenfalls größere probleme bei jeder nutzung, die auf dem handy statt findet, zu der, die auf tails ist. siehst du das anders?

@queerstelle Jup, aber obwohl du ein Handy einmal brauchst zur Einrichtung, kannst du das danach auch ausschalten und wegschmeißen und nur am Rechner nutzen.

e2e, also ende-zu-ende geht heutzutage mit vielem, WhatsApp, Telegram Secret Chat, Signal, Matrix Secret Chat, Conversation/XMPP + OMEMO, etc. Neben Signal ist wahrscheinlich Matrix oder Conversations eine der besten Implementierungen.

@queerstelle Tails macht euch nicht an sich sicherer, das ist schon primär auf TOR fokussiert. Das ist gut, aber auch nur eine Technologie von vielen. QubesOS ist aktuell mehr-oder-minder das beste, wenn man darauf sich TOR einrichtet.

Das Problem mit Mail ist, dass das Protokoll inhärent ziemlich kaputt ist und auch PGP da kaum was retten kann. Während die Krypto von PGP an sich stark ist, wird ein Angriff selten über diese laufen sondern über Attacken gegen den Transportweg die dann dazu führen dass die Kommunikationspartner:innen Fehler bei der Verschlüsselung machen (weil diese eben nicht sehr intuitiv zu bedienen ist).

Wenn man PGP ernsthaft nutzen möchte, müsste man sich sehr streng an den Guide "Operational PGP" halten (wenn ihr das schafft: Respekt!):
gist.github.com/grugq/03167bed

Meiner Erfahrung nach machen dort aber auch erfahrene IT-Security-Spezialisten Fehler.

Mein Job ist es Sicherheitsprobleme zu finden. Und bisher konnte ich immer wenn PGP eingesetzt wird einen Fehler in der Benutzung finden, der die Sicherheit des Systems untergraben hat. Und dabei bin ich kein PGP Spezi.

Long post 

@queerstelle Mit meiner Position bin ich auch nicht sonderlich alleine, führende Kryptographen sagen seit Jahren das Gleiche:

latacora.micro.blog/2020/02/19

latacora.micro.blog/2019/07/16

blog.gtank.cc/modern-alternati

blog.filippo.io/giving-up-on-l

moxie.org/2015/02/24/gpg-and-m

PGP ist super sicher, solange mensch es richtig benutzt, aber das ist einfach unmenschlichen schwer (s. operational PGP). In der IT-Security wird gerade an allen Stellen nach Alternativen für jwg. Anwendungsszenarien von PGP gearbeitet: Signierte Programmupdates, Verschlüsselung lokaler Daten, Verschlüsselung von Nachrichten, Signieren von Programmcode-Commits, etc.

Denn alle diese Dinge haben tatsächlich unterschiedliche Angriffsszenarien und damit unterschiedliche Anforderungen an die Krypto dahinter. Bedeutet "one size fits all" passt einfach kaum, und PGP hat unendlich viele Features um alles zu können. Nur wird damit enorm viel Komplexität (und damit Fehlerpotential) auf die Nutzer:innen abgewälzt.

So, das war jetzt lang :')

Aber ich hoffe trotzdem etwas hilfreich und nicht zu viel Rambling 😅 . Gerne auch Rückfragen! :)

Sign in to participate in the conversation
Eldritch Café

Une instance se voulant accueillante pour les personnes queers, féministes et anarchistes ainsi que pour leurs sympathisant·e·s. Nous sommes principalement francophones, mais vous êtes les bienvenu·e·s quelle que soit votre langue.

A welcoming instance for queer, feminist and anarchist people as well as their sympathizers. We are mainly French-speaking people, but you are welcome whatever your language might be.