Zoom

TOKAMAK · 2. April 2020 um 10:48

Richtig, aber Marketing kann es dann E2E nennen und die User fühlen sich sicher. Win-Win, gewissermassen.

yawkat · 2. April 2020 um 10:51

Das Modell nennt sich Transportverschlüsselung. Es entspricht keiner Definition von E2E.

TOKAMAK · 2. April 2020 um 12:11

yawkat:

TOKAMAK:

Airhardt:

vulgrim:

Ich finde Ausdrücke wie „Client-Server-E2E“ sehr unglücklich, da der ganze Zweck von E2E ist, alle Mittelsmaschinen auszuschließen.

Der gängige Begriff für Verschlüsselung zwischen Endgerät und Server (oder zwischen Servern in einem föderierten System) ist Transportverschlüsselung.

Aber ich könnte ja auch eine E2E so aufbauen:

Client < - > Server < - > Client

Das ist natürlich nicht Sinn der Sache wäre aber immernoch E2E. Ich nehm halt den PublicKey des Servers und der Server dann den PublicKey des Empfängers. Der Server kann logischerweise mitlesen. Und ich hatte mir eingbildet, dass WhatsApp das macht, könnte aber auch ne andere IM-App gewesen sein. Ist aber für die Diskussion nicht relevant.

Das Modell nennt sich Transportverschlüsselung. Es entspricht keiner Definition von E2E.

„Unter Ende-zu-Ende-Verschlüsselung (englisch „end-to-end encryption“, „E2EE“) versteht man die Verschlüsselung übertragener Daten über alle Übertragungsstationen hinweg. Nur die Kommunikationspartner (die jeweiligen Endpunkte der Kommunikation) können die Nachricht entschlüsseln.“ - Wikipedia

Dann ist der Server halt dein Endpunkt. Wenn ich meine Nachrichten asymmetrisch verschlüssel und an den Server schick und der sie mit seinem private Key entschlüsselt, dann ist das E2E. TLS ist doch symmetrische Verschlüsselung.

yawkat · 2. April 2020 um 12:14

Nein, der Server ist kein Endpunkt, da die Kommunikation weitergegeben wird. Dein System entspricht nicht einer E2E-Verschlüsselung.

TLS ist nicht symmetrisch.

TOKAMAK · 2. April 2020 um 12:15

TLS ist hybrid asymmetrischer Key austausch, der dann zum symmetrischen Verschlüsseln verwendet wird.

"Der Client baut eine Verbindung zum Server auf. Der Server authentifiziert sich gegenüber dem Client mit einem Zertifikat. Der Client überprüft hierbei die Vertrauenswürdigkeit des X.509-Zertifikats und ob der Servername mit dem Zertifikat übereinstimmt. Optional kann sich der Client mit einem eigenen Zertifikat auch gegenüber dem Server authentifizieren. Dann schickt entweder der Client dem Server eine mit dem öffentlichen Schlüssel des Servers verschlüsselte geheime Zufallszahl, oder die beiden Parteien berechnen mit dem Diffie-Hellman-Schlüsselaustausch ein gemeinsames Geheimnis. Aus dem Geheimnis wird dann ein kryptographischer Schlüssel abgeleitet. Dieser Schlüssel wird in der Folge benutzt, um alle Nachrichten der Verbindung mit einem symmetrischen Verschlüsselungsverfahren zu verschlüsseln und zum Schutz von Nachrichten-Integrität und Authentizität durch einen Message Authentication Code abzusichern. " - Wiki

Natürlich ist es ein Perversion des Prinzips, formal ist es aber E2E.

yawkat · 2. April 2020 um 12:21

Nein, formal ist das nicht e2e. Es entspricht keiner Definition von E2E. Genauso könnte ich sagen dass es Weltfrieden heißt, ist halt leider falsch.

Alle modernen asymmetrischen Kommunikationssysteme sind Hybridsysteme. Direkt Nachrichten asymmetrisch zu verschlüsseln ist nicht üblich und in vielen Cryptosystemen schlicht unmöglich.

TOKAMAK · 2. April 2020 um 12:25

Ich hab doch eine Definition geliefert der das entspricht. Angenommen du willst dich sicher mit dem Server unterhalten und nutzt dazu E2E, dann ist das doch E2E.

Morpheus1822 · 2. April 2020 um 12:27

Aber in dem Szenarien (Zoom) ist der Server nun mal kein Kommunikationspartner, sondern ein Server irgendwo in der Mitte. Damit ist die Behauptung das zwischen Client <-> Server E2E entspricht einfach irreführend und falsch. Dafür gibt es, wie Airhardt schon gesagt hat, einen Begriff und der lautet Transportverschlüsselung.

cody · 2. April 2020 um 12:28

Und welche Verschlüsselung wäre nach deiner Definition nicht E2E?

Stef_15 · 2. April 2020 um 12:28

Also meine mama chattet auch ständig mit dem whatsapp Server, der ist viel besser als alle Freunde!

yawkat · 2. April 2020 um 12:28

Einleitungssätze von Wikipedia sind keine formalen Definitionen und nicht als solche verwendbar. Da der Server nicht das finale Ziel der Kommunikation ist handelt es sich nicht um E2E-Verschlüsselung.

TOKAMAK · 2. April 2020 um 12:46

Also nochmal ausführlich. Es ging mir darum zu sagen, dass man User irreführen kann, indem man behauptet, dass eine App Nachrichten E2E verschlüsselt. Die Nachricht, aber nicht wie man es erwarten würde zum Kommunikationspartner verschlüsselt wird, sondern das der Server als Endpunkt der Nachricht angesehen wird. Dass das keine „richtige“ E2E - Encrpytion ist, ist mir schon klar. Es kann aber, wie oben auch erwähnt von Marketingleuten, so dargestellt werden.

Server machen ja auch noch andere Sachen als IM-Nachrichten weiterleiten

Böse Zungen würden sagen: Ob es E2E verschlüsselt ist hängt nur von der Definition deines Endpunkts ab. Natürlich wäre der Begriff dann sinnfrei.

Es ging ja jetzt nicht speziell um Zoom. Zur Irreführung siehe oben.

Du kannst ja gerne eine formale Definition vorlegen. Dann lernt man vielleicht auch was. Aber nur zu sagen, dass meine Quelle nicht gut genug ist, hilft nicht wirklich weiter.

Die Aussage über WhatsApp war auch mehr als scherzhafte Anmerkung zu sehen. Und als Vergleich zu einer anderen Software mit halbgaren Sicherheitsstandards.

Horsccht · 2. April 2020 um 12:48

Wollten wir nicht eigentlich Zoom haten und nicht uns Wikipedia-Texte an den Kopf werfen?

TOKAMAK · 2. April 2020 um 12:52

Zoom ist voll doof!

vulgrim · 2. April 2020 um 12:53

Hasse Zoom

Horsccht · 2. April 2020 um 12:55

danke

Marcel_Inf · 2. April 2020 um 13:07

Hast du eigentlich ein Beispiel von solch einer Irreführung im Marketing im Hinterkopf?

TOKAMAK · 2. April 2020 um 13:15

[quote=Marcel[Inf]]
Hast du eigentlich ein Beispiel von solch einer Irreführung im Marketing im Hinterkopf?
[/quote]

Ich habe mir eingebildet WhatsApp hätte das gemacht. Das stimmt aber nicht. Ich kann mich aber auch nicht mehr erinnern, wo ich das gelesen habe. Wenn mir es wieder einfällt, bzw. ich den Artikel gefunden habe, werde ich es hier rein stellen.

TOKAMAK · 2. April 2020 um 13:53

Qualifizierte Leute die Zeit für sowas über haben gibts halt in den seltensten Fällen.
Und dann fehlt potentiell immer noch Hardware und, was im Moment ja auch ein großes Thema ist, die richtige Anbindung.

Edit: Und natürlich Zeit um das sauber zu machen und dann auch zu testen.
[/quote]

Ich sehe das noch nicht mal als eine Zuständigkeit der Universität, sondern von Bund und Ländern. Andere Universitäten und vor allem auch Schulen werden früher oder später doch auch eine Konferenz-Software brauchen. Dann macht es schon Sinn eine Bundes-/Landesweit einheitliche Software zu entwickeln. Der aktuelle Zeitrahmen ist dafür natürlich zu gering. Es stellt sich aber die Frage, warum im Zuge der Digitalisierung des Bildungssystems, so etwas nicht schon früher mal angestossen wurde. Der Digitalpakt stellt ja 5 Milliarden € dazu zur Verfügung. Ich bin auch der Meinung, dass man sich da nicht auf ausländische Anbieter oder generell auf die Industrie verlassen sollte.

Addendum: Hat eigentlich jemand konkrete Erfahrung mit der Software und kann was zur optimalen Konfiguration sagen. Die Session auf Private zu stellen scheint ja schon mal gegen ungewollte Besucher zu helfen.

Inf2017 · 2. April 2020 um 14:29

Der Staat hat bisher jedes größere IT-Projekt gegen die Wand gefahren. Da ist mir Zoom lieber.

https://www.golem.de/specials/bea/
https://www.golem.de/specials/e-personalausweis/
https://www.golem.de/specials/limux-projekt/
https://www.golem.de/specials/gesundheitskarte/
https://www.golem.de/news/pc-wahl-deutsche-wahlsoftware-ist-extrem-unsicher-1709-129937.html