Informantenschutz: PrivacyBox ermöglich anonyme E-Mail-Kommunikation

**gullinews** · 10. 06. 2008, 20:26

Gestern wurde von der German Privacy Foundation (GPF) in Kooperation mit dem Berliner Datenschutzbeauftragten die PrivacyBox vorgestellt. Es handelt sich dabei um eine Mailbox, mit der Journalisten anonyme Korrespondenz mit Informanten aufrecht erhalten können, doch prinzipiell kann jeder den kostenlosen Service nutzen. Das System ist auch als Reaktion auf den Telekom-Abhörskandal zu verstehen und demonstriert, wie man durch einfache Kombination von unterschiedlichen Technologien Anonymität herstellen kann.

Zum Senden und Empfangen von E-Mails legt man sich einen Account unter Fantasienamen auf der PrivacyBox an. Auf der dort angelegten Mailbox wird der Mailverkehr anonym abgewickelt und sicher gespeichert. Über ein einfaches SSL-verschlüsseltes Webinterface kann man dann Nachrichten senden und empfangen. Bis Ende des Jahres erfolgt alles komplett anonym. Ab dem 01. Januar 2009 ist man aufgrund der Vorratsdatenspeicherung zur Speicherung der IP-Adressen beim Senden und Abrufen von Nachrichten verpflichtet. Der Verein der German Privacy Foundation (GPF) aber weist darauf hin, dass es bei den Anwendern liegt, diese Informationen durch Nutzung von Anonymisierungsdiensten zu verschleiern. Noch ist es nicht notwendig, aber auf der Webseite erfährt man, dass der Verein, wenn es denn so weit ist, auch ihre Unterstützung zur Verschleierung der IP-Adressen durch Trainingsmaßnamen anbieten wird.
Konzipiert wurde der Mailservice in erster Linie für Journalisten und Blogger, die vorratsdatenfrei Kontakte knüpfen und aufrecht erhalten wollen. Sofern die Kapazität ausreicht, wird der Service auch unentgeltlich prinzipiell frei zur Verfügung stehen. Der Quellcode der PrivacyBox ist offen zugänglich und unter einer GPL-Lizenz veröffentlicht. Damit will man Vertrauen und Sicherheit gewährleisten. Denn Offenlegung des Quellcodes ist der beste Schutz vor Sicherheitslücken. Außerdem lässt sich so nachvollziehen, ob das System auch das macht, was es vorgibt, zu tun.
( via Pressetext, thx! )

weiterlesen

**ruler³** · 10. 06. 2008, 21:07

Woher weiss man, dass diese Software die zum Download angeboten ist, dort läuft?

Woher weiss man, dass sie den Inhalt nicht mitschneiden?

**blebob** · 10. 06. 2008, 21:50

Denn Offenlegung des Quellcodes ist der beste Schutz vor Sicherheitslücken. Außerdem lässt sich so nachvollziehen, ob das System auch das macht, was es vorgibt, zu tun.

Die Antwort.
lg blebob

**trojan** · 10. 06. 2008, 22:17

das ist trotzdem keine garantie, dass genau das ding da auch läuft

remti · 10. 06. 2008, 23:56

Zitat von ruler³

Woher weiss man, dass diese Software die zum Download angeboten ist, dort läuft?

Woher weiss man, dass sie den Inhalt nicht mitschneiden?

Genau dieselbe Frage schwebte mir auch gerade im Kopf herum. Das gleiche Prinzip gilt ja auch irgendwo für TrueCrypt. Nur weil es open ist, muss das nicht heißen das die Kompilierten Sachen etwas anderes im Quellcode haben?! Oder habe ich da einen Denkfehler? Ich möchte das Projekt nicht schlecht reden, aber es geht um das Prinzip

. Warum ich gerade auf TrueCrypt kam weiß ich nicht mehr

**Hirnblaehung** · 11. 06. 2008, 00:37

anonym ?

Aha und das in DE ?

Also ich kann mir das nicht vorstellen ....

Warum die es nicht irgentwo anders gehostet haben ... ?

mFg

**TheDarkEye** · 11. 06. 2008, 05:44

Zitat von remti

Genau dieselbe Frage schwebte mir auch gerade im Kopf herum. Das gleiche Prinzip gilt ja auch irgendwo für TrueCrypt. Nur weil es open ist, muss das nicht heißen das die Kompilierten Sachen etwas anderes im Quellcode haben?! Oder habe ich da einen Denkfehler? Ich möchte das Projekt nicht schlecht reden, aber es geht um das Prinzip

. Warum ich gerade auf TrueCrypt kam weiß ich nicht mehr

Hi!

Der Sinn des offenen Quellcodes liegt ja darin, dass du selbst den geprüften Quellcode compilieren kannst. Dann hast du ein Programm, dass genau das tut, was im Quellcode steht.

Wenn du natürlich die bereits compilierte .exe runterlädst, kannst du es nicht wissen ....

**Alex-DeLarge** · 11. 06. 2008, 06:00

Hört sich doch recht gut an, zwecks Vordatenspeicherung sollte man jedoch auch hier vorsichtig sein.

**ste87** · 11. 06. 2008, 07:29

Zitat von Hirnblaehung

anonym ?

Aha und das in DE ?

Also ich kann mir das nicht vorstellen ....

Warum die es nicht irgentwo anders gehostet haben ... ?

mFg

Es geht hier um anonym für die sender nicht für die betreiber... wen die keine auswertbaren logfiles machen (was sie ja bis 1 Jan 2009 nicht tun) spricht nichts dagegen. Im schlimmsten fall werden die server beschlagnahmt.

Zitat von Alex-DeLarge

Hört sich doch recht gut an, zwecks Vordatenspeicherung sollte man jedoch auch hier vorsichtig sein.

Hast du den Artikel gelesen? sie schreiben ja das ab dem 1.1.2009 (inkrafttreten der VDS für IT) neue massnahmen nötig sind. Konkret bedeutet das tor o.ä. was dann der Unterschied zu jedem anderen mail provider ist weiss ich aber auch nicht ganz genau vieleicht kann das ja mal jemand erklären?

Bei TOR sind dan aber die recht gut vertrettenen deutschen nodes in bedrängniss dicht zu machen oder die VDS zu ignorieren und ggf vor gericht gebracht zu werden (der CCC hat afaik mal gesagt sie werden nichts ändern und sich "überraschen lassen")

**Loddafnir** · 11. 06. 2008, 09:08

Solche Tools sind ja gut und schön, aber sie sind nur "erste Hilfe" oder "Brandbekämpfung". Unsere Grundrechte sichern sie aber auch nicht.
Es ist schlimm genug, daß man heute auf die verschiedensten Tools ausweichen muß, um die Vertraulichkeit des gesprochenen und geschriebenen Worts zu gewährleisten. Das Grundübel muß bekämpft werden, alles andere hat auf Dauer keinen Sinn. Das endet nur wieder in einer endlosen Spirale. Die Behörden ordnen Überwachungsmaßnahmen an, der aufmerksame Bürger versucht es zu umgehen, darauf hin reagieren wiederum die Behörden usw. Und wo endet das???

Es muß massiv Druck auf die Verantwortlichen, die Politik, ausgeübt werden, daß diese Schüffelei ein Ende hat.

Loddafnir

**Copkiller** · 11. 06. 2008, 09:20

Hi, bin absolut neu in diesem Thema, habe mir grad ma nen Account gemacht, aber wo bekomme ich das her: OpenPGP-Key oder S/MIME-Zertifikat im PEM-Format
Hab zwar eine Datei gefunden über Google aber die wurde nicht akzeptiert. Oder wie generiere ich mir so nen Key, gibt es nen Online Generator oder sowas, bin da totaler newbie drin. Danke euch schonmal.