[Korrupt]

Selbst die eigenen Mitarbeiter könnten keine verschlüsselten Emails zwischen Hushmail-Nutzern lesen, versprach der US-Mailprovider, der automatisch Mails mit PGP verschlüsselt. In der Regel - denn gibt es eine Klage der Drogenermittlung, rückt Hushmail offenbar doch Mailinhalte heraus. Zwölf CDs voller Emails zwischen zwei Hushmail-Accounts erhielt die DEA von Hush im Klartext.

Hushmail pries die einfache, standardmäßige starke Kryptografie, die beim Hushmail-internen Mailwechsel automatisch zum Einsatz kommt. Nach Diffie-Hellmann werden Mails per Java-Applet bereits auf dem sendenden Rechner verschlüsselt und erst dann auf die Server Hushmails übertragen. Was sicher sein sollte, ist es indessen jedoch nicht unbedingt.

Wegen Handel mit Anabolika und Stereoiden wurde gegen zwei User von Hushmail-Accounts ermittelt, und offenbar war Hushmail in der Lage, die DEA mit Klartext-Emails zu versorgen ... weiterlesen

[Johnnsen]

Verlass dich auf etwas und du bist verlassen.

[xpala]

das ist schon übel...

das beweißt einmal mehr das kommerziele sache bzw software nicht sicher sind...
bzw hintertürchen haben die ganz weit offen sind


PS: open source rulez

[DAV3]

Zitat:

Zitat von Johnnsen 

Verlass dich auf etwas und du bist verlassen.

Word Lieber wo anders ne E-Mail holen ( auf die Russen sind soweit ich weiß noch verlass ).

[DasFragezeichen]

Das sitzt.

[waynesome]

Selbst schuld, fünf Minuten für die PGP Installation sollte man halt investieren ...

[justinx2x]

Schon heftig.Hätte ich nicht mit gerechnet.Vorallem das sehr viele Scene groups ihre Accs dort haben.Hm naja schauen wir mal wo das hinführt.

[tiffany]

Vertraue nie jemand anders, als dir selbst. Sicher ist man wohl bei keinem Account.

[MeGaMan6100]

doch mit PGP!

[Registrator]

Unfassbar.

[MSX]

Hoffentlich macht das noch eine weite Runde, damit die sich ihren "Service" sonst wohin stecken können und pleite gehen.

[lancore89]

Krass...

Zitat:

doch mit PGP!

das war PGP-verschlüsselt

nur nützt das ganze wohl recht wenig wenn der Client die Schlüssel oder den Klartext Hushmail liefert. Ansonsten wären sie ja nicht daran gekommen

Naja, vertraue keine Closed-Source-Software im Security Bereich...

[etagenklo]

Wer sensible Daten mit proprietärer Software verschlüsselt, ist selber schuld.

Ich frage mich nur, wie Hushmail das seinen Kunden vermitteln will, der Dienst macht sich doch dadurch selbst vollkommen überflüssig.

[JohnnyE]

Mal schauen wie die Scene darauf reagiert. ^^

[JohONE]

hmm, irgendwie find ich keine Möglichkeit mich dort (aus Protest) abzumelden :S
Benutz das Ding eh nich mehr...

[Registrator]

Und nu? Sind sie schon pleite?
Normalerweise müsste sich nach so einer News doch der Großteil der Nutzer mit bezahltem Account sofort verabschieden.

[Smore Rasmussen]

Zitat:

Zitat von etagenklo 

Ich frage mich nur, wie Hushmail das seinen Kunden vermitteln will, der Dienst macht sich doch dadurch selbst vollkommen überflüssig.

Dann schreiben sie halt zusätzlich noch 3x fett "secure" auf ihre Startseite. Scheinbar hat das bei den Kunden bisher auch gezogen.

[D34L3R]

Ich würde nicht ein mal PGP einsetzen wenn ichs geschenkt bekommen würde....
Setze sowieso lieber auf OpenSource-Lösungen... da kann wenigstens jeder den Quellcode einsehen und das Prinzip "security through obscurity" ist eh überholt...
Hoffentlich gehen die Pleite.... sowas ist Betrug am Kunden...

[MSX]

PGP war afair nur zu den Zeiten, als McAffee die Lizenz gehörte, nicht komplett einsehbar und sehr in Verruf geraten. Seit 2005 wurde es zurück an Phil Zimmermann und Kollegen verkauft, der wieder alles offengelegt hat.

Auch das Hushmail-Java-Applet ist OpenSource und war auch nicht das Problem. Das, was ihnen das Genick gebrochen hat, war der Umstand, daß sie die zweite Möglichkeit der Verschlüsselung nutzten, also via SSL verbinden und auf deren Servern verschlüsseln ließen.

Daß sie mit dem Gesetz zusammenarbeiten müssen, das hätte man sich eventuell denken können, aber dazu müßte man sich wiederum mit den Datenschutzrechtlichen Umständen in Kanada auseinandersetzen, die sicherlich kein Mensch kennt. Insofern fand ich es in der Tat ziemlich link, daß da kein Hinweis darauf zu finden war.

[dKi]

Benutzt halt das hier: https://www.ciphire.com/

[MSX]

Ciphire ist, soweit ich gerade in Erfahrung bringen konnte, weder OpenSource, noch steht da irgendwo was über die Schlüsselstärke und ansonsten ist da auch nichts von irgendwelchen unabhängigen Stellen auf Sicherheit und korrekte Implementierung eines Verschlüsselungsalgorithmus getestet worden, sprich, es ist in meinen Augen vollkommen nutzlos, weil ich mich komplett auf den Anbieter verlassen müßte und damit ist es noch unsicherer, als hushmail, wo zumindest das Java-Applet OpenSource ist.

[ff-ff]

Als Hushmailuser muss ich mich jetzt mal aeussern


1.) Ob die verwendete Software eines Webmailers Opensource ist oder nicht hat mit der Petzerei nichts zu tun. Wenn auf einer Seite zB. Squirrelmail verwendet wird oder es so ausschaut hat man keine Garantie, dass nicht durch eine richterliche Verfuegung dann doch eine Modifikation des Codes gemacht wurde. Denn auch wenn das Javaquelltext auf der hushmail-Seite runterzuladen waere, wer sagt, dass es genau diese Version ist, die auch aktuell verwendet wird um die Mail zu schreiben und zu verschluesseln?

2.) Auf der Hushmail-Seite stand schon _immer_ (in den AGBs usw), dass sie Anordnungen des Gerichts in Columbia folgen werden. Dass sie allerdings soweit gehen "Hintertürchen" einzubauen hätte ich auch nicht gedacht. Aber da kann man Zimmermann nur beipflichten. Vielleicht sollte die Hushmail-Betreiberfirma in ein exotisches Land auswandern (Sealand?) um sich weniger angreifbar zu machen.

3.) Die Moral der Geschichte wurde hier immer wieder schon gesagt, nämlich sich generell nicht auf fremde Kryptographie zu verlassen. Haetten die lieben Drogenhaendler ihre Mails haendisch verschluesselt und in eMails getan, waere das alles nicht dramatisch gewesen. Dumm, dass Dienste wie TOR herhalten muessen und dafuer dann wohl auch missbraucht werden, wer TOR fuer illegales verwendet machts sichs leicht und macht TOR angreifbar.

Hushmail ist und bleibt aber ein gute Moeglichkeit, sich schnell und unkompliziert eine eMailadresse einzurichten, auch fuer den einmaligen Gebrauch. Es nervt mich bei den deutschen werbefinanzierten Webmaildiensten so viel Kram anzugeben. Zu mal es ja nicht rechtens ist falsche Infos anzugeben. Bei hushmail wird man einfach nicht danach gefragt ;-). Man muss nicht mal nen Benutzernamen auswaehlen, sondern muss nur ein PW eingeben. Keine Frage nach Geschlecht, Hobbies blabla. Aber danach ist klar (so.). GPG starten und Cryptomails reinpasten.

[iStone]

Hm schon unfassbar das Ganze. Da überlegt man sich doch glatt langsam komplett auf Open Source Lösungen zu setzen.

Wer sagt mir dass nicht Utimaco und Konsorten für so einem Fall ähnlich reagieren und etwas eingebaut haben? Gut, die haben ein Image zu verlieren, aber wissen kann man es halt nie.

[13ACAB12]

Ich bin auf der Suche nach so einem Dienst finde aber keinen gescheiten.... Wo gibts den ein EINFACHES tutorial für PGP?

[MSX]

Willkommen im Board.

Anleitungen zu Thema X findet man, indem man bei Google zB "PGP Anleitung" eingibt. Jaja, der Wald und die Bäume... Such Dir einfach mal eine raus, die Dir passend erscheint.

Du kannst es auch mit der hier vom Board probieren, wobei ich die beim ersten mal Lesen zu unübersichtlich fand.