Hushmail petzt: Verschlüsselnder Mailprovider liefert Userdaten ans FBI

[Korrupt]

Selbst die eigenen Mitarbeiter könnten keine verschlüsselten Emails zwischen Hushmail-Nutzern lesen, versprach der US-Mailprovider, der automatisch Mails mit PGP verschlüsselt. In der Regel - denn gibt es eine Klage der Drogenermittlung, rückt Hushmail offenbar doch Mailinhalte heraus. Zwölf CDs voller Emails zwischen zwei Hushmail-Accounts erhielt die DEA von Hush im Klartext.

Hushmail pries die einfache, standardmäßige starke Kryptografie, die beim Hushmail-internen Mailwechsel automatisch zum Einsatz kommt. Nach Diffie-Hellmann werden Mails per Java-Applet bereits auf dem sendenden Rechner verschlüsselt und erst dann auf die Server Hushmails übertragen. Was sicher sein sollte, ist es indessen jedoch nicht unbedingt.

Wegen Handel mit Anabolika und Stereoiden wurde gegen zwei User von Hushmail-Accounts ermittelt, und offenbar war Hushmail in der Lage, die DEA mit Klartext-Emails zu versorgen ... weiterlesen

[MSX]

Ciphire ist, soweit ich gerade in Erfahrung bringen konnte, weder OpenSource, noch steht da irgendwo was über die Schlüsselstärke und ansonsten ist da auch nichts von irgendwelchen unabhängigen Stellen auf Sicherheit und korrekte Implementierung eines Verschlüsselungsalgorithmus getestet worden, sprich, es ist in meinen Augen vollkommen nutzlos, weil ich mich komplett auf den Anbieter verlassen müßte und damit ist es noch unsicherer, als hushmail, wo zumindest das Java-Applet OpenSource ist.

[ff-ff]

Als Hushmailuser muss ich mich jetzt mal aeussern


1.) Ob die verwendete Software eines Webmailers Opensource ist oder nicht hat mit der Petzerei nichts zu tun. Wenn auf einer Seite zB. Squirrelmail verwendet wird oder es so ausschaut hat man keine Garantie, dass nicht durch eine richterliche Verfuegung dann doch eine Modifikation des Codes gemacht wurde. Denn auch wenn das Javaquelltext auf der hushmail-Seite runterzuladen waere, wer sagt, dass es genau diese Version ist, die auch aktuell verwendet wird um die Mail zu schreiben und zu verschluesseln?

2.) Auf der Hushmail-Seite stand schon _immer_ (in den AGBs usw), dass sie Anordnungen des Gerichts in Columbia folgen werden. Dass sie allerdings soweit gehen "Hintertürchen" einzubauen hätte ich auch nicht gedacht. Aber da kann man Zimmermann nur beipflichten. Vielleicht sollte die Hushmail-Betreiberfirma in ein exotisches Land auswandern (Sealand?) um sich weniger angreifbar zu machen.

3.) Die Moral der Geschichte wurde hier immer wieder schon gesagt, nämlich sich generell nicht auf fremde Kryptographie zu verlassen. Haetten die lieben Drogenhaendler ihre Mails haendisch verschluesselt und in eMails getan, waere das alles nicht dramatisch gewesen. Dumm, dass Dienste wie TOR herhalten muessen und dafuer dann wohl auch missbraucht werden, wer TOR fuer illegales verwendet machts sichs leicht und macht TOR angreifbar.

Hushmail ist und bleibt aber ein gute Moeglichkeit, sich schnell und unkompliziert eine eMailadresse einzurichten, auch fuer den einmaligen Gebrauch. Es nervt mich bei den deutschen werbefinanzierten Webmaildiensten so viel Kram anzugeben. Zu mal es ja nicht rechtens ist falsche Infos anzugeben. Bei hushmail wird man einfach nicht danach gefragt ;-). Man muss nicht mal nen Benutzernamen auswaehlen, sondern muss nur ein PW eingeben. Keine Frage nach Geschlecht, Hobbies blabla. Aber danach ist klar (so.). GPG starten und Cryptomails reinpasten.

[iStone]

Hm schon unfassbar das Ganze. Da überlegt man sich doch glatt langsam komplett auf Open Source Lösungen zu setzen.

Wer sagt mir dass nicht Utimaco und Konsorten für so einem Fall ähnlich reagieren und etwas eingebaut haben? Gut, die haben ein Image zu verlieren, aber wissen kann man es halt nie.

[13ACAB12]

Ich bin auf der Suche nach so einem Dienst finde aber keinen gescheiten.... Wo gibts den ein EINFACHES tutorial für PGP?

[MSX]

Willkommen im Board.

Anleitungen zu Thema X findet man, indem man bei Google zB "PGP Anleitung" eingibt. Jaja, der Wald und die Bäume... Such Dir einfach mal eine raus, die Dir passend erscheint.

Du kannst es auch mit der hier vom Board probieren, wobei ich die beim ersten mal Lesen zu unübersichtlich fand.

[20hz]

bei sensiblen daten (also eigentlich immer) erstellt man einen kleinen truecrypt container, packt da alles rein und verschickt das per anhang und gut is