Hushmail: PGP-Erfinder Zimmermann verteidigt Datenherausgabe des Krypto-Mailproviders

[Korrupt]

Letzten Endes ist es Sache der User, sich um die Sicherheit ihrer Mails zu kümmern, so der PGP-Erfinder Phil Zimmermann über die Datenherausgabe des Mailproviders Hushmail an US-Ermittler. Man dürfe Hushmail wegen der Aktion nicht verdammen, es sei selbstmörderisch, in so einem Fall anders zu handeln.

Hushmail bietet Maildienste an, die per default PGP-verschlüsselt zwischen Hushmail-Nutzern abgewickelt werden und warb damit, nicht einmal die eigenen Mitarbeiter könnten die Mails entschlüsseln. Dennoch gaben sie mehrere CDs mit Mailwechseln an die Drogenermittlungsbehörde DEA weiter. Das Problem: nutzt ein User die Verschlüsselung per Java-Applet, kann er prinzipiell von Hushmail ein modifiziertes Applet mit Backdoor untergeschoben bekommen.

Dafür musste Hushmail erheblich Prügel einstecken. Mit Phil Zimmermann, Erfinder der PGP-Verschlüsselung ... weiterlesen

[lancore89]

Noch viel selbstmörderischer war es die Daten rauszugeben...

Scheiss Situation, oder?

[Otacon]

"Inzwischen empfiehlt Hushmail, dass niemand den Dienst nutzen sollte, der in Aktivitäten verwickelt ist, die zu richterlichen Anordnungen zur Datenherausgabe in British Columbia führen könnte."

Inzwischen sollte Hushmail vielleicht empfehlen ihren Dienst nicht mehr zu nutzen.
Erst das Blaue vom Himmel lügen "...und warb damit, nicht einmal die eigenen Mitarbeiter könnten die Mails entschlüsseln..." und dann noch selbst "ein modifiziertes Applet mit Backdoor unterschieben".

[quasimodo2000]

Das kommt davon wenn man sich um seine Online-Sicherheit nicht selber kümmert und das bischen Arbeit aus Unkenntnis oder Faulheit komplett anderen anvertraut.

Besonders wenn man wirklich was zu verbergen hat.


Mann, Mann, mit all dem Drogengeld hätten die sich 10 IT Spezialisten leisten können ...

[Wandang]

Was für ein behinderter service

sry, aber für mich hört sich das wie ne schlechte ausrede an. sie hätten ja nicht noch extra arbeit reinstecken müssen, die daten herauszu finden. das ist wie mit der "EU"-Richtlinie, die in deutschland angeblich im minimalsten umgesetzt wird.

positiv ist die sache iwo aber auch:
1. User passen selbst auf ihre anonymität auf
2. der Dienst wird hoffentlich weniger erfolg haben, wenn nicht bakrott gehen (wofür "anonymitätsgarantie" wenn keine vorhanden???)
3. man wechselt zu open source projekten
4. user werden insgesammt kritischer

[bur]

Habe vor einigen Jahren auch eine zeitlang Hushmail benutzt, aber das war mir dann irgendwann doch zu unsicher. Denn wie sich hier zeigte, wenn man das Verschlüsseln mit unbekannten Programmen durchführt, die zudem noch direkt aus dem Netz geladen werden, das kann nicht sicher sein.

Am besten fährt man mit einem extra Offline-Recher auf dem ein Verschlüssler läuft, die verschlüsselten Mails gibt man dann per CD oder USB-Stick an einen Online-Rechner weiter und versendet von da. Dann können einem eigentlich nicht mal die Behörden per Provider reinfunken. Oder übersehe ich Möglichkeiten?

Wobei das natürlich ein ziemlicher Aufwand ist und ob das gerechtfertigt ist muss jeder selber entscheiden. Nur dass Dienste wie Hushmail eben recht weit unten stehen im Bezug auf Sicherheit ist klar. Sind halt nur komfortabler.

"EU"-Richtlinie, die in deutschland angeblich im minimalsten umgesetzt wird.

Ich kenne die Richtlinie nicht genau, wurde sie denn hier tatsächlich überflüssig scharf umgesetzt? Soweit ich gehört habe, war es tatsächlich minimal. Wenn auch trotzdem zuviel.

[Wandang]

Ich kenne die Richtlinie nicht genau, wurde sie denn hier tatsächlich überflüssig scharf umgesetzt? Soweit ich gehört habe, war es tatsächlich minimal. Wenn auch trotzdem zuviel.

1. mit dem offi-pc hat man sicher nen nahezu 100% schutz, vorrausgesetzt, deine emails werden nicht iwie abgefangen und mit 2 supercomputern versucht zu entschlüsseln (falls das möglich ist)

2. Ich gebe zu, mich mit keiner primärquelle der richtlinie befasst zu haben, aber ich meine gelesen zu haben, dass deutschland die speicherdauer zwar auf 6 monate gesenkt hat (von 12 oder mehr), dafür aber viel zu vorreilig an den biometrischen scans, bundestrojaner, rasterfandung arbeitet und natürlich an der VDS. (wenn ich falsch liege, berichtigt mich ruhig)

[Chronoton]

Ich kenne die Richtlinie nicht genau, wurde sie denn hier tatsächlich überflüssig scharf umgesetzt? Soweit ich gehört habe, war es tatsächlich minimal. Wenn auch trotzdem zuviel.

die größte abweichung zur eu richtlinie besteht meiner ansicht nach, indem man ein anonymisierungsverbot einführt. das müßte laut eu richtline nicht der fall sein.

Edit: hier gibts genauere erläuterungen
http://blog.kairaven.de/archives/1428-We-are-fucked-individually!.html

mfg
chronoton

[123Joseph]

Also ehrlich - wer glaubte den Schwachsinn mit besonders sicherer Emailadresse schon? So blöd kann ja niemand sein.Ich benutze Hushmail ständig und zwar als einzig sinnvolles - nämlich als wegwerfaccount für sinnlose Anmeldungen zum Beispiel bei Gulli oder anderen Foren.So schnell wie da mach ich nirgents anderst einen Account.Schreib mir nichtmal das passwort auf weil es länger dauert mir das aufzuschreiben als einen neuen Account zu machen.

mfg