• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Signatur generieren?

ano.nym

gesperrt

Registriert
31 März 2020
Beiträge
206
Hallo,

ich möchte in meinen Cryptnote Service eine Signatur integrieren, die automatisch erzeugt wird. Wie stelle ich das technisch am besten an, sodass es immer eindeutig ist?
Also ich möchte die Daten automatisch aus den Browserinformationen ermitteln und dann z.B. mit Formularangaben erweitern, dachte ich mir. Jemand eine Idee?

--- [2020-05-27 11:50 CEST] Automatisch zusammengeführter Beitrag ---

Also z.B. Vor- und Nachname + ein geheimer String bzw. eine Zeichenkette, die sich der User überlegt + Browserangaben = ein Hash. Dieser wird dann an die Nachricht angehängt.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
Nunja technisch ist das ja wohl das kleinste Problem Eingaben bzw Infos des Browsers die z.b. im http Header stehen zu einem String zu Formen.

Die große Frage ist was das bringt?
Der Sinn eines Hash ist ja auch das man diesen nicht rückgängig machen kann und die Infos die zur Erstellung verwendet wurden nicht wieder herstellbar sind.

Das was du da dann als Signatur erstellst ist also nichts anderes als der pseudo zufällige String der die Nachricht selbst identifiziert.
 

ano.nym

gesperrt

Registriert
31 März 2020
Beiträge
206
  • Thread Starter Thread Starter
  • #4
Genau, anders gefragt: Wie kann der Nutzer von Cryptnote erkennen, dass die Nachricht, die er bekommen hat vom richtigen Absender stammt?

--- [2020-05-27 14:12 CEST] Automatisch zusammengeführter Beitrag ---

@Laui: Verstehe ich nicht.
 

KingJamez

Aktiver NGBler

Registriert
18 Juli 2013
Beiträge
501
Stellst du gerade fest, das dein Konzept so nicht funktionieren kann?
Browserfingerprinting mag gehen aber das was drfuture sagt.
 

ano.nym

gesperrt

Registriert
31 März 2020
Beiträge
206
  • Thread Starter Thread Starter
  • #6
@KingJamez: Hallo, mir ist dazu etwas eingefallen. Ich generiere clientseitig einen Hash der Nachricht, die eingegeben wurde. Dieser Hash wird dem Benutzer, der die Nachricht erstellt hat zugeschickt per Telegram. Wenn nun der Empfänger die Nachricht öffnet, wird der Hash erneut aus der Nachricht clientseitig erzeugt. Zum Verifizieren können sich dann beide Nutzer anrufen und den Hash telefonisch durchgeben um sicherzustellen, dass die Nachricht nicht manipuliert wurde. Trotzdem löst das nicht das Problem mit dem Absender, also dass man den Absender identifizieren kann. Eventuell einen zweiten String aus dem Browserfingerprint und der IP?
 

one

Querulant

Registriert
21 Juli 2013
Beiträge
5.838
Ort
ja
Ich würde von Grund auf neu ansetzen. Wenn ein Ergebnis ist, dass man eine Textnachricht per Telefongespräch(!) verifizieren soll, dann läuft grundsätzlich was falsch.
 

Steeve

Vereinsheimer
Barkeeper

Registriert
15 Juli 2013
Beiträge
41.121
du willst nicht allen ernstes sagen , das ich per Telefon Hash-Werte bespreche, wie altbacken ist das denn bitte. Ich bin ja niemand der Menschen auslacht, aber das ist albern.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
Für die Validierung der Authentizität kommt immer nur ein zweiter unabhängiger Weg infrage.
Das muss aber nicht zwangsweise möglichst komplex oder kompliziert sein.
Eigentlich reicht ein Begriff, eine Zahl oder ein Bild, Gegenstand was auch immer das beiden einmalig auf einem zweiten Weg bekannt gemacht wird (Telegramm halte ich dafür für eine schlechte Idee, das müsste man dann installiert haben, auch birgt das serverseitige übertragen zu solch einem Dienst Risiken).
Ich würde den zweiten Weg frei wählen lassen.

Das Passwort kann dabei ja ohne weiteres zwischen zwei Parteien oder pro Benutzer das gleiche sein.

Vor dem verschlüsseln lässt du den Besucher, wenn nicht bereits früher geschehen, aus einer Liste von Tieren eines wählen. Zur Not auch noch mit gleichen Tieren mit unterschiedlicher Farbe.

Das Tier wird dem Empfänger dann beim Lesen anzeigt und die Nachricht kann nur von der Person geschrieben sein mit der ich zuvor dieses Tier ausgemacht habe.
 

ano.nym

gesperrt

Registriert
31 März 2020
Beiträge
206
  • Thread Starter Thread Starter
  • #11
@drfuture: Um ehrlich zu sein verstehe ich diesen Ansatz überhaupt nicht. Wo wird die Information, welches Bild oder welches Passwort gewählt wurde, gespeichert?
 

one

Querulant

Registriert
21 Juli 2013
Beiträge
5.838
Ort
ja
Diese Information könnte man tatsächlich dezentral speichern. Dann würde man auch wieder (zumindest einen Schritt) in die Anonymität machen. Diese Information ist bei diesem Dienst ja nur für die involvierten Nachrichten-Tippsler von Relevanz und braucht gar nicht auf dem Server gespeichert werden.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
@c1i: warum Tracking?
Das mit dem Bild war nur als Ergänzung da man sich Bilder leichter merken kann und im Zweifel vielleicht mehr her machen.

Der Einfachheit halber ist das aber das gleiche wie ein Kennwort.
Eine Zahl oder ein Wort könnte hier sogar als Salt für die Verschlüsselung genutzt werden, damit ist der Text ohne das Passwort nicht zu sehen.

Hier ging es aber ja erst mal nur um Echtheit der Nachricht bzw. Des Absenders und das ginge optisch schön auch mit Bildern oder pictogrammen.
Du nimmst z.b. Font awesome und gibst die Zeichen 1 bis 10 aus.
Ich gehe auf die Seite, schreibe eine Nachricht und wähle ein Auto.

Deinem gegenüber sagst du nun über schreibst ihm das ihr über Auto" kommuniziert.
Meine erste Idee oben war nun das du die Zahl für das Auto in der db speicherst und beim Aufruf das richtige ausgibst. Der gegenüber weiß dann das die Nachricht von mir ist.
Noch besser ist aber eigentlich es werden immer diese 10 Zeichen ausgegeben und der gegenüber wählt wieder das korrekte und die Zahl geht in die Verschlüsselung der Nachricht ein.

Die Anzahl der Elemente muss nicht sonderlich groß sein (so dass eben die Übersicht gewahrt bleibt) da der Empfänger ja eh nur einen Versuch hat.
 

KaPiTN

♪♪♫ wild at heart ♪♫♫♪

Registriert
14 Juli 2013
Beiträge
29.138
Wie kann der Nutzer von Cryptnote erkennen, dass die Nachricht, die er bekommen hat vom richtigen Absender stammt?

Von wem soll die Nachricht sonst stammen, wenn der Nutzer den Link vom Absender bekommen hat?
 

Der3Geist

always feed the fish

Registriert
14 Juli 2013
Beiträge
2.702
Ort
Hessen
Zum Verifizieren können sich dann beide Nutzer anrufen und den Hash telefonisch durchgeben um sicherzustellen, dass die Nachricht nicht manipuliert wurde.

Wenn man sowieso mit der anderen Person Telefonieren muss, kann man auch gleich die Nachricht selber besprechen, denn Gespräche sind auch Selbstzerstörend, nur gibt es keinen Link, hash oder sonst irgendwelche Hindernisse.

Und wenn man Angst vor abhörung hat, kann man auch Verschlüsselt Sprechen oder sich einfach Persönlich treffen. Das ist noch viel Selbstzerstörender als alles andere, denn es gibt keinerlei Hinweise was gesprochen wurde.
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
du willst nicht allen ernstes sagen , das ich per Telefon Hash-Werte bespreche, wie altbacken ist das denn bitte. Ich bin ja niemand der Menschen auslacht, aber das ist albern.

Man könnte auch einfach Emojis vergleichen. Diese kann man aus der Hex-Byte-Darstellung einfach generieren.

Für Cryptnote wäre folgendes cool: Eingabe des Textes → Autogenerierung des Hashes → Verschlüsselung mittels des Hashes → Hash als Emoji-Kette ausgeben → Link+Emoji in Nachricht an Empfänger → Empfänger muss Hash als Passwort eingeben → Nachricht zerstört sich.

Wenn der Hash falsch ist kann die Nachricht gar nicht geöffnet werden. Einziger Nachteil wäre die schwächere kryptografische Sicherheit durch die geringere Anzahl an möglichen Passwörtern – zum Bruteforce müsste man also nur die Datenbank in die Hände bekommen. Das könnte man durch einen selbst zu klickenden Salt und einem zusätzlichen Salt in der Datenbank lösen. Wäre super komfortabel.

Die Authentizität des Absenders kann man nur durch OOB-Verifikation sicherstellen. Und warum nimmt man dann nicht gleich einen sicheren Messenger wie Matrix mit Megolm, XMPP mit OMEMO, Signal, Threema oder eine der wirklich tausenden Alternativen?

Dein Ernst?
 

Der3Geist

always feed the fish

Registriert
14 Juli 2013
Beiträge
2.702
Ort
Hessen
Man könnte auch einfach Emojis vergleichen. Diese kann man aus der Hex-Byte-Darstellung einfach generieren.

Für Cryptnote wäre folgendes cool: Eingabe des Textes → Autogenerierung des Hashes → Verschlüsselung mittels des Hashes → Hash als Emoji-Kette ausgeben → Link+Emoji in Nachricht an Empfänger → Empfänger muss Hash als Passwort eingeben → Nachricht zerstört sich.

Alternativ eine Geheime Nachricht auf einen Zettel schreiben, davon ein Foto machen, welches man dann per RAR Passwort Verschlüsselt, dieses Rar schickt man dann per eMail,Whatsapp, Icq oder Läd es auf einen Filehoster welcher nach 24 Stunden die Datei löscht. (Letzteres ist die beste lösung, da Selbstzerstörend)
Dann ruft man den Empfänger an, buchstabiert ihm Rückwärts den Code (Rückwärts, damit ein potentieller mithörer erstmal nichts Rafft)
Dieser entschlüsselt dann das RAR, liest die nachricht und löscht das RAR dann.

Also ehrlich, der Sinn dieser ganzen Aktion wird immer Konfuser und verworrener.

Eventuell würde es eine Nachricht auf Thermopapier auch lösen, meine Tankquittungen im Auto zumindest sind alle Selbstzerstörend. :D
 
Oben