Auf dem Blackphone soll jegliche Kommunikation - Telefonate, Textnachrichten und Chat-Anwendungen - verschlüsselt ablaufen. Der Internet-Zugang wird per VPN abgesichert. Die installierten Apps sollen außerdem ein maximales Maß an Kontrolle über die gesammelten und weitergeschickten Nutzerdaten erlauben.
Und dann wird WhatsApp installiert und die Privatsphäre/ der Datenschutz sind wieder flöten gegangen. Zumal ja auch mittlerweile bekannt ist, dass Hardware zum Teil ab Werk verwanzt wird. Was bringt es eine Hochsicherheitsverbindung zwischen 2 Kommunikationspartnern aufzubauen, wenn direkt ab Quelle mitgehört wird?
Außerdem setzt das natürlich vorraus, dass der/die VPN-Server alle nicht kompromittiert sind.
Dann noch ein Aspekt, der natürlich überhaupt nicht beachtet wurde, solange das Telefon über das "normale" Telefonnetz funktioniert, bringt die beste Crypto nichts. Schließlich bestehen weiterhin 2 Gefahren:
1. Durch Triangulation / GPRS kann die Position des Handybesitzers einwandfrei bestimmt werden.
2. Beide Kommunikationspartner hängen im Telefonnetz, d.h. es ist (für den Provider und damit eine Regierung) einsehbar, wer wann wo miteinander wie lange telefoniert hat. Vielleicht sind dann die Inhalte der Gespräche unbekannt, die Metadaten und das ist es, was in den meisten Fällen für false-positives in der Anti-Terror-Industrie ausreicht, fallen trotzdem an.
Der nächste Kritikpunkt wäre, dass Crypto nur funktionieren kann, wenn sich die Gegenstellen eindeutige Beweise ihrer Identität liefern können. Was bringt die beste Crypto, wenn am anderen Ende der Leitung das NSA sitzt? Klassischer Man-in-the-middle Angriff.
A stellt eine gesicherte Verbindung zum NSA her | NSA stellt eine gesicherte Verbindung mit B her
Das NSA gibt sich A gegenüber als B aus und B gegenüber als A aus. A kann sich nun abhörsicher mit dem NSA unterhalten und B ebenfalls. Das NSA kann sich abhörsicher sowohl mit A, als auch mit B unterhalten. Das, was das NSA jetzt nur noch machen muss, ist die Kommunikation von A an B weiterleiten und die von B an A und selbst eben die Füße still halten.
Bringt die ganze Verschlüsslerei aber überhaupt was wenn mein Gegenüber, in dem Fall die Person die ich anrufe oder etwas schreibe, ein "normales" Handy hat? Habe da mal was gelesen das die Gegenstelle das ja auch können/unterstützen sollte.
Korrekt und eben selbst wenn beide Gegenstellen ein solches Phone einsetzen bringt es dir unter obigem Szenario überhaupt nichts.
Die Clients müssten sich vor dem Gespräch gegenseitig eindeutig identifiziert haben.
Außerdem, entschuldigt, wenn ich da vielleicht total falsch liege, aber ist das nicht der falsche Ansatz.
Die sollten lieber die Software machen, die man dann auf allen bzw. möglichst vielen Androiden installieren kann und gut ist.
Jein. Was bringt dir eine ganz tolle und sichere Software, wenn die darunter liegende Schicht (das OS) bereits kompromittiert ist?
Stell dir vor, dein Micro nimmt den Ton auf und dein OS registriert dies und leitet das Signal einmal an deine perfekte Software und dann noch einmal an den Hauptrechner der NSA weiter. Zumindest müsstest du sicherstellen, dass der Weg von Mund bis Software ebenfalls gesichert ist. Das kannst du rein softwaretechnisch nicht machen.
Jetzt wirst du sagen, dass Android open source ist und du ja in den Code schauen kannst und dann musst du dir als nächstes die Frage stellen, wie es mit deinem Compiler aussieht. Was wäre, wenn dein Compiler (der, der das OS kompiliert) beim Übersetzen eben Schadcode einfügt. Du müsstest also selbst deinen Compiler als opensource vorliegen haben.
Ebenfalls eine interessante Frage wäre, ob hier nicht mal wieder versucht wird, ein gesellschaftliches Problem rein technisch zu lösen. Aber das würde die Diskussion sehr weit (und potentiell ins OT) führen.
Ja, aber das tut man doch im Prinzip immer. Der Mensch ist eben fehlbar und deswegen brauchen wir Technik oder allgemein künstliche Systeme, die uns eins auf die Fr*sse geben, wenn wir aus der Reihe tanzen. Du könntest ja auch Banktransaktionen einfach auf Vertrauensbasis ablaufen lassen. Schließlich kann doch jeder Mensch rechnen und er könnte sich ja seinen Kontostand irgendwo aufschreiben und dann eben nur Transaktionen durchführen, die er sich auch leisten kann. Natürlich wäre das möglich, wenn du a. unabsichtliche Fehler ausschließen könntest und b. ein 100 prozentiges Vertrauen in jeden Menschen stecken könntest. Kommunismus könnte funktionieren, wenn sich jeder an die Spielregeln halten würde, es ist ein gesellschaftliches Problem, das wir haben, aufgrund dessen er nicht funktioniert. Deshalb brauch(t)en wir ein anderes System, das uns unterstützt und in einem vertretbaren Maß trotzdem noch gewisse Werte zulässt.
ist ja doch Rechenzeit-intensiv... zumindest die Akku-Laufzeit dürfte doch merklich leiden, oder?
Wenn ich das richtig sehe wird der Großteil des Akkus durch das Display verbraucht. Nehmen wir mal eine einfache XOR-Operation, so dürfte diese wohl kaum Rechenzeit in Anspruch nehmen. Da ist der (Funk-)Übertragungsweg wohl immer noch der Flaschenhals.
Kenn mich ebenfalls nicht aus, aber imho sind doch alle Skypetelefonate verschlüsselt oder nicht? Und skype ist durchaus auf Lowbudgetgeräten brauchbar. Von da her sollte eine Verschlüsselung ohne Backdoor auch auf günstigen Geräten möglich sein.
Herzlichen Glückwunsch, Augenwischerei hat bei dir funktioniert. Du kannst dich zu den 3 Millionen anderen verarschten Mitgliedern zählen.
Skype bietet ganz offiziell Schnittstellen um Gespräche mitzuhören. Die US-Regierung nimmt das dankend in Anspruch, in Deutschland wird das nur aufgrund irgendwelcher Gesetze nicht angenommen, Telekommunikationsgeheimnis bla bla bla. Wobei die Argumentation darauf hinaus läuft, dass das Verfahren (bzw die Stelle, an der die Daten abgegriffen werden) nicht zulässt ist. Stattdessen versucht man sich mit dem Bundestrojaner an genau der gleichen Sache, eben weil der Daten an einer anderen Stelle abgreift und schon hat man ein Gesetz umgangen.
Nur weil irgendwo auf dem Weg von A nach B irgendwann mal eine Verschlüsselung stattgefunden hat, heißt das überhaupt nicht, dass nur A und B die Kommunikation lesen können. In der Regel werden bei solchen Client 1 <-> Server <-> Client 2 - Anwendungen die Verbindungswege von Client 1 zum Server und Client 2 zum Server verschlüsselt. Die Kommunikation selbst bleibt dabei unverschlüsselt. Was wiederum heißt, dass der Server sämtliche Kommunikation (im Klartext) lesen kann.
Meine Meinung dazu:
Snakeoil. Hier wird versucht mit technischem Unverständnis Geld zu machen. Man verkauft Sicherheit, wo überhaupt keine ist und lässt sich das dann auch noch vergoldet bezahlen. Dabei ist es egal, wie viel letztlich tatsächlich für so ein Blackphone verlangt wird.