Neutraler Datendienst

Präsentation und Organisation von eigenen Projekten
Antworten
Kmitska
Beiträge: 349
Registriert: Fr Sep 23, 2011 8:49 pm
Wohnort: Karlsruhe, Pforzheim

Neutraler Datendienst

Beitrag von Kmitska » So Dez 15, 2013 7:19 pm

Liebe Proggen.org Community,

ich arbeite an einer neuen Idee und habe schon den Prototypen umgesetzt.
Würde gerne wissen, ob Ihr die Idee/Software als nützlich einstuft.

Habe schon auf der Seite eine Beschreibung und paar Anwendungsfälle angegeben.
Die Software ist auf www.vedmin.com zu erreichen.

Info: Die Software funktioniert im Moment zum Testen nur mit Bildern.(*.jpg ... )

Dabei zeigt die Software nur die Basic-Funktionen. Da ist also nicht viel und die Verschlüsselungsprozesse sind auch noch nicht dabei. Das Ganze dient also nur zu Demo.

Die Geschichte zu der Software:
Als ich mich bei meinem Provider für einen Server angemeldet habe, wollte er von meinen Ausweis und Kreditkarte einen Foto als E-Mail zugeschickt haben. Dabei versprach er das Ganze zu löschen. Das Ganze ist zwar nett gemein, aber dieses Foto, das ich als Anhang mit der E-Mail gesendet habe ist immer noch im Web.
Nun kam ich auf die Idee, einen schlichten neutralen Datendienst zu erstellen, bei der sich, in diesem Fall, der Provider anmelden und seinen Kunden "Upload-Slots" anbieten kann. Dabei sind Upload-Slots Links, die von dem Provider bei vedmin für die Kunden zur Verfügung stehen. Darauf kann der Datei-Upload folgen. Das Beste hier ist, das die Datei von beiden Seiten aus gelöscht werden kann.

Noch zusätzliche Punkte:
Wenn das klappen sollte wird das Ganze in Karlsruhe lokal gehostet und sicher gegangen, dass alles gelöscht wird und keine unerwünschte Aktionen wie Backups stattfinden.

Würde mich über ein Feedback über die Idee wirklich sehr freuen.

Grüße,
Kmitska

Benutzeravatar
cloidnerux
Moderator
Beiträge: 3123
Registriert: Fr Sep 26, 2008 4:37 pm
Wohnort: Ram (Gibts wirklich)

Re: Neutraler Datendienst

Beitrag von cloidnerux » So Dez 15, 2013 7:34 pm

Das Beste hier ist, das die Datei von beiden Seiten aus gelöscht werden kann.
Zum Thema Bild: Drück mal die Taste "Druck", geh in Paint und mach STRG+V.
Du kannst niemanden daran hindern, Daten auf die sie Zugriff haben vor Kopieren zu schützen.
Dann speicherst du die Dateien auf deinem Server, verschlüsselt oder nicht, wenn man dich Gesetzlich zwingt diese Herauszugeben. Sinnvoller wäre eine P2P Verbindung über deinen Server, du musst keine Daten speichern und bist einigermaßen sicher vor Angriffen auf deinem Service.
Du musst schließlich beachten, dass Leute über einen Dienst wie deinen "Geheime" und "Vertrauliche" Informationen übertragen und das für den ein oder anderen doch ganz Interessant sein könnte.
Was für dich bedeuten sollte, dass deine Verschlüsselung mindestens dem wirklich neusten Stand der Technologie entspricht und nicht so Patzer hat wie Adobe.
Redundanz macht wiederholen unnötig.
quod erat expectandum

Kmitska
Beiträge: 349
Registriert: Fr Sep 23, 2011 8:49 pm
Wohnort: Karlsruhe, Pforzheim

Re: Neutraler Datendienst

Beitrag von Kmitska » So Dez 15, 2013 7:39 pm

Hallo cloidnerux,
es geht hierbei eigentlich um die Übertragung der Datei und dass man sie danach löschen kann.
Wir senden ja auch keine sensiblen Daten an Leuten, die wir nicht vertrauen.

Und ja. Die Dateien müssen echt gut verschlüsselt sein und das ist eigentlich die Hauptherausforderung.

Mal abgesehen davon, was denkst Du über die Idee? Nützlich?

Grüße,
Kmitska

Benutzeravatar
cloidnerux
Moderator
Beiträge: 3123
Registriert: Fr Sep 26, 2008 4:37 pm
Wohnort: Ram (Gibts wirklich)

Re: Neutraler Datendienst

Beitrag von cloidnerux » Mo Dez 16, 2013 10:36 am

Mal abgesehen davon, was denkst Du über die Idee? Nützlich?
Wenn ich eine Email-Sende, muss ich diese erst an meinen Email-Server senden, dieser sendet es an den Empfänger Email-Server und von da wird die Mail dann abgerufen. Das bedeutet, dass meine Informationen/Dateien/Nachrichten über 2 Server laufen, über die ich mitunter keine Kontrolle habe, z.B wenn du eine Account bei Google/Yahoo/GMX hast.
Ein Dienst der dies umgehen kann, wäre schon nützlich.
Was ich nicht möchte, ist erst die Daten bei dir hochzuladen, damit sie wer anders wieder herunter laden kann. Ich möchte niemanden dazwischen haben, der meine Daten, auch verschlüsselt hat, daher P2P. Du bietest die P2P Verbindung an, verwaltest die Verbindung und der Rest erfolgt verschlüsselt zwischen beiden Clienten. Du musst nichts Speichern und hast damit auch keine Daten, die man dir klauen kann.
Wenn man das noch mit einer gewissen Einfachheit, z.B im Browser, verbinden kann, natürlich auch die Integration aller möglichen Plattformen(Linux, Mac, Windows, Android, iOS), dann kann daraus auch was werden.
In hinblick auf Datenspionage und Massenüberwachung wäre es durchaus interessant.
es geht hierbei eigentlich um die Übertragung der Datei und dass man sie danach löschen kann.
Der Punkt ist, dass du sie von DEINEM Server zwar löschen kannst, nicht aber beim Empfänger. Mehr kannst du auch nicht Garantieren. Im Hinblick dessen wäre eine, wie schonmal genannt, P2P Verbindung sinnvoller, weil du eben die Daten(Informationen) gar nicht erst bei dir Speichern musst.
Zu diesem Thema solltest du dich mal zu den Gesetzten und Pflichten von File-Hostern einlesen.
Die Dateien müssen echt gut verschlüsselt sein und das ist eigentlich die Hauptherausforderung.
Die größere Herausforderung ist keine Fehler zu machen. Die meisten Verschlüsselungen umgeht man nicht durch Brute-Force, sondern durch ausnutzen jeden Fehlers den man gemacht hat.
Redundanz macht wiederholen unnötig.
quod erat expectandum

Benutzeravatar
darksider3
Beiträge: 347
Registriert: Fr Sep 14, 2012 6:26 pm
Wohnort: /dev/sda1
Kontaktdaten:

Re: Neutraler Datendienst

Beitrag von darksider3 » Mo Dez 16, 2013 11:25 am

Die größere Herausforderung ist keine Fehler zu machen. Die meisten Verschlüsselungen umgeht man nicht durch Brute-Force, sondern durch ausnutzen jeden Fehlers den man gemacht hat.
GPG hatte 2003 so einen Fehler, dass zwischen Version 1.0 und 1.2.3 sich mehrfache Schlüssel gebildet haben. Hunderte von Hackern haben sich dann direkt darauf gestürzt, und so müsste man sich dann auch deine Situation ansehen: Wenn/Falls es wirklich nützlich ist, werden Hunderte von Menschen dahintersitzen und jede kleine Schwäche suchen und diese an Firmen verkaufen, die diese Schamlos ausnutzen oder (schlimmer noch) weiter verkaufen.

Die Frage die sich hier stellt ist, ob Du auch die Ressourcen dafür hast. Kannst Du TB an Daten pro Sekunde Zwischenlagern/weiterleiten und auch die Garantie aufbringen, diese auch Zuverlässig weiterzuleiten? Und ist es dir möglich, so einen Dienst überhaupt aufzusetzen, in Sinne von Kenntnissen darüber soetwas zu Hosten&zu Administrieren?
Wenn man das noch mit einer gewissen Einfachheit, z.B im Browser, verbinden kann, natürlich auch die Integration aller möglichen Plattformen(Linux, Mac, Windows, Android, iOS), dann kann daraus auch was werden.
In hinblick auf Datenspionage und Massenüberwachung wäre es durchaus interessant.
"Einfachheit" ist hier glaube ich schlecht gewählt. Es gibt Gründe, warum die meisten Verschlüsselungsprogramme nicht Anwenderfreundlich sind. Denn wer mehr Zeit aufbringt, Userability zu unterstützen, der Vernachlässigt automatisch die Sicherheit... Der Begriff "Unterstützung" gefällt mir aber schon eher. Wenn mir etwas, das nachträglich entwickelt wurde, dabei hilft es besser zu Handhaben, kann es nicht auf die Ursprungssoftware zurückfallen...

Außerdem: Womit willst Du verschlüsseln? Truecrypt? IPSEC? PGP? RSA?TLS?

Es gab da mal einen Dienst von den Bitcoin Entwicklern, der Dezentrale Nachrichten garantierte(Also mit dem selben System)... Mir will der Name gerade nur nicht einfallen.. Bitmessage oder sowas.

EDIT: Yepp, Bitmessage
effizienz ist, wenn ich ein loch bohre und hinterher mein nachbar auch ein bild aufhängen kann... ^^
Meine Homepage und der Microblog von mir :)
Live Life dont let Life Live You!
Am meisten Aktiv in Webentwicklung und PHP im Wiki

Benutzeravatar
cloidnerux
Moderator
Beiträge: 3123
Registriert: Fr Sep 26, 2008 4:37 pm
Wohnort: Ram (Gibts wirklich)

Re: Neutraler Datendienst

Beitrag von cloidnerux » Mo Dez 16, 2013 11:50 am

GPG hatte 2003 so einen Fehler, dass zwischen Version 1.0 und 1.2.3 sich mehrfache Schlüssel gebildet haben. Hunderte von Hackern haben sich dann direkt darauf gestürzt, und so müsste man sich dann auch deine Situation ansehen: Wenn/Falls es wirklich nützlich ist, werden Hunderte von Menschen dahintersitzen und jede kleine Schwäche suchen und diese an Firmen verkaufen, die diese Schamlos ausnutzen oder (schlimmer noch) weiter verkaufen.
Es gibt da ja so viele Geschichten. Man muss ja nicht einmal Fehler in der Verschlüsselung an sich haben, sondern in der Art und weise wie man das Handelt. Beispiel Adobe: Passwörter alle Verschlüsselt, aber nicht gesaltet. Das gleiche Passwort erhält den salben Hash und die Passwort hinweise stehen auch dabei, ein größeres Kreuzworträtsel.
Beispiel MD5: Man kann es nicht zurückrechnen, muss man aber nicht. Man hat einfach Tabellen in denen man Nachschlagen kann.
Die DEFCON-Keynotes sind dazu sehr interessant.
"Einfachheit" ist hier glaube ich schlecht gewählt. Es gibt Gründe, warum die meisten Verschlüsselungsprogramme nicht Anwenderfreundlich sind. Denn wer mehr Zeit aufbringt, Userability zu unterstützen, der Vernachlässigt automatisch die Sicherheit... Der Begriff "Unterstützung" gefällt mir aber schon eher. Wenn mir etwas, das nachträglich entwickelt wurde, dabei hilft es besser zu Handhaben, kann es nicht auf die Ursprungssoftware zurückfallen...
Das Problem im Bereich "Consumer" ist, dass es keine Firmen- oder IT-Richtlinien gibt und man daher nicht gezwungen wird, ein Tool zu benutzen. Ist etwas zu kompliziert im Vergleich zum offensichtlichen(Subjektiven) Nutzen, dann wird es halt abgelehnt.
Zudem bedeutet geringe Anwenderfreundlichkeit auch größeres Fehlerpotenzial. Wenn du einem Nutzer nur die Option gibst, eine Datei und ein Ziel einzugeben und der Rest wird automatisch gemacht, z.B ein Zufälliger Key generiert, kannst du viele Fehler vermeiden, z.B auch Social-Engineering-Attacken.

Ich muss hier aber auch mal zugeben, dass ich weder Verschlüsselungsexperte noch Expertise auf diesem Gebiet besitze und meine Aussagen daher bitte mit Vorsicht behandelt werden.
Redundanz macht wiederholen unnötig.
quod erat expectandum

Benutzeravatar
darksider3
Beiträge: 347
Registriert: Fr Sep 14, 2012 6:26 pm
Wohnort: /dev/sda1
Kontaktdaten:

Re: Neutraler Datendienst

Beitrag von darksider3 » Mo Dez 16, 2013 12:06 pm

Das Problem im Bereich "Consumer" ist, dass es keine Firmen- oder IT-Richtlinien gibt und man daher nicht gezwungen wird, ein Tool zu benutzen. Ist etwas zu kompliziert im Vergleich zum offensichtlichen(Subjektiven) Nutzen, dann wird es halt abgelehnt.
Zudem bedeutet geringe Anwenderfreundlichkeit auch größeres Fehlerpotenzial. Wenn du einem Nutzer nur die Option gibst, eine Datei und ein Ziel einzugeben und der Rest wird automatisch gemacht, z.B ein Zufälliger Key generiert, kannst du viele Fehler vermeiden, z.B auch Social-Engineering-Attacken.
Dabei vernachlässigst Du die Flexibilität. Deswegen meine ich, dass man gerne etwas User-Freundliches schreiben kann, aber bitte nach der Crypto-Zeugs. Das, was Du schreibst, und das was ich oben schrieb, Schließt sich ja nicht gegenseitig aus ... :-)
effizienz ist, wenn ich ein loch bohre und hinterher mein nachbar auch ein bild aufhängen kann... ^^
Meine Homepage und der Microblog von mir :)
Live Life dont let Life Live You!
Am meisten Aktiv in Webentwicklung und PHP im Wiki

Antworten