Kommentare zu folgendem Beitrag: Crypto SecNote: Nachrichten effektiv verschlüsseln
Ich finde solche Projekte von jeher sehr interessant, denn sie schließen Lücken, welche im Internet bzw. bei der Kommunikation über das Internet, an vielen Stellen vorhanden sind!
Eine solche Dienstleistung fordert im Vorfeld natürlich eine gehörige Portion Vertrauen vom Benutzer ein, wenn er diesem Dienst dann letztendlich seine Daten anvertrauen soll. Um ein solches Vertrauen bei den Nutzern zu erhalten, sollte eine solche Plattform natürlich in allen Belangen offen und transparent sein!
Allgemein ist die Site „secnote.xyz“ sehr minimalistisch in Text und Design aufgebaut, was wohl die Einfachheit der Benutzung unterstreichen soll…das ist ja auch völlig OK soweit!
In der Information, was dieser Dienst bietet, steht dann folgendes:
SecNote ist eine äußerst leistungsfähige Verschlüsselungsmaschine, die Ihre privaten und vertraulichen Nachrichten mit dem militärisch sicheren Kryptografischen Algorithmus verschlüsselt.
Und an der Stelle fängt es dann an, intransparent zu werden, was eigentlich schade wäre!! Denn trotz Suche, lässt sich nirgendwo auf der Seite überhaupt nachlesen, welches Verschlüsselungsverfahren zum Einsatz kommt?! Da dieses Verfahren aber den Kern der angebotenen Funktionen darstellt, wäre diese Information schon von extremer Wichtigkeit! Militärisch sichere Verschlüsselungsverfahren gibt es schließlich einige! Genauso, wie es Verschlüsselungsverfahren gibt, die mittlerweile als unsicher deklariert wurden…
Und was überhaupt nicht sein kann: Die Subdomain „secnote.gopramedia.de“, welche ebenfalls aktiv und funktional ist, wird auf Grund des fehlenden SSL-Zertifikats als unsicher vom Browser eingestuft, und Chrome sagt zum Beispiel dazu aus:
Wir empfehlen, auf dieser Seite keine privaten oder personenbezogenen Daten einzugeben. Rufen Sie die Website nach Möglichkeit nicht auf.
Also, entweder schaltet man die Sub ab oder bindet diese mit ein in das Zertifikat der Domain! Man möge mich für kleinkariert halten, aber diese beiden Punkte könnten auf jeder anderen Site ein Manko sein, aber bitte nicht bei einem Dienst zu diesem Thema…!
Hi
vielen Dank für dein Feedback. Einige Punkte gebe ich dir recht. Da bin ich auf euch angewiesen, als User um solche Sachen zu erledigen da ich das komplette Projekt alleine mache. Mit der Subdomain gebe ich dir recht. Sie war am Anfang als Test online deswegen ist hinterher die secnote.xyz Domain gekommen mit HTTPS. Die Subdomain wird diese Woche noch offline gehen. Zum genauen Verschlüsselungsverfahren gibt es keine Infos, um auch keine Anhaltspunkte zu liefern für Hacker. Über das Preisgeben des Verfahrens muss ich nochmal gründlich überlegen. Sehr wahrscheinlich wird die Subdomain heute offline gehen.
Gruß Gordon
PS: Android App Update V3 verfügbar und die Subdomain leitet nun direkt auf die Domain https://secnote.xyz um. Die Subdomain wird dann diese Woche komplett abgeschaltet und ist dann nur noch unter https://secnote.xyz erreichbar. Je länger das Passwort desto sicherer die Verschlüsselung. Zurzeit bis zu 80 Zeichen
1 „Gefällt mir“
Hallo Gordon,
danke schön für deine schnelle Reaktion.
Den Hintergrund verstehe ich schon…keine Frage! Die NSA konnte vor ca. 5-6 Jahren schon Kryptoverfahren mit einer Komplexität von 2^80 (2 hoch 80) brechen!! Da galt schon alles unterhalb von 2^126 als nur noch bedingt sicher!
Allerdings würde ein Hacker sich nicht anfänglich für deine eingesetzten Verschlüsselungsverfahren interessieren, sondern wohl eher um einen Zugang bzw. eine Übernahme der Verschlüsselungsmaschine, den Server selber! Dann hat er ja sowieso alles in einem Rutsch beisammen und kann sich dann in Ruhe Gedanken machen, wie er sein Gehacktes weiter nutzen möchte! 
Ich würde also erstmal den Fokus auf die Server-Sicherheit legen und natürlich auch auf die Übertragungssicherheit…!
Da du ja bestimmt kein 08/15-Verfahren einsetzt, wäre eine Bekanntgabe also auch kein wirklicher Beinbruch - es müsste ja erstmal einen pösen Puben geben, der das wirklich entschlüsseln könnte! User, die diesen Service nutzen wollen, kennen sich doch ein wenig bei Verschlüsselung aus im Vorfeld. Tante Erna von nebenan weiß im Zweifelsfall ja noch nicht einmal, was nach der Enigma noch alles kam…!?! ^^