Nachrichten verschlüsselt senden .-devicecode.net-
Ein netter Dienst der es ermöglicht Nachrichten zu senden und zu verschlüsseln. Der ganze Verkehr wird aber über den Dienst selber abgewickelt, und ein senden per Mail ist somit nicht möglich. Bricht also der Server weg, geht gar nichts mehr. Für Testzwecke eine gute Idee, da alle Verschlüsselungs Routienen clientseitig über JavaScript abgebildet werden.
Zur Anmeldung werden keinerlei persönlichen Daten benötigt. Die generierte ID und das eigene Kennwort sollte man sich aber gut merken, da ein “lost passwort” nicht zu finden war. Wie auch wenn man keine Mailadresse eingeben muß. Über “search” kann man befreundete Benutzer hinzufügen, und Ihnen eine Nachricht hinterlassen. Da die Implementierung kein Geheimnis ist, ist sie unter diesem Link einzusehen. Wie es genau technisch funktioniert, kann man im JS Quelltext selber nachlesen.
Eine schöne Idee, aber wohl nicht Massenkompatibel. Oder versucht mal den Sinn der Seite euren Eltern zu erklären und das mit ganz einfachen Worten und ohne den Worten POLIZEISTAAT und VDS.
ein paar ergänzende Worte von g0pher:
Ein möglicher Mangel an Sicherheit wäre da noch zu nennen. Die “Software” zum Ver- /Entschlüsseln ist ja in JavaScript implementiert – schön mit Fingerprints auf der Webseite. Aber: Die Fingerprints sind nicht erläutert. Von der “encryption.js” soll ja der Fingerprint mit “9CC8EC…” anfangen. Der SHA-256 Hash der eben heruntergeladenen encryption.js fängt aber mit “DD7F94…” an.
Worst-Case Szenario: Hush-Mail hat es vorgemacht. Wenn die Regierung ruft, werden selbst die vorher hochgelobten Verschlüsselungssysteme aufgeweicht und die Daten an die Regierung ausgeliefert. Bei Devicecode wäre das ganz simpel denkbar. Da der JavaScript-Code jedesmal vom Server geladen wird, kann ja bei einer “Behördenanfrage” das Script für den(oder alle) betreffenden User ausgetauscht werden und das eingegebene Passwort wird mit exakt dem Hash zum Server übermittelt, mit dem auch der PrivateKey verschlüsselt wurde (der übrigens auf dem Server lagert [sic!]). Somit könnte der Serverbetreiber alle Nachrichten des/der betreffenden User entschlüsseln.
Devicecode versteht sich als “Soziales Netzwerk”. Dafür fehlt mir persönlich aber eine API, um den Dienst zu nutzen. Die Oberfläche an sich ist extrem umständlich zu bedienen.
Ein möglicher Mangel an Sicherheit wäre da noch zu nennen. Die “Software” zum Ver- /Entschlüsseln ist ja in JavaScript implementiert – schön mit Fingerprints auf der Webseite. Aber: Die Fingerprints sind nicht erläutert. Von der “encryption.js” soll ja der Fingerprint mit “9CC8EC…” anfangen. Der SHA-256 Hash der eben heruntergeladenen encryption.js fängt aber mit “DD7F94…” an.
Worst-Case Szenario: Hush-Mail hat es vorgemacht. Wenn die Regierung ruft, werden selbst die vorher hochgelobten Verschlüsselungssysteme aufgeweicht und die Daten an die Regierung ausgeliefert. Bei Devicecode wäre das ganz simpel denkbar. Da der JavaScript-Code jedesmal vom Server geladen wird, kann ja bei einer “Behördenanfrage” das Script für den(oder alle) betreffenden User ausgetauscht werden und das eingegebene Passwort wird mit exakt dem Hash zum Server übermittelt, mit dem auch der PrivateKey verschlüsselt wurde (der übrigens auf dem Server lagert [sic!]). Somit könnte der Serverbetreiber alle Nachrichten des/der betreffenden User entschlüsseln.
Devicecode versteht sich als “Soziales Netzwerk”. Dafür fehlt mir persönlich aber eine API, um den Dienst zu nutzen. Die Oberfläche an sich ist extrem umständlich zu bedienen.