hallo,
habe auf einem anderem Forum ( Ironmuscle-Forum )folgendes gelesen, es sollte hier auf veröffentlicht werden!!!!
Hushmail nicht sicher :
Selbst die eigenen Mitarbeiter könnten keine verschlüsselten Emails zwischen Hushmail-Nutzern lesen, versprach der US-Mailprovider, der automatisch Mails
mit PGP verschlüsselt.
In der Regel - denn gibt es eine Klage der Drogenermittlung, rückt Hushmail offenbar doch Mailinhalte heraus. Zwölf CDs voller Emails zwischen zwei Hushmail-Accounts erhielt die DEA von Hush im Klartext.
Hushmail pries die einfache, standardmäßige starke Kryptografie, die beim Hushmail-internen Mailwechsel automatisch zum Einsatz kommt. Nach Diffie-Hellmann werden Mails per Java-Applet bereits auf dem sendenden Rechner verschlüsselt und erst dann auf die Server Hushmails übertragen. Was sicher sein sollte, ist es indessen jedoch nicht unbedingt.
Wegen Handel mit Anabolika und Steroiden wurde gegen zwei User von Hushmail-Accounts ermittelt, und offenbar war Hushmail in der Lage, die DEA mit Klartext-Emails zu versorgen. Weniger ernüchternd wäre der Vorfall, ginge es um Kommunikation zwischen einem Hushmail- und einem Nicht-Hushmail-Account - da in dem Fall nicht zwingend verschlüsselt wird. Dass sogar die interne Kommunikation offen gelegt werden konnte, wirft ein extrem schlechtes Licht auf Hush und ihr Krypto-Mailangebot.
Denn auf irgend eine Weise müssen die Schlüssel oder die Klartexte der Mails seitens von Hushmail ermittelt worden sein - vermutet wird beispielsweise ein Zugriff auf das clientseitige Java-Applet, welches für die Verschlüsselung zuständig ist.
Auf eine Datenanforderung durch Strafermittler kann Hushmail unterschiedlich reagieren - konsequent wäre es gewesen, die verschlüsselten Botschaften herauszugeben, falls überhaupt noch vorhanden, und dem DEA das Problem zu überlassen, PGP zu knacken (was nach gängigem Wissensstand unmöglich ist). Stattdessen hatte man offenbar die eigenen Kunden abgehört.
Der Mailwechsel zwischen <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e --> und <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e --> wurde so im Klartext für die Ermittler zugänglich. Noch schlimmer: Hushmail gab auch IP-Logs an die Ermittler weiter, mit denen über die Provider anschließend die Identität der Postfachinhaber aufgeklärt werden konnte. Ein Anbieter wie Hushmail sollte diese eigentlich nicht lange speichern, bzw. dürfte sie dem eigenen Anspruch nach nicht einmal aufzeichnen.
So gilt weiterhin: Sichere Verschlüsselung findet auf dem heimischen Rechner statt: mit einer PGP/GPG-Lösung, die als Open Source verfügbar ist. Allen anderen Methoden sollte man misstrauen.
Nur zur Info,
Gruß,
Kamikaze