Gibt es einen Generalschlüssel, der alles öffnet, wenn der Geheimdienst an Ihre Tür klopft?
Nein. Jede Verbindung wird mit einem temporären Session-Key verschlüsselt, und dieser wird nach Verbindungsabbau wieder verworfen. Somit kann die Verbindung auch dann nicht mehr entschlüsselt werden, wenn der Private-Key in die falschen Hände gelangt. Dieses Prinzip heisst Perfect Forward Secrecy.
Welche Trap Doors gibt es?
100% Sicherheit gibt es nicht. Das gilt für alle Systeme. Die Firewall der Enigmabox ist aber so eingestellt, dass sie von aussen keine Verbindungen zulässt, und nach draussen nur verschlüsselte Verbindungen zu den Exit-Servern und mit anderen Enigmabox-Benutzern – aber auch erst nur dann, wenn diese sich gegenseitig freigeschaltet haben.
Ob du uns vertrauen kannst? Kommt drauf an. Bilde Dir selber eine Meinung:
Uns vertrauen | enigmabox.net
Welcher VPN kann eingerichtet werden?
Auf der Enigmabox selber: Gar keiner; wir verwenden cjdns als VPN-Software; diese wird nicht kompatibel mit den meisten VPN-Anbietern sein. Man kann aber eigene Peerings zu anderen Enigmabox/cjdns-Benutzern machen.
Man kann aber beliebige VPN-Software eines anderen Anbieters auf seinem Rechner, der an der Enigmabox angeschlossen ist, nutzen. Das ist uns sowieso am liebsten, denn dann haben nicht mehr wir die Verantwortung darüber, was Du für böse Dinge im Internet tust, sondern der dritte VPN-Anbieter.
Wer sagt mir, dass keine Hintertür eingebaut ist?
Gar niemand. Du musst uns nicht vertrauen. Du hast aber vollen Root-Zugriff auf Deine Enigmabox und kannst Dir alles in Ruhe selber ansehen. Ausserdem ist die Software Open Source.
Ihr betreibt auch Exit-Server. Wer sagt, dass keiner die Daten vom Exit-Server mitschneidet und entschlüsselt?
Da hast Du natürlich recht. Aber wer sagt Dir, dass Dein Provider die Daten nicht mitschneidet? Oder irgend ein X-beliebiger anderer VPN-Anbieter? Irgendwo gibt es immer einen Punkt, an dem die Daten ins Internet gehen. Wir verschieben bloss diesen Punkt. Wem vertraust Du – Deinem ISP und dem Staat? Einem anderen Anbieter? Oder uns? Besser, du nutzt immer https und verschlüsselst Deine E-Mails.
Wieso hat eigentlich enigmabox.net kein SSL Zertifikat?
SSL ist kaputt “by design” und darum verzichten wir bewusst drauf. Du hast allerdings die Möglichkeit, beim Kontaktformular mit einem Knopfdruck die Nachricht zu verschlüsseln, die Du an uns senden willst – und dann können nur wir sie lesen. Das ist ein kleines JavaScript, welches den dort angezeigten PGP-Schlüssel nimmt und damit eine PGP-verschlüsselte Nachricht aus dem Inhalt des Kontaktformulars erzeugt.
Nochmals zu SSL: Das ist das Ding mit dem Schloss/grünen Kästchen in der Browserzeile oben. Damit da ein grünes Kästchen oder ein Schloss angezeigt wird, muss eine fremde Autorität, eine sogenannte Certificate Authority, dir das beglaubigen. Das Problem ist nur: Google ist eine CA. Und es gibt hunderte mehr. Einige wurden geknackt, und die Angreifer können nun beliebige gefälschte SSL-Zertifikate ausstellen, und so theoretisch den Datenverkehr mitschneiden, trotz dass im Browser alles grün angezeigt wird. Hier wird falsche Sicherheit vorgekaukelt, und das finden wir ziemlich ********. Deswegen verzichten wir darauf.