phpBB.de

Hallo Gemeinschaft.
Ich baue mir ja gerade ein privates Forum auf, aber auch dort sollen einige Sachen besonders geschützt sein. Gibt es zum einen die Möglichkeit, die privaten Nachrichten zu verschlüsseln, vielleicht indem man php mir PGP kombiniert?
Könnte man auf diese Art vielleicht sogar normale Foreninhalte verschlüsseln?

Auch wenn ich nichts zu verbergen habe, möchte ich trotzdem nicht, das andere wirklich private Sachen mitlesen.
Aufgrund des NSA Skandals befasse ich mich schon eine ganze Weile mit der normalen Mailverschlüsselung mittels PGP und nun frage ich mich, ob da nicht auch etwas auf ein Forum bezogen möglich wäre.

So auf die Art, laienhaft ausgedrückt: Jeder, der im Forum schreiben will, hat den öffentlichen PGP-Schlüssel des Forums und schreibt darüber seinen Beitrag. Und jedes freigeschaltete Mitglied im Forum bekommt seinen geheimen Schlüssel, mit dem er die verschlüsseten Texte aufrufen kann.

Ist so etwas forentechnisch überhaupt umsetzbar? Wenn ich logisch denke, kann ich doch sicherlich mit php Anweisungen programmieren, PGP zu benutzen, wenn ich dieses mit ins Forum installiere.
In der heutigen Zeit der Überwachungsstaaten halte ich die Idee für garnicht mal so verkehrt.

Ich hoffen, ihr haltet mich jetzt nicht für ganz abgedreht und lasst euch diese Idee mal durch den Kopf gehen.
Vieleicht findet sich ja sogar ein php Spezi, der den Spaß aufbringt, das Projekt mal anzugehen.
Ja, ich weiß, der die NSA oder der BND nicht gerade auf mein Forum aufmerksam wird. [Ironie an] Aber heutzutage braucht man ja nur mal die Worte wie Bombenstimmung oder Bombenwetter irgendwo schreiben, dann klingelt in manchen Büros schon der Alarm [/Ironie aus]
Gruß
Frischling

Möchtest du die Verbindung zum Server selbst und die übertragenen Daten verschlüsseln, oder die gespeicherten Textinhalte in Posts und Nachrichten?

Ich vermute mal zweiteres. Sicherlich ist das möglich, man müsste einfach die Texte vorm Speichern in der Datenbank verschlüsseln, reinschreiben, und beim Auslesen entsprechend entschlüsseln.
Frage mich nur, wo der Sinn dahinter ist, und wie du dann den privaten Schlüssel verteilen möchtest.

Das ging aber schnell.
Ich meine tatsächlich zweiteres.
Der Sinn darin liegt wirklich einfach nur darin, das garantiert ist, das auch wirklich nur Personen, denen ich Zugriff aufs Forum erlaube, auch die Texte lesen können. Und das mit den Schlüsseln könnte man ja auch .........hm, jetzt wird doch kompliziert. Das verschlüsseln mit dem öffnetlichen Schlüssel, den jeder zum schreiben und verschlüsseln hat, das ginge ja noch.
Du weißt sicher, wie PGP funktioniert?!?! Da hast du 2 Schlüssel, einen öffentlichen und ein privaten. Den öffentlichen verteilst du an all deine Mailpartner und die verschlüsseln damit. In diesem öffentlichen Schlüssel ist auch ein Teil deines privaten Schlüssels versteckt. Wenn du dann die Mail bekommst, kannst du die nur mittels des privaten Schlüssels entschlüsseln.
So ähnlich dacht ich es für das Forum. Es gibt einen öffentlichen Schlüssel der zum Forum gehört.
In diesem Fall müsste dann wohl auch jeder den gleichen privaten Schlüssel haben, den er dann nur mit einem anderen Passwort sichert. Wäre zwar nicht mehr ganz so sicher wie das normale PGP aber eine Lösung.
Den privaten Schlüssel könnte man dann mittels PGP verschüsselter Mail verschicken
Ich hoffe, ich habe mich verständlich ausgedrückt.

Ich verstehe schon was du meinst, und mit asymmetrischen Verschlüsselungen bin ich auch recht gut vertraut.
Mir zeigt sich nur der Sinn von dem noch nicht so ganz...

Du kannst doch auch einfach einstellen, dass deine einzelnen Foren nur von Mitgliedern einsehbar sind, dann stellst du die Registration auf "Freischaltung durch Admin", und schon können nur deine ausgewählten User alle Beiträge lesen.
Mit dieser Funktionalität kannst du auch ganz einfach Bots aussperren, und schon hast du ein privates Forum, wo nur Leute lesen können, die du zugelassen hast.

Das ist es doch, was du willst, oder?

Hi,

also im Prinzip bringt die Verschlüsselung nur was, wenn die Nutzer ihre PN vor dem Versenden verschlüsseln und der Empfänger wie wieder entschlüsselt. Alles andere benötigt einen Code/Schlüssel der beim phpBB übertragen oder in der DB gespeichert wird. Auf die hat jeder Zugriff, der Zugriff auf den FTP/die Datenbank hat und kann somit das Ding auch wieder entschlüsseln. Ergo der Admin oder die Admins deines Webspace/Server-Providers und und und.

Siehe auch: viewtopic.php?p=1221805#p1221805

Deshalb ist es afaik auch so, dass das afaik noch nicht getan wurde.

Grüße

Ein Interesse Private Nachrichten verschlüsselt in der Datenbank zu speichern besteht bei vielen nicht. Wie man hier sehen kann:

phpBB Ideas

BlackHawk87 hat geschrieben:Hi,

also im Prinzip bringt die Verschlüsselung nur was, wenn die Nutzer ihre PN vor dem Versenden verschlüsseln und der Empfänger wie wieder entschlüsselt. Alles andere benötigt einen Code/Schlüssel der beim phpBB übertragen oder in der DB gespeichert wird. Auf die hat jeder Zugriff, der Zugriff auf den FTP/die Datenbank hat und kann somit das Ding auch wieder entschlüsseln. Ergo der Admin oder die Admins deines Webspace/Server-Providers und und und.

Siehe auch: viewtopic.php?p=1221805#p1221805

Deshalb ist es afaik auch so, dass das afaik noch nicht getan wurde.

Grüße

Hi BlackHawk,

aber wie funktioniert denn dann die Verschlüsselung der Passwörter für die Nutzerkonten?
Die wird doch als sehr sicher genannt und als Admin kann man die Passwörter auch nicht einsehen.
Könnte man PNs nicht auch damit verschlüsseln?

LisaserstesForum hat geschrieben:Hi BlackHawk,

aber wie funktioniert denn dann die Verschlüsselung der Passwörter für die Nutzerkonten?
Die wird doch als sehr sicher genannt und als Admin kann man die Passwörter auch nicht einsehen.
Könnte man PNs nicht auch damit verschlüsseln?

Passwörter werden auch niemals wieder entschlüsselt. Sie werden einmal mit einem Hash-Algorithmus umgewandelt und bleiben dann in diesem Zustand, die andere Richtung ist nicht (ohne weiteres) möglich.

So etwas kommt für PNs nicht in Frage, da man die ja noch lesen möchte (:

Aber irgendwie prüft phpBB beim Einloggen doch, ob das Passwort richtig ist oder falsch!?

Ja, es wird geprüft, ob die Passwörter (also das hinterlegte und verschlüsselte mit dem eingegebenen und vor der Überprüfung verschlüsselten Passwort) übereinstimmen.
Wenn dem so ist, sind das unverschlüsselte Passwort und das ehemals hinterlegte ( nunmehr in der DB gespeicherte ) in der unverschlüsselten Version auch gleich.