Lassen Sie uns das aufteilen:

1. Bob und Alice möchten eine wechselseitige E-Mail-Kommunikation betreiben.
2. Bob und Alice müssen ihre persönlichen E-Mail-Adressen verwenden.
3. Eva hat die Fähigkeit, die gesamte Kommunikation im System zu beobachten.
4. Eva darf nichts über eine spezielle Kommunikation zwischen Bob und Alice lernen.
5. (Alice darf nicht lernen dass Bob verheiratet ist.)
ol>

Die letzte Aussage (5) hindert Sie daran, kollaborative Systeme zu verwenden, um die Kommunikation zu verbergen, da Alice sich sofort fragen würde, ob Bob sie gebeten hat, solche zu verwenden.

Ohne Alice wird Eve jedoch etwas über Bobs Untreue erfahren, wenn Alice auf Bob die neueste antwortet.

---

Ich würde daher vorschlagen, Punkt 5 zu streichen. Wenn Alice Bob aktiv hilft, können sie Eve möglicherweise im Dunkeln lassen.

Zu diesem Zweck sendet Bob verschlüsselte Nachrichten an alle seine Freunde (verschiedene Nachrichten an verschiedene Personen). Da Eva sie nicht entschlüsseln kann, kann sie Alice die Nachricht nicht vorlesen. Und da alle Freunde E-Mails erhalten, kann Eve keine besondere Beziehung zwischen Bob und Alice schließen.

Der wichtige Teil ist jetzt, dass viele von Bobs Freunden seine Nachrichten beantworten (daher muss er ihnen sinnvolle Nachrichten gesendet haben ). Andernfalls könnte Eve auf den Empfänger der Hauptkommunikation (Alice) schließen, da Alice die einzige Antwort wäre.

Natürlich sollten alle an Bob gesendeten Antworten auch verschlüsselt sein. (Aber Bob hat sicherlich nur sicherheitsbewusste Freunde und Geliebte.)

---

... Abschließend ist es besser, wenn Bob treu bleibt;)

Wenn Bob Alices Computer (alle) besitzen kann, ohne entdeckt zu werden, kann er einen Bot um ihren E-Mail-Client wickeln, der mit Bob auf die für ihn bequemste Weise zusammenarbeitet, aber dann die Kommunikation Alice im Klartext präsentiert von Bobs Adresse, obwohl das nicht die Wahrheit ist. Ausgehende E-Mails an Bob werden ebenfalls abgefangen und gemeinsam kommuniziert.

Wenn Bob das Netzwerk von Alice (alle) stromabwärts von allen Stellen besitzen kann, die Eve überwachen kann, könnte ein Bot dort dasselbe tun.

Wenn Bob Eves Computer (alle) besitzen kann, ohne entdeckt zu werden, kann er ihre Überwachungstools lobotomieren, um nicht zu sehen, was genau dort ist.

Ich sehe keine weniger invasive Lösung.

Mögliche Lösung wäre die regelbasierte Filterung / Umleitung auf dem Server und Adress-Spoofing.

1.) E-Mails von Alices Konto an Bob@Bob.Bob werden sofort vom Server gesendet -geleitet zu einem geheimen Postkonto, das er für seine Angelegenheit verwendet. Wenn Eve nicht in der Lage ist, Serverfilterregeln und / oder die Protokolle auf dem Mailserver anzuzeigen, wird sie nie erfahren, dass Bob E-Mails von Alice empfängt.

Hinweis: Dies ist keine todsichere Lösung, wenn es keine gibt Affären-bezogene Mails, die & zwischen Alice und Bob zurückgehen, die Eve sehen sollte, um nicht misstrauisch zu werden (was an sich ein ganz neues Problem ist, da Alice sicherlich geschäftliche &-Privatinformationen mischen wird, wie es Liebhaber nicht tun zu tun).

2.) Für E-Mails von Bobs geheimem Affärenkonto an Alice wird er seine Absenderadresse fälschen, um von Bob@Bob.Bob zu stammen. Solange Alice nicht mit Headern vertraut ist und die Mail-Header auf Inkonsistenzen überprüft, wird sie niemals klüger sein.

Diese Lösung hat einige Voraussetzungen:

A. Eve kann nur den Computerverkehr von Bob (sofern nicht wie bei vielen Webmail-Diensten verschlüsselt) und E-Mails (Client oder Webmail-Konto) und NICHT die Protokolle und / oder Filterregeln des Mailservers überwachen.

B. Offensichtlich muss Bobs Mailserver das serverseitige Filtern und Umleiten ermöglichen, damit Mails von Alice niemals in Bobs tatsächlichem Mail-Konto angezeigt werden.

C. Der SMTP-Server des geheimen Affärenkontos von Bob muss das Senden von E-Mails mit einer anderen Absenderadresse ermöglichen.

Keine Lösung. Wie Philipp betont, beschränken sich Ihre Anforderungen auf "Bob und Alice können nur im Klartext direkt über einen überwachten Kanal kommunizieren", denn wenn Bob etwas anderes verwendet, wird Alice erkennen, dass er etwas versteckt.

Sie gehen davon aus, dass eine Person nur eine persönliche E-Mail-Adresse haben kann, aber das stimmt nicht. Wenn Alice keine wissende Teilnehmerin an Bobs Ehebruch ist, sollte es keinen Grund für sie geben, zu wissen, dass bob@bob.bob die "einzige" persönliche Adresse für Bob ist. Er könnte ihr bob@gmail.com geben und sie wäre nicht klüger.

Wenn Eve nur das Netzwerk überwachen kann, aber nicht den Computer, könnte Bob die E-Mail mithilfe eines Servers verbergen. basierter E-Mail-Client und sichere Kommunikation mit ihm. Wenn Eve den Computer überwachen kann, kann sie die E-Mail-Korrespondenz sehen, bevor (oder nachdem) Verschlüsselungs- (oder Entschlüsselungs-) Vorgänge stattgefunden haben.

Die moderne Art, E-Mails zu versenden, gibt bereits eine Antwort auf Bobs Problem. Tatsächlich verschlüsselt ein Dienst wie GMail bereits die Kommunikation von E-Mails zwischen zwei GMail-Adressen. Darüber hinaus kann Bob mithilfe von HTTPS eine Verbindung zu seinem E-Mail-Frontend herstellen, wodurch das Abhören ungültig wird.

Wenn wir bedenken, dass Bob's nachlässig ist und seine E-Mail über Klartextverbindungen an seinen neuen Geliebten sendet, könnte er ein E-Mail-Relay einrichten, mit dem er über eine beliebige kryptografische Methode seiner Wahl kommuniziert. Lassen Sie das Relais sich um die E-Mail-Umleitung kümmern. Das einzige, was Eve sehen kann, sind verschlüsselte E-Mails, die von Bob an das Relay gesendet werden.

Wenn Eve jedoch in der Lage ist, den eingehenden Verkehr bei Alice zu überwachen (da sie alle Kandidaten ausspionieren kann), gibt es keine Bob kann viel tun, da er seine eigene Adresse für Alice verwenden muss.

Sehr seltsam, dass niemand die Lösung erwähnt, wie General David Petraeus seine Liebesbeziehung vor neugierigen Blicken versteckte:

Beide haben ein gemeinsames E-Mail-Webkonto. Jeder speichert seine Nachricht als Entwurf an die andere Person, ohne sie überhaupt zu senden. Die einzige erkennbare Übertragung (die normalerweise verschlüsselt ist) erfolgt zwischen Petraeus und dem Server (Yahoo, Google Mail usw.), um den Entwurf zu speichern. Und sicher, wenn jemand fragt, liest er / sie einfach seine E-Mails, sonst nichts.

BEARBEITEN: Es ist möglich, aber es setzt voraus, dass Alice technisch unfähig ist und ein Webmail-Konto hat und Bob ist ziemlich bösartig.

Bob empfängt Alices-Mails:
Bob richtet an seinem Arbeitsplatz einen (eventuell versteckten) Mailserver ein und gibt Alice die Adresse. Eve wird informiert, dass ein neues Zeiterfassungssystem installiert ist. Der Server extrahiert die Nachrichten von Alice und fügt sie steganografisch in Jobinformationen ein (Sie haben bla bla Stunden gearbeitet), die dann von Eve gesehen werden. Um ein schlechtes Timing zu vermeiden, richtet Bob einen Cronjob ein, damit die Mails immer zur gleichen Zeit verschickt werden. Eve kann nichts Verdächtiges sehen, nur dumme, langweilige E-Mails vom Arbeitsplatz.

Alice erhält Bob-E-Mails:
Härter, bösartiger und abhängig von Alices Dummheit. Bob muss Alices Passwort für ihr Konto erhalten (Angebot zum Einrichten des Mail-Programms, neugierig, wenn Alice nach ihrer E-Mail sucht). Wenn Bob ihre Nachrichten erhalten hat, meldet sich Bob dreist als Alice an, schreibt seine Antwort als Entwurf auf und verschiebt die Nachricht in den Posteingang ! Natürlich würde jeder Benutzer, der sich die Überschriften ansieht, sofort die Täuschung sehen, aber wie gesagt, es hängt von Alices Dummheit ab.

Bitmessage kann die Lösung sein. Siehe https://bitmessage.org/wiki/Main_Page. Bitmessage verbirgt, wer mit wem kommuniziert, und alle über das Netzwerk gesendeten Nachrichten werden verschlüsselt, authentifiziert und digital signiert.

Aus Wikipedia: Bitmessage ist ein dezentrales, verschlüsseltes Peer-to-Peer-Kommunikationsprotokoll ohne Vertrauen Dies kann von einer Person verwendet werden, um verschlüsselte Nachrichten an eine andere Person oder an mehrere Abonnenten zu senden. Bitmessage verschlüsselt den Nachrichteneingang jedes Benutzers mithilfe der Kryptografie mit öffentlichem Schlüssel und repliziert ihn in seinem P2P-Netzwerk. Dabei wird es mit den Posteingängen anderer Benutzer gemischt, um die Identität des Benutzers zu verbergen, das Abhören zu verhindern und dem Netzwerk einen dezentralen Betrieb zu ermöglichen. Das Bitmessage-Kommunikationsprotokoll vermeidet Absender-Spoofing durch Authentifizierung und verbirgt Metadaten vor Abhörsystemen

Dies war eine ziemlich gute Frage und ist trotz einiger Kommentare sehr sicherheitsrelevant. Es ist auch ein echtes Problem. Lassen Sie sich nicht in die wundersamen Details verwickeln. Konzentrieren Sie sich stattdessen auf das allgemeine Problem, das gleichermaßen auf Probleme der realen Welt angewendet werden kann, mit denen Journalisten oder so ziemlich jeder konfrontiert sind, der in einem Land lebt, in dem staatliche Kontrolle und bürgerliche Freiheiten möglicherweise uneins sind. Dies ist im Wesentlichen das Metadatenproblem. Ein Dritter muss den Inhalt der Kommunikation nicht wirklich kennen, um Schlussfolgerungen darüber zu ziehen, was in der Kommunikation enthalten war. Die Tatsache, dass diese Schlussfolgerungen auf ungenauen oder falschen Annahmen beruhen können, ist weitgehend irrelevant.

Die allgemeine Frage lautet: Wie kann Partei A mit Partei B ohne Partei C kommunizieren, die Zugriff auf die Metadaten von Partei A hat und weiß, dass eine gewisse Kommunikation stattgefunden hat?

Bei E-Mails ist dies äußerst schwierig. Es gibt andere Protokolle, die entweder weniger nützliche Metadaten enthalten oder die Verschleierung der Metadaten ermöglichen können. Das Problem hierbei ist jedoch, dass Partei B diese anderen Protokolle möglicherweise nicht kennt oder will oder gar kennt. Der Vorteil von E-Mails liegt in ihrer Allgegenwart.

Wenn wir davon ausgehen, dass die Einschränkungen des ursprünglichen Problems gelten, d. h. Partei A kann nicht einfach eine andere E-Mail-Adresse erhalten, scheint die naheliegendste Lösung die Verwendung des MiTM-Szenarios zu sein. Im Wesentlichen wird eine Form von Relais, bei der Partei A die Nachricht an Partei D sendet, die sie an Partei B sendet, und die Antwort von Partei B an Partei D und dann zurück an A. Dies weist jedoch auch eine Reihe von Einschränkungen auf. Partei B (die nicht kooperiert) kann feststellen, dass die Nachrichten weitergeleitet werden und verdächtig werden. Ebenso könnte sich Partei C fragen, welche Nachrichten an den Relaispunkt gesendet werden, und ebenso verdächtig werden, insbesondere wenn C Nachrichten, die an den Relais gesendet werden, mit anderen Verhaltensweisen verknüpfen kann und eine ausreichende Häufigkeit vorliegt. Das Problem bei der Verwendung von Relais jeglicher Art besteht darin, dass das gesamte Metadatenmuster nicht geändert wird, sondern lediglich ein weiterer Sprung in den Prozess ausgeführt wird.

Bei Metadaten geht es um Muster und Musteranalyse. Um die Kommunikation auf dieser Ebene auszublenden, müssen Sie die Muster verdecken. Verwenden Sie anstelle eines Relais mehrere Relais und verwenden Sie jedes Relais für mehrere Empfänger. Diffuse Muster durch Kommunikation mit vielen Menschen (im Beispiel des OP senden Sie nicht nur eine E-Mail an Ihre Geliebte, sondern auch an viele andere Frauen, die nicht Ihre Geliebte sind).

Ich denke, der Punkt hier ist, dass alles, was Sie tun, Metadaten hinterlässt. Diese Metadaten können verwendet werden, um Annahmen basierend auf den in den Metadaten identifizierten Mustern zu zeichnen. Jeder, der argumentiert, dass nur Menschen, die etwas zu verbergen haben, sich um Metadaten sorgen müssen, denkt nicht darüber nach, welche Annahmen kreative Menschen möglicherweise aus diesen Mustern ableiten können. Wenn diejenigen, die die Schlussfolgerungen ziehen, eine ausreichende Aussagekraft haben, ist die Tatsache, dass die Annahmen möglicherweise falsch sind, irrelevant. Wenn sie glauben, dass die Annahmen korrekt sind, werden sie entsprechend handeln, und dies kann ungeachtet der Wahrheit nachteilige Auswirkungen haben. Für diejenigen mit ausreichender Macht / Einfluss kann es genauso wichtig sein, wie Ihre Wahrnehmung ist wie wie Sie - wenn Ihr Partner an Ihr Betrügen glaubt, wird Ihr Leben wahrscheinlich unglücklich, unabhängig davon, ob Sie es sind oder nicht. Wenn Ihre Regierung der Ansicht ist, dass Sie Datenmuster aufweisen, die häufig mit terroristischen Aktivitäten in Verbindung gebracht werden, werden sie Sie wahrscheinlich unabhängig von Ihren tatsächlichen Handlungen als solche behandeln. Wenn Ihr Unternehmen der Ansicht ist, dass Sie aufgrund von Metadaten als Hinweisgeber identifiziert wurden, werden Sie sich wahrscheinlich selbst finden arbeitslos unabhängig von der Realität.

Metadaten sind wertvoll und potenziell gefährlich. Es wird existieren, unabhängig davon, was wir wollen. Es ist wichtig, dass der Zugang angemessen kontrolliert wird und der Zugang über angemessene Checks and Balances verfügt. Wir können nicht davon ausgehen, dass einige Metadaten, da sie uns harmlos erscheinen, nicht von anderen verwendet werden können, insbesondere wenn sie mit anderen Quellen kombiniert werden. Aus Sicherheitsgründen sollten wir auf alle unsere Daten das normale Prinzip des Wissensbedarfs anwenden, nicht nur auf die Daten, die wir für vertraulich oder wichtig halten. Wir müssen davon ausgehen, dass es immer jemanden gibt, der klüger und kreativer ist als wir. Wenn Sie Ihren Partner betrügen, stellen Sie sicher, dass Sie eine separate Netzidentität haben, von der er nichts weiß!