Wertes Forum,
bei Apple habe ich keine Informationen gefunden, womit und wie stark die Verschlüsselung von Notizen arbeitet. Ich vermute AES128. Kann das jemand bestätigen?

jap mind. AES128

Mit der App Exporter lassen sich wohl auch passwortgeschützte Notizen exportieren.

Solange sie nicht in der iCloud landen, kann sogar laut eigenen Aussagen nicht einmal Apple diese entschlüsseln. Daher sollten diese nicht im icloud-Backup gesichert werden oder generell hochgeladen werden, sofern es sich um sensible Daten handelt.

Dass im iCloud-Backup der Schlüssel enthalten ist, ist bekannt. Ich gehe davon aus, dass kein iCloud-Backup angefertigt wird.
Wenn mit AES-128 verschlüsselt wird kommt doch aber nach eigener Aussage auch Apple nicht dran. Warum dann nicht irgendwo im Netz bzw. in iCloud speichern?

Die härte der Verschlüsselung ist selten das Problem, das Thema ist wer Zugang zu dem Schlüssel hat.

Wenn du etwas über den Browser aufrufen möchtest, dann hat der Server und damit der Dienstleister Zugriff auf deinen Schlüssel.

Jepp. Siehe zu dieser Frage auch:

t3n (03.03.2018): Wie sicher ist die Verschlüsselung von Apples iCloud?
Künftig werden alle iCloud-Daten chinesicher Nutzer an den Cloud-Serviceanbieter GCBD übertragen. Welche Folgen hat das für die Nutzer und wie sicher sind ihre Daten?

Engl.-sprachiger Originalartikel:

Mathew Green – A Few Thoughts on Cryptographic Engineering (16.01.2018): Apple in China: who holds the keys?

Außerdem dazu auch:

activeMind AG (11.04.2019): iCloud im Unternehmen
Apple bietet mit iCloud einen umfassenden Dienst an, um Daten von Nutzern extern zu speichern bzw. zu sichern. Dieser Dienst ist für Kunden sicherlich praktisch, aus Compliance- und datenschutzrechtlicher Sicht für Unternehmen allerdings problematisch.

Und bzgl. Schlüssellänge:

Paragon Initiative (14.03.2019): The Definitive 2019 Guide to Cryptographic Key Sizes and Algorithm Recommendations

BSI – Technische Richtlinie (22.02.2019): Kryptographische Verfahren: Empfehlungen und Schlüssellängen
bzw. (PDF)

SierkB musst du eigentlich immer so eine Zitatenummer raushauen, schreib doch einfach eine Zusammenfassung.

Das Problem, dass der Provider also z. B. Apple den Schlüssel weiss ist technischen Umständen geschuldet. Es ist im großen Massstab mit sehr vielen Kunden UND wenn es bequem sein soll, aktuell schlichtweg nicht möglich einen Schlüssel/Password Tausch vorzunehmen, ohne dass ein Dritter das potentiell einsehen kann UND man die Kosten im Auge haben muss.

Gehen tut das im Kleinen, aber was das für ein Gewürge ist sieht man beispielsweise beim Threema-Web-Client.

Ich halte das aber aktuell sowieso für Kinderkram, ob jemand die Verschlüsselung knacken kann, für ein viel größeres Problem halte ich, dass kriminelle Entwickler und Admins Zugangsdaten direkt abgreifen. Da nutzt auch eine tolle Verschlüsselung nichts, 2FA hilft da schonmal weiter.

Letztendlich werden wir uns damit abfinden müssen, dass wir wie bei Apple Pay pro Vorgang einen Schlüssel haben und uns abhängig machen werden von einer Schlüsselverwaltung und selber kein Passwort mehr kennen werden.

Jörg H:

Warum willste nicht die Quelle haben? Warum und wozu muss ich das dann nochmal wiederkäuen und in meinen Worten interpretieren (und evtl. verfälschen durch zu verkürzte Wiedergabe), wenn da schon meiner Ansicht nach jemand recht gut was dazu geschrieben hat und ich der Ansicht bin, es durch meine eigene Wiedergabe/Interpretation nicht besser rüberzubringen und eher zu verfälschen oder gar zu verschlechtern (was immer die Gefahr bei Zusammenfassungen von Dritten ist)?
Hier geht's nicht in erster Linie um Bauchnabelschau und darum, was meine persönliche Meinung und Interpretation ist, die stelle ich hinter sowas eher etwas zurück.

Jörg H. musst du eigentlich immer so ein Gemeckere über Beiträge absondern, die Dir nicht passen, statt sie einfach nicht zu lesen?

Doch darum geht es dir:
Im Heise-Forum gab es früher ja auch schonmal das Thema mit dir: «Wo bleibt SierkB, ach der muss noch die Links zusammensuchen.»

Deine ganzen Links zum Thema gehen am Problem vorbei und beschreiben nur die Auswirkungen einer gewissen technischen und politischen Machtlosigkeit, nicht aber die Ursachen und evtl. Lösungen.

Zum anderen ist das hier ein Forum und kein Wiki, so sehe ich das zumindest und da wird nach persönlichen Erfahrungen gefragt. Also, was ist deine persönliche Erfahrung mit Verschlüsselung im Zusammenhang mit Apple oder dein persönliches Wissen?

Das immer finde ich super - ist das erste Mal. Das nächste Mal werde ich dich garantiert nicht vorher fragen.

Jörg H:

Was kümmert mich das Heise-Forum? Was kümmert mich die Meinung Anderer und was die von mir halten und hinter meinem Rücken über mich lästern? Ist mir scheißegal.
Gegenbeispiel zu Deinem Beispiel: von der Heise-Redaktion bin ich mal explizit deswegen per email angeschrieben worden, da hat sich der betreffende Autor des betreffenden heise-Artikels bei mir dafür explizit per email bedankt, als ich auf diese Weise was richtiggestellt habe in Bezug auf HTML5, das W3C und wie dort Standards gemacht werden, weil im Forum nur wild rumgetrollt und rumgebasht wurde und gelästert wurde, ohne dass auch nur einer wusste, worüber er sprach und wie die Dinge funktionieren und die Regularien und Abläufe beim W3C sind.
So unterschiedlich sind also die Wahrnehmungen.

Ich arbeite beruflich derzeit im Bereich Datenschutz, Verschlüsselung ist mir somit ein Begriff, ebenso wie die DS-GVO et al. Das sollte Dir als Info reichen.

Das reicht mir aber nicht:
Den indirekten Verweis auf alte Bücher und Artikel von dir, wie lange ist das nochmal her?, finde ich auch nicht zweckmässig.

<OT>
Jörg H.:

Das ist mir scheißegal, ob Dir das reicht oder nicht. Find' Dich damit ab, mehr geht es Dich nicht an, und es tut hier auch nix zur Sache. Thread-Thema ist ein Anderes, und es geht hier nicht um mich.
Und auf Bücher und Artikel habe ich nicht verwiesen oder Bezug genommen (weder eigene noch andere, weder direkt noch indirekt), also lutsche es Dir auch nicht aus dem Ärmel und stelle nix in die Welt und insinuiere bzw. unterstelle bzw. behaupte was, was weder den Tatsachen entspricht noch hier Thema ist noch hier hingehört.
Danke fürs Gespräch. Gute Nacht.
</OT>

Back to topic, please.

Sorry:

Ich wollte dir nicht zu Nahe treten.

Genau, so siehst Du das. Und andere sehen das anders und freuen sich über die Linkzusammenstellungen von sierkb.

Jetzt gibt es zwei Möglichkeiten:

• sierkb postet keine Links mehr, dann werden Du und Dir Gleichgesinnte nicht durch diese Beiträge, die sie nicht interessieren, „belästigt“. Aber alle, die das interessiert, müssen sich jetzt die Arbeit machen und die Beiträge im Netz selbst zusammensuchen.
• sierkb postet weiterhin Links. Das freut diejenigen, die diese Zusammenstellungen mögen, weil sie sich kompakt informieren können, aber Du und Dir Gleichgesinnte, ihr müsst diese Beiträge, damit sie Euch nicht nerven, überspringen.

Nehmen wir an, es gibt gleich viele, die von den Linkzusammenstellungen genervt werden und die sie gut finden. Nehmen wir weiterhin an, das eigene Ergoogeln entsprechender aussagekräftiger Links dauert lediglich 10 Minuten und das innere Ringen, Beiträge mit Linkzusammenstellungen, die einen nicht interessieren, auch nicht zu lesen, dauert satte 10 Sekunden. Nehmen wir schließlich an, 100 Leute lesen den Thread, also 50 pro Links und 50 contra.

Wenn sierkb weiterhin Links postet, gewinnen die pro-Link-Leute 50 × 10 Minuten = 8,33 Stunden an Zeit, die contra-Link-Leute verlieren hingegen 50 × 10 Sekunden = 8,33 Minuten an Zeit. Gesamtgesellschaftlich also ein Zeitgewinn von 8,19 Stunden.

Würde sierkb hingegen keine Links mehr posten, wäre es umgekehrt gesamtgesellschaftlich ein Zeitverlust von 8,19 Stunden.

Was ist besser, ein Zeitgewinn von 8,19 Stunden oder ein Zeitverlust von 8,19 Stunden?

Himmelherrrgottnochmal, was ist daran nur so schwer zu verstehen?

Weia, ich habe dir ein Plus gegeben, du hast mich wirklich überzeugt.

Danke!