CCC fordert ein striktes Verbot unverschlüsselter Kommunikation

Der Chaos Computer Club fordert ein striktes Verbot unverschlüsselter Kommunikation. Ein Auszug aus der PM:


netzpolitik.org - unabhängig & kritisch dank Euch.

An dieser Anti-Krypto-Gebetsmühle dreht nun auch Bundesinnenminister Thomas de Maizière, offenbar ohne jeden Lerneffekt aus höchstrichterlichen Urteilen, der bekanntgewordenen Spionage ausländischer Geheimer und Binsenweisheiten aus den Informatik-Erstsemestervorlesungen. Technisch mehr oder weniger versierte Menschen sind jederzeit in der Lage, Maßnahmen zu treffen, die eine verschlüsselte Kommunikation verheimlichen. Daher wird eine Regulierung der Verschlüsselung nicht nur ins Leere laufen, sie ist auch schädlich und praktisch nicht durchführbar. Wenn wir eines aus den Snowden-Papieren zur Kenntnis nehmen müssen, dann ist es der Aufruf zur digitalen Selbstverteidigung durch Verschlüsselung. „Nach den öffentlich gewordenen Spionage-Programmen von Echelon bis zu den Snowden-Leaks, ist es offensichtlich, daß die Macht, Verschlüsselung zu brechen, für wirtschaftliche und militärische Interessen mißbraucht wird,“ erklärt CCC-Sprecher Jan Girlich. Der CCC fordert daher ein striktes Verbot unverschlüsselter Kommunikation. Jedes Bit und jedes Byte, das von Providern transportiert und von Banken oder dem Finanzamt verarbeitet wird, muß verschlüsselt sein. Wer Daten seiner Kunden unverschlüsselt überträgt, archiviert und damit deren Sicherheit gefährdet, muß mit empfindlichen Strafen belegt werden. Und das nicht erst, wenn der Mißbrauch der Daten zufällig bekanntgeworden ist.

27 Kommentare
  1. Jetzt ist es an der Zeit, die zuständigen Abgeordneten der Koalition im Bundestag darauf hinzuweisen, dass wir Wähler mehr Verschlüsselung wollen und nicht weniger. Die Sprecher der zuständigen Arbeitsgruppen „Digitale Agenda“ und „Inneres“ von SPD und CDU findet man auf den Seiten der Fraktionen. Ruft doch mal an!

    * http://www.spdfraktion.de/fraktion/arbeitsgruppen/arbeitsgruppe-digitale-agenda
    * http://www.spdfraktion.de/fraktion/arbeitsgruppen/arbeitsgruppe-inneres
    * https://www.cducsu.de/fraktion/digitale-agenda
    * https://www.cducsu.de/fraktion/innen

    1. Ich vermute, dass der Grund das verwendete Zertifikat ist. Es ist von CaCert ausgestellt, weshalb die üblichen Browser da erst mal Panik machen und Warnungen schmeißen. Sicherlich einerseits schade, zeigt andererseits aber auch, welche Probleme zentrale Zertifikat-Vergabestellen mit sich bringen…

    2. „Um kommerziellen Sites die Benutzung von SSL zur Kreditkartenübermittlung zu ermöglich, ohne daß der Benutzer mit Fragen genervt wird, haben Netscape und M$ mehrere sog. Root-CAs eingebaut. Diese CAs unterschreiben die Certs gegen Geld und Anerkennung teils absurder Lizensbedingungen. Da wir mit der Mafia keine Geschäfte machen, ist unser CERT von einer privaten CA herausgegeben. Deswegen müsst ihr das formell in der gleich folgenden Prozedur herunterladen.“

      http://dasalte.ccc.de/https/alt.de

      Falls du https haben willst musst du also nur das Zertifikat akzeptieren.

    3. https is sowieso keine end-to-end Verschlüsselung. RCAs sind schließlich leicht kontrollbare Entitäten, die die Schlüssel dann an die Behörden weitergeben können.

      Das wird mit diesen neuen Gesetzesvorschlägen vom de Maizière, Cameron, Obama und co dann auch offiziell werden, end-to-end Verschlüsselung wird verboten werden unter dem Straftatbestand der Informationshinterziehung (genau wie jede Bitcoin-/Crypto-Währungstransaktion automatisch unter den Verdacht der Steuerhinterziehung fallen wird) und https etc wird bürokratisiert und reguliert werden, d.h. du wirst eine Lizenz benötigen wenn du eine Website betreibst und eine bestimmte Schlüsselinfrastruktur einhalten müssen, so dass WLANs etc einigermaßen sicher sind, aber die Behörden immer auf alle Daten zugreifen können.

      1. warum soll https keine end-to-end verschlüsselung sein? Wenn ich die website des cc mit https aufrufe, ist das eine end-to-end verschlüsselung zwischen mir und dem webserver….
        Genauso bei der Bankwebsite, etc..

      2. http://security.stackexchange.com/questions/42409/are-self-signed-certificates-actually-more-secure-than-ca-signed-certificates-no

        Da der CCC selbst-signierte Zertifikate benutzt, kann ma das in diesem Fall noch am ehesten end-zu-end Verschlüsselung nennen, ja, aber auch der ist ein öffentlich lokalisierbarer Verein und eine leicht auffindbare Entität für eine secret gag order. ;)

        Meinetwegen könnte man spitzfindig auch sagen, ok, https *ist* end-to-end Verschlüsselung, aber zwischen Zertifikatausgabestelle und dem Browser, und der eigentliche Webseitenbetreiber ist ein MITM ;)

        Das Problem ist die gesamte Architektur des heutigen Internets; Lösen kann ma das mit Ansätzen, wo Inhalte und Dienste von physikalischen Servern und Infrastruktur abstrahiert werden, wozu es interessante Projekte gibt, wie in einem anderen Kommentar beschrieben. Du kannst heute schon etwa RetroShare – https://en.wikipedia.org/wiki/RetroShare – mal ausprobieren, das ist in etwa, was ich mit echter end-to-end Verschlüsselung meine, aber das ist nur ein Anfang, höchstens eine Art Proof-of-Concept, Prototyp, oder Design-Studie, das reicht noch lange nicht.

  2. Es ist doch heute noch nicht der 1. April. Was soll denn das?

    Ich habe vor einem Jahr meinen Paid-Account bei Web.de gekündigt, u.a. weil Mails dort nur noch verschlüsselt abgerufen werden können. Das tat nicht weh und hat Geld gespart, aber es ging mir auch ums Prinzip. Jeder Zwang zur Verschlüsselung sollte in die linksradikale Mottenkiste, da wo er hingehört.

    Wer verschlüsseln will oder muß (z.B. Angela Merkel ihr Handy), soll das tun. Alles andere ist grober Unfug.

    1. Du hast es wohl nicht kapiert. Ich bin froh, dass web.de das getan hat. SSL, TLS, STARTTLS sind der richtige Schritt in die richtige Richtung. Warum sollte man seine Mails heutzutage unverschlüsselt abrufen? Damit sie jemand im selben LAN wie du gemütlich mitlesen kann?
      Ich verstehe dein Prinzip nicht. Man sollte schon allein dann, wenn die Möglichkeit zur Verschlüsselung gegeben ist, sie auch nutzen. Dann sollte es einem auch nichts ausmachen, wenn es erzwungen wird.

      1. Wenn Du gerne gezwungen wirst, dann will ich Dich nicht daran hindern. Ich bin ein freier Mensch und habe, wie gesagt, meinen verschlüsselten Mailaccount gekündigt.

    2. Klar.
      Du lässt bestimmt auch die Wohnungstüre weit offen stehen, wenn Du einkaufen fährst und bestehst darauf, dass Briefe grundsätzlich ohne Kuvert verschickt werden, trägst außerdem ein Schild um den Hals auf dem Name, Adresse, Personalausweisnummer, Bankdaten und Einkommen stehen.
      Denn nur wer völlig transparent ist, ist kein Terrorist *lach*

      Du möchtest also, dass jeder Trottel mit relativ primitiver (und automatisierter) Software Deine Daten abfangen, lesen, bearbeiten und manipulieren kann?
      Gerade auch „unsere“ alles geliebte Polizei, die inzwischen täglich mit Inkompetenz und Rechtsbeugung in den Medien vertreten ist und einer Regierungspartei, die von Freiheit und Menschenrechten im Grunde gar nichts hält, neben Kryptografieverbot auch daherkommt, das Bundesverfassungsgericht „entmachten“ zu wollen:
      http://www.spiegel.de/politik/deutschland/cdu-will-rechte-des-bundesverfassungsgerichts-beschraenken-a-962804.html (wobei die Meldung nun fast schon ein Jahr alt ist, hat nur keiner so recht mitbekommen, was unsere obersten Verbrecherleins da so zu treiben gedenken).
      Das sind sie, unsere „lupenreinen Demokraten“…

    3. Hahaha,

      genau, was rief noch Anne Franks Vater doch gleich als die Sicherheitskräfte im Haus waren: „Ich will mich nicht zwingen lassen leise zu sprechen!“
      Anne war froh endlich aus Ihrem Gefängnis hinter dem Schrank raus zukommen und endlich von den Sicherheitskräften „befreit“ zu werden^^

      Selbst ohne nach Macht strebender Geheimdienste ist Verschlüsselung immer gut, oder hast du noch nie was von Kriminellen gehört?
      Naja war wohl auch eher als Troll Eintrag von dir gemeint?!

      Man nehme mir das sehr makabere Beispiel nicht übel, aber diesmal gibt es keine westliche Macht die uns retten wird (wie die letzten 2 mal) wenn die Dienste des Staates mal wieder zu stark sind!

    4. Ich glaube du verstehst den ganzen Zusammenhang nicht.
      Es werden jetzt von alle Seiten (Cameron, Obama, de Maizière, de Kerchove) Backdoors in End-to-End Verschlüsselungen gefordert, was den ganzen Sinn dieser Verschlüsselung torpediert. Jetzt fordert der CCC deshalb als Gegenpol Verschlüsselung als Pflicht zu setzen. Das ist natürlich das krasse Gegenteil und ist eher eine symbolische Forderung, die so wohl nie umgesetzt wird.

      In der Praxis sieht das so aus, wenn jetzt z.B. der investigative Journalist zum Quellenschutz verschlüsselt kommuniziert, hat er keine Garantie, dass dank der geforderten Backdoor wirklich seine Quelle geschützt ist. In GB stehen dies Journalisten ja eh schon auf der Abschussliste der Geheimdienste, weil Sie der Regierung ein Dorn im Auge sind.

      End-to-End Verschlüsselung ist auch für den normalen Bürger die einzige Möglichkeit der NSA und dem GCHQ aus ihrer massenhaften Abschnorchelung zu entkommen und seine Privatsphäre zu wahren, wenn diese jetzt aus Gründen (Terrorismus, KiPo und was man sonst noch so jedes mal hört) infiltriert wird, ist das Internet nur noch eine riesige Überwachungsmaschine.

    5. Du hast das nicht richtig verstanden.
      Es geht darum, dass die Mails, und alle anderen Daten, auf dem Weg durch das Internet verschlüsselt sind. Dass sie, wenn sie auf dem Server bei Web, GMX und Co. liegen, AUCH verschlüsselt sind. Dass sie NUR dann sichtbar werden, wenn DU dich mit deinem Passwort bei Web, GMX oder sonst wo anmeldest. Du kriegst davon doch NICHTS mit!
      Wenn das als Standart aktiviert ist, dann brauch NIEMAND irgendetwas aktivieren oder irgendwo zusätzlich auf „entschlüsseln“ klicken oder so einen Mist.
      Du loggst dich ein und deine Mails sind da, unverschlüsselt. Du loggst dich aus und deine Mails werden wieder verschlüsselt. Ohne dein Passwort ist mit den Daten NICHTS an zu fangen.

      Das selbe Prinzip könnte man bei jeglicher Art von Datenübertragung machen.
      Dann zahlt von mir aus JEDER 2-5 € mehr im Monat und dafür ist das gesamte I-Net verschlüsselt. Für diese 2-5 € kann dann jedes Land seine Hardware aufrüsten damit das genauso gut, oder FAST, so gut funktioniert wie vorher ohne.

      1. Genau. Es geht darum, daß Mails, und andere Daten, verschlüsselt sind. Wenn ich das machen will, dann mache ich das. Ich verkaufe sogar selbst Verschlüsselungssoftware an Unternehmen, die gerne ihre Daten verschlüsseln wollen. Du kannst Dir gerne eine 30-Tage-Testversion kostenlos laden, hier: http://www.cobol.de/data_encryption.php

        Aber das ist immer nur FREIWILLIG. Ich zwinge niemanden, das zu nutzen. Genausowenig will ich gezwungen werden, meine Mails zu verschlüsseln. Es gibt viele Situationen, da ist eine Software fehlerhaft implementiert, und dann kann ich wegen falscher Schlüssel meine Mails gar nicht mehr abrufen, oder nur noch langsam.

        Das will ich nicht. Deshalb: wer verschlüsseln will, gerne. Im Einzelfall mache ich das auch. Aber nicht zwangsweise und immer und für alle.

    6. Lieber gar keine Mails als unverschlüsstelte Verbindungen.

      Es braucht nur jemand in einen öffentlichen WLAN den Sniffer anschalten, um Passwörter von Usern wie dir im Klartext mitlesen zu können.

  3. Erzwingen kann ma verschlüsselte (oder unverschlüsselte) Kommunikation nicht, aber Projekte wie Storj, MaidSafe oder Ethereum können eine neue Art von Internet schaffen, das auf DHT/P2P basiert und von Haus aus end-to-end verschlüsselt funktioniert. Siehe etwa https://www.youtube.com/watch?v=Wtb6L7Bg3zY

    Eins oder mehrere dieser Projekte hat das Potenzial, sich viral durchzusetzen, einfach weil das „neue Internet“ simpler zu bedienen sein wird. Single sign-on überall, keine Login-Daten und Passwörter mehr sich merken müssen bei jedem Wurzelsepp-Anbieter, keine umständliche Bürokratie mehr (DNS-Registrierung, RCAs) und kein technisches Know-how mehr erforderlich beim Aufsetzen einer Site, Chat, Messaging, Video conferencing, soziales Netzwerk, Blogs, Webseiten, Media Streaming, File-Syncing und -Sharing alles quasi out-of-the-box.

    Inhalte und Dienste sind dann quasi abstrahiert von (physikalischen) Server-Locations, ein längst überfälliger Paradigmenwechsel. Eine IP-Adresse direkt anzusprechen wird genauso altbacken empfunden werden wie heute eine Mailbox anwählen.

  4. Man mache sich klar, dass der CCC nicht ein generelles Verbot unverschlüsselter Kommunikation fordert. Du darfst „netcat“ für Dich selbst benutzen. Die Tatsache, dass Du das machst, bedeutet noch lange nicht, dass die so übertragenen Daten von Dritten, Vierten oder irgendwie in einem Sinn verwendet werden drüfen, die nicht Deiner Absicht entsprach.

    Kurz: Weder Inhalte noch Metadaten gehen irgend jemanden etwas an.

    Der CCC fordert (nach meiner Meinung), ein Verbot, fahrlässig mit Daten umzugehen, die nicht mir gehören. Wenn meine Aufgabe (etwa als Provider) der Transport von Daten von A nach B ist, dann ist das und nur das meine Aufgabe. Ich bin verantwortlich, wenn dabei Missbrauch geschieht, so wie die „Post“ (ak. Logistikunternehmen, Provider, Netzbetreiber) verantwortlich ist, wenn sie fahrlässig zulassen, dass finstere Gestalten Briefe öffnen.

    Es gibt einfache Möglichkeiten für Netzbetreiber, Softwareanbieter und Provider, das öffnen der ihnen anvertrauten Briefe zu verhindern. Verschlüsselung.

    Es ist darüber hinaus ganz und gar unredlich, selbst in einem anvertraute Briefe zu schauen, schon gar um eine Klassifizierung des Nutzers zum Beispiel zu Werbezwecken oder Nutzerkontrolle vorzunehmen. Wenn ein die „Post“ das tun würde, dann verstieße sie klar gegen das Grundgesetz.

    Daher ergeben sich die Regeln von selbst.

    Es ist keinem Anbieter von Diensten (auch nicht den „App-Herstellern“) erlaubt, Daten unverschlüsselt zu übertragen. Denn das ist einfach, zweckmäßig, verhältnismäßig und entspricht vollständig und wörtlich dem Geist des Grundgesetzes.

  5. Die EU fordert auch eine verpflichdende End2End Verschlüsselung!

    „Wenn der Markt nicht selbst Sicherheit durch Ende-zu Ende-Verschlüsselung herstellt, sollten Regulierungsmaßnahmen erwogen werden, die Serviceprovider und/oder Internet-Serviceprovider dazu verpflichten, einen Ende-zu-Ende-Schutz als Standard für Daten im Transit zur Verfügung zu stellen“, heißt es in den Empfehlungen des Ausschusses. “

    http://mobil.derstandard.at/2000010691458/EU-Parlament-Provider-zu-Verschluesselung-verpflichten?ref=rss

  6. der unterschied zu den politikern die jetzt die ganze man darf nicht verschlüsseln debatte losgetreten haben und dem bericht von stoa: bei stoa hat man 1 jahr lang überlegt … und dann die ergebnisse strukturiert zusammengeschrieben.
    das 80seitige pdf gibts übrigens hier
    http://www.europarl.europa.eu/RegData/etudes/STUD/2015/527410/EPRS_STU%282015%29527410_REV1_EN.pdf
    ps: bin mal kurz drübergeflogen. es sind dort auch ganz andere vorschläge zu finden wie zb das
    design or redesign Internet protocols to minimise the track a bility of users …
    more secure open standards

    muss man mal in ruhe durchlesen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.