Letzte Woche habe wir darüber berichtet, dass im Europaparlament seit Beginn der NSA-Affäre wenig in Hinsicht IT-Sicherheit passiert ist. Wir veröffentlichen nun das ganze Schreiben der Generaldirektion Innovation und technologische Unterstützung (DG ITEC), das zeigt, wie versucht wird, statt PGP auf die „internen Verschlüsselungsmethoden von Office, 7zip und PDF“ zu verweisen. Grundlage des Schreibens ist eine Anfrage, GPG4Win auf einem Rechner innerhalb des EU-Parlamentes zu installieren.
In dem Zwischenbericht hatte DG ITEC noch darauf verwiesen, man könne das Ausrollen von PGP- und SMIME-basierter Verschlüsselung und Signierung starten, sobald „Bedarf da ist und Lizenzen vorliegen.“ In der uns vorliegenden Antwort – die deutlich nach der Erstellung des Zwischenberichts entstand – klingt das anders:
Aktuell gibt es keine passende „Out-of-the-Box“-Lösung für Ihre Anfrage. Ein Paket für PGP-artige Software ist gerade in Entwicklung, um die Integration in die Standardkonfiguration zu ermöglichen. Aber wir waren noch auf Informationen von den Diensten, die in die technischen Fragestellungen involviert sind.
Abgesehen von der Frage, was „PGP-artige Software“ sein soll, ist auch zweifelhaft, wie das mit dem früheren Zwischenbericht zusammenpasst. Der suggerierte zumindest einen etwas fortgeschritteneren Arbeitsstand.
DG ITEC rät, sich mit der „internen Verschlüsselung“ von Office, 7zip und PDF in der Zwischenzeit Abhilfe zu verschaffen. Dafür müsse man jedoch ein Passwort austauschen – mündlich. Wir können uns leider bereits vorstellen, wie das über ungesicherte Telefonleitungen passiert.
Doch DG ITEC schlägt, neben der Verwendung von Office, 7zip und PDF, noch ein anderes Workaround vor:
[…], z. B. die Installation der Software auf der zweiten Partition des Laptops, da diese Aktion keine Administratorrechte benötigt. In der Praxis gibt es hier jedoch einige Beschränkungen, die diesen Vorschlag inkompatibel mit ihrer Arbeit im Büro machen.
Das Betriebssystem auf der zweiten Partition darf sich nicht mit dem internen Netzwerk des Parlaments verbinden. Beide Methoden hätten ihre Stärken und Schwächen und „ihre Zuverlässigkeit hängt auch von gesundem Menschenverstand und gutem Verhalten ab.“
Englischer Volltext
For the time being there is no suitable and standard „out-of-the-box“ solution for your request. A package for a PGP-like software is currently in development in order to make possible its integration into the standard configuration but we are still awaiting informations from the services involved in this technical issue.
Nowadays, we can only propose workarounds – i.e installation of the software on the second partition of the laptops because this action doesn’t require administrator privileges but it has in practice some constraints making this proposal incompatible with your work at the office because the operating system on the second partition is not allowed to connect on the internal network of the EP, but it may fit your need for encryption if this need is not systematic.
There are some alternatives, some are available on our systems although they do not follow PGP’s principle of asymmetric cryptography. I can mention the built-in encryption methods in Office, 7zip and PDF. In the case of built-in encryption (and this is true for asymmetric encryption), the transmission of a „key“ will be necessary – it can be a password (provided verbally), or certificates (electronic files, usually sent by email of mobile storage devices like USB keys), the password can be transmitted verbally while the certificates (or encryption keys) cannot because they are too complex.
Both have their strenghts and weaknesses and their reliability also depend on common sense and good practices.
Das kommt in die engere Auswahl zum „Facepalm des Jahres“.
Vom Sicherheitsaspekt wäre es nicht verkehrt, wenn der ver- und entschlüsselnde Rechner separat vom am Netz befindlichen email Rechner wäre. Damit würde man keyloggende Geheimdiensttrojaner ausbremsen. Fraglich ist, wie man die verschlüsselten emails auf die Arbeitsrechner übertragen bekommt. USB ist ja hier auch nicht unbedingt die Methode der Wahl.
Wie wär’s mit Abtippen?
ROFL, gut gegeben. (,-)
Verschlüsselten Text auf dem air-gap PC ausdrucken + auf dem Netzrechner wieder einscannen(OCR).
Oder auf CD/DVD brennen + auf dem Netzrechner einspeisen.
Statt OCR liese es sich auch als jpeg,png versenden.
Verschlüsselt mit mündlich unter 4 Augen ausgetauschten Passwort.
Der 5Eyes Mob soll es doch nicht so leicht haben.
Das ist vermutlich die übliche EU-Prosa, die von minderentlohnten Praktikanten verfasst wird. Hie ein weiteres amüsantes Beispiel:
Brüssel, den 8.4.2014
COM(2014) 207 final
MITTEILUNG DER KOMMISSION AN DAS EUROPÄISCHE PARLAMENT UND
DEN RAT
Ein neues Zeitalter der Luftfahrt
Auf Seite 3 findet man in einem Textkasten:
http://ec.europa.eu/transport/modes/air/doc/com%282014%29207_de.pdf
Mit PGP-artiger Software dürfte GNU Privacy Guard (GPG) gemeint sein.
Wahrscheinlich nicht. Im Zwischenbericht steht, dass man sich für was anderes entschieden hat.
andere Baustelle aber: immerhin hat das EU-Parlament ihren https-login nicht so verbockt (https://www.ssllabs.com/ssltest/analyze.html?d=epnet.europarl.europa.eu A-) wie die EU-Kommision (https://www.ssllabs.com/ssltest/analyze.html?d=webgate.ec.europa.eu F, MITM-Attack möglich)
Sagt mal, warum nimmt sich nicht eigentlich mal jemand mit Geld und Gestaltungswillen dieser ewigen GPG-Baustelle an? Ich versteh’s wirklich nicht.
Was Werner Koch da macht ist ja alles schön und gut, aber eben immer noch so Nutzerunfreundlich (und cross-platform-kaputt), dass Leute wie Moxie Marlinspike auf den Tod der Software hoffen und für Smartphones eigene Lösungen entwickeln. Kann ja sein dass „die Europäer“ dazu nicht in der Lage sind, aber es muss doch bei irgendwelchen Riesen-Softwareschmieden genug Ressourcen geben – oder bin ich da einfach Naiv, und Moxie Marlinspike hat recht?
Jede Software ist eine ewige Baustelle. Programmierer wissen das, User eher nicht.
Das ist nicht zuletzt deshalb der Fall weil man per 1000 Quellcode mit mindestens einem Bug (Fehler) rechnen muss. Mit Geld kann man zwar viel machen, aber das bedeutet noch nicht, das man die „richtigen“ Leute damit bekommt.
Usability (Bedienbarkeit und Komfort) und Sicherheit stellen gegensätzliche Pole in der IT dar. Wenn es darum geht beides in Einklang zu bringen geht es nicht ohne Abstriche.
Ein großes Problem sind die sogenannten GUIs und die Betriebssysteme und Tools, die solche ermöglichen.
Hat man beispielsweise ein Kommandozeilen-Tool auf maximale Sicherheit getrimmt und will dafür ein GUI als wrapper darum herum bauen, handelt man sich die ganze Anfälligkeit für Sicherheitsprobleme zusätzlich ein, die diese Grafik-Tools mitbringen. Das kann im Extremfall dazu führen, dass ein sicheres Kommandozeilen-Tool mittels der GUI exploited werden kann.
Weiterhin ist das Vertrauen in jedwede „Softwareschmiede“ ein großes Problem, insbesondere wenn der Quellcode nicht einsehbar ist. Kann ich den Quellcode selbst herunterladen und selbst Kompilieren, kann ich ggf. ein sauberes Programm herstellen. Lade ich hingegen ein einen Binärcode (z.B. *.exe) herunter kann ich nicht wissen, was da noch zusätzlich drin steckt.
Na ja, immerhin hat sich Snowden für GnuPG und XMPP/OTR entschieden, um mit Laura Poitras, Glenn Greenwald und Micah Lee zu kommunizieren – und nicht für Moxies TextSecure.
Um diese beiden Krypto-Welten mal gegenüberzustellen: GnuPG und Chatprogramme, die auf XMPP/OTR basieren, sind wenig benutzerfreundlich, aber sauber (was nicht mit „fehlerfrei“ gleichgesetzt werden sollte). Moxies TextSecure ist wunderbar benutzerfreundlich, aber nicht sauber, weil es nur in Koexistenz von Google Software (=Spyware) funktioniert.
Was wir alle gern hätten, ist die Verbindung der Vorteile beider Lager – ohne ihre jeweiligen Nachteile. Es gibt da sehr interessante Ansätze, PGP für Normalmenschen nutzbar zu machen (Volker Birks Pretty Easy Privacy oder Mailpile von einem kleinen isländischen Team). Allerdings haben diese Entwickler nicht nur mit den grundsätzlichen Problemen des SMTP-Protokolls zu kämpfen, sondern auch mit chronischer Unterfinanzierung. Die „Netzgemeinde“ ist zu großen Teilen eben nicht so spendenfreudig, wie es nötig wäre, um diese Projekte schnell voranzutreiben. Und mögliche institutionelle Geldgeber (wie die EU) halten sich vornehm zurück.
Ich kenne die technischen Probleme, aber da ist nichts unlösbar dran. Die „Zurückhaltung“ ist, was mich wundert. Nicht nur von „Institutionen“.
Und was usability angeht: ich habe nach aktueller Zählung null (0) regelmäßige Kontakte, mit denen ich per PGP kommunizieren kann, weil alle es drangegeben haben. Integriert sich mehr schlecht als recht, und baut eben dauernd Probleme.
TextSecure geht so, das iOS-pendant Signal ist bei allen, die’s benutzt haben wieder rausgeflogen. Absurderweise nutzen aber so einige Leute Threema – sogar komplett technikferne Menschen. Was daran liegt, dass es (bisher) funktioniert, und bedienbar ist. Ausgerechnet. Closed source wins, once again. Because, fuck this.
Wer mal versucht hat, als Angestellter einer großen Firma, einem Kunden oder Kollegen eine verschlüsselte eMail zukommen zu lassen wird sich wundern.
1. Eine Verschlüsselung der eMails ist wohl nur sehr selten möglich.
2. Verschlüsselte Anhänge werden entweder nicht versendet oder spätestens bei Empfänger der eMail blockiert.
3. Sichere Passworte werden vom Empfänger des verschlüsselten Anhanges, mit Sicherheit falsch eingegeben.
Datensicherheit der Firmen-PC nur um den PC vor seinem User zu schützen.
Ein echter Datenschutz vor Spionage passiert wohl nur bei kleinen Firmen mit Ahnung ….