Wissen

Volksverschlüsselung für unfreie Bürger

Die Deutsche Telekom und das Fraunhofer Institut wollen Verschlüsselung massentauglich machen, scheitern dabei aber an grundlegenden Problemen mit der Nutzerfreiheit und der technischen Prüfbarkeit. Eine Bewertung im Hinblick auf Privatsphäre und Freiheitsaspekte.

Grafik von Journalism++ unter CC-BY

Das Thema Volksverschlüsselung wird dieser Tage viel diskutiert. Es handelt sich dabei um Software, die von der Telekom und dem Fraunhofer Institut für Sichere Informationstechnologie gemeinsam entwickelt wurde. Ziel ist es, Verschlüsselung für alle Bürger benutzbar zu machen und technische Hürden abzubauen. Allerdings wird die Software weder diesem Anspruch noch dem Namen gerecht, da die zentralisierte Infrastruktur problematisch ist und keine Anonymität ermöglicht wird. Aber es gibt auch noch grundlegendere Probleme im Bezug auf Freiheit und Nutzerrechte.

Wir finanzieren uns fast vollständig aus Spenden von Leserinnen und Lesern. Unterstütze unsere Arbeit mit einer Spende oder einem Dauerauftrag.

Dies ist ein Gastbeitrag von Florian Snow, der als Softwareentwickler arbeitet und sich seit vielen Jahren ehrenamtlich für Freie Software engagiert. Für die Free Software Foundation Europe (FSFE) organisiert er eine Gruppe in Franken und ist als Übersetzer, Blog-Hacker und im PR-Team aktiv.

Gerade bei Verschlüsselung spielt Freie Software eine besonders wichtige Rolle. Zum einen müssen die Verschlüsselungsverfahren öffentlich bekannt und kontrollierbar sein. Dies ist leicht nachzuvollziehen, da es sich dabei um mathematische Verfahren handelt, und je mehr Menschen versuchen, diese zu brechen und daran scheitern, desto sicherer ist das Verfahren. Diesem Anspruch genügt die Volksverschlüsselung gerade so, denn die eingesetzen Verfahren werden zumindest genannt.

Die vier Freiheiten Freier Software

Mindestens genauso wichtig ist aber die konkrete Umsetzung in Programmcode, denn auch hier müssen möglichst viele Menschen prüfen können, ob alles richtig gemacht wurde. Und genau an diesem Punkt scheitert die Volksverschlüsselung. Immer wieder wird im Zusammenhang mit dieser Software der Begriff „Open Source“ verwendet. Dieser Begriff hat im Vergleich zum Begriff „Freie Software“ eine eher technische Ausrichtung, bezeichnet aber konkret die gleiche Software. Wichtiges Merkmal Freier Software sind die vier Freiheiten:

  • die Software zu jedem Zweck verwenden zu dürfen,
  • die Software untersuchen und verändern zu dürfen,
  • die Software unverändert weitergeben zu dürfen,
  • die Software verändert weitergeben zu dürfen.

Für Punkt zwei und vier benötigt man den Quellcode, den die Telekom und Fraunhofer aber zurückhalten. Der Quellcode enthält die Anweisungen an den Computer, den Menschen lesen können. Ohne diesen Quellcode hat man nur ein Ansammlung von Einsen und Nullen, die auch Programmierer in der Regel nicht lesen können. Allein der Quellcode genügt aber auch nicht, denn um eine größere Anwendung technisch prüfen zu können, muss man Veränderungen am Quellcode vornehmen können und diese Änderungen auch ausführen dürfen, um zu sehen, was eigentlich genau passiert.

Es muss also jedem klar sein, dass diese Software nicht die Freiheit der Nutzer respektiert und dass auch niemand prüfen kann, ob die Software das tut, was sie soll. Die beiden Unternehmen versprechen, den Quellcode später zu veröffentlichen, aber selbst dann wollen sie keine Änderungen zulassen. Was bringt uns dann also diese unfreie Verschlüsselungssoftware, wenn wir sie nicht sinnvoll prüfen und verbessern dürfen?

Problematische Nutzungsbedingungen

An dieser Stelle fangen die Probleme aber erst an. Selbst die Nutzung der Software ist eingeschränkt. In der Lizenz findet sich folgender Abschnitt:

Fraunhofer räumt dem LIZENZNEHMER unentgeltlich ein zeitlich und räumlich unbegrenztes, nicht – ausschließliches, nicht übertragbares, nicht unterlizenzierbares Recht ein, die SOFTWARE für private Zwecke kostenlos […] zu gebrauchen.

Man muss also bei jedem Verschlüsselungsvorgang entscheiden, ob die Kommunikation einem privatem Zweck dient oder nicht. Wie sieht es aber aus, wenn ich mit meinem Anwalt kommuniziere? Mails an meinen Anwalt sind vermutlich privat im Sinne der Lizenz, die Antworten des Anwalts wohl kaum, denn er schreibt sie im Rahmen seiner Erwerbstätigkeit. Was ist, wenn ich eine Frage an meine Krankenkasse, meinen Arzt oder meinen Arbeitgeber habe? In all diesen Fällen ist die Software nicht sinnvoll einsetzbar.

Es kommt aber noch schlimmer, denn zusätzlich räumt man Fraunhofer und der Telekom das Recht ein, ausspioniert zu werden. Hier der entsprechende Abschnitt aus der Lizenz:

Mit dieser SOFTWARE werden personenbezogene Daten des LIZENZNEHMERS im Sinne des § 3 Absatz 1 des Bundesdatenschutzgesetzes (BDSG) zum Zwecke der Verarbeitung erhoben.

„Open Source“ als Marketinginstrument

Darüber hinaus zeigen die beiden Partner Telekom und Fraunhofer ein erstaunliches Maß an Inkompetenz in Bezug auf Freie Software und Lizenzen. So wird der Begriff „Open Source“ als Marketinginstrument missbraucht, anstatt ihn entsprechend der Definition der Open Source Initiative zu gebrauchen. Und trotz der Tatsache, dass Teile der Volksverschlüsselung Code enthalten, der unter der GNU General Public License, einer Lizenz für Freie Software steht, die verlangt, dass das Gesamtwerk ebenfalls unter dieser Lizenz steht, überlegen Telekom und Fraunhofer noch, welche Lizenz sie verwenden möchten. Zumindest die Teile unter der GNU GPL müssten für Nutzer der Software verfügbar gemacht werden, aber Anfragen zu diesem Thema wurden bisher nicht beantwortet. Kann man Unternehmen trauen, die so lax mit Lizenzen umgehen und Freie Software mit Füßen treten?

Zusammenfassend muss man also festhalten, dass die Volksverschlüsselung für unfreie Bürger, die ausspioniert werden möchten, geschrieben wurde. Menschen, die wirklich privat kommunizieren möchten, sollten stattdessen besser Freie Software ohne Spionagefunktion zur Verschlüsselung einsetzen, wie beispielsweise das gut etablierte GnuPG. Die Energie, die die Telekom und Fraunhofer auf die Entwicklung einer neuen Insellösung verwenden, sollten besser dafür aufgewendet werden, eine verbreitete, technisch sinnvolle Lösung wie GnuPG benutzerfreundlicher zu gestalten. Die Entwickler arbeiten bereits daran, und viele E-Mail-Anbieter bieten inzwischen gute Ansätze für Verschlüsselung mit diesem Programm. Einstiegshilfen können hier auch Cryptoparties und lokale Treffen der FSFE sein.

Weitersagen und Unterstützen. Danke!
40 Kommentare
  1. Es ist schon erstaunlich, dass bei Fraunhofer SIT offenbar so wenig Sachverstand hinsichtlich freier Software-Lizenzen und deren Bedeutung vorhanden ist, und dass, obwohl mit Sven Türpe ein ausgewiesener Experte und ehemaliger Streiter für solche Ideen sogar dort arbeitet. Möglicherweise werden die Menschen mit zunehmenden Alter einfach konservativer …

    1. Ich gehe davon aus, dass dies gewollt ist. Man hat auch in der Lizenz ausdrücklich gesagt, dass User-Daten gesamelt werden dürfen und werden. Da kein Quellcode vorliegt, ist das Ding potentiel zusätzlich mit einer schönen Hintertür ausgestattet. Wer kann das schon prüfen? Ein Paradebeispielt eines Köders. Es macht tatsächlich den Eindruck, als wäre es zum Spionieren da, als eine Abwehr.

      1. Ich persönlich möchte nicht mal Absicht unterstellen. Man kann das sicher so auslegen, aber ich denke vieles passiert aus falscher Vorsicht kombiniert mit Missverständnissen über Lizenzen und allgemeine rechtliche Anforderungen.

    2. … oder sie schützen sich vor dem Helfersyndrom, indem sie sich außerhalb der eigenen Projekte auf gute Ratschläge beschränken und den Dingen ansonsten ihren Lauf lassen. Der Markt regelt das schon, wenn auch vielleicht anders als erträumt.

  2. Ich hatte mit Hilfe der Suchfunktion nichts gefunden, aber gibts es von euch einen umfassenden Artikel, der Hilfestellungen gibt, wie man sich selbst schuetzen kann? Empfehlungen fuer bestimmte Programme, Apps, Verschluesselungen etc mit eingeschlossen?
    lg

    1. Hallo Matze eigentlich wäre das BSI also das Bundesamt für Informationssicherheit dafür zuständig. Ist aber leider nicht so. Den Laden kannst’e vergessen. Dafür gibt es aber einen hervorragenden Ersatz an Fachwaissen und verständlicher Anleitung unter der Adresse https://privacy-handbuch.de/
      Lies dich da in Ruhe ein. Das Handbuch wird ständig aktualisiert. Ist unter Changelog gut zu sehen.https://privacy-handbuch.de/changelog.htm
      Auf dieser Seite gibt es das Handbuch zur Offlineverwndung stets aktualisiert als pdf-Datei. Viel Spass beim schützen deiner Privatsshäre! https://privacy-handbuch.de/print.htm

    2. Zum Thema E-Mail-Verschlüsselung gibt es den E-Mail-Self-Defense-Guide der Free Software Foundation:
      https://emailselfdefense.fsf.org

      Den habe ich im Artikel nicht verlinkt, weil dort unter anderem das Web of Trust verwendet wird und ich finde, dass das Einsteiger unnötig verwirrt. Ansonsten ist es aber ein guter Einstieg.

    1. Von Unfähigkeit kann keine Rede sein!
      Das ist gewollt. Das Handeln ist wie im Mittelalter. Man war ja nicht interessiert etwas für alle zu machen.

  3. Wer fleißig die Mitteilungen aus dem BMI und den Vernehmungen im NSAUA lauscht, sollte sich über das was bei Volksverschlüsselung.de rausgekommen ist nicht wundern. Obwohl das Fraunhoferinstitut auf Nachfrage einen Zugriff von Nachrichtendiensten und Strafverfolgungsbehörden bestreitet, wer wirklich sicher sein will sollte darauf verzichten. Die unklare Haltung des BMI zur Verschlüsselungsfrage spricht Bände! „Das Volk“ soll verschlüsseln, aber „der Staat“ will mitlesen.

  4. Es ist … in meinen Augen schon einmal ein Ruck in die richtige Richtung, aber wer totale Anonymität haben will, weil er/sie sich im Internet beobachtet fühlt oder die totale Überwachung fürchtet, der sollte vielleicht andere Möglichkeiten nutzen, als gerade diese Volksverschlüsslung. Angesichts der Tatsache, das man sich wegen eines „S/MIME“ Zertifikats persönlich authentifizieren muss, macht die Sache schon einmal unglaubwürdig und schafft nicht wirklich vertrauen, auch wenn Fraunhofer das bewirken wollte. Hier sollten andere Wege gegangen werden, um den Anonymitätswunsch der Nutzer besser zu unterstützen.
    Angesichts der Tatsache, das die Regierung dem BND alles erlaubt hat, was bisher illegal war, kommt der Wunsch nach totaler privater und anabhörbarer Kommunikation immer größer zum Vorschein. Und wenn man dann auch noch seinen Namen angeben muss, das die Verfolgung noch einfacher wird, auch wenn man verschlüsselt, dann schafft das sicherlich nicht noch mehr Privatsphäre.

  5. Ich mache seit 1998 S/MIME mit X.509-Zertifikaten auf AIX, MacOS, Windows. Meine Thunderbird-Mailsoftware macht die Mailboxen binärkompatibel. Es gibt für mich überhaupt keinen Grund downzusizen auf so Angebote zweitklassiger Anbieter, die nur Windows unterstützen und auch noch eine Internet-Explorer als Webbrowser empfehlen. Die sind mehr Sicherheitsbedrohung bei Fraunhofer als Hilfe. Auch ist für mich als Selbstständigen eine reine private Nutzung völliger Blödsinn.
    Das ist Spielzeug von Leuten die Langeweile haben und Steuermittel als staatlicher Betrieb verheizen. Eher ein Fall für den Steuerzahler und als für die breite Öffenlichkeit. Zudem ist es wettbewerbsrechtlich bedenklich, dass hier von Fraunhofer mit überwiegend dem Staat als Eigentümer ein Angebot macht, das auch von der Wirtschaft seit Jahrzehnten angeboten wird. Mit Steuern der Wirtschaft Wettbewerb machen? Absurd.
    Die Identifizierung mit nPA hat rechtlich keinerlei Bedeutung, in Deutschland genügt S/MIME alleine nicht der Schriftform. Also hier wird geblendet was das Zeugt hält. Und mit S/MIME verschlüsseln und signieren kann man seit 2 Jahrzehnten in Deutschland kostenlos. Plattformneutral. So what? Volksverschlüsselung als Volksverarschung?

    1. Gerade weil man schon seit zwei Jahrzehnten kostenlos Mails verschlüsseln kann und es trotzdem kaum einer macht, ist die Fraunhofer-Lösung so wichtig. Sie erfindet nämlich keine neue Methode, sondern benutzt genau das (S/MIME), was es schon gibt. Es ist also keine Verschlüsselungssoftware, sondern ein Hilfsprogramm, das den Benutzern die zugegebenermaßen komplexen Vorgänge der Zertifikatsbeantragung, -sicherung, -implementierung in die Mailprogramme abnimmt und noch einen Verzeichnisdienst als Nachschlagewerk (LDAP) installiert. Also genau das, woran die Benutzer bisher verzweifelt sind.

  6. Aller Verschlüsselungsansätze für Mails haben halt das Henne Ei Problem. Um so mehr es davon gibt um so schlimmer wird es, da es dann noch mehr fragmentiert.. S/MIME und PGP haben sich seit Jahren nicht durchgesetzt, warum sollte es so eine „Volksverschlüsselung“ die technisch gesehen sogar schlechter ist wie bestehende Techniken.. Das ist wie DE-Mail oder „E-Mail made in germany“ das wird eh nix.

    Alle E-Mail Verschlüsselung hat auch den Nachteil, dass trozdem Metadaten anfallen. Zudem arbeiten die meisten prinzipbedingt mit festen asymetrischen Schlüselparen die immer wieder verwendet werden.. Komtm man 1x an den Private key, kann man alle vorhergegangene Kommunikation entschlüsseln. Ein System welches Schlüsselpaare pro Nachricht erzeugt und diese später verwift wäre sicherer.
    Um die Metadaten zu vermeiden, sollte man auch so etwas wie Bitmessage verwenden, allerdings skaliert dieses System nicht so super gut.. Man müsste das Netzwerk irgendwie segmentieren, damit das langfristig funktioniert.

    1. Glücklicherweise gibt es aber auch ganz gute Ansätze wie die Verschlüsselung im Webmail-Client, die viele Anbieter inzwischen unterstützen. Metadaten komplett vermeiden lässt sich mit dem Medium E-Mail leider nicht so ohne weiteres machen. Auch Forward Secrecy (mit wechselnden Schlüsseln) lässt sich dort nur schwieriger umsetzen, weil das System so ausgelegt ist, dass jeder jedem eine Mail schicken kann und eine vorherige Kontaktaufnahme zur Schlüsselaushandlung nicht vorgesehen ist. Dazu müsste man die Protokolle komplett umbauen. Das geht natürlich auch, ist dann aber nicht mehr E-Mail wie wir das kennen (außer dass es bei der Benutzung eines Clients ähnlich aussehen kann).

  7. Sie titeln „Volksverschlüsselung für unfreie Bürger“. Darf man fragen, wie sie einen „unfreien Bürger“ verstehen? In Ihrem Artikel sucht man als geneigter Leser vergeblich nach Erhellendem.

    Ausser in der Überschrift findet man „unfrei“ an nur zwei Stellen des Textes, die zur Beantwortung der Fragestellung wenig dienlich sind.

    1. „Was bringt uns dann also diese unfreie Verschlüsselungssoftware.“

    Welche Software ist denn bitte frei? Auch Open-Source ist nicht völlig vogelfrei. Im Hinblick auf geistige Hygiene wäre es besser keine Verschwurbelungen zwischen „frei“ und „Open-Source“ zu generieren. Das trägt nur zu einer verqueren Mythenbildung bei.

    2. „Zusammenfassend muss man also festhalten, dass die Volksverschlüsselung für unfreie Bürger, die ausspioniert werden möchten, geschrieben wurde.“

    Da Autoren ja meist davon ausgehen, dass sie klüger sind, als die Leser, die das Werk rezipieren sollen, möchte ich als Leser hier um qualifizierte Hilfestellung bitten, um die Gedankensprünge des Autors verstehen zu können.

    Wie kommt der Autor zu diesen Behauptungen:
    a) Es gibt unfreie Bürger, für die als Zielgruppe diese Software angeboten wird.
    Wer bitte sind diese „unfreien Bürger“ und was macht sie unfrei? Gibt es im Gegensatz dazu überhaupt freie Bürger, also Bürger, die absolut keinerlei Verpflichtungen und Regeln unterliegen? Warum also führt der Autor die Unterscheidung frei/unfrei bezüglich des Bürgers ein, wenn es doch um die Benutzung einer Software geht, die er benutzen kann oder auch nicht? Wenigstens in dieser Hinsicht ist der Bürger doch unstrittig frei in seiner Entscheidung, die Software zu benutzen, oder?

    b) Falls es „unfreie Bürger“ gäbe, wie kommt der Autor auf die Idee, dass diese auch noch „ausspioniert werden möchten“?
    Ein Bürger kann niemals völlig frei sein, denn er unterliegt den Regeln des Bürgertums. Und ohne Bürgertum gibt es auch keine Bürger. Doch andererseits kann man sich auch fragen, ist ein Bürger überhaupt noch ein Bürger, wenn er unfrei ist?

    Ist der Autor in der freien Wildbahn schon mal einem Bürger begegnet, der ihm gesagt hat, er „möchte ausspioniert werden“? Mir sind bisher nur jene begegnet, die andere ausspionieren wollen.

    Autoren-Brot ist hartes Brot. Doch nur Mut, lieber „Gastbeitrager“, mit etwas Erfahrung können sie sich irgendwann auch mal trauen, ihre Artikel mit ihrem guten Namen zu versehen.

    1. Lieber Leser, der Autor ist namentlich genannt, er heißt Florian Snow. Das steht auch so im Artikel.

      Was die Unfreiheit angeht: Sie bezieht sich auf die vier Freiheiten, die im Artikel auch dargelegt sind. Dass „frei“ auch „vogelfrei“ oder „absolut keinerlei Verpflichtungen und Regeln unterliegend“ bedeuten soll, steht da nirgends.

        1. Du hättest es nicht besser gekonnt? Schade, denn Constanze hat eigentlich doch nichts beantwortet – ausser dem Hinweis auf den Namen des Autors. Die „vier Freiheiten“ beziehen sich auf OpenSource aber nicht auf „Bürger“.

          Hier wird die hohe Kunst der Nicht-Beantwortung praktiziert. Herrn Snow kam es wohl nur darauf an, seine etwas seltsamen Schlüsse im agitatorischen Duktus zur Schau zu stellen.

          So kann man es sich auch bequem machen.

          1. Frage 1 ist mit dem Hinweis auf die vier Freiheiten beantwortet, denn um mehr geht es hier nicht.

            Die Antwort auf Frage 2 a bezieht sich auch auf die vier Freiheiten, denn bei der Verwendung unfreier Software wie der Volksverschlüsselung ist man weniger frei als bei der Verwendung Freier Software (mit den vier Freiheiten). Es geht also darum, ob mein Computer das tut, was ich will oder das, was irgendein Unternehmen (hier Fraunhofer und Telekom) will, d.h. Fremdbestimmung oder Selbstbestimmung.

            Frage 2 b ist schon im eigentlichen Artikel/Kommentar beantwortet. Es geht hier darum, dass sich Fraunhofer und die Telekom das Recht einräumen lassen, Daten abzugreifen.

            Es ist also alles beantwortet. Im Übrigen habe ich hier auch andere Kommentare beantwortet, von „Kunst der Nicht-Beantwortung“ kann also keine Rede sein. Außerdem kamen mir einige der Fragen doch eher rhetorisch vor. Zudem will ich auch nicht jeden von meiner Meinung überzeugen, sondern einen Denkanstoß liefern. Wenn dann Menschen über das Thema diskutieren, finde ich das gut. Ich muss mich nicht in jede dieser Diskussionen einmischen.

  8. Die Telekom hat anscheinend nichts aus dem … Fiasko bzgl. des Tolinos gelernt. Man beachte beispielsweise die Falschschreibung der in diesem E-Book-Reader verwendeten Software. Ich hatte mal einen kurzen, allerdings relativ fruchtlosen E-Mail-Austausch bezüglich des Themas mit denen.

  9. Hmm, DE-Mail hat ja sehr gut funktioniert und Unmassen Deutsche haben sich draufgestürzt und das Ganze ist ein großer finanzieller Erfolg für die Beteiligten Firmen geworden :-).
    Ich denke, das die Volksverschlüsselung ähnlich gut beim Endkunden ankommen wird.
    Ich empfehle diese beiden Topprodukte schnellstmöglich zusammenzuführen.
    Natürlich muss auch eine Mail die volksverschlüsselt ist, nur ganz kurz im Rechenzentrum entschlüsselt werden, damit wir alle vor Spam geschützt sind.

    Ganz nebenbei, ich finde die Namensgebung etwas unglücklich.
    Ich muss immer an Volksgemeinschaft, Volksempfänger, Volkswagen, Volksverblödung und Volk ohne Raum denken.

  10. Ich hatte letztlich mal das „Vergnügen“
    mit einer Fraunhofer-Software
    für einen DAB-Stick zu arbeiten.
    Es war schön anzuschauen
    aber funktional kaputt.
    In Schönheit sterben würde ich das nennen.
    Was unter der Haube passiert,
    scheint da wohl keinen zu interessieren ;-).
    Frauenhofen hatte mal einen guten Namen,
    ich glaube da aber nicht mehr an die allgemeinen Fähigkeiten.
    … auch wenn ich Einzelnen damit Unrecht tue.

  11. Wohlfeile Kritik eines Tekkies. Und berechtigt, wenn man in die Feinheiten des Lizenzrechts absteigen will. Und mehr als berechtigt, wenn man „open Source“ und „Freie Software“ ernst nimmt.
    Aber das Alles ist immer ein Insider-Witz.
    Diese „Volksverschlüsselung“ (ekliger Name – erinnert an „Volksgerichtshof“ und „Volksrepublik“) soll ja gerade unbedarfte Laien mit einer Möglichkeit versorgen, zumindest eine gefühlte Ende-zu-Ende-Verschlüsselung durchführen zu können. IT ist doch nun wirklich im Massenmarkt angekommen – nur eben die Verschlüsselung nicht. Weil es wirklich etwas kompliziert ist, ein Zertifikat in einem der massenhaft verbreiteten OS zu installieren.
    Und da ist das Projekt schon ein erster guter Schritt hin zur Massentauglichkeit der vertraulichen E-Mail:
    – für die Masse vertrauenswert scheinende Partner – Telekom hat trotz Allem einen guten Ruf in der breiten Bevölkerung
    – einfach zu nutzende Software
    – wirklich gute Idee, den elektronisch lesbaren Perso für eine Ahnung von verlässlicher Identiät
    (ja, ja, der RFID-Chip kann vom BND ausgelesen werden, ist klar, und die NSA will die Kommunikation von Lieschen Müller mt ihrem Scheidungsanwalt lesen, auch klar)
    Kritik:
    – die Software wurde innerhalb 3 Jahren (!!!) im Wasserfallmodell entwickelt
    – die Software funktioniert augenscheinlich nicht: https://www.tagesschau.de/inland/email-verschluesselung-101.html
    – die Software gibt es derzeit nur für Windows-OS (nach 3 jahren Entwicklung für eine App an einer kaufbaren LDAP-Lösung!!!). Offensichtlich der Wasserfall-Entwicklungsstrategie geschuldet – Huch die Welt hat sich in den letzten 3 Jahren geändert!
    Ja, auch ältere Menschen wollen ihre eMails verschlüsseln, auch auf ihrem Smartphone. Ja, ja, die ollen Säcke nutzen auch iPhones und Android-Boliden. Die Dinger sind nämlich user-friendly für „Otto Normalverbraucher“ – also (für die Generationen Y und Z) für Papi, Mamki, Oma und Opa nutzbar.
    Wenn der elitäre Teil der IT-Crypto-Szene mal vom Sockel käme und Software für die Massen mittels einem Anbieter, der höchstes Ansehen genießt, anböte – die meisten Menschen in D sind Ü30 (iiiiih! trau keinem über 30!) – und diese Software auch noch vernünftig internationalisieren würde, dann wäre der Menscheit geholfen.
    Ach und noch eines: Wenn jemand etwas nicht gewerblich nutzt, dann ist das eine Privatnutzung. Der Anwalt, der zurückschreibt, hat i.d.R. ein Zertifikat, dass er von seinem Berufsverband erhalten hat – gegen Geld! Das Problem ist, dass sein Kunde dieses (kommerzielle) Zertifikat nicht annehmen und speichern kann, weil er es technisch nicht schafft. Mit der Fraunhofer-Software soll das nun einfach klappen, so dass der Privatanwender seinen Volksschlüssel samt dem Schlüssel seines Anwalts speichern kann und so die Kommunikation verschlüsselt klappt. Diese Volkszertifikate sind ja s/mime-Zertifikate. Mithin ist das Arguent, dass die Volksverschlüsselung nur eingeschränkt nutzbar ist, völlig daneben!
    Und: Zentraler Zertifikate-Server ist schon gut. Zwar ist die Telekom ein Staatsunternehmen, aber ihr wollt doch einen starken Staat, gelle? Zumindest, wenn es auf’m Bahnhof mal wieder kracht!
    Und anonymie Zertifikate? Was soll das? Ein Zertifikat soll ja gerade die Identität eines Kommunikationspartners verifizieren! So kann unsere Ukrainische Spam-Mafia nicht so einfach die Leute per Phishing etc. ausnehmen.
    Ach so noch eines: Ich bin seit 30 Jahren in der IT-Branche früher als Entwickler und heute als Business-Analyst aktiv und arbeite weder für Telekom noch für Fraunhofer (bislang).
    Ich habe die Entwicklung der IT also von der Lochkarte bis zum Smartphone aktiv begleitet – der Weg war steinig aber nun kann endlich jede Oma mit einem Computer arbeiten! Welch ein Fortschritt. Lasst uns diesen Weg weitergehen und vom hohen Roß der Tekkies absteigen. Fragt mal die „normalen“ Leute, was sie von Euch so halten…

    1. Ich bin auch dafür, dass gute technische Lösungen einsteigerfreundlicher werden. Dafür organisiere ich auch Veranstaltungen, um Menschen Technik beizubringen. GnuPG ist beispielsweise gar nicht so kompliziert, aber es wird oft versucht jedes Detail zu erklären statt nur wie man es verwenden kann. Aber auch an der Softwareseite kann man da noch viel verbessern und ich freue mich über Bestrebungen in diese Richtung (sowohl bei GnuPG selbst als auch bei der Unterstützung in Webmailern). Denn ich hoffe auch, dass irgendwann Anwälte verschlüsselt kommunizieren (aktuell ist das oft nicht so und es werden alle Daten im Klartext per E-Mail verschickt).

      Und ja, es geht meist nicht um die E-Mails von Lieschen Müller, aber eventuell um die Quelle eines Journalisten. Wenn ein Geheimdienst weiß, dass nur streng geheime Dinge verschlüsselt werden, ist es leicht, den Informanten ausfindig zu machen. Wenn Lieschen Müller auch verschlüsselt, wird das viel schwieriger. Aber auch Lieschen Müller möchte vielleicht nicht, dass jemand, der den Mailserver angreift, auch die Urlaubsfotos von Lieschen Müller abgreift. Und darum geht es mir: Es soll jeder selbst entscheiden können, was auf einer Postkarte steht und was in einem verschlossenen Brief.

      Und ich gebe dir völlig Recht, dass man in der IT-Sicherheit von dem hohen Ross runter bzw. der Einstellung wegkommen muss, dass man es entweder komplett richtig macht oder gar nicht. Denn sonst verliert man viele Menschen, die vielleicht ein paar einfachere Schritte mitmachen könnten. Und in vielen Bereichen gibt es da Möglichkeiten Teilschritte zu machen und den Nutzern zu sagen „Das ist nicht perfekt, aber besser als nichts.“. Man muss sich zwar mit IT-Sicherheit immer etwas beschäftigen um es komplett richtig zu machen, aber wenn jemand sich bewusst ist, wo es noch Lücken gibt, habe ich auch kein Problem damit eine einfachere, aber unperfekte Lösung zu vermitteln. Automatische Schlüsselgenerierung und automatischer Schlüsselaustausch wären so ein Thema. Das ist für Profis nichts, weil wir wissen wollen was genau passiert, aber für viele Menschen wäre das schon ein Fortschritt. Deswegen begrüße ich die Bestrebungen GnuPG so zu verwenden, dass einem Schlüssel bei der ersten Kommunikation vertraut wird. Das läuft in anderen Bereichen schon recht erfolgreich und macht die Sache umkomplizierter. Wer es genauer prüfen möchte, hat die Freiheit, as jederzeit anders einzustellen.

  12. Ich komme immer wieder zu der Frage kann es überhaupt eine „Allgemein tauglich Verschlüsselung“ geben? Denn sie wäre meiner Einschätzung nach entweder Teuer(MillionenBudget) oder nicht Vertrauenswürdig (oder Beides DE-Mail Prinzip).
    Im Moment giebt es die nicht. Denn entweder haben wir Lösungen die etwa auf AES basieren (das war richtig Teuer, aber ganz ohne Hintergedanken von der US-Regierung spendiert) oder schwache unzugängliche Nerd Lösungen mit ebenfalls unbekannter Vertrauenswürdigkeit und Kompetenz, oder einfach ohne genügend Recurcen. Und kann „Open Source“ so ein Projekt überhaupt tragen? Denn machen wir uns nichts vor an Quallitätsarbeit hängt immer auch ein Preisschild. Und eine Verschlüsselung die Sicherheit und Allgemeinenutzbarkeit gewährleistet ist glaube Ich außerhalb der Reichweite von Hobby-Projekten. Wie schätzt ihr das ein?

    1. Es stimmt, es ist immer eine Abwägung zwischen Sicherheit und Allgemeintauglichkeit. Je sichererer ich etwas mache, desto genauer muss es der Nutzer verstehen und das wird dann eben immer schwieriger. Aber hier gibt es gute Entwicklungen: Viele Provider unterstützen GnuPG inzwischen im Webmailer, d.h. es werden manche Details ausgeblendet, aber viele wichtige Schritte werden trotzdem gemacht und schützen die Kommunikation.

      Das Problem mit teuer oder schwach sehe ich so nicht. Die Verschlüsselungsverfahren sind öffentlich bekannt, damit sie von vielen Mathematikern geprüft werden können. In der Regel steht auch einer Umsetzung in Freier Software nichts im Weg und es gibt auch gute Verfahren abseits der Geheimdienste.

      Und ja, Freie Software (oder wie von dir „Open Source“ genannt) kann soetwas tragen, denn man kann auch mit Freier Software Geld verdienen. OpenSSL ist ein bekanntes Beispiel, bei dem es lange Zeit schlecht lief, weil wenig Mittel vorhanden waren, aber nachdem einige Sicherheitslücken (nicht in der Verschlüsselung selbst) entdeckt wurden, sind viele Unternehmen aufgewacht und da OpenSSL praktisch überall eingesetzt wird, gibt es dort jetzt eine stabile Finanzierung. Auch GnuPG wird von Werner Koch mit seinem Unternehmen beruflich, also kommerziell entwickelt obwohl es Freie Software ist. Auch dort war es mit der Finanzierung lange schwierig, aber inzwischen wird die Software ganz gut finanziert. Ich denke hier findet gerade ein Umdenken statt. In der Vergangenheit haben Unternehmen Freie Software oft als kostenlose Software verwendet, selbst wenn sie den Begriff richtig verstanden haben. Inzwischen sehen viele, dass es für sie selbst gut ist, etwas zurückzugeben, entweder in Form von Geld oder durch Beiträge zum Code. Da gibt es noch deutlich Luft nach oben, aber wenn Unternehmen nur einen Bruchteil des Gelds, das sie durch Freie Software in der Regel sparen (weil man sie auch oft kostenlos bekommt), an die Entwickler geben, dann kann sich eine ganze Menge tun.

  13. Nur eine Frage, hat der Verfasser dieses Artikels die Software auch nur einmal gesehen?
    Nach dem kruden geschreibsel wohl kaum.
    Die Ausführung der Idee hat tatsächlich ein paar unschönheiten zu bieten, aber bestimmt nicht die, welche in diesem Artikel beschrieben sind.
    Nur so am Rande bemerkt, die Software verschlüsselt gar nichts. Ausser dem Schlüssel bei der Erstellung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.