Verschlüsselung schützt unsere Daten. Sie schützt unsere Daten, wenn sie auf unserem Computer gespeichert sind und wenn sie durch das Internet geschickt werden. Sie schützt unsere Gespräche, egal ob es Video-, Sprach- oder Textnachrichten sind. Sie schützt unsere Privatsphäre und sie schützt unsere Anonymität. Manchmal sogar unsere Leben.
Dieser Schutz ist wichtig für uns alle. Es ist klar, dass Verschlüsselung Journalisten, Menschenrechtler und politische Aktivisten beschützt. Aber sie schützt zugleich uns alle. Sie schützt unsere Daten vor Kriminellen und vor Konkurrenten, Nachbarn und Familienmitgliedern. Sie schützt unsere Daten vor böswilligen Angreifern. Auch schützt sie uns vor dem einen oder anderen Malheur.
Dieser Essay von Bruce Schneier wurde zuerst auf Securing Safe Spaces Online veröffentlicht. Wir publizieren ihn mit freundlicher Genehmigung des Autor. Übersetzung von Adrian, Daniel und Constanze.
There is also the original English version of this essay.
Verschlüsselung funktioniert am besten, wenn sie allgegenwärtig und immer automatisch aktiv ist. Die beiden Arten der Verschlüsselung, die wir am häufigsten benutzen, https-URLs in unseren Browsern und die Kodierung unserer Mobilfunkanrufe, funktionieren so deshalb gut, weil wir nicht einmal wissen, dass sie da sind. Verschlüsselung sollte immer standardmäßig aktiv sein und nicht etwas, das man benutzt, wenn man gerade etwas tut, das man für besonders beschützenswert erachtet.
Das ist wichtig, denn wenn wir die Verschlüsselung nur dann nutzen, wenn wir mit wichtigen Daten arbeiten, dann weist schon dieser Umstand allein auf die Wichtigkeit der Daten hin. Wenn nur Dissidenten Verschlüsselung nutzen, dann haben die Behörden ein leichtes Spiel, sie zu identifizieren. Aber wenn wir alle immer Verschlüsselung nutzen, kann sie nicht mehr dazu dienen, Dissidenten aufzuspüren. Niemand kann dann mehr normales Chatten von einer sehr privaten Unterhaltung unterscheiden. Die Regierung kann dann die Dissidenten nicht mehr vom Rest der Bevölkerung unterscheiden.
Jedesmal, wenn wir Verschlüsselungswerkzeuge nutzen, schützen wir damit jemanden, der sie nutzen muss, um zu überleben. Dennoch ist es wichtig, uns daran zu erinnern, dass Verschlüsselung nicht auf magische Weise alle Kommunikation sicher macht. Es gibt viele verschiedene Möglichkeiten, Verschlüsselung falsch einzusetzen. Das können wir regelmäßig in den Schlagzeilen lesen. Sie beschützt uns eben nicht davor, dass unser Computer oder Mobiltelefon gehackt wird, und sie kann auch Metadaten nicht beschützen, wie etwa E-Mail-Adressen, die unverschlüsselt sind, um eine E-Mail überhaupt zustellen zu können.
Dennoch ist Verschlüsselung nach wie vor die wichtigste Privatsphäre-erhaltende Technologie, die wir haben, und sie ist perfekt dazu geeignet, uns vor genau der Art von Massenüberwachung zu schützen, die einerseits Regierungen anwenden, um ihre Bevölkerung zu kontrollieren, andererseits Kriminelle auf der Suche nach verwundbaren Opfern nutzen. Wenn wir beide – Regierungen und Kriminelle – durch Verschlüsselung dazu zwingen, sich auf einzelne Personen zu fokussieren, beschützen wir eben nicht nur uns, sondern die Gesellschaft.
Heutzutage erleben wir, wie Regierungen versuchen, Verschlüsselungstechniken zurückzudrängen. Viele Länder, von Staaten wie China über Russland bis hin zu demokratischen Regierungen wie in den USA oder im Vereinigten Königreich, beraten darüber oder setzen Gesetze in Kraft, die starke Verschlüsselung einschränken. Das ist gefährlich, weil es technisch nicht umsetzbar ist und schon der Versuch enormen Schaden für die Sicherheit im Internet anrichten wird.
Es gibt zwei Lehren, die wir aus all dem ziehen können. Erstens sollten wir Unternehmen dazu drängen, standardmäßig Verschlüsselung für jeden anzubieten. Und zweitens sollten wir uns den Forderungen der Regierungen widersetzen, Verschlüsselung zu schwächen. Jede Schwächung, selbst im Namen der Strafverfolgung, setzt uns alle einem enormen Risiko aus. Selbst wenn Kriminielle von starker Verschlüsselung profitieren, sind wir alle sehr viel sicherer, wenn wir alle starke Verschlüsselung nutzen, als wenn niemand es tut oder tun darf.
Über den Autor
Bruce Schneier ist ein international bekannter Autor zu Fragen der IT-Sicherheit sowie CTO der Firma Resilient Systems. Er bietet jeden Monat einen kostenlosen Newsletter an, siehe Crypto-Gram.
@ Constanze
Danke für den Artikel bzw. die Übersetzung.
Fragen:
1. Seid Ihr selbst auf Schneiers Artikel gekommen oder hat Euch das ein Vögelchen gezwitschert? (Ich wusste grad nicht mehr, wie man zwitschern schreibt – bei all dem Twittern…)
2. Bruce ist CTO von Resilient Systems. Die haben ihren Namen geändert.
Ich las den Essay neulich und fragte dann Bruce Schneier, ob er was gegen eine Übernahme nebst Übersetzung hätte. Er hat ohne viel Tamtam zugestimmt, was uns sehr freut. :}
(Ansonsten: Danke, ist korrigiert.)
@ Constanze
Noch was anderes:
Wie wäre es, wenn Ihr mal Bruce Schneier zum Interview ladet tütet. Falls das Geld nicht für einen Roundtrip Richtung USA reicht (ist wohl so), geht das ja auch per Mail oder Videokonferenz. Statt #askSnowden, könnte man das ganze mit #askBruce garnieren, damit die Würze für das geneigte Spenden-Publikum stimmt.
Herr Schneier hat nämlich Hochinteressantes zu erzählen (sein Blog, seine Essays und seine Bücher zeigen es).
Für netzpolitik.org könnte besonders spannend sein, wie Schneier erklärt, warum Privatsphäre wichtig ist, warum es nicht darum geht, etwas „zu verbergen“ zu haben (sondern um „Choice“ und Selbstbestimmung) und warum Privatsphäre und Sicherheit kein Gegensatz sein müssen (der viel zitierte „Freiheit/Privatsphäre vs. Sicherheit“-Antagonismus).
Ist da was in der Pipeline, Constanze?
Er hatte ja erst kürzlich ein schönes Buch geschrieben, wo er das mit vielen Beispielen darlegt: https://netzpolitik.org/2015/data-and-goliath-unbelauscht-und-damit-frei-sprechen-denken-und-klicken/
Ich denk, wenn er mal in Europa ist, könnte man das machen. Gute Idee.
@ Constanze
Hier ich nochmal.
Bruce Schneier war erst vor einigen Tagen in Berlin und hat einen Vortrag zum Thema Incident Response gehalten (seine Firma Resilient macht Incident Response).
Das hattet Ihr wohl nicht auf dem Schirm?
Vielleicht solltet Ihr mal den Eventkalender von Bruce mit Eurem matchen? Sonst wird das nie was… ;)
Muss mal wieder die BruceSchneierFacts Seite besuchen …. :)
Verschlüsselung hat nur ein Problem:
Hat man verschlüsselt und wird man Opfer eines polizeilichen Übergriffes in Form einer Durchsuchung (egal ob berechtigt oder willkürlich), dann sind die Datenträger weg. Für immer.
Denn selbst wenn das Ermittlungsverfahren eingestellt wird, weil sich der Tatverdacht nicht erhärtet oder an den Haaren herbeigezogen war, wird der zuständige Staatsanwalt die Einstellung anstreben, wenn man einer Einziehung der verschlüsselten Datenträger zustimmt.
Tut man das nicht, wird man Opfer eines willkürlichen Strafbefehls. Und dann wirds teuer, dagegen erst- bzw. zweitinstanzlich vorzugehen. Und selbst dann ist nicht gewährleistet, dass man seine Datenträger und Daten jemals wieder sieht!
Oder ob die Datenträger nicht im Zuge der Durchsuchungsversuche beschädigt oder gar zerstört werden.
*
Versucht mal Opfer solcher Methoden zu finden, die sind zahlreich vorhanden.
Verschlüsselung schützt, aber was ist gewonnen, wenn man die Datenträger niemals wieder sieht?
*
Oftmals ist dann die gesamte Vergangenheit vernichtet: Briefe, Fotos, Mails, bei Gewerbstätigen oftmals auch Projektdaten im Wert von 0 bis [Wert nach oben offen].
*
Gibt es eigentlich Bestreben, dieser polizeilichen Willkür Einhalt zu gebieten? Denn inzwischen gehören Hausdurchsuchungen inkl. PC-Enteignungen zum Tagesgeschäft.
@ Friedrich
Lösung: Compartmentilization.
Mindestens drei (verschlüsselte) Kopien der wichtigsten persönlichen Dateien an verschiedenen Orten (auch außerhalb der eigenen vier Wände) sicher aufbewahren.
Ansonsten gilt: Risiko- und Schadensreduktion.
Mehr kann man nicht tun. Du kannst nicht 100%-Sicherheit vor staatlichen Übergriffen (Übergriff, falls unberechtigt) verlangen. Nur der eigene Tod am Tag X ist 100% sicher.
Also: Bedrohungsszenarioplanung.
Nicht in Extremfällen denken. Auf ein breites Spektrum möglicher Szenarien vorbereitet zu sein, lässt Dich ruhiger schlafen.
Du kannst auch morgen vom Bus überfahren werden. Du kannst auf so viele Arten zu Schaden kommen. Deshalb ist ein 360°-Risikoblick so wichtig.
Ja, der 360°-Risikoblick ist vor allem im Straßenverkehr eine gute Idee. :-)
„Verschlüsselung schützt, aber was ist gewonnen, wenn man die Datenträger niemals wieder sieht?“
Lebenshilfe hat völlig recht. Sinn der Verschlüsselung ist es dafür zu sorgen, dass niemand anderes deine Daten einsehen kann. Das hat erst mal mit der Frage, sich Backups zu machen, nichts zu tun. Und diese sollten unbedingt auch außerhalb der eigenen vier Wände aufbewahrt werden. Sie können dir ja auch anders abhanden kommen (Einbruch, Feuer…).
(„Compartmentilization“, cooler Begriff, kannte ich bisher noch nicht.)
… sofern die Möglichkeit überhaupt vorhanden ist, Backups extern zu lagern.
Wenn man keine Bekannten oder Verwandten hat, wird es schon schwierig.
*
Ich schreibe das deshalb, weil ich es hinter mir habe.
2 Jahre Ermittlungszeit aufgrund hanebüchenen Vorwurfs, am Ende Einstellung gegen Zugeständnis, dass die verschlüsselten Datenträger eingezogen werden oder Strafbefehl.
Lt. Anwalt wäre der angreifbar gewesen, weil keine Grundlage oder Substanz, aber wie man weiß:
„Vor Gericht und auf hoher See ist man in Gottes Hand.“ – Und ich bin nicht gläubig.
Mal abgesehen davon, dass ich die Mittel nicht gehabt hätte, in Vorauslage zu gehen. Recht kann eben nur bekommen, wer Geld hat. Das habe ich daraus mindestens gelernt. Und dass man grundsätzlich deutscher staatlicher Willkür schutzlos ausgeliefert ist und Deutschland mit Demokratie soviel am Hut hat wie gewisse totalitäre Staaten.
*
Die Polizei hat bei mir die Daten mitgenommen inkl. der Backups. Es ist alles weg, inkl. diverser Projektdaten, Kundendaten und meine digitalen Buchhaltungsunterlagen aus vergangenen Jahren, Mails, Geschäftspost und dergleichen. Wenn irgendwann das Finanzamt ankommen sollte, was soll ich dann machen? Auf die Polizei verweisen? *lach*
Das Ermittlungsverfahren wurde eingestellt, weil sich der Tatverdacht nicht einmal ansatzweise bestätigte. Geschädigt bin ich trotzdem, Entschädigung gibts nicht, weil es auch keinen Freispruch, sondern eine Einstellung gab.
*
Einbrecher klauen eher selten eine herumliegende, externe Festplatte. Die hat ja keinen oder kaum Wert. Feuer… gut, Risiko. Aber selbst da kann ich mir die Backup-Platte schnappen. Und wenn nicht, dann bin ich mit hoher Wahrscheinlichkeit ohnehin tot und dann wärs mir auch egal.
*
Externes Backup ist eine gute Idee, aber online? Selbst verschlüsselt eher nein. Offline? Wo? Wenn keine Bekannten oder Verwandten zur Verfügung stehen.
Bankschließfach? Ist auf den Namen registriert und im Zweifel Teil der Durchsuchung.
Self-Storages? Same Problem. Die Rechnungen kann man zwar verschwinden lassen, so dass zu Hause kein Hinweis auf das Self-Storage zu finden ist, aber in deren Kundendatenbank ist man dennoch registriert und Polizisten sind nicht dumm.
*
Und wer sagt, dass wir in Deutschland nicht auch bald jahrelang in Untersuchungshaft gesperrt oder gar gefoltert werden, wenn wir verschlüsselte Daten nicht herausgeben? Die Entwicklung geht exakt dort hin!
@ Friedrich
Stichwort externe Lagerung:
Option 1:
Bei einem vertrauenswürdigen Cloud-Anbieter die eigenen Daten sicher verschlüsselt speichern. Wenn Du mit dem Szenario rechnest, das Du beschreibst (bzw. selbst erlebt hast), dann ist das eine Option. Geh mal zu https://mailbox.org, registriere Dich und bezahle anonym und lade dort Dein verschlüsseltes Backup hoch. Das erhöht Deine Sicherheit erst einmal. Das ist nicht perfekt, klar. Aber es geht nicht um 100%.
Option 2:
Bankschließfach. Ja, das ist namentlich registriert. Aber es nicht so schnell und leicht herauszufinden, wo Dein Schließfach steht. Wenn Du nicht direkt bei Deiner Hausbank vorstellig wirst, sondern irgendwo anders, wo Du sonst keine Verbindungen hin hast, dann wird es schon aufwändiger. Darum geht es: Produziere mehr Aufwand! Es geht nicht um absolute Sicherheit.
Option 3:
Hast Du wirklich keine halbwegs vertrauenswürdige Freunde, Bekannte, Verwandten? Das ist menschlich traurig, aber darum soll es hier nicht gehen. Ansonsten wäre solch eine externer Lagerort wirklich eine gute Option.
Option 4:
Wenn Dein Bedrohungsszenario Beugehaft zur Passwortherausgabe beinhaltet, dann empfehle ich Steganografie. Daten verschlüsseln und dann in harmlosen Katzenbildern, Urlaubsbildern oder sonstigen uninteressanten Bildern verstecken.
Schlussfolgerung:
Denke in Optionen, die Du (noch) hast. Dann sieht die Welt schon wieder besser aus. Jedes Mal, wenn Du es Deinen Stalkern (gleich welcher Herkunft) ein Stück schwerer machst, gewinnst Du. So musst Du denken (wenn Du psychisch stabil bleiben willst).
Pro-Tipp:
Schau mal hier. Da ist immer was dabei.
https:/www.privacy-handbuch.de
@Lebenshilfe
Option 2/3a: irgendwo in der Natur verstecken, wie Bankräuber im Film …
Ich denke aber, die genanten Optionen bieten insg. eine gute Ausfallsicherheit. Man darf sich dann nur nicht beim Retrieven und Wiederherstellen observieren lassen (am besten erstmal ins Ausland absetzen, wenn sowas war?)
Zusatz zu einigen Optionen:
Datenträger gibt’s mittlerweile in sehr, sehr, sehr klein … es fehlt mir aber noch etwas Wissen hinsichtlich der Haltbarkeit von nicht-angeschlossenem Flash-Speicher etwa?
Ich glaube/hoffe, dieses Problem würde sich von selbst erledigen, wenn mehr Leute verschlüsseln würden. Sollte mal der Tag kommen, an dem (fas) jeder seine Daten verschlüsseln, wird sich der Blickwinkel der Ermittler/Staatsanwalt ja ebenfalls anpassen müssen.
Dieses „der verschlüsselt => der ist verdächtig“ Denken funktioniert ja nur, wenn nur wenige es tuen.
Stichwort:
Verlässlicher Rechtsstaat!
Wir haben inzwischen ein derart verschobenes Rechtsstaatempfinden, das dringend wieder gerade gerückt werden müsste. Im Zweifel FÜR den … ja … in dem Fall (zu Unrecht) Verdächtigten.
Aber selbst das scheint keine Gültigkeit mehr zu haben, wenn trotz Einstellung das Eigentum trotzdem eingezogen wird. In welcher Bananenrepublik leben wir eigentlich und wieso lassen wir uns das gefallen?
Stimmt, das „wieso“ ist klar, die Betroffenenrate ist NOCH zu gering und wer betroffen ist, gilt automatisch als vorverurteilt. Selbst wenn sich ein Verdacht nicht bestätigt, gilt man als Mensch als verbrannt. Die Betroffenen können sich also nicht wehren…
Ich hab echt Bock, die ganzen Nicht-Verschlüssler und Verharmloser solcher Bestimmungen zu enlisten und zum Kapieren zu zwingen, warum Verschlüsselung kein Verdachtsmoment und auch nicht (wie in UK) mit Beweislastumkehr (!!!) verbunden sein darf:
in großem Stil Datenträger billig verhökern, auf denen gutes Rauschen ist. Promotional-Datenträger herstellen, die mit Rauschen vorgefüllt sind, am besten vorformatiert und eine große Datei „encrypted.dat“ enthaltend. Kistenweise an Flughäfen verteilen. Verschenken, wenn die Mittel das zulassen. Wenn die Büttel dann bei jedem, den sie zufällig durchsuchen, verschlüsselte Datenträger finden und es zu Erklärungsnot kommt, sollte auch der letzte merken, *wie* scheiße kafkaeske Beweislastumkehr, staatliche Intimschnüffelei und Kryptotyrannei sind. Und merken, dass sich eigentlich nicht der Mensch dafür zu rechtfertigen haben sollte, Geheimnisse zu haben, sondern der Staat dafür, etwas (ganz Bestimmtes unter ganz bestimmten, engen Voraussetzungen, für eine ganz konkrete Ermittlung, unter Wahrung aller rechtsstaatlichen Schranken) wissen zu wollen.
Ich fürchte nur, der Plan hat ein paar Haken und ich mache vor allem die Rechnung ohne die phänomenale Einsichtslosigkeit der Mehrheit diesbezüglich.
Naja, also ob ich Hardware, die die Polizei oder sonstige Dienste mal in den Händen hielten, noch wieder benutzen wollte, ist doch recht fraglich.
Von daher stört mich das Nimmer-Wiedersehen nicht mehr als wenn ich die Hardware doch mal zurückbekommen sollte.
Die Lösung für das Problem haben andere bereits genannt: Backups an verschiedenen Orten.
Das ist ein anderes Thema…
Selbstverständlich vertraut man solcher Hardware nicht mehr!
Wenn es jedoch verschlüsselte Datenträger sind, kann man die ohne Probleme an einen nicht am Netz hängenden PC anschließen, die Daten runterziehen und die Hardware danach vernichten.
Es geht weniger um die Hardware als um das, was sich darauf befunden hat.
Die Hardware wäre nur dann relevant, wenn sie einen entsprechend hohen, ggf. nicht mehr wiederzubeschaffenden Wert besitzt.
Bei einem entwendeten Notebook ist es zwar extrem ärgerlich, dennoch hält sich der Schaden in Grenzen und ist überschaubar.
Wenn sie eine halbe Serverfarm rausschleifen, sieht es natürlich anders aus… :)
Ich hab das Gefühl das es 95% der deutschen einfach egal ist, im PC support auch schon oft erlebt das den leuten selbst Spyware, Adware usw egal ist solange sie dadurch nicht zu sehr beinträchtigt werden. Die haben nix zu verbergen, weder vor dem Staat noch vor der Wirtschaft und teils selbst vor krimineller Malware nicht.
Verschlüsselung ist also etwas für die 1% Nutzer von freier Software, darüber hinaus für die meisten Menschen irrelevant. Die Massen sind halt dumm und abhängig.
Auf der einen Seite hast du natürlich Recht – als jemand, der seit Ende der 90er weitgehend erfolglos in seinem Freundes- und Bekanntenkreis für PGP bzw. GnuPG missioniert hat, mit Mühe und Not ein paar Leuten Firefox-Plugins wie Disconnect oder manchmal sogar NoScript installiert hat, teile ich deine Erfahrungen. Auf der anderen Seite denke ich manchmal, dass wir die Latte zu hoch hängen, wenn wir Menschen, die ihre Computer einfach benutzen und sich nicht mit der Technik auseinandersetzen wollen, GnuPG für die Mailverschlüsselung, Chats über XMPP/OTR oder Browsen mit Tor zumuten wollen. Mittlerweile bin ich altersmilde geworden und habe mich beispielsweise darüber gefreut, dass innerhalb eines Tages nach Übernahme von WhatsApp durch Facebook sich die Nutzerzahl von Threema um 100% erhöht hat (was sicherheitstechnisch gegen Threema spricht, steht auf einem anderen Blatt). Ich fürchte, die Zeiten sind zu bedrohlich, um puristisch zu sein – deswegen ist mir erst mal alles recht, was das Verhältnis von Signal und Rauschen im Netz zu Ungunsten der Geheimdienste verschiebt. Was wir wirklich brauchen, wird sowieso noch auf sich warten lassen: starke Verschlüsselung für reisende und ruhende Daten, die so einfach ist, dass der normale Nutzer sie gar nicht wahrnimmt.
Eine äußerst kritische Kommentierung dieses Essays findet sich im Forum von JonDonym:
https://anonymous-proxy-servers.net/forum/viewtopic.php?f=7&t=9201&sid=ca73a37c3ee932232d7812416e1f794f
Tatsächlich sind die Beispiele, die Bruce Schneier für allgegenwärtige Verschlüsselung bringt, in gewisser Hinsicht unglücklich gewählt: Technisch ist https allein durch das kaputte System der Certificate Authorities ziemlich zweifelhaft, die Mobilfunkverschlüsselung durch A5/1 und A5/2 ist eher eine Lachnummer. Das ist Schneier nun allerdings auch bewusst, es ging ihm halt um Beispiele für Verschlüsselung, die durch ihre Allgegenwärtigeit und Nutzerfreundlichkeit vorbildlich ist (nicht etwa durch ihre Krypto-Qualitäten).
Da kann und will ich gar nicht widersprechen.
Persönlich finde ich es nur wichtig beide Seiten der Medaille
im Blick zu haben um sich weder in falscher Sicherheit zu
wiegen, noch den schwarzen Mann (oder besser „Schlapphut“) hinter jeder Ecke zu sehen.
Verschlüsselt ist halb gelöscht! Verschlüsselung der Daten ist Segen & Fluch. Auch Kriminelle verschlüsseln ihre Daten und kommunizieren verschlüsselt mit ihren Smartphones und eMail. Die Strafverfolgungs-Behörden und die Forensiker haben es heute schwer auch in Bezug auf die enormen Datenmengen. Wer Verschlüsselungs-Lösungen anbietet, muss die lokalen Gesetze und regulatorischen Anforderungen in Bezug auf Legal Hold und Law Enforcement erfüllen.
Wolfgang Sidler
Ja, es ist Fluch und Segen. Wie bei jedem anderem Werkzeug auch!
Natürlich müssen Ermittler auch unter diesen Umständen ihre Arbeit tuen können. Ich muss aber sagen, von den Strafverfolgungsbehörden ist ein Jammern über „enorme Datenmengen“ nicht angebracht: Wenn massenhaft und verdachtunabhängig Daten gesamelt werden (VDS lässt grüßen), dann sollte man sich hinterher nicht über zu große Datenmenge beschweren, in denen man keine brauchbaren Infos mehr findet…
SSL (HTTPS), Open SSL, TrueCrypt und Mobile GSM-Verschlüsselungen sind heute leider nicht mehr sicher und haben Back-Doors. Mit sogenannten IMSI Catcher kann man zu 90% alle GSM-Gespräche mit einem Aufwand von ca. US 10’000 abhören.Hhat man einen Trojaner (Man-in-the-Middle) auf seinem PC, nützt auch keine Verschlüsselung, da der Angreifer Eure Mail-Passwörter etc. kennt. Setzt Ihr Notebooks ein, empfehle ich Euch z.B. die Full-Disk Encryption BitLocker (AES-256) von Microsoft oder eine andere Full-Disk Encryption einzusetzen und zusätzlich mit einer sogenannten Pre-Boot Authentication zu schützen. Für die sichere Kommunikation mit Smartphone (Chat, Voice, SMS, etc.) habe ich eine Schweizer-Lösung.
Gruss
Wolfgang Sidler
Du hast absolut Recht das Internet ist ansich unsicher und wer etwas anderes behauptet ist ein Pharisäer. Ich habe gerade einen längeren Kommentar dazu geschrieben. Über Tor versuchte ich dann meinen Kommentar zu übermitteln der in Echtzeit gesperrt wurde. Vielleicht nicht von netzpolitik.org sondern von der unsicheren Infrastruktur des Internets die von den Geheimdienten beherrscht wird. Das ist dere Beweis das Du absolut Recht hast.
Noch nie so klare Beweise gesehen. Danke dafür!
„SSL (HTTPS), Open SSL, TrueCrypt und Mobile GSM-Verschlüsselungen sind heute leider nicht mehr sicher und haben Back-Doors.“
Begründe dies mal für „HTTPS“ mit forward secrecy, TrueCrypt und OpenSSL.
„Setzt Ihr Notebooks ein, empfehle ich Euch z.B. die Full-Disk Encryption BitLocker (AES-256) von Microsoft“
Also du postulierst, dass OpenSSL und Truecrypt Backdoors besitzen und empfiehlst Microsofts BitLocker… Bist du ein Troll?
Naja, Die aktuelle Version von Truecryct sagt schon seit einigen Monaten von sich selbst das sie nicht mehr sicher ist und verweist auf ihrer Webseite auf Windows Bitlocker. Das ist ein ganz ganz klarer Hinweis,, das keine verschlüsselung mehr sicher ist. Einfach sich mal informieren und selbst überzeugen!!!!
@rudiin
Ich hoffe, dass mein Ironiedetektor einfach nur kaputt ist.
„Bist du ein Troll?“
Ganz so einfach ist die Sache auch nun wieder nicht – hier trollt Bruce Schneier zu diesem Thema: https://www.schneier.com/blog/archives/2015/06/encrypting_wind.html
(Okay, ich geb’s zu, ich nutze Bitlocker auch nicht, allein deswegen schon, weil mir kein Windows auf die Platte kommt.)
@Sidler
Du hast, wie jeder andere auch, das Recht deine Meinung zu sagen. Allerdings musst Du es dann auch ertragen, dass man Deine Bemerkungen für unqualifiziert, irreführend und nicht hilfreich hält.
Set ignore on.
Thats the truth!
Ich erinnere in diesem Zusammenhang an Truecrypt(Festplattenverschlüsselungssystem) das sogar mitlerweile von sich selbst behauptet das es unsicher sei. WLAN mit WPA2, das lange als nicht knackbar galt, kann man heute schon mit einem frei verfügbarer Software knacken Das Internet war nie frei weil es den USA und den Geheimdiensten gehört und die Freaks wurden dazu benutzt um es zu verbreiten so das die Geheimdientskontrolle vollständig wird und die Menschen immer mehr Kriminellen ausgeliefert werden. Siehe die Ermordung in den 60er Jahren von 2 Millionen Menschen in Indonesien die nach Datenlisten ermordet wurden. Die Täter gehören heute zu den Reichen Indonesiens und haben einen Film über ihre Taten gedreht wo sie genau beschreiben wie sie Menschen verhörten und ermordeten. Die Täter sagen von sich selbst das sie nicht gesetzwiedrig gehandelt haben und sich daher nicht schuldig fühlen. Die Gesetze in Deutschland und Europa sind zunehmend so ausgelegt das sowas immer möglicher wird, siehe VDS oder auch Fingerabdruckabgabe bei Reisepässen, Gesundheitskarte, E-Personalausweis und das Internet der DInge ermöglicht die totale ÜBerwachung. Alles für die Sicherheit? In diesem Zusammenhan verweise ich auf die Abgabe von Fluggastdaten an Mexico wo aktuell die EU mit Mexico verhandelt wo Behörden mit der Mafia zusammenarbeiten. Die Fluggastdaten beinhalten Kontonummer, Bestandsdaten, Essenvorlieben usw.. Verschlüsselung nützt angesichts von Hardwarebackdoors nichts weil die Bespitzelung auf dem PC selbst stattfindet noch vor der Verschlüsselung. Siehe Berichte über die Manipulation von USB, Sticks, Flashbios, Festplatten allgemeine Ausnutzung von Hardwarelücken wo kein Virenschutzprogramm etwas bemerkt. Weitere Hinweise es gab schon vor Jahren Berichte das ein Gesicht eines Menschen nur alleine über die Monitorabstrahlung erkannt werden kann, Windows 10 hat biometrische Erkennung mit eingebaut und soll umsonst was kostet es wirklich abgegeben werden und ist von Haus aus mit der Cloud verbunden und hat APIs und Routinen eingebaut die die Kontrolle des Datenverkehrs erleichtern also den Datenverkehr nach gewünscht und nicht gewünscht filtern können. Wer das Internet da noch ohne Bauchschmerzen nutzen kann dem ist nicht mehr zu helfen. Bei Linux ist es auch nicht besser weil die Geheimdienste verfügen über Millarden usw.
„Ich erinnere in diesem Zusammenhang an Truecrypt(Festplattenverschlüsselungssystem) das sogar mitlerweile von sich selbst behauptet das es unsicher sei.“
Truecrypt 7.1a gilt als sicher, falls du es noch nicht mitbekommen hast, die Entwickler wurden scheinbar starkem Druck ausgesetzt.
„WLAN mit WPA2, das lange als nicht knackbar galt, kann man heute schon mit einem frei verfügbarer Software knacken“
Das ist so BS. Es gibt einen Angriff über QSS, also QSS abschalten. Ansonsten nur Brute-Force, also Passphrase schön lang und originelle SSID vergeben…
Also wenn das für Dich Sicher ist wenn es unbestimmt als sicher gilt. Ich stelle mir das so bei einer Autobremse vor oder bei einem Gerüst, IT-DMZ etc. Verkaufsgespräch Verkäufer wie folgt „Also ich habe gehört es wäre sicher also sie können sicher sein eigentlich gilt es als sicher,,,,,,“
7.1a wurde vollständig analysiert.
Für einen „ganz normalen Nutzer“ des Internets mittels e-mail ist das Verschlüsseln so gut wie unmöglich. Und oft – bei banalen Mails – kaum sinnvoll.
Es ist a) zu kompliziert, und b): beide (Sender wie Empfänger) müssen sich gut kennen und die gleichen Tricks draufhaben (die sich technisch auch noch permanent verändern, verbessern). Wie soll das in meinem Fall gehen? Ich betreibe u.a. eine Website und mehr oder weniger das Management für einen bekannten Künstler, schreibe Texte und Interviews, etc… Ich produziere CDs, ich bin im Austausch mit Journalisten, Labels, Musikern, Fans… die ich meist gar nicht so genau – und schon gar nicht persönlich – kenne. Wie soll ich mit denen vereinbaren: „komm, lass uns mal unsere mails verschlüsseln.“ Die werden denken, ich trag ’nen Alu-Hut.
3) Wenn das tatsächlich viele machen würden, würde die NSA (etc.) natürlich sofort mitmischen. Es geht nur, wenn eine (unwichtige) Minderheit das macht, denn sobald das „Mode“ wird, und damit in den Augen der Gegenseite (NSA etc.) „gefährlich“, wird’s von denen entschlüsselt (oder unterdrückt, oder… die lassen sich schon was einfallen), denn die Gegenseite ist ja nicht doof. Und Geld regiert die Welt. Und nicht „das Gute & Richtige“. Anders wär’s mir auch lieber.
.
Diese ganze Diskussion geht an 95% der Nutzer total vorbei. Die haben nun mal nicht die technischen Kenntnisse, die solche Artikel voraussetzen. Die wollen das Netz nur benutzen.
@kdm und @ruddin
Da gebe ich Euch Recht. Seamless Security ist heute das Schlagwort. Das heisst ein Trade-Off zwischen Usability und Sicherheit. Die Sicherheit muss heute transparent und einfach bedienbar sein. Ist wie in einem Auto: ABS und Airbag sind heute Standard (Commodity). Und nicht wie PGP.
Übrigens gibt es eine sehr gute Schweizer-Lösung, um sensible Daten z.B. wie Verträge etc. über sicher und einfach zwischen zwei Partner (B2B und B2C) auszutauschen.
Die Lösung heisst SecureSafe http://www.securesae.ch
Wolfgang
Bist du nur hier um andere Software schlecht und „eure“ Software gut zu machen?
„Seamless Security ist heute das Schlagwort. Das heisst ein Trade-Off zwischen Usability und Sicherheit. Die Sicherheit muss heute transparent und einfach bedienbar sein.“
– Sicher wird es trotzdem erst mit asymmetrischer Verschlüsselung und wenn ich mir den Schlüssel dazu selbst basteln kann. Da wären wir dann wieder bei PGP. Eigentlich braucht PGP nur ein viel besseres Frontend.
@alle
Ja, ja, ja, ja, und ja. Alle haben hier recht. Ich habe pgp-Verschlüsselung vor 14 Jahren begonnen. War mal notwendig.
Ich habe heute genau 2 – in Worten ZWEI – Bekannte, mit denen ich verschlüsselt mails verschicken könnte (würde ich welche schreiben). Da hilft alles predigen nicht. Es gibt einfach keine akzeptanz in der realen, nicht digital denkenden Welt da draußen. Das es technisch zu schwer sei … nein!
1. Gibts genug Supporter, die einem helfen könnten (aber, da müsste ich ja selbst aktiv werden… Bekannte, Verwandte, Cryptoparties …)
2. Anleitungen zum selbermachen im Internet (sogar als Video, in tausendfacher Ausführung)
ABER: Otto Normal-Klickser interessiert es einfach nicht. Selbst wenn ich 1000mal erkläre: „Ich kann dir die Zugangsdaten für xy nicht unverschlüsselt per mail schicken …“ kapiert mans nicht. Ist wirklich so, dass ich Zugangsdaten für xy ausdrucke und persönlich übergebe … und nach mir die Sintflut.
Ich hab pgp Mail jemandem so eingerichtet, das alles automatisch geht (passwort gemerkt, automatisch ent- und verschlüsseln) … ich bekomme kein verschlüsseltes mail… Da ist es leichter in einem runden Raum in die Ecke zu schei****.
Aber vielleicht schick ich einfach mal der ganzen Netzpolitik Redaktion mail damit ich endlich mal pgp anwenden kann.
Nochmal, das liegt einzig am User. Schön wäre es, wenn beim einrichten eines Mailaccounts automatisch ein PGP Schlüssel anzulegen wäre/müsste. Schön wäre auch, wenn ich bei meinen Providern meinen öffentlichen Schlüssel hinterlegen könnte… Oder bei digitalen „Beamtenwegen“ meinen öffentlichen Schlüssel zur Anwendung bringen könnte. – Aber überall: nix, nix und wieder nix.
PS: Liebe Constanze, macht doch mal hier auf Netzpolitik eine Online-Umfrage:
Wer benutzt PGP?
Seit wann?
Wieviel Mailpartner nutzen PGP?
Wieviele hast du versucht zu überzeugen?
Kann PGP am Arbeitsplatz verwendet werden?
… Das würd mich mal interessieren – obwohl beim Publikum hier sicher eine überdurchschnittliche Nutzung gegeben ist.
Ja, es ist ein Elend. Allerdings hat Schneier vielleicht Recht, wenn er Big Data in seiner heutigen Form als Umweltverschmutzung des 21. Jahrhunderts bezeichnet und davon spricht, dass die Menschen in den 60er Jahren auch keinerlei Umweltbewusstsein hatten – sowas würde sich über längere Zeit herausbilden.