Tag Archiv für Kryptografie

PGP ist zu kompliziert

Auf Zeit Online gab’s neulich mal wieder einen Artikel zum Thema e-Mailverschlüsselung und über die wie Pilze aus dem Boden sprießenden e-Mailanbieter, die dem Benutzter e-Mailverschlüsselung nahebringen wollen. Nicht das ich an dieser Stelle den Neulingen per se unterstellen möchte, quasi Ausgründungen der Geheimdienstwelt zu sein, aber eine gewisse Vorsicht scheint angebracht zu sein, bevor man sich womöglich in falscher Sicherheit wiegt. Ich persönlich habe eine prinzipielle Abneigung gegen alle Verfahren, bei denen private Schlüssel, in welcher Form auch immer, beim Anbieter erzeugt werden und/oder dort verbleiben. Diese Sammlungen werden immer, auch wenn der Anbieter keine verdeckte Agenda hat, ein primäres Ziel von Angreifern (Justiz, Geheimdienste, Hacker) darstellen. Private Schlüssel gehören grundsätzlich nicht in fremde Hände — auch nicht in die Cloud —, sondern ausschließlich auf den eigenen Rechner. Will der Angreifer unter diesen Bedingungen an private Schlüssel kommen, ist er gezwungen jeden einzelnen Rechner zu infiltrieren, was derzeit ein pauschales Abgreifen im Vorübergehen bei Millionen von Nutzern wirkungsvoll aushebelt. Ist der Angreifer allerdings Willens und in der Lage den Rechner eines Benutzers zu infiltrieren, hat der Benutzer ein echtes Problem, denn an diesem Punkt verliert die Wichtigkeit zum Zugang des privaten Schlüssels enorm an Bedeutung, da der Angreifer Zugriff auf die Daten vor der Ver-, bzw. nach der Entschlüsselung hat. Auch eine verschlüsselte Festplatte ist dann nutzlos. Trotz aller Sammelwut der Geheimdienste und der sie beauftragenden Regierungen, würde eine individuelle Infiltration immer noch hochselektiv erfolgen. Derzeit werden die Daten nur deshalb in dem ungeheuren Ausmaß gesammelt, weil es eben sehr einfach ist und sich praktisch niemand dagegen zur Wehr setzt. Weiterlesen

Rechtsanwälte im Internet

Ich hatte in den letzten Monaten, bereits lange vor der Snowden-Affäre, viel Kontakt mit Rechtsanwälten. Neben der Suche nach geeigneten Kanzleien kam es dabei auch zu, über den Erstkontakt hinausgehender, Korrespondenz, die unter Anderem per e-Mail geführt wurde. Einige Anwälte bevorzug(t)en sogar ausdrücklich die Abwicklung per e-Mail, auch gegenüber dem Telefon, da sie schwer erreichbar sind. Schon damals ist mir aufgefallen, daß zwar fast jede Kanzlei im WWW vertreten ist, aber die Allerwenigsten einen Hinweis auf die Möglichkeit einer verschlüsselten Kontaktaufnahme bieten (weder auf der Webseite, noch in den Mailsignaturen). Gerade bei RA sollte man eigentlich ein höheres Sicherheitsbewusstsein erwarten. Selbst wenn die Leistung vom Klienten nicht aktiv nachgefragt wird, müsste ein RA spätestens bei der ersten Mailantwort seinem Mandanten die Möglichkeit zumindest anbieten. Weiterlesen

Können die Geheimdienste SSH und PGP entschlüsseln?

Mitte Juni behauptete Edward Snowden in einem Chat mit Lesern des „The Guardian“ (Edward Snowden: NSA whistleblower answers reader questions), daß Verschlüsselung tatsächlich schützt. Weiterlesen

Alle hören ab, nicht nur die NSA

Wenn die Angelegenheit nicht so ernst wäre, könnte man sich prächtig amüsieren, denn allmählich gerät die Abhöraffäre um Prism durch ihre offen dargestellte Scheinheiligkeit, Inkompetenz und Lügerei zu einer Farce.

Zunächst verwundert der Aufschrei über Prism doch etwas, zumindest für denjenigen für den das Internet kein Neuland (s.u.) ist. Bereits vor Jahren, noch weit vor den Anschlägen vom 11.9 in New York, war bekannt, daß die Geheimdienste mithören. Damals war es eine Zeitlang Mode unter e-Mails und Usenet-Beiträge eine bunte Liste von Wörtern anzuhängen, auf die die Filter der Spitzel anspringen sollten. Die wohl eher naive Idee dahinter war, die Dienste derart mit Daten einzudecken, daß sie in ihrer Auswertung nicht hinterherkamen. Mit der Aufdeckung von Prism wurde übrigens versucht die Idee für einen Tag wiederzubeleben: Troll the NSA. In Anbetracht der politischen Entwicklung — George Bush, die Anschläge in New York, Guantánamo, Afghanistankrieg etc. — war nie die Annahme gerechtfertigt, die Dienste könnten weniger lauschen. Sich also jetzt über Prism derart zu echauffieren zeugt dann doch Vergesslichkeit. Vielleicht hilft es aber wenigstens die Überwachung wieder in die Köpfe der Wähler zurückzubringen. Weiterlesen