Eine Lanze für PGP/GPG

Die c’t fordert in ihrem aktuellen Editorial, das man PGP sterben lassen solle, da es technisch veraltet sei und neuen Ideen nur im Weg stehen würde.

Mal ganz abgesehen davon, das PGP momentan das einzige Verschlüsselungssystem für Mails ist, von dem bekannt ist, das sich die Nachrichtendienste daran die Zähne ausbeißen und bei dem man nicht auf irgendwelche mehr oder weniger vertrauenswürdige Zertifizierungsstellen angewiesen ist, halte ich viel mehr die Implementierung von PGP in aktuelle Mail-Clients gelinde gesagt für total scheiße.

Es wäre auch heute schon durchaus möglich, Mails mit PGP zu verschlüsseln, ohne das der Anwender ständig involviert werden muss:

  • PGP-Keys könnten bei der Einrichtung der Mail-Konten automatisch erzeugt und auf einen Keyserver hochgeladen werden, sofern sie noch nicht existieren und der User es wünscht.
  • Auf das Hinterlegen der Key-ID in den Kontoeinstellungen kann man genau so gut verzichten, indem man vor dem Absenden einer Mail im lokalen PGP-Keyring nach einem privaten Schlüssel für die Absender-Adresse schaut und diesen dann verwendet.
  • Beim Empfang einer verschlüsselten Nachricht wird automatisch im Hintergrund der öffentliche Schlüssel der Absenderadresse importiert und die Mail anschließend entschlüsselt.
  • Wenn im lokalen PGP-Keyring ein öffentlicher Schlüssel für die Empfängeradresse vorhanden ist, wird die Mail automatisch verschlüsselt.
  • Alternativ könnte vor dem Absenden einer Mail online geprüft werden, ob ein öffentlicher Schlüssel für die Empfängeradresse existiert. Wenn ja, wird der Key importiert und die Mail verschlüsselt.

Man könnte also durchaus PGP so in die Mail-Clients integrieren, das der Anwender außer bei der erstmaligen Erzeugung des PGP-Keys für eine Mail-Adresse es gar nicht bemerkt. Wenn man es denn wollte …

Oder um es etwas technischer zu formulieren: PGP ist im Grunde nur ein Framework für die Verschlüsselung von Daten, das bislang nur lieblos in die Mail-Clients integriert wurde, weil die Entwickler nicht willens oder in der Lage waren, sich die Perspektive der Endanwender zu versetzen.

Verschlüsselung ist defective by design

Seit den ersten Leaks von Edward Snowden werden alle so genannten Experten nicht müde, den Leuten zu erklären, das sie möglichst ihre gesamte Kommunikation verschlüsseln sollen, um sich vor Überwachung zu schützen.

Abgesehen davon, das Technik nie die Lösung für gesellschaftliche Probleme sein darf, gibt es da noch ein anderes Problem: sämtliche Verschlüsselunslösungen sind defective by design!

Defective by design bedeutet frei übersetzt soviel wie von Grund auf kaputt oder anders gesagt, wurde schon bei der Konzeption Mist gebaut. Die meisten Lösungen zur Verschlüsselung setzen ein gewisses Grundwissen über Kryptologie voraus, das der 0815-Nutzer aber nicht hat und auch nicht haben will.

Der 0815-Nutzer will sich nicht darüber Gedanken machen, welchen Verschlüsselungsalgorhytmus er verwendet oder wie lang seine Schlüssel sein sollen. Er will einfach nur sicher Ende-zu-Ende kommunizieren, wird aber von solchen Details abgeschreckt und lässt es dann lieber gleich bleiben. Erschwerend kommt auch noch hinzu, das kaum ein Mail-Client – und erst Recht kaum ein Web-Frontend – PGP-Verschlüsselung unterstützt. ohne das erst irgendwelche Addons installiert und eingerichtet werden müssen. Und das im Jahr 2013!

Damit Verschlüsselung flächendeckend funktioniert, muss neben dem Support durch die Mailclients die Verschlüsselungssoftware auf das nötigste reduziert werden. Es sollte doch völlig ausreichend sein, bei der Erstellung der Schlüssel den Namen, die Mail-Adresse, einen Kommentar und das Passwort abzufragen. Alles andere kann man mit sinnvollen Standards vorbelegen und vor dem 0815-User verbergen. Wer mehr will, kann diese Einstellungen dann noch immer über einen „Experten-Modus“ den eigenen Wünschen anpassen.

Apps wie Threema gehen in die richtige Richtung und sollten für andere Verschlüsselungslösungen ein Vorbild sein, wie reduced to the max sinnvoll geht, ohne mehr als nötig an Sicherheit einzubüßen.

Es geht, wenn man nur will!

Nachtrag: Nicht die Verschlüsselung an sich, sondern das System „Verschlüsselung“, sprich: der größte Teil der Implementierungen von Verschlüsselung ist in meinen Augen von Grund auf kaputt. Nur, um etwaigen Missverständnissen vorzubeugen.

Wie zwei Vollidioten

Diesen Sommer, als die NSA- oder Snowden-Affäre auf ihrem bisherigen Höhepunkt war, waren da zwei Minister aus Angela Merkels Kabinett, die die Aufgabe hatten, dem Volke ein paar Beruhigungspillen zu verabreichen, damit das Thema die Wiederwahl von Angela Merkel nicht gefährdet. Was ja auch geklappt zu haben scheint.

Dummerweise kommt jetzt aber die bittere Wahrheit ans Licht. Die NSA hat anscheinend nicht nur die Bürgerinnen und Bürger dieses Landes, sondern auch das Smartphone von Angela Merkel überwacht. Auch wenn es nur das Smartphone sein mag, das Merkel in ihrer Funktion als Vorsitzende der CDU nutzt, macht das die Sache keinen Deut besser.

Und die beiden Protagonisten aus diesem Sommer, die uns eine Beruhigungspille verabreichen sollten? Kanzleramtsminister Ronald Pofalle und Innenminister Hans-Peter Friedrich? Nun, die stehen jetzt definitiv da, wie zwei bis auf die Knochen blamierte Vollidioten, die entweder das eigene Volk vorsätzlich belogen haben oder von den Amerikanern buchstäblich über den Tisch gezogen wurden.

Wenn die beiden noch einen Funken Selbstachtung hätten, würden sie entweder sofort zurücktreten oder zumindest erklären, nicht mehr für einen Posten im 3. Kabinett Merkel zur Verfügung zu stehen. Höchstwahrscheinlich wird jedoch nichts von dem passieren und man wird versuchen, die Angelegenheit soweit möglich aus zu sitzen.

Prism: Die falschen empören sich!

Es gibt, um ehrlich zu sein, eine Sache, die mich bei der ganzen Geschichte rund um Prism und Tempora ein wenig wundert:

Warum sind es nur die Datenschützer und die „digital natives“, die sich über die Totalüberwachung durch NSA und GCHQ empören?

Warum hört und liest man nichts vom Protest der Funktionäre von z.B. Ärzten, Anwälten oder Journalisten? Ich meine, diese Leute sind doch quasi von Berufs wegen her Geheimnisträger.

Warum laufen diese Leute nicht bei unserer Regierung Sturm dagegen, das sie ohne Anlass von fremden Nachrichtendiensten überwacht werden und das ihre gesamte Kommunikation dort gespeichert wird?

 

Ist Verschlüsselung eine Privatisierung der Rechtsdurchsetzung?

Sigmar „Sigi Pop“ Gabriel hat gestern Abend bei Anne Will die These in den Raum gestellt, das die Verschlüsselung der eigenen Kommunikation eine Privatisierung der Rechtsdurchsetzung wäre, was er nicht wolle.

Auch wenn Gabriel oft viel Blödsinn über das Internet und moderne Technologien von sich gibt, hat er in dem Punkt durchaus Recht. Verschlüsselung ist von einem gewissen Standpunkt aus gesehen die Privatisierung der Rechtsdurchsetzung.

Es gibt beispielsweise im Grundgesetz einen Artikel 10, dessen erster Satz lautet

Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich.

Und es ist Aufgabe des Staates, dieses und andere Grundrechte gegenüber Dritten mittels Gesetzen und Verordnungen durchzusetzen und es ist auch seine Aufgabe, seine Bürger vor der Verletzung eben dieser Grundrechte beispielsweise durch ausländische Nachrichtendienste zu schützen.

Wenn wir jetzt aber anfangen, unsere Kommunikation zu verschlüsseln, nehmen wir diese originär staatliche Aufgabe zumindest teilweise in unsere eigenen Hände, was man somit auch als Teilprivatisierung der Durchsetzung eigener Grundrechte bezeichnen kann.

Viel eher ist die Verschlüsselung der eigenen Kommunikation aber ein Workaround für das gesellschaftliche Problem, das Unternehmen und staatliche Institutionen mittlerweile riesige Datenberge mit Informationen anhäufen und diese Informationen zu Profilen von uns verknüpft werden, ohne das wir uns großartig dagegen wehren können.

Gegen die Datensammelwut von Unternehmen kann man sich zwar in einem gewissen Umfang schützen, indem man gewisse Dienste entweder gar nicht mehr nutzt oder nur die nötigsten Daten angibt. Das schützt einen aber nicht davor, dass das Unternehmen seine Daten von uns mit von Dritten zugekaufte Daten selber vervollständigt. Sich hingegen gegen die Datensammelwut staatlicher Institutionen wie Polizei oder Geheimdiensten zu wehren ist ungleich schwerer, da z.B. die Speicherung und Weitergabe von Verbindungsdaten auf Grundlage eines Gesetzes nur dadurch zu verhindern wäre, das man erst gar keine Verbindungsdaten entstehen lässt,indem man seine Kommunikation auf das absolute Minimum beschränkt. Und bei den Verbindungsdaten schützt einen auch keine Verschlüsselung, da diese technisch bedingt immer im Klartext übertragen werden.