Schweigen im Walde

Falls es noch nicht alle mitbekommen haben, möchte ich nur kurz anmerken, das ich, mangels Nutzung aufgrund fehlender Kontakte, meine Accounts bei Telegram und TextSecure/Signal bereits vor einigen Wochen gelöscht habe und fortan nur noch Threema und GPG/PGP für verschlüsselte Kommunikation nutze.

Eine Lanze für PGP/GPG

Die c’t fordert in ihrem aktuellen Editorial, das man PGP sterben lassen solle, da es technisch veraltet sei und neuen Ideen nur im Weg stehen würde.

Mal ganz abgesehen davon, das PGP momentan das einzige Verschlüsselungssystem für Mails ist, von dem bekannt ist, das sich die Nachrichtendienste daran die Zähne ausbeißen und bei dem man nicht auf irgendwelche mehr oder weniger vertrauenswürdige Zertifizierungsstellen angewiesen ist, halte ich viel mehr die Implementierung von PGP in aktuelle Mail-Clients gelinde gesagt für total scheiße.

Es wäre auch heute schon durchaus möglich, Mails mit PGP zu verschlüsseln, ohne das der Anwender ständig involviert werden muss:

  • PGP-Keys könnten bei der Einrichtung der Mail-Konten automatisch erzeugt und auf einen Keyserver hochgeladen werden, sofern sie noch nicht existieren und der User es wünscht.
  • Auf das Hinterlegen der Key-ID in den Kontoeinstellungen kann man genau so gut verzichten, indem man vor dem Absenden einer Mail im lokalen PGP-Keyring nach einem privaten Schlüssel für die Absender-Adresse schaut und diesen dann verwendet.
  • Beim Empfang einer verschlüsselten Nachricht wird automatisch im Hintergrund der öffentliche Schlüssel der Absenderadresse importiert und die Mail anschließend entschlüsselt.
  • Wenn im lokalen PGP-Keyring ein öffentlicher Schlüssel für die Empfängeradresse vorhanden ist, wird die Mail automatisch verschlüsselt.
  • Alternativ könnte vor dem Absenden einer Mail online geprüft werden, ob ein öffentlicher Schlüssel für die Empfängeradresse existiert. Wenn ja, wird der Key importiert und die Mail verschlüsselt.

Man könnte also durchaus PGP so in die Mail-Clients integrieren, das der Anwender außer bei der erstmaligen Erzeugung des PGP-Keys für eine Mail-Adresse es gar nicht bemerkt. Wenn man es denn wollte …

Oder um es etwas technischer zu formulieren: PGP ist im Grunde nur ein Framework für die Verschlüsselung von Daten, das bislang nur lieblos in die Mail-Clients integriert wurde, weil die Entwickler nicht willens oder in der Lage waren, sich die Perspektive der Endanwender zu versetzen.

Mail-Verschlüsselung neu denken!

Seit den Enthüllungen von Edward Snowden wissen wir, das wir unsere Kommunikation am besten konsequent verschlüsseln sollten, wenn wir nicht wollen, das Nachrichtendienste und andere Sicherheitsbehörden (Beamtendeutsch: „Bedarfsträger“) mitlesen können.

Da gibt es nur ein Problem: Der Großteil der E-Mail-Nutzer verwendet keine Verschlüsselungssoftware. Und warum? Weil sie für den 0815-Anwender einfach zu kompliziert ist! „Mail-Verschlüsselung neu denken!“ weiterlesen

Die Arbeitsagentur und die RC4 https Verschlüsselung

Nachdem ich vor knapp einer Woche in meinem Firefox den RC4-Algorithmus für die Verschlüsselung von https Verbindungen deaktiviert hatte, bin ich damit prompt vor die Wand gerannt.

Die Bundesagentur für Arbeit nutzt für die https Verbindung ihrer Jobbörse nämlich ausschließlich RC4 zur Verschlüsselung. Und das obwohl selbst das BSI empfiehlt, auf diesen Algorithmus zu verzichten.

Natürlich habe ich die Arbeitsagentur darüber informiert, jedoch hat sich bis heute nichts daran geändert. Hätte mich auch irgendwie gewundert, wenn doch.

Einmal mit Profis, bitte!

RC4 Verschlüsselung in Firefox deaktivieren

Für verschlüsselte https-Verbindungen gibt es eine große Auswahl an mehr oder weniger sicheren Verschlüsselungsalgorhitmen. Einer, der schon seit einiger Zeit nicht mehr als sicher gilt, aber dennoch noch immer sehr oft verwendet wird, ist RC4.

Wer jetzt auch Nummer sicher gehen und seinem Firefox davon möchte, diese unsichere Verschlüsselung zu akzeptieren, muss dazu lediglich einen neuen Tab öffnen und in der Adresszeile

about:config

eintragen und den Sicherheitshinweis bestätigen.

Nun zuerst nach „RC4“ suchen und bei allen angezeigten Ergebnissen den Wert auf „false“ setzen. Damit wäre die RC4-Verschlüsselung ab sofort deaktiviert und Firefox quittiert die Versuche eines Servers, eine mit RC4 verschlüsselte Verbindung aufzubauen, fortan mit einer Fehlermeldung. Da es jedoch einige Server gibt, die nach dieser Änderung Probleme machen, sollte noch der Wert der Einstellung security.tls.version.max von 1 auf 3 geändert werden, um den Support für TLS 1.2 zu aktivieren.

Sollte es nun immer noch zu Fehlermeldungen beim Versuch, eine verschlüsselte Verbindung aufzubauen, kommen, sollte man dem Betreiber der Seite eine nette Mail schreiben, das er seinem Hoster/Admin doch bitte mal gepflegt in den Allerwertesten treten möge, damit sie endlich einen sicheren Verschlüsselungsalgorhitmus für ihre https-Verbindungen verwenden.

Verschlüsselung ist defective by design

Seit den ersten Leaks von Edward Snowden werden alle so genannten Experten nicht müde, den Leuten zu erklären, das sie möglichst ihre gesamte Kommunikation verschlüsseln sollen, um sich vor Überwachung zu schützen.

Abgesehen davon, das Technik nie die Lösung für gesellschaftliche Probleme sein darf, gibt es da noch ein anderes Problem: sämtliche Verschlüsselunslösungen sind defective by design!

Defective by design bedeutet frei übersetzt soviel wie von Grund auf kaputt oder anders gesagt, wurde schon bei der Konzeption Mist gebaut. Die meisten Lösungen zur Verschlüsselung setzen ein gewisses Grundwissen über Kryptologie voraus, das der 0815-Nutzer aber nicht hat und auch nicht haben will.

Der 0815-Nutzer will sich nicht darüber Gedanken machen, welchen Verschlüsselungsalgorhytmus er verwendet oder wie lang seine Schlüssel sein sollen. Er will einfach nur sicher Ende-zu-Ende kommunizieren, wird aber von solchen Details abgeschreckt und lässt es dann lieber gleich bleiben. Erschwerend kommt auch noch hinzu, das kaum ein Mail-Client – und erst Recht kaum ein Web-Frontend – PGP-Verschlüsselung unterstützt. ohne das erst irgendwelche Addons installiert und eingerichtet werden müssen. Und das im Jahr 2013!

Damit Verschlüsselung flächendeckend funktioniert, muss neben dem Support durch die Mailclients die Verschlüsselungssoftware auf das nötigste reduziert werden. Es sollte doch völlig ausreichend sein, bei der Erstellung der Schlüssel den Namen, die Mail-Adresse, einen Kommentar und das Passwort abzufragen. Alles andere kann man mit sinnvollen Standards vorbelegen und vor dem 0815-User verbergen. Wer mehr will, kann diese Einstellungen dann noch immer über einen „Experten-Modus“ den eigenen Wünschen anpassen.

Apps wie Threema gehen in die richtige Richtung und sollten für andere Verschlüsselungslösungen ein Vorbild sein, wie reduced to the max sinnvoll geht, ohne mehr als nötig an Sicherheit einzubüßen.

Es geht, wenn man nur will!

Nachtrag: Nicht die Verschlüsselung an sich, sondern das System „Verschlüsselung“, sprich: der größte Teil der Implementierungen von Verschlüsselung ist in meinen Augen von Grund auf kaputt. Nur, um etwaigen Missverständnissen vorzubeugen.

Crypto-Foo und so

Seit Prism und Tempora ist auch das Thema E-Mail-Verschlüsselung zumindest kurzzeitig aus seiner Nische raus gekommen und immer mehr Leute bekunden, ihre Mails zukünftig verschlüsseln zu wollen.

Das Problem bei der Sache ist jedoch, das es dafür immer zwei braucht und was nützt es, wenn ich meine Mails verschlüsseln möchte, jedoch die Empfänger meiner Mails keinerlei Ambitionen haben, PGP bzw. GPG zu nutzen – warum auch immer?

Fefe hat es neulich übrigens völlig richtig auf den Punkt gebracht:

… Open Source ist ein Werkzeug, nicht die Lösung. Ihr müsst auch euer Verhalten entsprechend ändern.

Und auch wenn er hier von Open Source schreibt, so trifft das auch auf Verschlüsselung zu.

Ich für meinen Teil werde meine Mails zukünftig zumindest mit GPG signieren. Mein privates Umfeld muss man nämlich leider als hartnäckige Crypto-Verweigerer bezeichnen. Man redet sich den Mund wund und kommt doch keinen Schritt vorwärts. Zu kompliziert und überhaupt uns betrifft das ja alles nicht. Ihr kennt das ja sicher …

Wer mit mir trotzdem verschlüsselt kommunizieren möchte, kann das gerne machen. Meine GPG-Keys sind alle veröffentlicht und zur Not, kann man mir auch über das Kontaktformular eine kurze Nachricht mit dem Wunsch nach verschlüsselter Kommunikation schicken.