mein Tip für heute Abend: Radio Fritz oder den Livestream vom Chaos Computer Club (CCC) Radio zum Thema "Datentresore und Briefumschläge - Verschlüsselung in der Praxis".
Es geht um eMailverschlüsselung, Verschlüsselung von Festplatten etc. Insb. unter dem letzten gefällten Urteil, daß das Briefgeheimnis bei eMails strak geschwächt hat und der Tatsache der verdachtunabhängigen Vorratsdatenspeicherung, die auf EU Ebene beschlossen wurde, empfiehlt sich diese Sendung von Leuten, die fit in der Materie sind und euch Tips geben können, ob und wie man sich schützen kann.
Wer die Sendung nicht live verfolgen kann, wird ein paar Tage später ein MP3 Mitschnitt finden. Die Hompage zu diesem Speziellen Thema ist unter
http://chaosradio.ccc.de/cr111.html
zu finden.
Ein Mitmach-Wiki zeigt bereits, in welche Richtung es in der Sendung gehen wird.
http://de.wikipedia.org/wiki/Benutzer:Tim_.../Chaosradio/111 (http://de.wikipedia.org/wiki/Benutzer:Tim_Pritlove/Chaosradio/111)
John
Keyser Soze
29.03.2006, 22:29
Zum Thema öffentliche PGP-Keys zur Verschlüsselung von E-Mails:
Die Key-Server sind sehr beliebte Stellen für Spammer, um E-Mail-Adressen für ihre Spammings zu sammeln. Zum Beispiel hier:
http://wwwkeys.de.pgp.net/#search
Einfach irgendeinen Namen eingeben (bspw. "John Shaw") und schon bekommt man massig gültige E-Mail-Adressen zum zuspammen.
Die Hinweise auf der Webseite des Keyservers sind eindeutig:
Please note: The email addresses contained in your keys will also be published and are accessible to anybody through the worldwide network of keyservers. It is therefore possible that keys and their user IDs are used for malicious purposes, e.g. SPAM.
It is impossible to remove a published key from the keyserver network.
By submitting your key you confirm that these facts are known to you.
Man erkauft sich also die Vertraulichkeit und Authentizität durch verschlüsselte E-Mails mit einem viel höheren Spam-Potenzial. Das sind (leider) die Nachteile des dezentralen "Web of Trust" :down:
Keyser Soze
30.03.2006, 09:55
"Mythos Backdoor in PGP... Starke Verschlüsselungstechniken nur mit Backdoors (USA) ?"
Ich halte das für real, allerdings global. Und mit einer Art "Masterkey".
Und selbst wenn dieser "Masterkey" nicht vom Entwickler kommt. Das gab es und wird es immer geben...
...dir ist schon klar, dass bspw. GnuPG Open Source ist, und es deswegen von jedem überprüft werden kann, ob es eine Backdoor gibt?
Dass es aber speziell in symmetrischen Verschlüsselungsverfahren, deren Code nicht offen liegt, wie z.B. DES, durchaus eine hohe Wahrscheinlichkeit für Backdoors gibt, würde ich auch mal behaupten.
Wusstet ihr übrigens, dass PGP jahrelang vom US-Verteidigungministerium als "Waffe" eingestuft wurde, die nicht exportiert werden darf? :cool: Der Autor wurde sogar mal wegen "unlizenziertem Waffenexport" angeklagt. :shock:
John Shaw
30.03.2006, 15:40
@adfree: Ich verstehe die Stoßrichtung deiner Argumente nicht.
Du behauptest korrekt, das bekannte Verfahren irgendwann geknackt werden können. Daraus leitest du ab, sie jetzt einzusetzen sei unsinnig. Als Konsequenz lässt du deine Daten bereits heute unverschlüsselt oder wie?
Für sensiblen Kram nehme ich den besten Schutz, den ich heute bekommen kann. Wenn dieser in Zukunft geknackt wird, oder wenn bessere Verfahren zur Verfügung stehen, werden meine Daten mit dem neuen Verfahren geschützt und die alten Daten gelöscht. Krypto und die "Gegner" befinden sich im ständigen Katz- und Maus Spiel. Wenn ich mich nicht mit bewege, habe ich verloren.
EINZIGE Möglichkeit, diesem Szenario zu entgehen, ist keine sensiblen Daten zu haben und das ist heute UNMÖGLICH.
"Ich habe doch nichts zu verbergen" Einstellung bei DAUs aufbrechen. Wie kann aus harmlosen Einzelinfos doch ein Problemszenario werden?
Dieser Satz im Wiki stammt von mir. Praktisches Beispiel gefällig?
Du benutzt heute eine Payback Karte oder zahlst immer mit EC. Deine Einkaufsverhalten sind erfassbar. Es wird gespeichert, daß du viele Packungen Zigaretten in deinem Leben kaufst. In 20 Jahren - auchtung Vision - wird unsere Krankenversicherung, voll Risikobezogen finanziert. Wil der Datenschutz so gut wie abgeschaft ist, wird deine Krankenversicherung sich schlau machen, was du denn so alles einkaufst. Oha, der Mann war starker Raucher, bevor rauchen im Jahr 2015 komplett verboten wurden?! Nee, Krebsrisiko zu hoch, den möchten wir nicht versichern und wenn dann nur richtig teuer.
Verstehst du, wohin mein Ansatz geht? Daten, die du EINMAL abgegeben hast, sind nicht mehr in deinem Kontrollbereich. Nur weil sie heute noch halbwegs per Datenschutz gesichert sind, muß das nicht ewig so bleiben. Unsere Gesellschaft verändert sich aktuell aus meiner Sicht in eine problematische Richtung und die einmal unter ganz anderen Bedingungen erfassten Daten bleiben bestehen. Es besteht die durchaus ernste Gefahr, daß du aufgrund von Daten(-fragmenten), die dir heute als harmloserscheinen zukünftig Probleme bekommst.
Das gleiche gilt natürlich für eMails und deren Inhalt. Du bist heute eMailbekanntschaft oder Online Zock Kumpel von Person X, die morgen z.B. als potentielle Bedrohung für die innere Sicherheit eingestuft wird. Zack bist du auch im Visier, weil du Kontakt hattest. kanns ja wohl nicht sein, oder?
Btw: In Tschechien werden die Vorratsdaten 15(!!!) Jahre gespeichert werden. Zieh dir das mal rein!
John
adfree
30.03.2006, 18:08
@ John
Es ist kein persönlicher Angriff auf Dich. Zumal Du als Entwickler und Programmierer durchaus Deine Daten schützen mußt, solltest. Damit die Konkurrenz nicht von Deiner Arbeit wirtschaftlich profitiert. Und Deine Ideen vermarktet bevor du es kannst. Also praktisch jede Sekunde zählt damit man sich auf dem Markt behaupten kann. Rechtzeitig. Ein gutes Produkt zur falschen Zeit ist auch ein Rohrkrepierer.
Das kann man als Firma machen, sich ständig neuen Kryptotechniken hingeben. Weil die das Geld haben. Da macht es auch definitiv Sinn.
Als Schüler, Student ... ist es doch Schade, Geld zu verpulvern mit PGP zum Beispiel. Da es ja ausreicht, wenn nur ein einziges mal alle Daten vom Falschen entschlüsselt werden. Und sei es in 5 oder 10 Jahren. Freewareverschlüsselung ist zu empfehlen, da kann man seine Daten entsprechend schützen und immer aktuell sein. Kryptographie ist ein gewaltig boomender Markt und lebt von den Ängsten der Menschen... Man sollte doch wenigstens drüber nachdenken. Ob man das wirklich braucht. Aber nicht suggeriert bekommen. Ohne kann man nicht leben.
Mal ein Beispiel was ich meine: Buchführung, natürlich ist es wünschenswert. Das nicht JEDER Deine Ein und Ausgaben kennt. Auch nicht, wenn Dein Nachbar Probleme mit dem Gesetz hat. Und die Polizei auf die Idee kommt, weil Du ihn mal gegrüsst hast, das ihr "Geschäftspartner" seit. Da ist es natürlich von Vorteil, das beim Sichten Deines PCs, aufgrund der Verschlüsselung, keine Daten gelesen werden können. Und Du bist nicht verpflichtet den Schlüssel preiszugeben. Erst auf richterliche Anordnung. Nun laß dem Polizisten doch mal einfallen. Ein Image von Deiner Platte zu ziehen. Das geht relativ fix. Sagen wir mal 30 Minuten. Da er es einfach nicht verstehen kann, weswegen Du Deine Daten verschlüsselst. Und sei es auch nur eigenmächtiges Handeln von ihm. Ich persönlich würde ihn gewähren lassen. Was soll ich denn machen?
So, Du bist aus der Sache mit Deinem Nachbarn raus. Weil unschuldig.
9 Jahre später steht der selbe Beamte vor Deiner Haustür, diesmal im Auftrag der Steuerfahndung. Grinst Dich an und sagt: Uns sind da letzte Woche Unregelmäßigkeiten in ihrer Steuererklärung von vor 9 Jahren aufgefallen.
Dann zahlst Du rückwirkend 9 Jahre Deine Fehler ans Finanzamt. Weil Du eventuell Deinen Playboy als Fachzeitschrift abgesetzt hast.
Und Datenschutz, Schutz der Privatsphäre widerspricht irgendwie der zentralen Speicherung meiner Daten, mittlerweile sogar schon mit Ausweis. Irgendwelchen Onlineaktivierungen, Registrierungen. Ich will einfach nur meine Kryptosoftware benutzen können, auf einem PC ohne Internet. Ohne mich mit meinem Ausweis zu autorisieren. Beim Aldiverkäufer.
Ja. Letzter Beitrag zu diesem Thema. Versprochen an Benj9