Sie sind hier: Startseite Blog

Blog

E-mails weiterhin verschlüsseln!

S/MIME und PGP sind nicht gebrochen

E-mails weiterhin verschlüsseln!

EFail-Symbolbild (CC-0)

Mitte Mai veröffentlichte eine Gruppe deutscher Wissenschaftler eine Warnung vor neu entdeckten Problemen mit verschlüsselter E-Mail. Dies Veröffentlichung führte zu Aussagen, wie "E-mails nicht mehr verschlüsseln".

Ich bitte darum, die Falschmeldung nicht weiter zu verbreiten - auch wenn sie von der renommierten Electronic Frontier Foundation losgetreten wurde.

Die beiden zugrundeliegenden Verfahren S/MIME und PGP sind nicht gebrochen. Lediglich nutzen etliche Mailprogramme diese Techniken falsch, so dass Angreifer mit ziemlichen Aufwand an den Inhalt verschlüsselter Mails kommen können. Dazu ist aber ein aktiver Angriff nötig!

Der Rat ist noch immer: E-mails verschlüsseln. Dann ohne Verschlüsselung kann jeder den Inhalt der Mails lesen, im andren Fall nur der Angreifer - wenn er denn angreift.

Abhilfe ist zudem leicht:
a) keine externen Inhalte in Mails nachladen
b) neue Version des Mailprogramm verwenden

Mehr hierzu unter https://digitalcourage.de/2018/05/21/e-mail-verschluesselung-und-sicherheitsnihilismus

19.06.2018 18:10

„Kamera-Safari“ durch die Münchner Innenstadt

am 21. April 2018, 14 Uhr im JIZ, Sendlinger Str. 7 (Innenhof)

„Kamera-Safari“ durch die Münchner Innenstadt

"Mutig warf sich die kleine Kamera zwischen den Täter und das Opfer."

Es gibt immer weniger öffentliche Orte, an denen man sich bewegen kann, ohne dabei von öffentlichen und privaten Überwachungskameras aufgezeichnet zu werden. Viele Überwachungskameras sind rechtswidrig angebracht, doch das fällt selten auf, Strafen gibt es keine. So mehren die vielen Kameras in der Öffentlichkeit das Gefühl, permanent unter Beobachtung zu stehen. Dies ist eine Einschränkung unserer Freiheitsrechte - denn wer beobachtet wird, ist nicht frei.

Die Digitalcourage Ortsgruppe München veranstaltet am Samstag, den 21. April um 14 Uhr eine „Kamera-Safari“ durch Münchner Innenstadt. Um 14 Uhr startet der Spaziergang am JIZ. Ab ca. 16:00 Uhr wollen wir dort gemeinsam die ermittelten Videokameras kartieren und in OpenStreetMap einpflegen. Ziel ist es, das Ausmaß der Videoüberwachung und ggf. rechtswidrig angebrachte Kameras zu dokumentieren.

Bitte Digitalkamera oder Handy, mit denen man Fotos machen kann, mitbringen, damit wir die Kameras besser dokumentieren können.

Alle, denen außerhalb des Spazierganggebietes Kameras auffallen, können die Standorte und ein Dokumentations-Foto gerne mitbringen, um die Kameras zu kartieren.

05.04.2018 17:30

Gemeinsam die Gala zur Verleihung der der BigBrotherAwards gucken

20. April 2018, 18 Uhr im JIZ, Sendlinger Str. 7 (Innenhof), München

Die BigBrotherAwards (BBAs) 2018 werden am 20. April 2018 im Stadttheater Bielefeld verliehen. Spannend, unterhaltsam und gut verständlich werden die ‚Oscars für Überwachung' (Le Monde) an die größten Datensünder des letzten Jahres vergeben. Eine Jury aus prominenten Bürgerrechtlern verleiht jährlich diesen Datenschutz-Negativpreis an Firmen, Organisationen und Politiker.

Für alle Münchnerinnen und Münchner, die weder den weiten Weg nach Bielefeld auf sich nehmen wollen, noch alleine auf der Couch schauen möchten, bietet die Digitalcourage Ortsgruppe München ein Live-Streaming der BBAs im JIZ an. Seid dabei!

Ab 17:45 Uhr geht es los, die Übertragung startet um 18 Uhr.

05.04.2018 17:17

Eilt: Petition auf WeAct gegen VDS *jetzt* unterschreiben

Vorratsdatenspeicherung wird heute verhandelt!

Hallo liebe Leute,

der AK Vorrat hat auf WeAct (der Peditionsplatform von Campact) einen Petition gegen die Vorratsdatenspeicherung gestartet:

https://weact.campact.de/petitions/weg-mit-dem-gesetz-zur-vorratsdatenspeicherung

Jetzt gleich unterzeichnen und Link bekannt machen denn wie wir eben erfahren haben, verhandeln heute die Berichterstatter der Parteien die Themen Innen,Justiz und Rechtsstaat. Ganz vorne auf der Agenda wieder die VDS.

Danke!

09.11.2017 15:07

Public Money – Public Code

Warum wird durch Steuergelder finanzierte Software nicht als Freie Software veröffentlicht? Wir wollen rechtliche Grundlagen, die es erfordern, dass mit öffentlichen Geldern für öffentliche ...

Die Adresse lautet: https://publiccode.eu/de/

19.09.2017 11:33

Digitalcourage klagt gegen den die Staatstrojaner – Verfassungsbeschwerde unterstützen!

in letzter Zeit werden wir von Überwachungsgesetzen überrannt – sie sind versteckt, tragen irreführende Namen und werden mit Verfahrenstricks durchgedrückt. Die kürzlich beschlossenen Staatstrojaner ...

28.07.2017 10:55

Artikel 1 – Wählerinitiative zur Bundestagswahl

Die Bundestagswahl bietet die Chance, die Bürgerrechte wieder zu stärken. Wir treten ein für ein demokratisch verfasstes Europa, das sich nach innen und außen für die Menschenrechte einsetzt. Wir ...

17.06.2017 10:13

Globale Karte der straßenfreien Gebiete

Zerrissene Welt: Straßen zerstückeln fast gesamte Erde Ein internationales Forscherteam hat eine globale Studie zu straßenlosen Räumen im renommierten Wissenschaftsmagazin Science ...

10.06.2017 14:00

Film „Cyberpeace statt Cyberwar“

Guter Animations-Film, weshalb wir eine breite gesellschaftliche Diskussion über „Cyberpeace statt Cyberwar“ brauchen. Von der Kampagne „Cyberpeace“ des FIfF.

Die Adresse lautet: https://vimeo.com/216584485

09.06.2017 15:00

Nicht PGP ist gescheitert, die Entwickler haben versagt

Leserbrief zu "Geheimnisquälerei – Warum PGP für sicher E-Mail-Kommunikation gescheitert ist"

Im aktuellen Linux Magazin 06/2017 ist ein Artikel "Geheimnisquälerei – Warum PGP für sicher E-Mail-Kommunikation gescheitert ist". Mein Leserbrief dazu:

Nicht PGP ist gescheitert, sondern die Entwickler haben versagt: Sie haben es auch nach 20 Jahren nicht geschafft, benutzerfreundliche Oberflächen für PGP zu entwickeln. Dazu tragen die übertriebenen Sicherheitsansprüche bei, die auch der Autor formuliert: Wenn es schon keine 100-prozentige Sicherheit gibt, müssen es dennoch 99,3% sein. Das ist ein hehres Ziel, aber für die allermeisten Fälle – und die allermeisten Menschen – genügen auch 80%. Es wäre mehr gewonnen,wenn für 10% der Leute diese 80% Sicherheit zur Verfügung stünden, als 0,0,1% der Leute 99,3%.

Das Konzept dazu ist einfach: Automatismen, „Trust on first use“ statt "Web of trust" und eine Oberfläche, die den Benutzer nicht stört. pretty Easy ürivacy (p≡p) zeigt wie das gehen kann – leider ist es noch immer nicht fertig. Stimmt, auch damit ist nicht alles super-sicher. Aber wer braucht im Alltag schon eine "sichere" Signatur unter einer Mail?

Auch der Autor stimmt in den Kanon der übertrieben-sicheren Nerds ein, wenn er schreibt: Um wirklich sicher zu kommunizieren, soll man sich den Ausweis zeigen lassen. Welch ein Unsinn! Von wie vielen Ihrer Freunde haben Sie sich jemals den Ausweis zeigen lassen? Es sind solche Attitüden und Forderungen, die den Nutzern PGP vergällen!

Fazit: PGP für E-Mail-Verschlüsselung ist nicht erledigt, sondern die hohen Rösser der Adepten gehören geschlachtet.

Auch einige andere Aussagen des Artikels scheinen mir fragwürdig: So werden die Anforderungen von Unternehmen in den gleichen Topf geworfen wie die von Privatpersonen. In Unternehmen gibt es keine  "privaten" Schlüssel, denn der Mitarbeiter handelt nie privat, sondern immer im Auftrag der Firma. Daher ist das Hinterlegen des privaten Schlüssels auch kein Problem. Unternehmen wollen auch nicht, dass die Mitarbeiter ein eigenes Web of Trust aufbauen – und womöglich hundertmal einen Schlüssel prüfen. Die im Artikel als Alternative empfohlenen PGP-Mail-Gateways machen ja genau das.

Auch bei Chat ist der Artikel nicht auf dem Stand der Zeit: seit ca. einem Jahr gibt es mit OMEMO eine Implementierung des Signal-Protokolls für XMPP. Das umständliche und unflexible OTR ist damit obsolet.

19.05.2017 10:22

(0) Kommentare