Benutzer blumenwiese schrieb:
Verschlüsseln ist das eine. Dahingehend stimme ich mit dem Editorial voll und ganz überein.
Meiner Ansicht mindestens genauso wichtig ist aber ...
Meiner fehlbaren Meinung nach (IMHO) schießt Du über das Ziel hinaus. Denn die Menschen verschlüsseln noch nicht einmal die Inhalte.
Die bequemen, technophoben Menschen pflichten Dir bei, dass das mit der NSA "schlimm" sei, dass "die Inhalte verschlüsselt werden müssen" und dass Dein Aspekt, die Verschleierung der Metadaten auch "ganz wichtig" sei.
Danach drehen sie sich um und schicken das PDF ihres Scheidungsurteils per unverschlüsselter Email via Gmail vom Tablett-PC zum Privat-PC! Nicht einmal eine symmetrische Verschlüsselung des PDF-Anhangs (egal ob mit zip-crypto oder mit 256bit-AES) machen sie! Dann bearbeiten Sie ihre Email und senden PDF-Anhang und Emailtext an ihre Familienrechtsanwältin und telefonieren noch per DECT-Fritzbox-Kombination per Easybell-SIP-Anschluss mit der Anwältin die auch DECT im der Kanzlei benutzt.
Der Durchschnittsnutzer glaubt den Schäubles, den de Maizières oder Herrn Minister im Amt Heiko Maas. "Beim DSL-Anschluss muss man sich anmelden. Die kennen meinen Namen also ist das Ding vertrauenswürdig". "DECT kenn' ich. Das haben wir von Siemens gekauft" (wohl ein paar Jahre her) das ist vertrauenswürdig.
Solchen Menschen musst Du in einfachen Worten erklären, warum die gute alte Zeit vorbei ist, dass nur der Inlandsgeheimdienst und nur die eigene Polizei die Kommunikation ausspähen konnte. Warum die Email die zwischen zwei Computern mit 1 Meter Abstand ausgetauscht wird, in den USA mitgelesen wird.
Du musst erklären, warum eine Telefonnummer / Emailadresse zwar eindeutig im Sinne "da geht nicht der Nachbar ran" ist, warum Du aber einen Hash-Wert eines asymmetrischen Schlüssels brauchst, damit "eindeutig" bedeutet, dass die NSA nicht mitliest. Die müssen vor Wut schäumen, wenn rauskommt, dass mal wieder in einer CA eingebrochen wurde. Die müssen sich an die Stirn langen, wenn sie hören dass Cisco-Server während des Postversandes von der NSA ausgepackt, manipuliert und als "Originalware" an den Endkunden weitergeschickt wurden (auch bei deutschen Kunden).
Wenn Du dann der Masse beigebracht hast, dass sie ihre Emailinhalte verschlüsseln. Wenn Kai Petzke seinen public Key in seinem Impressum veröffentlicht und seine Redakteure auch PGP benutzen. Dann ist es noch immer früh genug, sich um Metadaten- alias Verkehrsdatenverschleierung zu kümmern.
(Ich will hier nicht gegen teltarif.de bashen. heise.de ist genauso inkonsequent. Https auf einer Blogseite wäre ja auch teilweise ein Overkill)
Wir routen unsere Emails und unsere Telefonate über Hardware, die von den USA manipuliert werden und tun noch immer so, als Gäbe es keine Man-in-the-Middle-Angriffe. Wir tun so als seinen nationale Justizeinrichtungen und in deren Gefolge die Einwohnermeldeämter in der Lage unsere Identität zu verwalten.
Dabei verwalten die lediglich die offizielle Liste der Personalien der Einwohner. Der BND hat genauere Listen. Und auch GCHQ und NSA kennen die wahren Personalien der Spione, die in Deutschland tätig sind, genauer als wir es wissen!
Im übrigen ist MITM als Man-in-the-middle eine viel zu harmlose Formulierung, die an einen Abhörbeamten erinnert, der morgens um 8:00 mit dem Abhören beginnt und abends um 17:00 nach Hause geht und samstags und sonntags eh' nichts mitschneidet.
Das sind Maschinen die rund um die Uhr 24h 365Tage bei jeder Benutzung der Endgeräte bei *jeder* Email automatisch einschalten und keinen Kommunikationsvorgang übersehen! (machine-in-the-midlle wäre korrekt)
Naja, jetzt werde ich wohl endgültig nie mehr ein Einreisevisa für die USA bekommen.
Gelobt sei der Rechtsstaat, sprach der Vorsitzende der per Mehrheit die Gesetze maßgeblich beeinflussen konnte so wie er es brauchte, um abhören zu können, um die Presse manipulieren zu können, unm Krieg zu führen, wann er wollte. Nur im Ausland wurde er (noch) als Diktator beschimpft wurde. Aber das änderte sich immer schnell dann, wenn er das entsprechende Land "befriedet" hatte.
Sprach ich jetzt von Erich Honecker? von Baschar al-Assad? von Wladimir Wladimirowitsch Putin? von Barack Obama? Egal. Selbst wenn ich an Li Keqiang gedacht hätte, hätte ich nicht daneben gelegen.
Obwohl die elektronische Privatsphäre das große Gesamtziel ist, wäre es gut, wenn jedes Emailprogramm bereits im Auslieferungszustand zumindest schon mal elektronische PGP-Signaturen verifizieren könnte, zumal elektronische Signaturen die Lesbarkeit der Emailinhalte per Webinterfface nicht beeinträchtigen. (Ich meine mit DAU-Einstellungen: GPG integriert und aktiviert, automatische Updates per gesicherter Quellenerkennung, automatisches nachladen fehlender PubKeys - trotz aller Sicherheitslücken, die die Fachleute daran erblicken)
Aber noch nicht einmal das klappt! Viele User sind damit überfordert gnupg oder pgp4win zu installieren, geschweige denn zu warten. - So schaut es doch aus.