Aufgrund von PRISM, dem inzwischen berühmt-berüchtigten Überwachungsprogramm der amerikanischen National Security Agency (NSA), haben mich nach Jahren (endlich) wieder Anfragen zu verschlüsselter elektronischer Kommunikation erreicht.
Für die Kommunikation per E-Mail biete ich standardmässig die Verschlüsselung von Inhalten mittels GnuPG oder PGP an (PGP/GnuPG-Schlüssel). Für Instant Messaging via XMPP (Jabber) biete ich Verschlüsselung mittels Off-the-Record Messaging (OTR) an.
Weitere Verschlüsselungsvarianten – gerade auch bei anderen Arten der Kommunikation – unterstütze ich nach vorgängiger Absprache so weit wie möglich. Ich freue mich auch über Hinweise auf neue und vor allem benutzerfreundliche Möglichkeiten zur verschlüsselten elektronischen Kommunikation.
Verschlüsselte elektronische Kommunikation ist üblicherweise leider mit Zusatzaufwand verbunden.
Ausserdem ist zu beachten, dass Verschlüsselung meistens nur den Inhalt der Kommunikation schützt, nicht aber die damit verbundenen Metadaten (Wer kommuniziert wann mit wem?). Etwaige Dritte gewinnen aus solchen Metadaten häufig so viele Informationen, dass es gar nicht mehr notwendig ist, die eigentliche Inhalte zu kennen. Und geht es dennoch um die eigentlichen Inhalte, kann Schadsoftware wie beispielsweise Bundestrojaner oder andere Überwachung direkt vor Ort zur Anwendung gelangen.
Bild: Flickr/shannonpatrick17, «Locks for Sale», CC BY 2.0 (generisch)-Lizenz.
Ein einfach zu handhabendes Netzwerk, das auch die Metadaten verschleiert ist Bitmessage:
https://bitmessage.org/
Dazu sendet es jede Nachricht an alle Teilnehmer in einem bestimmten «Stream». Nur der Empfänger kann erkennen, welche Nachricht für ihn bestimmt ist, und sie dann entschlüsseln.
Probieren Sie es aus! Meine Bitmessage-Adresse ist: BM-2DBL6kAyXVnqFkGf9xnuPwRfykZ3u17eTo
@Thomas Leske:
Vielen Dank für den Hinweis Bitmessage. Leider scheint Bitmessage nicht in einer direkt lauffähigen Version für OS X verfügbar zu sein, so dass ich die Software vorläufig nicht ausprobieren kann.
Bitte sehr: https://dl.dropbox.com/u/374/BitMessage/BitMessage_Git_Master.dmg
Jedoch auch bitte hierzu folgendes durchlesen: https://bitmessage.org/forum/index.php/topic,6.msg20.html#msg20
Ansonsten kann der Sourcecode auch mittels der Python-Umgebung unter OS direkt zum Laufen gebracht werden, setzt jedoch den Einsatz des Terminals voraus.
Xiphactinus
@Xiphactinus:
Wäre es nicht fahrlässig, Software aufgrund eines solchen Hinweises zu installieren?
Es ist der build eines Developers von BitMessage, solange es keinen offiziellen build für OS X gibt und man sich nicht der CLI bemühen möchte, wohl der einzige Weg.
Wenn man es unter dem Aspekt Sicherheit betrachtet muß man sowieso alles selbst aus den Originalquellen übersetzen – auch GPG!
@Xiphactinus:
… und dabei die Quellen auch noch selbst analysiert haben. Allerdings muss man auch bei solchen Dingen differenzieren – in der Tendenz dürfte der Download einer offiziell veröffentlichten Version direkt vom «Hersteller» mit weniger Risiken verbunden sein als der Download einer inoffiziellen Version ab einem Benutzer-Konto bei Dropbox.
Fast vergessen (da CLI ja nicht ganz so gefragt zu sein scheint): https://bitcointalk.org/index.php?topic=229414.0 -> Anleitung wie man die normale Version unter OS X zum Laufen bekommt.
@Xiphactinus:
CLI geht für mich eigentlich in Ordnung, aber für Software, die ich dauerhaft verwende, möchte ich schlicht auf eine offizielle direkte lauffähige Version zurückgreifen können. Ebenso sollte eine mobile Nutzung möglich sein – ein grosser Teil der Computer-Nutzung ausserhalb von traditionellen Büro-Arbeitsplätzen findet heute auf mobilen Geräten statt.
Sollte ein Mandant allerdings Bitmessage verwenden wollen, würde ich dazu selbstverständlich dennoch Hand bieten.
In jedem Fall vielen Dank für die hilfreichen Tipps!
Nun, dies _ist_ die offzielle Version (nur als Sourcecode) und auch direkt lauffähig – Python ist eine Skriptsprache und muß nicht über einen Compiler laufen (das wird zur Laufzeit erledigt). Und man kann mittels eines einfachen Shellscripts immer direkt starten, so daß man mittels git nur die aktuelle Version in seinem Programmverzeichnis (oder wo man es abgelegt hat) aktualisiert. Dazu ist git ja schließlich u.a. auch da, auch wenn es in erster Linie von Entwicklern eingesetzt wird – ein ausgezeichnetes Werkzeug zur Versionsverwaltung (auch auf Dokumentenebene).
Und was Mobilgeräte angeht: Wenn Sie sich freiwillig in einen Käfig setzen (iOS, Android (wenngleich nicht ganz so schlimm wie iOS, wenn man es rooted)) – warum wollen Sie dann durch die Gitterstäbe chiffrieren? ;-)
FirefoxOS ist noch nicht so weit und Blackberry ist auch noch nicht in dieser Form beurteilungsfähig, wenngleich es bessere Ansätze aufweist.
So lange Lemminge hinter dem herlaufen, was als «cool» gilt, wird Sicherheit immer die zweite oder dritte (oder auch gar keine) Geige spielen.
Wenn man wirklich sichergehen will (bzw. von entsprechender Paranoia befallen ist), muß man sowieso OpenBSD einsetzen.
Nehmen wir an, ein Anwalt schickt seinem Mandanten eine E-mail. Sie wird abgefangen von einem Dritten, und somit wird sowohl das Mandatsverhältnis als auch der Inhalt der Mail dem Dritten bekannt.
Hat sich der Anwalt des Bruchs der Schweigepflicht schuldig gemacht? Wenn nein, warum nicht?
@Dominic van der Zypen:
Nein, grundsätzlich nicht.
Anwaltskollege Oliver Blum schrieb in diesem Zusammenhang bereits anno 2000 unter anderem (leider nicht verlinkbar):
Aus meiner Sicht müssen Risiken im Übrigen gewichtet werden, unter anderem aufgrund der tatsächlichen Manifestation von Risiken. Ein Beispiel dafür ist Cloud-Computing (mit Hervorhebung durch mich):
http://www.parlament.ch/d/suche/seiten/geschaefte.aspx?gesch_id=20133033
Im Bezug auf die USA weiss man nun immerhin etwas mehr über den tatsächlichen Umfang der Überwachung. In der Schweiz hingegen bewegen wir uns diesbezüglich weitgehend im Dunkeln, während gleichzeitig behördliche Wünsche für mehr Überwachung in den Medien ein positives Echo finden.