ah, Callcenter-Spam

Die letzten paar Tage hat mein Telefon mich darauf aufmerksam gemacht, dass irgend so ein Callcenter versucht mich zu erreichen. Leider war ich da nie zuhause.

Heute haben sie es dann geschafft:

Guten Tag, wir sind vom Telekom-Vertrieb beauftragt. Sie haben ja eine VDSL50-Leitung, und-“

Ja, worum geht es denn?“

Ja, wie schauen sie denn eigentlich fern? Satellit, Kabel-“

Gar nicht.“

Wie, gar nicht?“

Gar nicht. Interessiert mich nicht.“

einige Sekunden perplexe Stille

Aber, was ist denn so mit Tagesschau, wie informieren Sie sich denn?“

Ich habe eine VDSL50-Leitung?“

Ich glaube, ich muss diese „ruft mich nicht an!“-Einstellungen nochmal überprüfen…

2. Mai 2014 random Keine Kommentare zu ah, Callcenter-Spam

Sicherheit ist verflixt schwierig

Vor ein paar Tagen hat Telepolis mal verschiedene Redaktionen gefragt, ob und wie man ihnen denn verschlüsselte Emails schicken kann. Mit ernüchterndem Ergebnis: Eigentlich hat keine einzige Redaktion hier etwas wirklich parat. Und offiziell schon gar nicht.

Am meisten war ich dann aber von der Süddeutschen enttäuscht:

Nachdem inzwischen alle Sicherungssysteme geknackt werden können, wie der einschlägigen Presse zu entnehmen ist, wollen wir unseren Nutzern nicht falsche Sicherheitsgefühle durch Kommunikation einer vermeintlich sicheren Methode geben. Deshalb auch haben wir keinen anonymen Briefkasten etc. Nur analoge Kommunikation kann halbwegs gesichert werden.

Erstens ist es falsch, und zweitens sowieso. Denn auch analoge Kommunikation kann überwacht werden.

Ich machte meinem Unmut auf Google+ Luft, und ließ mich prompt in eine im Endeffekt sehr ermüdende Diskussion über Sinnhaftigkeit von digitalem Whistleblowing und Verschlüsselung allgemein ein. Mein Fazit daraus:

Digitale Sicherheit ist verflucht schwierig

Selbst für ITler ist das nicht immer komplett verständlich und dazu noch mit so vielen Variablen belegt, dass der Laie eigentlich nur noch zu einem Schluss kommen kann: Dass sich das alles nicht lohnt.

Die (sehr stark vereinfachte) Grundlage von asymmetrischer Verschlüsselung ist die Erkenntnis, dass es (verhältnismäßig) einfach ist, zwei große Zahlen miteinander zu multiplizieren, nicht aber, herauszufinden, welche beiden Zahlen das Endergebnis ausmachten: 23 * 43 ergibt 989. Aber wenn ich nur diese 989 habe, kann ich nicht ohne weiteres herausfinden, aus welchen beiden Primzahlen diese gebildet wurde. Also, bei 989 wohl gerade schon noch. Aber bei größeren eben nicht mehr so einfach. Nach derzeitigem Stand der Technik, ist es im Grunde unmöglich, eine solche asymmetrische Verschlüsselung unterhalb von mehreren hundert Jahren zu knacken. Theoretisch könnten Quantencomputer diese Zeit radikal verkürzen, aber eben nur theoretisch: Die Forschung an diesen Geräten ist noch lange nicht ausgereift. Die derzeit existierenden Quantencomputer sind hochspezialisierte Geräte die Optimierungsprobleme lösen können, aber bei weitem keine Codeknackgeräte.

Einschub: Aber die NSA hat doch soo viele Ressourcen, die haben das bestimmt geknackt!

Nein, haben sie wahrscheinlich nicht. Der Vorteil von PGP als Verschlüsselungsverfahren ist, dass seine Funktionsweise vollständig bekannt ist. Das bedeutet, dass sich jeden Tag hochbegabte Mathematiker und Kryptologen auf der ganzen Welt damit beschäftigen, es zu knacken. Weil demjenigen, der das gelingt mit Sicherheit wissenschaftlicher Ruhm und Ehre, ein Nobelpreis plus sehr lukrative Jobangebote geben wird. Zumal: Die Idee, worauf ein Genie bei der NSA kommen kann, die wird auch jemand anderem außerhalb einfallen. Und solange die NSA nicht einfach alle Mathematiker auf der Welt einstellen kann, werden immer noch mehr außerhalb als innerhalb solcher Geheimdienste arbeiten. Solange also nicht belastbare Quellen von allen Dächern herab verkünden, dass PGP geknackt ist, kann man es getrost als „nicht geknackt“ betrachten.

Leider bedeutet die Tatsache, dass eine Verschlüsselung mathematisch gesehen sicher ist noch lange nicht, dass sie auch praktisch sicher ist. Was nützt es mir z.B., dass ich etwas aufwändig verschlüssele, wenn der Empfänger die entschlüsselte Nachricht dann ausdruckt und offen herumliegen lässt? Und das ist der Punkt, an dem die meisten Redaktionen, technischen Laien und sogar genügend technisch versierte Leute aufgeben:

Eine von Ende zu Ende sichere Verschlüsselung des Emailverkehrs bedingt, dass jeder Beteiligte weiß, was zu tun ist, wo die Gefahren liegen, und auf welche Informationen man aufpassen muss. Im Falle von PGP gibt es z.B. folgende Informations„happen“:

  1. Der eigene private Schlüssel
    dieser sollte niemals anderen Leuten in die Hände fallen. Mit Aufwand lässt sich hieraus unter Umständen das Passwort (s.u.)ableiten.
  2. Das eigene Passwort
    auch dieses darf niemals anderen bekannt werden.
  3. Der eigene öffentliche Schlüssel
    dieser wird dem Kommunikationspartner bekanntgegeben. Wichtig ist hierbei, dass dieser auch wirklich diesen Schlüssel verwendet – und nicht etwa den eines Anderen untergeschoben bekommt.
  4. Der fremde private Schlüssel
  5. Das fremde Password
  6. Der fremde öffentliche Schlüssel
  7. Der verschlüsselte Nachrichtentext
    dieser könnte theoretisch komplett öffentlich ausgehangen werden, da sie keinerlei Aufschluss über Empfänger, Absender oder ähnliches gibt
  8. Die E‑mail, die den Nachrichtentext enthält
    diese enthält im Zweifelsfall sogenannte Metadaten, und verrät, wer wem wann etwas mitteilen will.
  9. Die entschlüsselte Nachricht
    Wird diese aus Versehen bekannt, konnte man sich all den Aufwand mit der Verschlüsselung natürlich auch gleich sparen.

Fünf dieser neun Happen müssen nun im Zweifel stets vertraulich behandelt werden. Wenn ein Spion nun einen dieser Happen in die Finger bekommt, lässt sich daraus schon eine Information extrahieren, schlimmstenfalls die gesamte geheime Kommunikation mitlauschen. Das ist, wie schon mehrfach erwähnt, nicht immer einfach. Das bedeutet aber nicht, dass es unmöglich ist. Neben der sicheren Aufbewahrung von privaten Schlüsseln, dem Kennwort und der unverschlüsselten Nachricht sind die Metadaten erwähnenswert:

Für einen Geheimdienstler ist die Information wer mit wem spricht mindestens genauso interessant wie die Nachricht an sich. Und wenn tausend Leute an jemanden schreiben, und davon nur eine Person die Nachricht verschlüsselt, dann ist das schon ein Signal: „Achtung, ich bin eine wichtige Information“. Und diese Information kann dann Anlass für weitere Nachforschungen sein.

Zum Glück gibt es auch hier diverse Möglichkeiten, unter das Radar zu gehen: Es gibt anonyme Maildienste oder die Möglichkeit seine Internet-Spuren via TOR-Netzwerke zu verschleiern. Redaktionen könnten sicherstellen, dass sie jede Menge verschlüsselter Nachrichten empfangen, so dass das „echte“ Geheimnis für die Lauscher wieder im Rauschen verlorengeht.

Im Endeffekt gilt es für uns „Überwachte“ zwei Dinge zu tun:

  1. Sich passiv wehren, indem man es den Überwachern so schwer wie möglich macht. Verschlüsseln und verschleiern, sensibel mit Daten umgehen.
  2. Sich aktiv wehren, indem man auf politischer Ebene dafür sorgt, dass die Geheimdienste eben nicht mehr alle Daten absaugen dürfen. Die pauschalisierte Verdächtigung und Überwachung aller muss ein Ende haben. Es gibt da übrigens eine Partei für…

Für alle, die jetzt zumindest Schritt 1 angehen wollen, hier eine Kurzanleitung um verschlüsselt kommunizieren zu können. Ich gehe dabei davon aus, dass man bislang irgendwie Webmail und Windows verwendet hat, und das auch weiter tun will. Das Resultat sollte schon ziemlich sicher sein, allerdings fallen z.B. immer noch Metadaten an, und man muss sich auch weiterhin darauf verlassen, dass auch die Empfängerseite sorgsam arbeitet.

  1. Mit TrueCrypt eine verschlüsselte Festplatte auf einem (schnellem) USB-Stick erzeugen.
    Es gibt auch fertig verschlüsselte USB-Sticks wie z.B. den IronKey. Hier nicht irgendeinen nehmen, sondern nur solche, die auch wirklich sicher sind. Gerade viele günstige „fertig-verschlüsselte“ USB-Festplatten sind hier leider erstaunlich schlecht.
  2. Dorthinein PortableIron installieren
    Damit hat man einen recht sicheren und komfortablen Browser immer dabei.
  3. Innerhalb dieses Browsers die Mailvelope Extension installieren.
    Der portable Browser innerhalb des TrueCrypts umgeht das Problem, dass Mailvelope den Private Key unverschlüsselt speichert.
  4. Mailvelope konfigurieren.
    Das Key-Handling wird bei Mailvelope beschrieben.
  5. Die Public Keys mit den gewünschten Mailpartnern austauschen.
    Dabei kontrollieren, dass man keinen falschen Key untergeschoben bekommt, z.B. indem man die KeyID vergleicht, bzw. den Key direkt vom Mailpartner bekommt. (Web-of-trust etc. ist außerhalb des Scopes dieser Kurzanleitung)
  6. Nun kann man Nachrichten verschlüsseln und danach versenden.
    Dazu wird das Verschlüsselungssystem den eigenen privaten Schlüssel, das eigene Kennwort und den öffentlichen Schlüssel des Empfängers verwenden, um die Nachricht in wüsten Buchstabensalat zu verwandeln.

An jeder Stelle gilt es, ein vernünftiges Passwort zu wählen und selbiges wirklich nirgendwo aufschreiben. Am besten eine ganze Passphrase, sowas wie „Im Wald d4 sind die Räu-häu-ber?“ zum Beispiel. Den USB-Stick nie aus der Hand geben und nur in halbwegs vertrauenswürdige Computer stecken. Dieser USB-Stick mit dem Private Key und das dazugehörige Passwort sind die Haken, an denen die gesamte Verschlüsselung hängt, also bitte-bitte nie aus der Hand bzw. dem Kopf geben. Dazu gilt: Verliert man den USB-Stick oder vergisst man das dazugehörige Passwort, kann man die so verschlüsselten Daten nie wieder entschlüsseln.

Andere aber voraussichtlich auch nicht.

Wer mehr wirklich über Kryptographie wissen will, dem empfehle ich als Start die Einführung in die Kryptographie.

11. Juli 2013 Politics 1 Kommentar zu Sicherheit ist verflixt schwierig

How to fix the (social) web

I just had the most amazing idea (according to my standards, that is. YMMV): This is how we fix the social web

For starters, let’s have a look what makes different components awesome:

  • Social Networks are great at providing us with a stream of activity from those we deem „friends“ or at least those individuals who are interesting enough that we spend time with their output.
  • Blogs are a great thing to publish without a central authority or website. Trackbacks enable notifications across different websites in possibly realtime.
  • RSS is a great way to syndicate content automatically
  • OpenID provides us with a single source of authentication for each user, but still allows for distributed sites.
  • XMPP / Jabber does essentially the same as Blogs and OpenID, except for (text-)chat.

Each of these things have a downside though:

  • Social Networks lock you in to one provider. Currently, this means either Google or Facebook.
  • Blogs usually require a healthy dose of site-jumping around. Also, the comment sections are often messy to maintain or read.
  • RSS is as good as your reader.
  • OpenID is a bit hard to set up for newbies, and may or may  not have security issues.
  • XMPP / Jabber is nice to simply use, but has limited functionality when compared to Hangouts for example.

Now, why don’t we add these things together? Let’s create a functional social-network-layer for the blogosphere. We expand the weblog standard with the following functions:

  • More user-centric approach: Allow creators to logically connect all the blogs they contribute to under one person ID. Ideally tie this in to OpenID with cross-site user authentication (for comments and API use).
  • Create an „add as friend“ trackback notification: When someone adds someone to their blogroll, add in a notification.
  • Standardize the rss-for-comments feed url and create an API to allow comments without visiting the site. Make sure that said API can get spam-proofed.
  • Create a web GUI that basically recreates the bog-standard social media stream out of your subscribed blogs and their comments.
  • This GUI will also allow you to publish content to your own blog(s) and will utilize the API mentioned above so you can comment on other peoples blogs.
  • For good measure, throw in an AJAX Jabber client

The result should be a distributed web application that anyone could either use from a hoster or host themselves. The components are all using open standards and thus allow a plethora of other implementations, so everyone can potentially have the GUI they love most. And we won’t have any central authority that can willy-nilly change things and break everyones use-case.

Granted this is a very rough draft, but so far, I cannot see anything wrong with this idea…

20. Mai 2013 random, thinking 3 Kommentare zu How to fix the (social) web

Krautreporter​.de

Ihr erinnert Euch an meine Ante Portas Idee? Das Ding, wo ich was von Journalismus und Crowdfunding faselte? Da ist ja nix draus geworden — zwar gab es viel positives Feedback von Leuten, die da unter Umständen Geld drauf geworfen hätten, aber eher so gar keines von Journalisten.

Umso mehr freue ich mich über Krautreporter.de, Vera Bunse hat mich darauf aufmerksam gemacht. Im Grunde ist es die gleiche Idee, aber mit einem etwas anderem Ansatz: Anstatt einer Redaktion (wie zum Beispiel bei Matter, die übrigens schon drei sehr lesenswerte Artikel veröffentlicht haben), die dann vertrauensvoll Berichte auswählt und finanziert, können die Crowdfunder hier einzelne Journalismusprojekte direkt unterstützen.

Im Endeffekt bin ich mir aber nicht so sicher, wie erfolgreich das hier werden wird: Die Journalisten müssen hier ein fachunkundiges Publikum vorab en masse überzeugen, und im Endeffekt ist Krautreporter auch nur eine weitere Crowdfunding Plattform. Auch gefällt mir von den 6 Startprojekten eigentlich nur ein einziges überhaupt irgendwie. Auch nur bedingt gefallen mir Details wie die Abwicklung von nicht zustande gekommenen Projekten:

Sollte ein Projekt nicht erfolgreich sein, erhält der Reporter kein Geld. Die versprochene Summe geht in Form von Punkten auf das Konto des Investors. Diese Punkte können dann für ein anderes Projekt verwendet werden.

Man kann zwar das Geld irgendwie über Paypal zurückbekommen, aber das scheint mir schon hakelig. Nichtsdestotrotz wünsche ich Krautreporter alles Gute!

30. Januar 2013 random Keine Kommentare zu Krautreporter​.de