Topic: [2016-04-26] Golem: Warum mein Abgeordneter keine PGP-Mail öffnen kann (Read 951 times)

Was ich mich manchmal frage: kann man die Regierungsclowns nicht irgendwie zwingen/nötigen/sonstwas, solche Geldverschwendung zu unterlassen und auf freie Software zurückzugreifen, wo vorhanden, praktikabel und brauchbar? Mich ärgert das wirklich, wenn gute und sinnvolle Projekte wie z.B. GnuPG (wenn auch indirekt) lapidar mit einem "die Installation freier Software ist nicht mehr vorgesehen" vom Tisch gefegt werden.

Wobei, nachher entsteht wieder so ein Rumgeheule wie damals in iirc München, weil keiner wusste, wie man einen GNU/Linux-Computer bedient, und alle ihr Windoze wiederhaben wollten. ^^

 
Und hier noch ein weiteres Beispiel für die Kompetenz deutscher Behörden.


Der Web-Server des Bundesministeriums für Verkehr und digitale Infrastruktur war bis Donnerstag morgen anfällig für Datenklau via Heartbleed. Das ist so ziemlich einer der übelsten Fehler, die man beim Einrichten eines sicheren Web-Servers machen kann.

Ausgerechnet das für Internet-Angelegenheiten zuständige Bundesministerium für Verkehr und digitale Infrastruktur (BMVI) betrieb bis Donnerstag früh einen Server, der unter anderem für die Heartbleed-Lücke anfällig war. Nachdem heise Security am Montag das CERT-Bund informiert und dieses den Hinweis weitergereicht hatte, wurde der Server Donnerstag dann aktualisiert.

http://www.heise.de/newsticker/meldung/Ministerium-fuer-digitale-Infrastruktur-pfuscht-beim-eigenen-Web-Server-3186960.html



"Eine moderne Infrastruktur ist ein wichtiger Standortfaktor für unsere Wirtschaft" 

Ja und nein. Stimmt alles, was Du geschrieben hast.
Die Bequemlichkeit bezieht sich aber leider nicht nur auf die Politiker.

Vor allem ist der verifizierte Fingerprint für die gesammte folgende Kommunikation gültig, während der Schlüssel sinnvollerweise für jede Übertragung erneut ausgehandelt werden sollte. Nebenbei kann man einem PGP/GPG Kontakt auch bedingt vertrauen, wenn (mehrere) vertrauenswürdige Dritte diesem Kontak vertrauen.

Das Hauptproblem beim Einsatz sicherer dezentraler Systeme ist wie so oft - Bequemlichkeit. Das geht meistens gut, kann aber (je nach Ort vereinzelt bis üblicherweise) auch unbequem bis tödlich enden. Das ist die berüchtigte "ich hatte damit noch nie Probleme" bzw. die "ich habe nichts zu verbergen" Haltung, die aber schnell über Bord geworfen wird, wenn dieser Standpunkt tatsächlich getestet wird. Dann erweist sich der vermeintlich feste Standpunkt schnell als butterweicher Schwankpunkt.

Chefin,
du brauchst keinen Dienstleister, der die Schlüsselserver sauber hält. Als verantwortungsvoller GPG/PGP-User überprüft man ob der Schlüssel auf dem Schlüsselserver zu der besagten Person gehört.
Das kann man natürlich nur wenn besagte Person einem die Möglichkeiten dazu gibt. Zum Beispiel den Public Key zusätzlich auf der Webseite der Partei etc. veröffentlichen.
Natürlich bietet das auch keine 100%ige Sicherheit aber es hilft schonmal.

Zu der Sache mit der verschlüsselten Datei. Das Passwort zum entschlüsseln muss ja auch irgendwie ausgetauscht werden. Statt einem Passwort kann man telefonisch auch kurz den Fingerprint des Public Keys austauschen. So wird schnell klar ob der Public Key passt. Daher hinkt der Vergleich nichteinmal, er ist kompletter Blödsinn.

Es gibt zudem Dienstleister die Versuchen fehlende Keyparties online irgendwie auszugleichen. Ein gutes Beispiel dafür ist keybase.io.
Dort wird, für den Public key, an vielen Stellen ein Proof online gestellt. GitHub, Reddit, Webseiten, DNS-Einträge, usw. Dass all diese Proofs gleichzeitig gehackt und manipuliert werden, ist sehr unwahrscheinlich. Solche Dienstleister halten keine Keyserver sauber, sie geben den Usern nur eine Plattform um zu zeigen dass der Public Key auch zu ihnen gehört.
Falls das immer noch nicht ausreicht können Public Keys von anderen Usern mittels ihres private Keys signiert und als approved markiert werden. So können Trust-Netzwerke entstehen, die Dezentral sind. Über die Vorteile von Dezentralität muss ich hier wohl niemanden aufklären

Aber lange Rede, kurzer Sinn:
Es geht, man muss nur wollen und vorallem handeln statt zu heucheln*


*Bezieht sich auf Politiker die nach Ende-Zu-Ende-Verschlüsselung schreien aber selber nicht verschlüsseln.

Und wer verhindert nochmal, das zb ICH einen key hinterlege für die Mailadresse eines Abgeordneten?

Rethorisch natürlich...weil das keiner verhindert. Man kann nun zwar wieder signieren, aber auch das Signieren ist ja schon erledigt, weil auch hier sich schon Seilschaften gebildet haben die "falsch signieren".

Ein Dienstleister der sicher stellt, das die Schlüsselserver sauber bleiben ist in diesem Fall unabdingbar. Wenn ich erst mühselig meinen gegenüber kontaktieren muss und telefonisch Fingerprints abgleichen, kann ich auch gleich 7z nutzen und ein Passwortschutz. Das ist dann einfacher als PGP.

 
Man kann nicht sagen, ob es sich um Dummheit & Ahnungslosigkeit handelt oder welche Defizite dort noch zu finden sind.

Wenn ich aber lese:

Dann kann das auch mit einer stumpfsinnigen Forme des Protektionismus zu tun haben. Denn rein theoretisch gibt es tausend Gründe, auf eben solche Partner und ihre Programme zu verzichten. Nicht daß hineterher wieder rumgeheult wird, weil Giegerich & Partner eine NSA-Außenstelle sind  
Oder einfach nur Lobbyleistung - aber für so ne kleine Bude? Kann ich mir fast nicht vorstellen. Dann schon eher, daß deren Vertreter die Bundesknallköpfe schön um den Finger wickelte.

All das Handeln und Tun ist genau das Gegenteil von dem, was aufgeklärte und informierte Leute in letzter Zeit predigen.

Jep!


Es lässt sich eigentlich nicht wegerklären. Es läuft auf eine Kastenhierarchie hinaus, diejenigen die tun und machen können was sie wollen, mittels Stroh und Mittelsmänner im Hintergrund. Und dem Rest der nichts zu verbergen hat, und auch nichts verbergen darf. Nicht einmal Teile der privaten Lebensführung.

Hat zwar jetzt nichts direkt mit Bitcoin zutun aber Kryptographie ist dennoch auch ein wichtiges Thema. Wenn man es also globaler betrachtet hat es sehr wohl mit bitcoin zutun.

http://www.golem.de/news/pgp-im-parlament-warum-mein-abgeordneter-keine-pgp-mail-oeffnen-kann-1604-120506.html