Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

August 13 2013

Phil Zimmermann: “Ich dachte nicht, dass es so schlimm kommen würde”

Phil Zimmermann entwickelte im Jahr 1991 die E-Mail-Verschlüsselungssoftware PGP und setzt sich für das Recht auf Privatsphäre ein. Darüber hinaus ist Zimmermann Mitgründer von Silent Circle, einem Unternehmen welches Dienste zur sicheren und verschlüsselten Kommunikation anbietet. Im Zuge der Schließung von Lavabit entschied sich Silent Circle seinen Emaildienst Silent Mail ebenfalls zu schließen. Zimmermann hat sich nun in zwei Interviews zu den Hintergründen geäußert, sowie seinen Ansichten zu Privatsphäre und der Überwachung der Gesellschaft.

Im Interview mit dem Forbes Magazine gab Zimmermann einige Hintergründe zur Schließung von Silent Mail preis, darunter welche Informationen Geheimdienste oder Strafverfolgungsbehörden erhalten würden, wenn sie eine Anfrage an Silent Mail stellen würden:

At the very least they would be able to see the plain text headers of the e-mails, [which] would say who the mail is from, who it’s to, the date it’s sent, time stamp, and subject line. If the message body is encrypted to a key that we hold on our server, they could ask for the key, or ask us to decrypt it, or ask for the key so they could decrypt it. That’s what we were afraid could happen.

Dass Silent Mail überhaupt im Besitz von geheimen Schlüsseln seiner Benutzer war, lag laut Zimmermann an einer mangelhaften oder schlicht nicht vorhandenen Umsetzung von PGP auf mobilen Geräten. Um seinen Kunden aber dennoch verschlüsselte Dienste anbieten zu können, arbeitete man mit dem von Symantec entwickelten Programm PGP Universal, bei dem die geheimen Schlüssel direkt auf dem Server verwaltet werden können – aber eben auch die Herausgabe der Schlüssel durch Behörden verlangt werden kann. Um sich diesem Risiko nicht auszusetzen, entschied man sich Silent Mail zu schließen und alle Daten seiner Kunden zu löschen. Dass die Server von Silent Mail in Kanada standen, mache in der Praxis keinen Unterschied wie Zimmermann betonte:

Well, the U.S. would approach the Canadian judicial system and ask for the Canadians to cooperate, and depending on the nature of the request, the Canadians might choose to cooperate.

Ähnlich wie auch Ladar Levinson, der ehemalige Betreiber von Lavabit, gab auch Zimmermann an, kaum noch Emails zur Kommunikation zu nutzen. Stattdessen sei er auf „Mobile messaging“ umgestiegen.

I don’t use e-mail that much anymore. One reason why I don’t is PGP doesn’t run very well on a Mac these days. Symantec hasn’t kept that up. So I hardly ever run PGP. When people send me PGP encrypted mail I have to go through a lot of trouble to decrypt it. [...]. Mobile messaging is less clunky than e-mail. E-mail has its place. [...] So e-mail is not going to go away, but if you want to send secure messages, there are more streamlined ways to do it now.

Zum Schluss des Interviews gab Zimmermann noch an, in naher Zukunft auch einiger Server von Silent Circle in der Schweiz betreiben zu wollen. Auf die Frage warum denn gerade die Schweiz verpasste er der EU und seinen Plänen zur Vorratsdatenspeicherung einen Schuss vor den Bug:

They don’t have the data retention laws that the European Union have. All of the EU countries are subject to EU data retention laws. In that respect Europe is worse than the U.S.

Dass es in der Schweiz, unabhängig von der EU-Richtlinie, bereits seit über 10 Jahren eine Vorratsdatenspeicherung gibt, scheint Zimmermann dabei allerdings nicht zu wissen.

In einem zweiten Interview mit Om Malik von GigaOM ging Zimmermann mehr auf die Auswirkungen der Komplettüberwachung durch die NSA ein und versucht das Thema in einem gesellschaftlichen Kontext einzubetten.

Gleich zu Beginn des Gesprächs mit Om Malik gab Zimmermann an, dass Kryptographie nicht der richtige Ansatz sei, um sich aus der Überwachung zu befreien:

The surveillance landscape is far worse than it has ever been and I feel like everything we do is now observable. All of our transactions and communications are all fused together into total information awareness apparatus. I don’t think any of this can be fixed merely by the application of cryptography. It is going to require some push back in the policy space.

Dass die USA ein anderes Verhältnis zu ihren Geheimdiensten und Überwachung haben als wir Deutschen wird deutlich, wenn Zimmermann die NSA verteidigt und ihre Bedeutung nicht in Frage stellen möchte. Das größte Problem für die Amerikaner scheint weiterhin nicht zu sein, dass die NSA einen Überwachungsapparat aufgebaut haben, sondern dass sie als Auslandsgeheimdienst die Bürger im eigenen Land überwacht.

I think the NSA has a job to do and we need the NSA. In general, all great nations need to have great intelligence apparatus to inform its leadership of what’s going on in the world. But when these tools are focused on domestic population, it is bad for democratic institutions.

Zimmermann nennt hier als Beispiel eine Überwachung seiner Telefongespräche durch chinesische Behörden. Er gab an diese Vorstellung nicht zu mögen, aber nicht fürchten zu müssen, dass chinesische Beamten eines Tages an seiner Tür klopfen. Wenn Behörden aber die eigenen Bürger überwachen, hätten diese einen Einfluss auf die politische Opposition im Land und würde damit in demokratische Prozesse eingreifen.

Auch zum Ende des Gesprächs mahnte Zimmermann, dass die Zukunft aktiv gestaltet werden müsse, anstatt sie sich nur passiv auszumalen:

I wrote about these things over twenty years ago and when I first wrote PGP and technology extrapolations leading us to a future where the governments can listen to all our communications, can search through all our communications and do pattern recognition and study our traffic patterns. But I didn’t think it would get this bad.[...]there is a certain act of passivity in the act of prediction. I would rather not passively predict and I would rather actively correct. What kind of future we want to have, that’s the future we should all work together to create.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted by02mydafsoup-01 02mydafsoup-01

August 12 2013

Lavabit-Gründer: “Wenn ihr über E-Mails wüsstet was ich weiß, könntet ihr sie auch nicht mehr nutzen”

Letzte Woche gab Ladar Levison bekannt, seinen E-Maildienst Lavabit zu schließen. Nun hat er sich in einem Interview mit dem Forbes Magazine erstmals zu Wort gemeldet. Das Interview beleuchtet dabei die Hintergründe zur ehemaligen Gründung von Lavabit, Levisons Einstellungen zu Strafverfolgungsbehörden und Überwachung und warum er Lavabit nicht von einem anderen Land aus betreibt.

Levinson stellte dabei auch nochmal klar, dass der Schritt Lavabit zu schließen ausschließlich dem Schutze seiner Nutzer diente:

This is about protecting all of our users, not just one in particular. It’s not my place to decide whether an investigation is just, but the government has the legal authority to force you to do things you’re uncomfortable with.[ ...] The fact that I can’t talk about this is as big a problem as what they asked me to do.

Levison zog Parallelen zum Fall Aaron Swartz und sagte, dass auch er von Behörden eingeschüchtert wurde. Dabei ist Levison nach eigener Aussage nicht daran interessiert, die Arbeit der Strafverfolgungsbehörden zu erschweren.

He says he’s received “two dozen” requests over the last ten years, and in cases where he had information, he would turn over what he had. Sometimes he had nothing; messages deleted from his service are deleted permanently. “I’m not trying to protect people from law enforcement,” [...]. “If information is unencrypted and law enforcement has a court order, I hand it over.”


Das Problem in diesem Fall sei jedoch, dass jegliche Informationen und Auskünfte der Behörden geheim gehalten werden müssen. Da er sich daran nicht halten wollte, schloss er Lavabit.

Zur Zeit fokussiert sich Levinson darauf, das Recht auf eine Veröffentlichung der Geheimdienstanfrage zu erwirken. Sein ins Leben gerufener “Lavabit’s legal defense fund” hat bis zum Samstagmorgen rund 90.000 US-Dollar eingenommen. Ob er Lavabit in dieser oder ähnlicher Form wiederbeleben werde, koppelt er an die Bedingung, dass die Geheimdienste und Strafverfolgungsbehörden ihre Methoden grundlegend ändern.

It needs to be clear that the government can’t do what they’re trying to do. Otherwise the same request is going to come right back at us. Other big names aren’t able to shut down in protest. I’m one person without a bunch of employees to support. If we win, we win for everyone.

Einen Umzug von Lavabit ins Ausland, um sich dem Einfluss amerikanischer Behörden zu entziehen, schloss Levinson aus, da er die USA nicht verlassen wolle und der logistische Aufwand so nicht zu bewältigen sei.

“Even if I found somewhere secure overseas, it would be hard logistically. My life is here in the States. It would be hard for me to move to another city let alone another country.”

Zur Zeit nehme Levinson aber sowieso eine “Auszeit” von E-Mails, auch wegen des Wissens, welche er über die Methoden der Behörden erlangt hat. Er gab an, dass alle die die selben Informationen hätten wie er, sicherlich ebenfalls von der Nutzung von E-Mails absehen würden.

“I’m taking a break from email. If you knew what I know about email, you might not use it either.”

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 09 2013

Lavabit: E-Mail-Anbieter stellt sich gegen US-Behörden und schließt seine Pforten

Der US-amerikanische E-Mailanbieter Lavabit schließt mit sofortiger Wirkung, wie der Betreiber Ladar Levison auf der Webseite mitteilt. Lavabit war ein verschlüsselter E-Mailanbieter der damit warb, “niemals die Privatsphäre seiner Nutzer für Profit zu opfern”. Bekanntheit erlangte der Anbieter in jüngster Zeit, als öffentlich wurde, dass Edward Snowden ein Nutzer von Lavabit sei. Auch wenn die genauen Umstände der Schließung nicht bekannt sind, scheinen US-Behörden Druck auf Lavabit ausgeübt zu haben, Daten der Nutzer auszuhändigen. Um die Privatsphäre seiner Nutzer nicht zu gefährden, hat Levison nun entschieden den Dienst zu schließen.

Dass Ladar Levison diese Entscheidung keineswegs leicht gefallen ist, zeigt eine letzte Nachricht die er auf der Seite veröffentlicht hat:

I have been forced to make a difficult decision: to become complicit in crimes against the American people or walk away from nearly ten years of hard work by shutting down Lavabit.

Zur Zeit ist es Levison nicht gestattet über die genauen Umstände Auskunft zu geben, wie er weiter schreibt.

I wish that I could legally share with you the events that led to my decision. I cannot. I feel you deserve to know what’s going on–the first amendment is supposed to guarantee me the freedom to speak out in situations like this. Unfortunately, Congress has passed laws that say otherwise. As things currently stand, I cannot share my experiences over the last six weeks, even though I have twice made the appropriate requests.


Abschließend äußerte Levison noch die eindringlichee Empfehlung keinem Unternehmen mit SItz in den USA seine privaten Daten anzuvertrauen, solange keine starken Gesetze verabschiedet wurden:

This experience has taught me one very important lesson: without congressional action or a strong judicial precedent, I would _strongly_ recommend against anyone trusting their private data to a company with physical ties to the United States.

Dieses Beispiel zeigt deutlich, dass der Macht der amerikanischen Behörden nicht viel entgegen gesetzt werden kann. Auch die besten Absichten und Motivationen sind auf Grund der Allmacht der Geheimdienste und Polizeibehörden wenig wert. Schwache Datenschutzgesetze, welche private Daten der Nutzer eigentlich vor unbefugten Zugriffen schützen sollten, sind in den USA schlicht nicht vorhanden. Die Electronic Frontier Foundation hebt allerdings auch hervor, dass die Schließung von Lavabit ein ganz seltener Fall sei, in dem ein amerikanischer Anbieter tatsächlich seinen Dienst zum Schutz seiner Nutzer einstellt, anstatt den Forderungen von Behörden nachzukommen. Von der Schließung sind rund 400.000 Nutzer direkt betroffen, die nun keinen Zugang mehr zu ihren Mails haben. Lavabit sammelt nun Geld über Paypal um vor Gericht gegen die Herausgabe der Daten vorgehen zu können.

Lavabit ist nicht der einzige E-Mailanbieter der seine Pforten schließt. Auch der amerikanische E-Mailanbieter Silent Circle hat sich entschieden seinen Dienst zu schließen. Wie die Betreiber in einer Mitteilung an seine Nutzer mitteilt, sei auch die Schließung von Lavabit ein Grund den eigenen Dienst einzustellen:

Today, another secure email provider, Lavabit, shut down their system lest they “be complicit in crimes against the American people.” We see the writing the wall, and we have decided that it is best for us to shut down Silent Mail now. We have not received subpoenas, warrants, security letters, or anything else by any government, and this is why we are acting now.

Und auch die Betreiber von Cryptocat, einer Anwendung zum verschlüsselten Kommunizieren über den Browser, haben bereits über Twitter angekündigt den Behörden nicht helfen zu wollen und notfalls den Service einzustellen.

Der große Frage lautet jetzt: Welchen Mailanbietern kann noch vertraut werden? Die großen und bekannten amerikanischen Anbieter wie Googles Gmail, Microsofts Outlook oder Yahoo! Mail dürften von vorneherein ausgeschlossen sein. Auch die bekannten deutschen Anbieter wie GMX und web.de sind vermutlich nicht empfehlenswert. Ein deutscher Anbieter mit einem guten Ruf, mit einem Fokus auf Anonymität und Datenschutz ist posteo. Auch der schweizer Anbieter myKolab ist vielleicht eine Alternative. Wer aber tatsächlich die volle Kontrolle über seine Daten behalten möchte, kommt nicht darum herum seinen eigenen Mailserver zu betreiben. Eine einfache Möglichkeit hierfür könnte das erst kürzlich vorgestellte Client Mailpile sein. Über weitere Empfehlungen zu sicheren Mailanbietern freuen wir uns in den Kommentaren.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 05 2013

Mailpile: Crowdfunding Kampagne für sicheren Webmail-Client gestartet

mailpile-logoSeit den Veröffentlichungen rund um die Spionagetätigkeiten der NSA, des GCHQ und auch des BND ist das Thema der sicheren Kommunikation im Internet populär wie kaum zuvor. Das meist genutzte Kommunikationsmittel, privat wie auch beruflich, ist dabei die E-Mail. Viele Menschen greifen dabei auf einen der großen Mailanbieter, wie Google, Microsoft oder GMX, zurück. Das Problem daran ist, dass die verschickten und empfangenen Nachrichten auf den Servern jener Konzerne liegen, teilweise gar in den USA, was den Zugriff amerikanischer Behörden auf die eigene Kommunikation erleichtert. Um wieder die Kontrolle über seine eigenen Mails zu erlangen, wurde nun das Projekt Mailpile gestartet. Ziel ist es, einen freien und offenen Webmail-Client zu entwickeln, der auf dem eigenen Computer oder Server läuft und mit dem ohne Zusätze per OpenPGP verschlüsselt kommuniziert werden kann.
 

Mailpile_0_1_Interface_Compose

Erster Entwurf des Interfaces von Mailpile



Vorangetrieben wird das Projekt von Bjarni Einarsson, Gewinner des Nordic Free Software 2010, Smári McCarthy, Direktor des International Modern Media Institute und Mitglied der isländischen Piratenpartei, sowie Brennan Novak. Damit Mailpile ein Erfolg wird und möglichst schnell fertig gestellt werden kann, benötigen die Entwickler allerdings finanzielle Unterstützung. Aus diesem Grund wurde nun eine Crowdfunding Kampagne auf Indiegogo gestartet. Ziel ist es bis zum 10. September 100.000 Euro einzunehmen, um bis zum Januar 2014 eine erste funktionsfähige Alpha-Version veröffentlichen zu können. Diese soll sowohl auf einem Server sowie auf dem eigenen Rechner laufen können und ein intuitives Interface bieten. Großes Augenmerk wird darüber hinaus in die Suchfunktion und die integrierten Verschlüsselungsmöglichkeiten von Mailpile gelegt. So sollen beispielsweise nicht nur die Mails an sich, sondern auch die Suchanfragen und die Einstellungen verschlüsselt werden können.

Sollten mehr als 100.000 Euro eingenommen werden, soll nach Aussagen der Entwickler auch eine Mehrbenutzerversion für Familien, Freunde oder kleine Unternehmen entwickelt werden. Auch eine eingebaute Unterstützung von XMPP (Jabber) soll folgen. Die Veröffentlichung einer ersten stabilen Version ist nach jetzigem Stand für den Sommer 2014 geplant. Ausführliche Informationen zu Mailpile findet ihr auf der Homepage des Projekts sowie direkt auf der Kampagnenseite bei Indiegogo. Wer sich den Quellcode ein wenig genauer ansehen möchte, findet diesen auf github.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 24 2013

Verschlüsselung: Lücken bei der Übertragung von E-Mails

Beim Versenden einer E-Mail sollte man darauf achten, dass der Versand über eine verschlüsselte Verbindung erfolgt. Insbesondere in einem offenen WLAN hat sonst jeder weitere Nutzer des WLANs die Möglichkeit, den Inhalt der Nachricht zu lesen. Um das zu verhindern, sollte man die verschlüsselten Protokolle TLS oder SSL nutzen, um die E-Mail an den Server des Providers zu schicken. Wie Michael Kliewe nun aber herausgefunden hat und auf Golem berichtet, wird die Nachricht unter Umständen im weiteren Verlauf seines Weges dennoch unverschlüsselt zwischen den Servern der E-Mailprovider gesendet.

Beim Einsatz von TLS oder SSL wird die gesamte Verbindung, also die gesamte E-Mail, verschlüsselt an den Server des Mailanbieters geschickt. Die Verschlüsselung wird dort aufgehoben und die Nachricht wird per SMTP an den Zielserver weiter geschickt. Wie Michael Kliewe nun in einem Test heraus fand, verzichten allerdings eine Reihe von E-Mailanbieter auf eine Verschlüsselung der Verbindung untereinander.

Denn nur wenn beide beteiligten Mailserver TLS unterstützen und dies mittels StartTLS beim Verbindungsaufbau signalisieren, wird auf eine verschlüsselte Verbindung umgeschwenkt. Andernfalls werden E-Mails ohne TLS von einem Mailserver zum anderen weitergereicht.


Bei einem Test von 15, sowohl internationalen wie deutschen, E-Mailanbietern war bei rund der Hälfte keine verschlüsselte Verbindung untereinander möglich.

verschluesselung_mail

Die Untersuchung der Anbieter fand mit dem Online-Tool Check-TLS vorgenommen. Das Tool steht jedermann offen, sodass auch noch weitere Anbieter einer Untersuchung unterzogen werden können. Das Ergebnis zeigt, dass ein Großteil der E-Mailanbieter keine Verschlüsselung der Verbindung per TLS unterstützt. Das Problem daran ist, dass Verbindungen nur verschlüsselt werden können, wenn beide Teilnehmer TLS unterstützen. Wer also von einem Anbieter mit möglicher Verschlüsselung wie Freenet eine Nachricht einen Anbieter ohne Verschlüsselung sendet, kann davon ausgehen, dass seine Mail zwischen den Anbietern unverschlüsselt übertragen wird. Kliewe sagt treffend, dass dieses Problem zwar schon länger bekannt sei, im Zuge der weltweiten Abhöraktionen des Internetverkehrs aber eine neue Betrachtung verdiene.

Egal ob ein Server nun TLS unterstützt oder nicht, es wird nur die Verbindung verschlüsselt, nicht die Nachricht an sich. In jedem Fall wird diese Verbindung auf dem Server entschlüsselt und der Inhalt der E-Mail wird lesbar. Um sicherzustellen, dass wirklich nur der Empfänger den Inhalt der Nachricht lesen kann, muss die Nachricht mit einer Ende-zu-Ende-Verschlüsselung wie PGP gesichert werden. In diesem Fall ist der Inhalt einer E-Mail auch dann nicht lesbar, wenn die Verbindung, auf der die Nachricht übertragen wird, unverschlüsselt ist. Das Nutzen unverschlüsselter Verbindung ist dennoch nicht ratsam.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

December 17 2010

CC-Video erklärt Ende-zu-Ende-Verschlüsselung

Jetzt, wo die Bundesregierung sich offiziell dagegen wendet, sollte man der Ende-zu-Ende-Verschlüsselung mehr Aufmerksamkeit widmen. Nur bei Ende-zu-Ende-Verschlüsselung wie GPG oder OTR liegt die Verschlüsselung in den eigenen Händen, ohne dass irgendein Anbieter per se den Hauptschlüssel hat, gell, deMail? Darüber, wie wir Drittanbietern vertrauen können, wurde hier schon öfter berichtet (oder hier).

John F. Nebel und ich haben uns ohne jegliche filmerische Erfahrung daran begeben, ein kleines Lehrvideo zu basteln, das das Prinzip von Email-Verschlüsselung erklären soll. Wir hoffen, damit unseren Beitrag zur Verbreitung von GPG leisten zu können.

Das Video ist unter CC-BY-Lizenz und wir würden uns freuen, wenn ihr helfen würdet, es zu verbessern und zu verbreiten. Große Freude würde es uns auch bereiten, wenn ihr durch eine Übersetzung für die gute Sache der Krypto eintreten wollt. Dazu findet ihr hier die IT-Version. Wir haben zum Beispiel schon einmal eine alemannische Version eingesprochen:

Reposted bykrekkginsengreturn13
Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl