Verschlüsselungsverweigerer - wie überzeugen?

[Hector]

Dieses "Grillen" ist doch sowieso nur ein Code für einen Brandanschlag. "Wetter" bezeichnet, ob das Ziel überhaupt an seinem Platz sein wird. Bevor ihr aber neuen Sprengstoff gekauft habt, müsstet ihr klären, ob ihr nicht vielleicht doch ein Alternativziel auswählt.

ERZÄHL UNS HIER DOCH NIX!!! TERRORIST!!!!


()

 

[Pleitgengeier]

@godlike: Was machst du, wenn nun die NSA vorbeikommt?^^

Dieses "Grillen" ist doch sowieso nur ein Code für einen Brandanschlag.

Guido?? Du schon wieder?

 

[Patroklos]

@Pleitgengeier: Ich würde sagen er muss einen Kredit aufnehmen, zum Supermarkt fahren und ganz viel Grillzeug holen. Habe gehört die NSA beschäftigt viele Menschen. (Sicher haben die mal Lust auf einen groß angelegten Betriebsausflug).

Spoiler

Eventuell ist es auch eine Falle für die NSA mitarbeiter?

 

[NbN]

Die Sache mit der Verschlüsselung scheitert bei den wirklich schützenswerten Daten kläglich. Oder ist es schon jemanden gelungen, mit z.B. einer Behörde verschlüsselt zu komunizieren.

 

[Patroklos]

@NbN: Ausnahmen gibt es bestimmt, nur bestätigen die hier die Regel.

 

[BurnerR]

Gutes Argument jegllichen Datenverkehr zu verschlüsseln wurde ja genannt.

Usability.. ein guter Weg wäre z.B. dies:
Programm fragt bei installation ob neues Schlüsselpaar erstellt werden soll (empfohlen wenn man nicht sicher ist).
Der public key wird dann bei jeder email automatisch angehängt.
In der anderen Richtung erkennt das Programm einen solchen mitgeschicktes Key und verknüpft den automatisch mit der Email adresse, woraufhin jede Email vor dem versenden damit verschlüsselt wird.
Kriegt man eine solche Email wird die automatisch lokal entschlüsselt und so dann auch angezeigt.

Das ganze erfordert genau keine Benutzereingabe und läuft völlig unsichtbar im Hintergrund.

Alles mit manueller Schlüsselverwaltung, symmetrischer Verschlüsselung, manueller entschlüsselung etc., das wird alles nicht laufen, das haben die letzten zehn Jahre doch gezeigt. Darauf haben die Menschen keinen Bock mit dem (potenziellen) erhöhten Wartungsaufwand, der Einrichtung, extra klick vor/nach jeder Email oder schlimmeres.

 

[Pleitgengeier]

@BurnerR: Deine Idee ist gut, scheitert aber sobald sich der gemeine Dau ein Handy kauft und darauf keine einzige email lesen kann - oder aber den PC neu aufsetzt.

 

[Patroklos]

@Pleitgengeier: Oder daran, dass nicht mals mehr ein Mailclient benutzt wird. (Man kann sich schließlich auf der Seite des Providers einloggen.)

 

[accC]

Die Sache mit der Verschlüsselung scheitert bei den wirklich schützenswerten Daten kläglich. Oder ist es schon jemanden gelungen, mit z.B. einer Behörde verschlüsselt zu komunizieren.

Nein, allerdings ist mein Steuerbescheid wesentlich uninteressanter, als Firmengeheimnisse im Wert von mehreren Mio.€, die hin und wieder ausgetauscht werden müssen.

Die Frage ist, vor wem du welche Informationen schützen möchtest. Deine Frau wird deine Gehaltsabrechnung wohl kaum interessieren, wenn ihr sowieso ein gemeinsames Konto führt. Dafür werden die Belege deiner Affären wohl höchste Sicherheitsstandards gegenüber deiner Frau genießen. Deinen Chef geht es nichts an, dass du letzte Woche wegen der ausgelassenen Party krank warst und nicht etwa wegen einer Lungenentzündung. Das wiederum dürfen aber alle deine Kumpels wissen. Etc.
Kurz: Was schützenswert ist und was nicht, kommt immer auf den Einzelfall und die individuelle Situation an.

Natürlich kann man nicht alles in jedem Fall verschlüsseln und manchmal ist es auch vollkommen irrelevant Informationen zu verschlüsseln, das stimmt. Die Fälle, in denen Verschlüsselung relevant ist - das sind nicht nur Behördenkommunikationen - kann und sollte man jedoch weitestgehend abdecken (können).


Wie du deine Gesprächspartner von Verschlüsselung überzeugst?
1. Hilf ihnen bei der Einrichtung: OTR im Messenger einzurichten ist eine Sache von vielleicht 5 Minuten und erfordert danach in absehbarer Zeit keine Anpassung mehr. PGP einzurichten ist ebenfalls eine Sache von wenigen Minuten und erfordert danach noch 1-2 Klicks.
2. Nimm keine unverschlüsselten Nachrichten mehr an.
3. Sende keine unverschlüsselten Nachrichten mehr.

 

[BurnerR]

Das ist wahr, diese Einschränkungen / Probleme existieren.
Man könnte ja den private key in der cloud speichern... ;D.

Tja also irgendwie.. evtl bleibt nichts anderes als dass 'man' sich zusammensetzt und neue Standards definiert. Bleibt die Frage aus welchem Antrieb das entstehen kann/sollte.

 

[NbN]

...
Die Frage ist, vor wem du welche Informationen schützen möchtest. Deine Frau wird deine Gehaltsabrechnung wohl kaum interessieren, wenn ihr sowieso ein gemeinsames Konto führt. Dafür werden die Belege deiner Affären wohl höchste Sicherheitsstandards gegenüber deiner Frau genießen. Deinen Chef geht es nichts an, dass du letzte Woche wegen der ausgelassenen Party krank warst und nicht etwa wegen einer Lungenentzündung. Das wiederum dürfen aber alle deine Kumpels wissen. Etc.
Kurz: Was schützenswert ist und was nicht, kommt immer auf den Einzelfall und die individuelle Situation an.

Schön umschrieben! Bleibt wie immer festzustellen; Alles ist relativ!

 

[cokeZ]

Leute die meinen einem staendig wegen Verschluesselung auf den Sack zu gehen gehoeren sowieso verboten. Er will es nicht nutzen und gut. Btw.: Virenbefall weil er nicjt verschluesselt? Sehr wahrscheinlich.

Schicks ihm halt nicht verschluesselt. Wegen 'nem pr0n so ein geschiss zu machen ist doch genauso laecherlich.

 

[accC]

Das ist wahr, diese Einschränkungen / Probleme existieren.
Man könnte ja den private key in der cloud speichern... ;D.

Genau das passiert in der iCloud (siehe weiter unten).

Tja also irgendwie.. evtl bleibt nichts anderes als dass 'man' sich zusammensetzt und neue Standards definiert. Bleibt die Frage aus welchem Antrieb das entstehen kann/sollte.

Das Problem bei Crypto ist, dass du eben bis zu einem gewissen Grad dich selbst darum kümmern musst, um echt Sicherheit zu gewährleisten. Zumindest sind mir keine Crypto-Schemes bekannt, die nicht aktiv den Nutzer einbeziehen müssen. Jede Verantwortung, die der Nutzer nicht übernehmen muss, wird gleichzeitig zur Schwachstelle im Scheme.

Kümmert sich ein Crypto-Anbieter um das Verwalten von public und (leider viel zu häufig der private) keys, dann macht man sich nicht nur von diesem Anbieter abhängig, sondern viel schlimmer, man überträgt diesem die gesamte Verantwortung. Zusätzlich, dass man diesem Anbieter dann absolutes Vertrauen/Verantwortung - er könnte schließlich alles machen, in deinem Namen Nachrichten schreiben, deine Nachrichten lesen etc - überträgt, man reißt auch potentielle Schwachstellen auf, denn irgendwie muss zwischen dir und dem Anbieter auch noch übertragen werden und hier entsteht eben Potential für Angreifer.
Ein simples Beispiel ist die iCloud: Die Nachrichten können mit den besten Algorithmen geschützt in der Cloud liegen und das tun sie - im Vertrauen auf die Aussage Apples - auch, allerdings konnten Angreifer mit einem primitiven Bruteforce an die Zugänge zu den iCloud-Accounts gelangen. Die iCloud hat dann natürlich die verschlüsselten Daten für den (scheinbar) rechtmäßigen Kunden entschlüsselt.
Um es greifbarer zu machen: Du hast die Eingangstür zu deinem Haus offen gelassen (iCloud-Zugang, der sich Bruteforcen lässt!), direkt im Eingangsbereich befindet sich zwar ein Banksafe (super verschlüsselte Daten), der höchste Sicherheitsansprüche bietet, aber dessen Code hast du direkt auf einem Zettel an die Safe-Wand (Entschlüsselung direkt in der Cloud mit gespeicherten Keys) geklebt.

Vorteil ist zwar, dass sich der Nutzer nicht kümmern muss und dass selbst jemand mit kaum Ahnung (zumindest subjektiv auf den ersten Blick) ein Gefühl von Sicherheit erfährt, aber von wirklicher Sicherheit ist das eben weit entfernt.

 

[maxwell smart]

In einer Doku meinte ein Kryptograf einmal, für bspw. die NSA würde sich die Last erheblich erhöhen, wenn jeder nur noch verschlüsselte Nachrichten versendet, weil diese alle entschlüsselt werden müssten. Das würde sogar dann noch gelten, wenn die Verschlüsselung leicht zu knacken wäre.

das ist einer der wichtigen punkte.
soweit ich weiß, werden verschlüsselte mails erstmal gebunkert, um dann später zu schauen, wie gut sie geschützt sind.
liefe ein großteil der kommunikation verschlüsselt ab, hockten sie quasi nur noch in ihrem "bunker"...

wenn dann, nach 20h. "arbeit" herauskommt, dass der pudding von oma klasse war, stellt sich vllt auch mal frust ein...

die nsa hatte bestimmt nicht geplant, dass das ganze so schnell herauskommt. und evt hatten sie auch schon geplant, verschlüsselung weiter einzuschränken, bzw. ganz zu verbieten - gründe dafür hätten sie schon konstruiert.
nutzen wir das wissen, das snowden gebracht hat.

also-macht ihnen das leben durch crypto so schwer wie möglich! schickt mögl. tägl. mehrere verschlüsselte mails mit dubiosem betreff und "verdächtig-klingenden" anhängen (braucht ja bloß ein 1px-bild sein) raus.
sollen sie an ihrer sammelwut ersticken!

klar gibt es leute, die nicht mal den "hilfe"-reiter bei progs finden und lieber anderen auf die eier gehen.
aber merkwürdigerweise verbingen etl. von denen stunden vorm rechner, um beim angesagten online-game besser zu werden...

will heißen, "schwierig" in bezug auf crypto kann nicht wirklich argument, sondern eig. nur ausrede sein.
wenn ich mir enigmail angucke, funzt das schon recht einfach...
und letztendlich muss man sich bei fast jedem prog. erstmal 'ne halbe std. zeit nehmen.

vllt könnte man versuchen, den leuten verschlüsselung als "spaß-guerilla" schmackhaft zu machen...
verarscht die nsa, den bnd, etc... und die können sich dagegen nicht wehren!

 

[Hezu]

Nö, eigentlich nicht.
Denn geändert hat sich mit Winrar 5 vor allen Dingen der Komprimierungsalgorithmus. Man kann also optional "normale" Rar-Archive erstellen oder aber im neuen Winrar-5-Format. (Wahlweise Rar, Rar 5 und Zip)
Die Voreinstellung ist allerdings Rar, Rar 5 muss entweder explizit ausgewählt oder als Standardeinstellung festgelegt werden.
Ältere Archive lassen sich mit allerdings nach wie vor problemlos mit Winrar 5.x entpacken.

Hurx... Das hatt ich eigentlich auch gemeint... Danke für die Korrektur. Allerdings: nicht viele denken daran, das sie die Voreinstellung so eingestellt haben, und vergessen dann, das eben nicht jeder (wie, wie im Nachhinein vom TS erwähnt, der TS selbst) WinRAR5 hat. Und ich nahm ja an, das eben das Problem war, das ein RAR5-Archiv von einem älteren Programm geöffnet werden sollte (was dann ja nachher nicht der Fall war), nicht umgekehrt. Aber das nur noch nebenbei.

---

Meine Meinung zum Thema allgemein: Verschlüsselungsverweigerer überzeugen? Das ist mMn generell, gerade bei Mitteilungen, nicht möglich.

Das größte Problem dabei mMn ist, das es zu viele inkompatible Möglichkeiten gibt, etwas zu verschlüsseln. Von einem bekomme ich per PGP verschlüsselte Mails. Um die zu lesen, muss ich erst das passende Programm haben.
Andere schicken einem dann per Packer verschlüsselte Dateianhänge. Welchen Packer hätten´s denn gern? RAR3, RAR5, ZIP, 7Z,... für Leute, die froh sind, zu wissen, was ein Packprogramm ist, ist das schon zu kompliziert.
Per USB-Stick? Verschlüsselt mit TrueCrypt? Oder doch BitLocker? Oder hat einer mit Filevault gespielt, ohne dran zu denken, das das Gegenüber einen Win-PC hat?

Wenn es um meine heimischen Daten geht, geht Verschlüsselung natürlich ohne Probleme, da kann ich über das Programm bestimmen, was mir dabei helfen soll, und nur ich (oder die Leute, die auf meinen PC berechtigten Zugriff haben) brauchen sich dann damit abquälen.
Aber was die Kommunikation mit vielen anderen in der Welt betrifft... Da sind die Möglichkeiten eben einfach zu vielfältig, um sinnvoll damit arbeiten zu können. Ich jedenfalls möchte nicht zig Entschlüsselungsmöglichkeiten vorhalten.

Aber: Ich brauche auch keine Welt, die nur aus einer Verschlüsselungsmöglichkeit besteht. Da wäre die Gefahr wieder zu groß, das irgendwann mal ne Lücke entdeckt und ausgenutzt und damit die komplette Verschlüsselung ad absurdum geführt wird.

Wenn wirklich was verschlüsselt übertragen werden muss, einige ich mir mit meinem Gegenüber auf eine Methode, die von uns beiden genutzt werden kann. Bei mir ist das wenn dann meist ein verschlüsseltes Archiv gewesen, ging immer am einfachsten, Passwort über einen 2. Kommunikationsweg mitgeteilt, und schon klappt es. Aber generell alles zu verschlüsseln, auch wenn es nur ein "Bis Morgen dann" oder eines dieser Funvideos ist, ist für mich einfach übertrieben.

 

[maxwell smart]

solange du irgendetwas in richtung verschlüsselung "für übertrieben" hälst, hast du, mmn,
das ganze ausmaß nicht wirklich erfasst...

und zusätzlich konfusion durch aufzählung verschiedener kryptografie-programme oder -methoden
zu schaffen, ist auch nicht hilfreich.

diese verschiedenen methoden zur verschlüsselung sind für verschiedenste einsatzbereiche gedacht.
wohl kaum jemand wird seine mails per truecrypt verschlüsseln wollen...

und von mail-verschlüsselung habe ich gesprochen. klar solltest du gpg installiert haben.
deine reaktion

Von einem bekomme ich per PGP verschlüsselte Mails. Um die zu lesen, muss ich erst das passende Programm haben.

impliziert eher, dass du das nicht hast.
dabei ist das doch wohl der gängigste weg und wesentlich einfacher, als

Wenn wirklich was verschlüsselt übertragen werden muss, einige ich mir mit meinem Gegenüber auf eine Methode, die von uns beiden genutzt werden kann.

schau dir mal "verschwörung gegen die freiheit" an. lief sogar auf dem "schwarzen kanal" (zdf)
und gerade auf phoenix.

à propos: auch in der ehem. ddr haben sich viele nicht "unwohl" gefühlt...

 

[theSplit]

Es ist ja nicht nur der Aufwand. Viele haben ja nicht mal einen Plan wie man Word installiert. Wie sollen die eine Festplatte/Partition verschlüsseln?! Und wieso auch? Meine Altern haben auf ihrem Rechner einfach gar nichts wichtiges drauf außer ein paar Urlaubsbildern

OT:
[ Keine Sau installiert heute jemals mehr etwas anderes unter Windows als "OpenOffice" ! ]

Aber mal im Ernst, jeder hat etwas das Privat und "Heilig" ist - aber es gibt manche Sachen, die soll niemand finden..
Mir fallen da beispielsweise die Fotos meiner Ex ein, das ist etwas das ist für mich Privat und mit Erinnerungen verbunden. Für jemand anderen haben diese Daten zwar keinen Wert, aber es kann auch nach Hinten losgehen wenn die neue die "alte" diese Bilder sieht, zumal dies Sachen sind die ein Dritter nicht sehen sollte
Was das ist was "Geheim" sein soll entscheidet jeder für sich selbst.

Aber ich installiere mir jetzt auch kein PGP um mir ein Video anzusehen das in keinster Weise etwas sehr privates ist. Hier haben wir das Motiv und die Motivation.

PGP sehe ich aber dann schon als sinnvoll an, wenn ich etwas sage, tue, treibe - das wirklich nur für mich und dem Empfänger interessant und nicht von Dritten geteilt werden soll. Und das ist oft Geheimniskrämerei, hat aber bei bestimmten Dingen einen Grund. Zum Beispiel source-code eines 10k Projekts (Beispiel!, soviel verdiene ich nicht ) - den nicht der Email Anbieter mitbekommen soll, WinRar verschlüsselt zwar, aber wenn ich das Passwort vorher per Email teile, ist es schon nicht mehr geheim da die Email ja offen liegt.

Verschlüsslung meint doch immer die Kommunikation zwischen zwei Stellen bzw. einer Gruppe auf die diese Information jeglicher Art limitiert sein soll?

 

[Hezu]

@maxwell smart: Doch, auf meinem Hauptrechner habe ich sogar GPG installiert, um eben diejenigen, die unbedingt "Hallo wie gehts" verschlüsseln müssen, lesen zu können. Ich betrachte mich aber auch nicht mehr als der Nutzer, den ich oben beschreiben habe, sondern auch eher als einen der Nerds.

Jetzt aber kommen weitere Probleme auf mich zu: Ich sitze nicht immer an meinem Hauptrechner. Ich bin oft genug an unterschiedlichen Rechnern am arbeiten, auf denen ich trotzdem Zugriff auf meine Mails haben muss. Das folgt normalerweise dann über das Webinterface meines Mailproviders. Genauso empfange ich meine Mails aber auch per Handy, damit ich sie im Zweifel sofort lesen kann. Und ja, ich weiß, wie man GPG auch Mobil nutzen kann, aber wie oben schon gesagt, sehe ich mich auch nicht als den Ottonormaluser an.

Dieser aber wird den Aufwand scheuen, sich sowohl auf dem privaten Rechner, dem Firmenrechner, und ggf. noch auf dem Handy solch eine Verschlüsselungsmaschinerie aufzubauen.
Und wenn man dann noch Kontakt mit Leuten hat, die jeweils auf unterschiedliche Verschlüsselungsmethoden setzen... Der Aufwand, jedem gerecht werden zu können, wird irgendwann zu groß.

 

[maxwell smart]

@hezu hast du stick in tasche (idealerweise mit tails) ab in rechner, alle mails kommen zu dir.
wenn denn all deine mails verschlüsselt sind und dies notwendig sein sollte...

otto braucht das nicht, da er selten seine mails am handy liest - müsste er ja einrichten-viel zu schwierig(?!)
am arbeitsplatz eh meist verboten, privatmails lesen und so...

und mit leuten, die sich darüber gedanken machen, solltest du dich leicht auf gpg einigen können.

also, nicht immer alles verkomplizieren. das ist meist eine ausrede, warum man es gar nicht erst macht...

nimm das jetzt mal nicht als pers. angriff, aber allzuoft sehe ich, z.b. im fernsehen, wie "datenschutz-experten"
erzählen, wie kompliziert das verschlüsseln sei.
das schreckt dann einfach viele ab, à la: "wenn der/die das schon sagt, als experte..."

wie gesagt, wenn du dein office vernünftig einrichten willst, brauchst du auch deine 15-30 min. (zzgl. inst.)

thema war doch: "verschlüsselungsverweigerer - wie überzeugen?" oder nicht?
da gilt es doch als erstes, die "berührungsängste" abzubauen, nicht zu schüren...

 

[Hezu]

Und noch ein Programm (tails) mehr...

Und warum machst du jetzt einen Unterschied zwischen Privat- und Firmenmails? Bei Firmenmails wäre es mir sogar wichtiger, das zu verschlüsseln. Aber auch da hab ich die genannten Probleme. Und wenn du ein ordentlich abgesichertes Firmennetz hast, wirst du auch keine USB-Sticks nutzen können.

Um Verweigerer zu überzeugen, musst du erstmal wissen, warum Verweigerer Verweigerer sind. Inzwischen bin ich übrigens raus aus dem Alter, anderen vorzubeten, was sicher ist und was nicht. Das ist nunmal ein Kampf gegen Windmühlen. Um sich nicht künstlich einzuschränken, muss man viele verschiedene Verschlüsselungsmethoden unterstützen. Denn so stur, wie die Verweigerer manchmal sind, so stur sind auch die Verschlüsselungsenthusiasten, die nur ihr eigenes System als das Sichere betrachten, und anderes gar nicht erst in Augenschein nehmen.

Mir wird das dann persönlich zu aufwändig. Da stimme ich mich lieber drauf ab, was mein Gegenüber kann, anstelle ihn zu überzeugen, was vielleicht besser wäre.