Verschlüsselungsverweigerer - wie überzeugen?

[maxwell smart]

@hezu ich versteh das problem nicht...

wieso verschiedene methoden? mails werden per gpg oder s/mime verschlüsselt.
letzteres bevorzugt in firmennetzwerken.
auch wenn das thema etwas vage formuliert ist, geht es doch wohl genau darum.
und nicht, dass die leute ihre fp verschlüsseln, etc...

tails ist übrigens ein os (linux), bei dem alles schon drin ist.

alle anderen verschlüsselungen sind doch für andere einsatzgebiete gedacht.
warum schmeißt du die durcheinander?

wie schickt mir denn jemand ein verschl. archiv? meist per email...
und mit 7zip kann ich persönlich eigentl.so ziemlich alle öffnen
(ausser wr5 und ace).
es ist noch nie vorgekommen, dass mir ungefragt ein truecrypt-cont.
zugeschickt wurde, dir?

wie gesagt, es geht hier um email-verschlüsselung.
also motivieren und nicht abschrecken!

 

[bevoller]

thema war doch: "verschlüsselungsverweigerer - wie überzeugen?" oder nicht?
da gilt es doch als erstes, die "berührungsängste" abzubauen, nicht zu schüren...

Dann falle ich dir jetzt erst mal in den Rücken.
PGP installiert zu haben ist ja schon mal keine Selbstverständlichkeit. Und selbst wenn PGP installiert ist, ist es damit ja nicht getan.
Denn zur Nutzung müssen ja auch die öffentlichen Schlüssel ausgetauscht werden. Hier wäre als Angriffsszenario ein Man-in-the-middle-Angriff möglich, bei dem der jeweilige öffentliche Schlüssel bspw. ausgetauscht wird.
Vorbeugen könnte man dem natürlich, indem der Schlüssel in einem per Passwort verschlüsselten Winrar 5.x versendet wird.
Ab hier darf selbstständig weiter gedacht werden....

und mit 7zip kann ich persönlich eigentl.so ziemlich alle öffnen
(ausser wr5 und ace).

Dann solltest du Winrar 5.x installieren. Soweit ich weiß, kommt das aktuell mit allen gängigen Formaten klar, ebenso mit Ace.
Evtl. sogar, wenn die Dateien verschlüsselt sind. Kritisch wäre ggf. noch Winzip mit Zipx als zusätzliches Komprimierungsformat.

Das grundlegende Problem wird allerdings mit ziemlicher Sicherheit die Bequemlichkeit, um nicht zu sagen die Faulheit sein.
Warum sollte man sich erst Programme installieren, mit Passwörtern hantieren, Schlüssel austauschen usw.? Letztendlich bleibt es meistens doch wieder beim ermüdenden "Wir haben ja nichts zu verbergen.". Wir sind ja alle so unwichtig, während wir ja auch bisher relativ dumm gehalten worden sind. Wer weiß denn schon genau über die Datenmengen und die Möglichkeiten zur Zusammenführung bescheid?

Mit einigen Bekannten/Freunden wird verschlüsselt kommuniziert, weil dort der Hinweis auf die Privatsphäre und potentielle Mitleser ausgereicht hat. Und bei manchen habe ich auch keine Lust mehr, alles immer wieder zu wiederholen oder aber bspw. die Bedienung noch mal zu erklären.

 

[Jan_de_Marten]

War das nicht schon immer so und es wird auch immer so bleiben?
Benutzerfreundlichkeit vs Sicherheit .......... man kann den Regler (Einstellungen) nur immer mehr oder weniger in eine Richtung drehen.


Man bedenke auch, daß die Verschlüsselungsprogramme (gewollte?) Hintertüren haben.

 

[Pleitgengeier]

Man bedenke auch, daß die Verschlüsselungsprogramme (gewollte?) Hintertüren haben.

Viel schlimmer ist, dass die Betriebssysteme amerikanischer Konzerne gewollte Hintertüren haben (müssen).

Auf Apple oder Windows die Kommunikation zu verschlüsseln ist wie eine Sicherheitstür in ein Haus mit Papierwänden einzubauen.

 

[maxwell smart]

PGP installiert zu haben ist ja schon mal keine Selbstverständlichkeit.
Und selbst wenn PGP installiert ist, ist es damit ja nicht getan.
Denn zur Nutzung müssen ja auch die öffentlichen Schlüssel ausgetauscht werden.
Hier wäre als Angriffsszenario ein Man-in-the-middle-Angriff möglich, bei dem der jeweilige öffentliche Schlüssel
bspw. ausgetauscht wird.
Vorbeugen könnte man dem natürlich, indem der Schlüssel in einem per Passwort verschlüsselten Winrar 5.x versendet wird.

nun, wenn man seine mails verschlüsseln will, ist es schon selbstverständlich, gpg installiert zu haben.
fingerprint als sicherheit? wieso wr5? winrar erzeugt auch 3.x-archive, oder? sind die unsicherer?

Dann solltest du Winrar 5.x installieren.

wozu? zu wr5.rar s.o. und ace ist mttlw. so marginal, dass es eher unwichtig ist.

Das grundlegende Problem wird allerdings mit ziemlicher Sicherheit die Bequemlichkeit,
um nicht zu sagen die Faulheit sein.

exactement. und um das zu kaschieren, wer will sich schon faulheit oder trägheit nachsagen lassen, kommt dann
der "nix-zu-verbergen-scheiß". oder aber, "alles-viel-zu-kompliziert", wobei diese "kompliziertheit" eben häufig
konstruiert wird-mit halbwahrheiten und durcheinandergewürfel aller denkbaren crypto-verfahren...

Mit einigen Bekannten/Freunden wird verschlüsselt kommuniziert, weil dort der Hinweis auf die Privatsphäre und potentielle Mitleser ausgereicht hat.

und das ohne installation von zig aktuellen programmen, für zig cryto-methoden? ei, das geht auch?
genau: wenn man es will, geht es auch recht einfach!

ich kann einfach dieses "können wir eh nix machen"-ohnmachtsgeschwätz nicht mehr hören!
wer zu faul ist soll dazu stehen und nicht andere mit seinen rechtfertigungs-konstruktionen entmutigen!

 

[Toxxic]

das ist einer der wichtigen punkte.
soweit ich weiß, werden verschlüsselte mails erstmal gebunkert, um dann später zu schauen, wie gut sie geschützt sind.
liefe ein großteil der kommunikation verschlüsselt ab, hockten sie quasi nur noch in ihrem "bunker"...

Was machst du, wenn bei dir ein existenziell wichtiges Programm mangels entsprechender Hardware zu langsam läuft und du Geld ohne Ende hast?

 

[maxwell smart]

Was machst du, wenn bei dir ein existenziell wichtiges Programm mangels entsprechender Hardware zu langsam läuft und du Geld ohne Ende hast?

wohl das gleiche wie ein gamer, dessen neuestes spiel, trotz bester graka, nicht flüssig
in höchster auflösung läuft: 'n gang runterschalten und zähneknirschend warten, bis bessere
hardware verfügbar ist!

 

[Hector]

Öhm......der Gamer kauft sich dann eben noch eine....oder zwei Grafikkarten

 

[maxwell smart]

yo... endlich mal die spaßfraktion da

wat aber nu, wenn dat spiel quasi derart ansprüche stellt, dat die berechnungen
für flüssiges spielen bei leistungsstärkster gpu jahrzehnte oder länger dauern würde?

kauft er sich wahrscheinlich alienware...

 

[gelöschter Benutzer]

@maxwell smart: solche Spiele würde niemand, aber auch wirklich niemand, herausbringen.

 

[bevoller]

Man bedenke auch, daß die Verschlüsselungsprogramme (gewollte?) Hintertüren haben.

Haben könnten.
Alles andere ist ohne Nachweis auch im Zeitalter eines NSA-Skandals nur eine ziemlich dümmliche Behauptung.
Ich zumindest gehe nach wie vor davon aus, dass bspw. die Verschlüsselung von Winrar-Archiven oder Truecrypt immer noch sicher ist und keine Hintertüren eingebaut wurden.

nun, wenn man seine mails verschlüsseln will, ist es schon selbstverständlich, gpg installiert zu haben.

Wenn jemand das will ja. Aber du musst denjenigen ja erst davon überzeugen, bevor er es will.

wieso wr5? winrar erzeugt auch 3.x-archive, oder? sind die unsicherer?

Ich schrieb ja, dass selbstständig gedacht werden darf. Leider hast du nicht verstanden, dass Winrar 5 eine Anspielung auf das Eingangsproblem des TS war.
Davon abgesehen müsste natürlich auch das verwendete Passwort sicher übertragen werden, was ein weiteres Angriffsszenario bieten würde.

Was machst du, wenn bei dir ein existenziell wichtiges Programm mangels entsprechender Hardware zu langsam läuft und du Geld ohne Ende hast?

Dass die NSA Geld ohne Ende hat sagt wer? Bitte mit Quellenangabe, ich finde dazu in der Flut von nebensächlichen Informationen nichts dazu.
Unbestreitbar ist, dass der NSA bisher wohl ein ziemlich großes Budget zur Verfügung stand. Aktuell werden die Mittel aber bspw. gekürzt. Zumindest angeblich...
http://www.golem.de/news/geheimdien...-geld-fuer-hintertueren-mehr-1406-107335.html
"Unendlich viel Geld" fällt somit für mich in den Bereich der Verschwörungstheorien.

@maxwell smart: solche Spiele würde niemand, aber auch wirklich niemand, herausbringen.

Irgendwann hat mal jemand gesagt, 640K Arbeitsspeicher wären genug.
Tatsächlich hat er wohl nicht, laut einem Interview mit der New York Times. Denn er wusste natürlich, dass es immer eine Weiterentwicklung mit ggf. auch höheren Hardware-Anforderungen geben wird.

 

[KaPiTN]

Haben könnten.
Alles andere ist ohne Nachweis auch im Zeitalter eines NSA-Skandals nur eine ziemlich dümmliche Behauptung.
Ich zumindest gehe nach wie vor davon aus, dass bspw. die Verschlüsselung von Winrar-Archiven oder Truecrypt immer noch sicher ist und keine Hintertüren eingebaut wurden..

Wenn aber die eingesetzten Methoden nicht den gewünschten Schutz bieten, aber ihr Einsatz Filterkriterien der NSA oder anderen entspricht, dann ergibt ihr Einsatz vielleicht keinen Sinn?. Wenn ein Schutzmechanismus mich gar nicht schützt, sondern mich gerade erst verdächtig macht?

Beruflich habe ich mein Zertifikat aber letztendlich ist mir das total egal, das würde keinem Konkurrenten Interessieren, zu fachspezifisch.

Privat wäre sowieso auch die perfekte Lösung, wenn es sie gäbe, davon abhängig, daß jeder Dau mit an Board ist.
Old Fashion.
Wir sehen uns in 2 Wochen? Dann reden wir darüber..

 

[maxwell smart]

Leider hast du nicht verstanden, dass Winrar 5 eine Anspielung auf das Eingangsproblem des TS war.

vllt, weil es eine reine vermutung war, dass dies sein problem sei...

und dies eben nix mit dem problem des te zu tun hat, sondern von dir kommt:

Vorbeugen könnte man dem natürlich, indem der Schlüssel in einem per Passwort verschlüsselten Winrar 5.x versendet wird.

das mit dem installierten gpg lass ich jetzt mal, ist reine wortfusselei... denn gpg ist nicht vorinstalliert,
insofern hat es wohl niemand einfach so drauf.

Wenn aber die eingesetzten Methoden nicht den gewünschten Schutz bieten, aber ihr Einsatz Filterkriterien der NSA oder anderen entspricht, dann ergibt ihr Einsatz vielleicht keinen Sinn?. Wenn ein Schutzmechanismus mich gar nicht schützt, sondern mich gerade erst verdächtig macht?

jede art von verschlüsselung macht dich in ihren augen "verdächtig".
ausserdem brauchst du dich gar nicht verdächtig machen, da eh jede mail gefischt wird...

netter artikel, wie paranoid selbst schon isp's sind: http://www.deepdotweb.com/

da überwacht ein provider den traffic und mahnt tor-benutzer ab...

 

[bevoller]

vllt, weil es eine reine vermutung war, dass dies sein problem sei...

und dies eben nix mit dem problem des te zu tun hat, sondern von dir kommt:

In keinster Weise. Denn wenn du den Startbeitrag noch mal liest, wirst du feststellen, dass es um ein Problem mit einem passwortgeschützten Winrar-Archiv geht.
Aber dreht mir ruhig weiter das Wort im Mund herum.

das mit dem installierten gpg lass ich jetzt mal, ist reine wortfusselei... denn gpg ist nicht vorinstalliert,
insofern hat es wohl niemand einfach so drauf.

Eben... Und genau das ist ein Problem, wenn es darum geht, Verschlüsselungsverweigerer zu überzeugen. Schön, dass scheinbar auch du so langsam zu verstehen beginnst.

jede art von verschlüsselung macht dich in ihren augen "verdächtig".
ausserdem brauchst du dich gar nicht verdächtig machen, da eh jede mail gefischt wird...

Aber natürlich wird schon naturgemäß jede verschlüsselte Mail erhöhte Aufmerksamkeit einbringen. Denn wie du ja selbst geschrieben hast, macht man sich mit jeder Art von Verschlüsselung "verdächtig".

Wenn aber die eingesetzten Methoden nicht den gewünschten Schutz bieten, aber ihr Einsatz Filterkriterien der NSA oder anderen entspricht, dann ergibt ihr Einsatz vielleicht keinen Sinn?. Wenn ein Schutzmechanismus mich gar nicht schützt, sondern mich gerade erst verdächtig macht?

Es fehlt aber immer noch der Nachweis, dass die eingesetzten Methoden nicht den gewünschten Schutz bieten.
Konkret gefragt, welches Verschlüsselungstool enthält denn nachweislich eine Backdoorfunktion? Auf einen konkreten Beweis von Jan_de_Marten warte ich immer noch.

Der zweite Aspekt ist natürlich schwieriger einzuordnen, weil er u.a. auch von juristischen Rahmenbedingungen abhängt.
Einerseits kann man natürlich argumentieren, dass man mit einer unverschlüsselten Email in der Masse der Daten untergeht. Ich kenne die Algorithmen ja leider nicht, mit denen bspw. Emails auf verdächtige Inhalte hin untersucht werden. Und richtig mag sein, dass man sich durch die Verschlüsselung ein Stück weit verdächtig macht. Was aber nur an unserer Kultur des Nichtzuverbergenhabens liegt.

Die Frage nach der Wirksamkeit eines Schutzes ist eigentlich relativ leicht beantwortet. Da es hervorragende Crack-Tools (s. Anhang) schon für ein paar Euro in jedem Baumarkt zu kaufen gibt, gibt es einfach keinen hundertprozentigen Schutz. Von daher wäre es vielleicht wirklich besser, man versucht in der Masse der unverschlüsselten Nachrichten unterzugehen.
Allerdings wäre bspw. Folter hierzulande ja (angeblich) nicht zulässig und daher könnte man niemandem einen bestimmten Inhalt einer Email nachweisen, so lange diese nicht entschlüsselt vorliegt und ein notwendiges Kennwort nicht bekannt ist.
In GB sähe die Sachlage bekanntermaßen wieder anders aus. Dort würde man in den Knast wandern.

Insgesamt müsste also Ende-zu-Ende-Verschlüsselung ganz allgemein zum Standard werden, denn dann würde man sich zumindest nicht mehr verdächtig machen und hätte zusätzlich auch noch seine Privatsphäre vor jeglicher Schnüffelei geschützt.
Das überzeugt vielleicht sogar notorische Verschlüsselungsverweigerer.

 

[maxwell smart]

Denn wenn du den Startbeitrag noch mal liest, wirst du feststellen, dass es um ein Problem mit einem passwortgeschützten Winrar-Archiv geht.

und wenn du weiterliest, stellst du fest, dass die ursache mit der version 5 zusammenhängt,
eine annahme ist... ich hab' schon leute erlebt, die zu blöd sind, ein pdf zu öffnen...

Aber dreht mir ruhig weiter das Wort im Mund herum.

das machst du gerade...

Schön, dass scheinbar auch du so langsam zu verstehen beginnst.

was soll diese blöde provo? in deinem beitrag sagst du, dass es nach der inst. noch weitere probl. gibt.
also wäre er/sie schon mal grundsätzlich zur inst. bereit...
aber warum artet das jetzt in scharmützel aus, wenn wir doch anscheinend das gleiche interesse haben?
bringt uns nicht weiter...

Die Frage nach der Wirksamkeit eines Schutzes ist eigentlich relativ leicht beantwortet. Da es hervorragende Crack-Tools (s. Anhang) schon für ein paar Euro in jedem Baumarkt zu kaufen gibt, gibt es einfach keinen hundertprozentigen Schutz. Von daher wäre es vielleicht wirklich besser, man versucht in der Masse der unverschlüsselten Nachrichten unterzugehen.

na eben nicht!
wie du doch selber sagtest:

In einer Doku meinte ein Kryptograf einmal, für bspw. die NSA würde sich die Last erheblich erhöhen, wenn jeder nur noch verschlüsselte Nachrichten versendet, weil diese alle entschlüsselt werden müssten. Das würde sogar dann noch gelten, wenn die Verschlüsselung leicht zu knacken wäre.

nat. gibt es keinen 100 %-schutz. man kann sie halt nur "überfüttern", so dass die mails nach entschlüsselung
längst ihre (scheinbare) relevanz verloren hätten; da sie doch so "echtzeit"-fanatiker sind...
die adresse, wo man für ein paar € (funktionierende) gpg-cracker kaufen kann, schickst du mir bitte per pn...

Insgesamt müsste also Ende-zu-Ende-Verschlüsselung ganz allgemein zum Standard werden, denn dann würde man sich zumindest nicht mehr verdächtig machen und hätte zusätzlich auch noch seine Privatsphäre vor jeglicher Schnüffelei geschützt.

ganz genau! aber das erreichst du eben nur, wenn die regierung merkt, dass es den menschen ernst und bewusst ist, sie also crypto massenhaft anwenden.
dann können sie das problem nicht mehr einfach ignorieren.

 

[gelöschter Benutzer]

Hab gerade in der aktuellen c't (20/14) auf Seite 60 folgendes gefunden:

Für Verschlüsselungs-Software gilt: Je Eeinfacher desto besser. Damit ist nicht nur der Code gemeint, sondern auch die Bedienung. Die Chrome-App MiniLock besteht aus einem Fenster, in das man Dateien zieht, die ver- oder entschlüsselt werden sollen. [...] Seinen eigenen Quellcode hat Kobeissi einem unabhängigen Audit [...] unterzogen, die keine gravierenden Fehler finden konnten.

 

[maxwell smart]

das kannst du mit gpg übrigens auch erledigen. da brauchst du eig. nicht mehrere progs für...

ahh, es tut sich was: http://is.gd/6h6eXK :

Das europäische Projekt "Pretty Easy Privacy" will den Einsatz von Kryptografie für alle Nutzer von Computern, Smartphones und Tablets deutlich vereinfachen. Im Idealfall laufen die kryptografischen Vorgänge automatisch im Hintergrund ab.