BlockPRISM.org: Verschlüsselung für alle
von caschy | 51 Kommentare
Ich bin vom Stefan angeschrieben worden, er betreibt mit seinen Kollegen Felix Leupold und Thomas Klingbeil das Angebot BlockPRISM.org. Die Informatikstudenten des Hasso-Plattner-Instituts in Potsdam haben das Projekt mit folgendem Ziel auf die Beine gestellt: die Verschlüsselung von Nachrichten in Sozialen Netzwerken, wie zum Beispiel Facebook.
[werbung]
Der NSA-Skandal hat gezeigt, dass es einen großen Bedarf nach sicherer Kommunikation im Internet gibt. Die Kryptographie-Technologien dazu existieren bereits seit langem. Dennoch hat sich Verschlüsselung bis heute nicht bei dem Normalnutzer durchgesetzt, weil es zu kompliziert ist. Ein Umstand, den ich so unterschreiben kann.
Die Jungs wollen nun dieses Problem lösen, indem sie Tools programmieren, die sich kinderleicht einsetzen lassen und keine Kompromisse fördern. Als ersten Prototypen haben sie eine Chrome-Erweiterung programmiert, das den Facebook Chat verschlüsselt. Um die Entwicklung fertig zu stellen und die Nutzung auch auf mobilen Endgeräten (iOS und Android) zur Verfügung zu stellen, haben sie eine indiegogo Kampagne ins Leben gerufen. Die Kampagne soll der Finanzierung der Apps dienen, das Projekt als solches ist ein Non-Profit Projekt.
Ob sich dieses Projekt durchsetzen wird? So lobenswert ich es finde, Krypto-Tools für Texte gibt es einige, aber keiner nutzt sie. Ähnlich wird es wahrscheinlich auch hier laufen.
Wird geladen ...
..ich beiß gleich in die Tastatur
@Mathias
Du hast weder das Thema noch das Problem verstanden. Willkommen bei der Masse.
Bei allem Respekt für die Tools: ich WILL nicht verschlüsseln (müssen). Das ist ein politisches Problem, kein technisches – also brauchen wir auch eine politische Lösung. Wenn diese ganzen Schnüffler schon von (u.a. meinen) Steuergeldern bezahlt werden, dann sollen sie etwas sinnvolles machen – z.B. bei diesem Wetter die Schlaglöcher in der Straße flicken und nicht in klimatisierten Räumen sitzen und Stasi spielen. Also, nicht nur am Rechner sitzen und verschlüsseln, sondern aktiv was machen – Samstag sind in allen größeren Städten Demos angesagt und u.a. die Piraten freuen sich über jeden Wahlkampfhelfer…
Sinnfrei, Binaryblob Browser (mit teils massiven Änderungen zu Chromium) auf einem System, wo keiner weis was drin steckt.
BTW, schönes Paper, wie man GPG attackieren kann: http://eprint.iacr.org/2013/448
Schade nur, dass alles in englischer Sprache verfasst ist. In Firmen heißt es: Spreche mit deiner Kundschaft in deren Sprache. Einfach mal drüber nachdenken. Ja, und es gibt immer noch genügend Mitbürger die nun mal keine Fremdsprache können.
I ❤ NSA ;-).
@Mathias
Das habe ich genauso fast im O-ton vor Prism vertreten. Zwar wusste ich damals schon, das man Handygespräche im amr Format, in 600 kb Größe konservieren konnte – aber nicht die Resourcen hatte alles abzuhören.
Ich habe damals nicht gesagt ich habe nichts zu befürchten, sondern eher gedacht, wer ist so blöd und stellt 5 Leute ein, die meine Gespräche auswerten und aufgerufene Webseiten nachlesen
Heute sehe das anders, weil ich davon ausgehe, das die Resourcen vorhanden sind, jedes Verhalten eines einzelnen zu überwachen und wer sich dagegen wehr, sich verdächtig macht.
Zum einen sind durch das Contracting die Geheimdienste vom Personal wirklich auf Sowjetniveau – d.h. 1% der Bevölkerung sind IMs
Zum anderen wurde durch die Mobilen Geräte dem Moorschen Gesetz eine Pause gegönnt. Und dadurch ist es Möglich und auch wegen der Cloudentwicklung, das Server viel mehr Rechenpower haben, als die Maschienen zuhause.
Ich würde behaupten NSA Einrichtungen haben mehr Rechenpower, als alle anderen Einrichtungen für Bruteforcing, Angriffe und Algospaß
Und die Dritte sehr viel entscheidenere Sache sind Big Data Algorithmen – die sich selbst Trainieren und das NSA und Siliconvalley ein Club sind – deren Führungsrigen das Drehtürprinzip bevorzugen.
Wenn man die Fähigkeiten von Googles Spracherkennung, (wo ich mich frage, wer das tatsächlich nutzt) Googles Übersetzung und Evernotes Indexierung mit teilweise Handschrifterkennung und Amazons Angebotsepfehlungen, Schufa Scoring Software, Datev Lohn/Girokontoverwaltung – wenn man das alles zusammenfügt und einen full take und unbegrenzten Speicherplatz voraussetzt
kann ich mir Gut vorstellen, wie ein Analyst von der NSA 1000 Kunden und mehr managet und es gut funktionierende Stichwortlisten gibt, nach denen gut gescoort werden kann.
Wenn mal von der Hardwareseite bedenkt, das mit HP Moonshot schon Projekte/Systeme auf dem freiem Markt sind, mit denen man sehr sehr viel günstige Rechenpower aus tausenden ARMs erzeugen kann – auf dem Freiem Markt sind, wird mir schlecht, was alles möglich ist – totale Verhaltenskontrolle ist nichts unmögliches, sondern eine Frage der Resorchen
Wer eine Ende-zu-Ende-Verschlüsselung einsetzt, wird sicher bei einem „Social“ Network nicht auf der richtigen Plattform sein. Wichtiger wäre doch eigentlich eine Art Mixmaster-Remailer, damit nicht erkennbar ist, wer mit wem kommuniziert, daß die Inhalte dabei natürlich zusätzlich verschlüsselt werden, versteht sich ja eigentlich von selbst.
Aber es ist sicher ein guter Anfang, wenn man mit solchen Browserspielereien das Bewußtsein für Sicherheit weckt und dabei zusätzlich noch den Big Data Ambitionen der Vermarkter ein Schnippchen schlägt.
@Mathias „Natürlich kann es passieren das solche Datenbanken später mal ausgewertet werden können von Krankenkassen und Versicherungen und co. Das ist mir aber allemal lieber als das ich generell schon mal mehr bei ner Versicherung / kredit zahlen muss nur weil ich in ner bestimmten wohngegend wohne“
Das ist – ganz ehrlich – schön für Dich. Gib jedem Deine Daten, den Du damit beglücken willst. Das ist Deine freie Entscheidung. Hingegen hat der Staat nicht einmal im Ansatz das Recht, meine Daten ohne meine Zustimmung zu erfassen, zu sammeln, auszuwerten oder sonstwie darauf zuzugreifen, sofern nicht ein begründeter Verdacht gegen mich besteht.
Klar?
Wenn dies auch auf Mail-Dienste ausgeweitet wird, könnte das echt interessant sein.
Das wird leider kaum jemand nutzen, egal wie einfach es zu bedienen ist. Neben GPG, Enigmail, OTR, Truecrypt gibt es ja schon Tools, auch für Smartphones, die einfacher zu handlen sind. TextSecure, RedSecure und und und… Und für die Leute am Rechner noch Mailvelope, Jitsi usw…
Aber diese Sachen werden halt nicht genutzt, ganz egal wie einfach sie gestaltet sind. Den meisten Leuten geht die Überwachung am A**** vorbei, denn „sie haben ja nichts zu verbergen“.
Generation Facebook eben… Die große Panik greift erst um sich, wenn es mal einen fetten Hack gibt und sämtliche Daten, inklusive PNs, schön geordnet als HTML veröffentlicht werden. Wenn dann die Ehe in die Brüche geht, leute ihren Job verlieren und und und, erst dann fängt hier das große Jammern an und die Leute kommen dann vielleicht zur Besinnung.
@DrGimpfen
Läßt Du morgens beim Stuhlgang die Tür offen? Mach mal ein Video davon und lade es hoch. Ich meine, Du hast ja nichts zu verbergen, oder? Ok, ein bißchen Privatsphäre, aber wenn juckt das schon… Dich doch nicht, oder? Wenn doch, dann frage ich Dich, was daran so geheim sein soll?! Ist doch was ganz normales, machen wir doch alle min. 1x täglich und verboten ist das ja auch nicht!
++ZITAT++Mathias (@DrGimpfen) 25. Juli 2013 um 17:12 Uhr
und was genau soll so geheim sein an einem facebook chat das man ihn verschlüsseln muss?“++ZITAT++
@ Mathias – „99,99999% bleiben nicht in einem Raster hängen“ gut, das weißt du im Zweifelsfall so wenig, wie ich – ob der eine oder der andere im Raster hängen bleibt – weil wir nicht die Kriterien kennen / die Algorithmen, nach denen „die Raster“ gemacht werden und die Geheim bleiben.
(sonst könnte jemand ja auch seine Daten absichtlich verfälschen um absichtlich nicht vom Raster als Terrorist erkannt zu werden)
Ich hatte mal eine ähnliche Auffassung, wie du, doch die diese Algorithmen funktionieren nicht mehr, wie ich angenommen hatte, wie orthogonale Filter oder Rasterfahndung in den 70ern.
Kannst ja mal den Test machen, bei Amazon WOW eingeben und gucken, was dir dann empfohlen wird – und geh davon aus, das die NSA es speichert, wenn du als Witz für jemanden, der auch auf dem Bildschirm starrt vorher Gummipuppe eingegeben hast die Sache, auch wenn es nur Millisekunden waren, dein Leben lang in Virginia gespeichert wird
@DrGrimpfen
Auf dem Foto sieht man nicht viel. Wie wäre es mit ein paar PRIVATEN/INTIMEN Details? Ist doch kein Problem, oder? Und wenn Du die besagte Klotür morgens offen läßt, dann doch nur, weil Du alleine wohnst oder Dir höchstens Deine Familie beim Geschäft zugucken kann.
Also, ich warte auf das Video mit privaten/intimen Details 😉 Und mach doch beim nächsten mal bitte noch die Haustür auf, damit auch die Nachbarn zugucken können. Läßt Du die Haustür zu, dann wäre das ja schon eine Art von Verschlüsselung – und sowas haben wir doch nicht nötig, da nichts zu verbergen!
@DrGimpfen
Sind NSA und BND scharf auf die Nackbilder meiner Freundin und meinen Dirtytalk, den ich mit ihr per Mail austausche? Oder was ist mit denen los?
Die sollten mal zum Arzt gehen. Und bis sie das nicht erledigt haben und therapiert sind, verschlüssele ich meine Kommunikation. Sicher ist sicher, laufen ja ne Menge Perverse da draußen rum.
@DrGimpfen
Die schauen sich bestimmt nicht gerade meinen Mailverkehr und nicht in diesem Augeblick an, aber sie fangen ihn zumindest ab u. speichern. Und das finde ich nicht nett. Das gehört sich einfach nicht, ganz einfache Sache.
Und warum die das machen? Ich denke mal die machen das einfach, weil sie es können. Und ich verschlüssele, weil ich es kann und natürlich weil ich keinen Bock auf Spanner habe. Muß ich jetzt auch nicht mehr weiter drüber reden. Du läßt Dich halt gern bespannen, das ist dein gutes Recht. Zum Spannen gehören ja auch immer Zwei. Der, der guckt und der der gucken läßt. Wem’s gefällt, ok.
@Klepto
Ein Blick auf Volksfeste wie Oktoberfest und ähnliches reicht aus und man erkennt recht schnell „die leute Pissen überall hin und es interessiert sie nen scheiss dreck wer zu schaut“
Ausserdem kommt es ja immer noch drauf an wer schaut. Beim Gynäkologen macht deine Freundin die Beine ja auch breit, trotzdem würde niemand auf die Idee kommen das sie es vor dem Nachbarn machen soll. Es gibt eben Personen und Institutionen die andere Befugnisse haben.
Die Personalabteilung und auch die Finanzabteilung des Arbeitgebers weiss auf den Cent genau was ich verdiene. Der nette Herr am Bankschalter weiss genau wieviel Geld ich auf dem Konto haben. Und die junge Frau beim Urulogen weiss genau wie es meiner Prostata geht. Aber das sind jetzt nicht so Dinge die ich per Werbung in der Regionalzeitung verbreite, aber nen Berliner darf gerne Wissen das hier einer viel zuwenig verdient, kein geld auf Tasche hat, aber seine Prostata 1a ist. Ebenso darf die NSA, der BND und die Volksfront von Judäa gerne meine Mails durchlesen. Da steht nix interessantes drin. Ich hab nix verbotenes vor. Also bitte wenn sie spass dran haben können sie das machen.
Hat jemand eine Idee ob es ein Mail-Verschlüsselungsprogramm gibt das sich beim Empfänger selbst entschlüsselt der nicht das gleiche Verschlüsselungsprogramm nutzt?
Das scheint doch meist das Problem zu sein. Bis man jeden Bekannten überredet und erklärt hat wie das geht, können Monate/Jahre vergehen. Es braucht eine einfacher Lösung für Otto Normal halt.
@Mathias „Dimethylsulfoxid“ „DMSO Barschel“ so, jetzt werden alle Leute in dem Komments gescreent und es guckt sich auch ein Analyst an, weil solche Sachen nach Spiegel in den Filtern für den Full Take drin sind.
Nach dem Bild vom Kacken gucken die bestimmt, ob du noch irgendwas anderes im Netzt derart getrieben hast – die haben Sores zu wieviel % Leute mit Kackbildern auch Pedos sein können – wobei am exaktesten wären noch andere Daten, zb. wer Kackbilder macht und unparfümierte Cremes kauft ist in Kombination noch wahrscheinlicher ein Pederast. Und deswegen wollen die auch alle Einkaufsdaten von Dir. Irgendwas wird auch als Kompromat für die Zukunft vorausschauend gesammelt – vorsichtshalber, fallst du mal dem Staat Stress machen solltest
Und bitte bei mir Melden, wenn jemand auf einer no Flight liste drauf ist – das kann man nähmlich nur am Flughafen in Erfahrung bringen.
Jeder der PRISM mit 1984 vergleicht hat das Buch wirklich nicht gelesen…