Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

January 22 2014

Die Gedanken sind frei

Dieser Beitrag von Anne Roth ist zuerst in unserem Buch “Überwachtes Netz” erschienen, das als eBook für 7,99 Euro und als gedrucktes Buch für 14,90 Euro zu kaufen ist.

Hast du eigentlich irgendwas an deinem Verhalten geändert nach den Snowden-Leaks?

Meine erste Reaktion auf die Frage war anfangs „Nein“. Ich habe vorher schon E-Mails verschlüsselt, benutze Browser-Add-Ons gegen Tracking durch Unternehmen; ich weiß, dass Überwachung stattfindet. Seit Jahren nerve ich meine Umgebung mit Erklärungen, warum ich keine Post von Gmail-Accounts kriegen will: Weil bekannt ist, dass Google seine Services nicht verschenkt, sondern eine Gegenleistung erwartet, nämlich Informationen über die Nutzer/innen, und dazu auch in den Mails nach interessanten Details sucht. Inklusive der Informationen über die, mit denen korrespondiert wird, auch wenn die keine Mail-Accounts bei Gmail haben.

Wenn ich darüber nachdenke, merke ich, dass nicht ganz stimmt, dass sich nichts geändert hat. Ich verschlüssele wieder mehr. Nicht nur E-Mails, in denen Telefonnummern, Adressen oder andere persönliche oder politische Informationen stehen, von denen ich denke, dass sie niemanden etwas angehen, sondern auch E-Mails mit vollkommen banalem Inhalt. Auf mehreren meiner Mailinglisten wurde darum gebeten, dass Mail-Adressen bei den Providern, bei denen durch die Snowden-Leaks bekannt wurde, dass sie Daten an die NSA weitergeben, bitte durch andere ersetzt werden mögen. Gefolgt von der obligatorischen Debatte, welche Anbieter denn besser wären: lokale kommerzielle Anbieter, weil die Daten dann vielleicht nicht durch Unterseekabel sofort bei GCHQ und NSA landen? Lieber keine kommerziellen Anbieter, weil die im Zweifelsfall nicht mitteilen würden, dass eine Strafverfolgungsbehörde vor der Tür stand und wissen wollte, wer wem wann was geschickt hat, oder womöglich dem BND die Daten direkt weiterleiten, genauso wie es in den USA passiert? Nur welche mit Servern in Island? Oder doch in den USA, weil es da keine Vorratsdatenspeicherung gibt? Ein derzeit nicht aufzulösendes Dilemma, weil wir nicht alles wissen und weil es keine gute Alternative gibt.

Natürlich gibt es kein Szenario, das vor allen denkbaren Gefahren schützt; das war schon vor den Leaks klar. Seit wir aber wissen, dass die Realität alle paranoiden Ideen lässig überholt, wissen wir etwas besser, dass wir mit etwas Aufwand zwar manchen Facetten der Überwachung begegnen können. Vor allem aber wissen wir, dass sehr viel mehr überwacht wird, als die es sich die meisten vorher vorstellen wollten.

Wenn Gartenbau verdächtig macht
UeberwachtesNetz-square_5112px
Zurück zu meinem eigenen Verhalten: Ich merke, dass es einen Unterschied macht, ob ich nur vermute, dass jemand mitliest und nachschaut, für welche Websites ich mich interessiere, oder ob ich weiß, dass das geschieht. Es ist einfacher, die Vermutung zu verdrängen als das Wissen. Auch wenn es kein Mensch ist, der irgendwo sitzt und liest, ist jetzt klar, dass alles gespeichert und automatisiert durch ein Raster gezogen wird. Wie das Raster genau funktioniert, wissen wir nicht, aber dass zumindest Teile unserer Kommunikation betroffen sind, wissen wir schon. Es wird nach Auffälligkeiten gesucht; nach allem, das sich vom normalen Kommunikationsverhalten unterscheidet. Von meinem normalen Kommunikationsverhalten und vom allgemein üblichen Kommunikationsverhalten.

Verschlüsselte E-Mails werden länger aufgehoben, denn die sind verdächtig. Wenn ich mit bestimmten Menschen regelmäßig verschlüsselte E-Mails austausche und zwischendurch ausnahmsweise nicht, ist das möglicherweise auch verdächtig. Zumindest auffällig. Als Methode ist das nicht neu, aber neu ist, dass alle davon betroffen sind. Ich spüre also bei allem, was ich tue, dass mir jemand Unsichtbares über die Schulter sieht und denke darüber nach, ob ich bestimmte Websites wirklich aufrufen sollte. Ich lasse mich letzten Endes nicht davon abhalten, aber der Gedanke taucht manchmal auf. Was sind Auffälligkeiten in meinem Verhalten? Wenn ich plötzlich nach Gartenbau-Geschäften suche, obwohl ich keinen Garten habe und mich noch nie dafür interessiert habe? Oder wenn ich drei Artikel über Brandanschläge auf die Berliner S-Bahn lese und ein paar Tage vergesse, die Tabs im Browser wieder zu schließen? Können die sehen, dass ich meistens mit Google suche, aber manchmal auch nicht? Und was?

An diesem Punkt angekommen denke ich, dass ich damit aufhören sollte, Paranoia zu entwickeln. Ich bin keine muslimische Fundamentalistin und es ist unwahrscheinlich, dass ich versehentlich für eine gehalten werde. Für Aktivistinnen außerhalb der USA und Großbritannien interessieren sich NSA und GCHQ nicht besonders, und die deutschen Behörden wissen in etwa, was ich so mache. Das hilft nicht immer, schon klar, aber für die meisten stimmt es schon. Für alle aus arabischen Ländern oder mit arabischen Namen allerdings sieht es schon wieder anders aus.

Viele fühlen sich also nicht wirklich persönlich bedroht. Wir sind nicht die Terroristen, die sie suchen. Und weil alle überwacht werden, verschwinden wir irgendwie in der Masse. Es ist unvorstellbar, wie aus der Datenmenge etwas entstehen kann, das tatsächlich mich persönlich gefährdet. Dazu kommt, dass die Totalität der Überwachung und die Menge der (demokratisch legitimierten) Behörden, die darin verstrickt sind, schwer zu begreifen sind.

Bedrohlicher ist die Massenüberwachung auf einer abstrakteren Ebene für Menschen, die sich mit dem Alltag von Strafverfolgungsbehörden oder Geheimdiensten beschäftigen, für die, die besser verstehen, welche Macht in technischen Systemen liegt und für die, die sich Gedanken über politische Systeme und die Idee der Demokratie machen.

Weniger bedrohlich ist sie für Menschen, die andere, spürbarere Probleme haben; weil sie von der Wirtschaftskrise betroffen sind — viele Menschen in anderen europäischen und nicht-europäischen Ländern — oder weil sie viel direktere Formen von Überwachung erleben, z.B. Trojaner-Viren, die von Regierungen gegen die Opposition eingesetzt werden.

Wer beobachtet wird, ändert das Verhalten

Ein zentrales Problem der Überwachung für alle ist, dass wir unser Verhalten ändern, wenn wir wissen, dass wir beobachtet werden. Das ist vielfach erforscht und beschrieben worden. Damit erleben wir eine direkte Einschränkung von elementaren Freiheiten und Grundrechten, in erster Linie der Meinungsfreiheit. Das wirkt sich auf alles aus, was wir öffentlich sagen oder schreiben und natürlich auch auf Situationen, von denen wir annehmen, dass sie nicht-öffentlich sind: etwa private E-Mails und Gespräche, nicht-öffentliche Websites oder auch alle scheinbar durch Privacy-Einstellungen geschützten Online-Plattformen wie Facebook oder Flickr. Wenn wir aber nirgends den Raum haben, frei zu sagen oder zu schreiben, was wir denken und damit auch keinen Raum haben, Gedanken zu entwickeln, zu testen und zu überprüfen: Wieviel Freiheit bleibt dann noch?[*]

Ich weiß das alles und habe dennoch den Eindruck, dass sich an meinem Verhalten nicht viel ändert. Ein bisschen mehr Verschlüsselung, ein bisschen weniger Google-Suche. Ich schalte mein Smartphone öfter aus und achte darauf, dass es nicht den ganzen Tag auf meinem Schreibtisch liegt. Die Kamera an meinem Laptop war vorher schon abgeklebt, seit den Leaks lege ich auch etwas auf die Kamera meines Telefons. Ich schreibe meistens, was ich für richtig halte.

Andererseits: Wie wäre es, wenn ich sicher sein könnte, dass wirklich niemand mitläse? Bzw. meine (mehr oder weniger) öffentlichen Texte auf mögliche terroristische, kritische, auffällige Inhalte überprüfte und in unbekannte Kategorien von Geheimdienst-Datenbanken einsortierte?

Eine weitere Auswirkung sind die vielen Gespräche mit Leuten, die jetzt gern verschlüsseln würden, aber nicht wissen, wie. Dann kam die Nachricht, dass auch Verschlüsselung geknackt werden kann. Danach Gespräche darüber, ob das stimmt, in welchen Fällen das stimmt und wen das betrifft.

Mit „E-Mail made in Germany“ wollen Telekom, WEB.DE und GMX sichere E-Mail anbieten, aber was heißt eigentlich sicher? Was meinen sie mit „verschlüsselt“? Oder ist das den Leuten nicht sowieso egal, weil die sich nur kurz beruhigen und dann wieder mit was anderem beschäftigen wollen? Macht es Sinn, damit anzufangen, Leuten das Verschlüsseln beizubringen, wenn sie sich letztlich doch nicht von ihrer Webmail trennen werden und alles andere zu kompliziert finden, um es regelmäßig in ihren Alltag zu integrieren? Besser wäre, dazu beizutragen, dass die nötigen Werkzeuge einfacher zu benutzen sind. Trotzdem wird es sie nicht heute und auch nicht im nächsten Monat geben.

Die Liste der Sachen, die ich mir genauer durchlesen will, damit ich besser verstehe, worauf es bei bestimmten Sicherheitsmaßnahmen ankommt, wächst. Immerhin ist es beruhigend, zu sehen, dass Krypto-Expert/innen aller Gewichtsklassen ständig diskutieren, worauf es wirklich ankommt und sich selten einig sind, was der beste Schutz ist: Das zeigt, dass es fast unmöglich ist, alles richtig zu machen. Gleichzeitig auch beunruhigend, denn die andere Seite wirkt doch ziemlich entschlossen.

Ausgehend von dem Wissen, dass es auch digital keine absolute Sicherheit gibt, bin ich schon länger der Meinung, dass es auf jeden Fall sinnvoll ist, so viel wie möglich zum eigenen Schutz zu tun. Es ist ja auch kein großes Problem, Türschlösser zu knacken und wir schließen trotzdem hinter uns ab, in der Hoffnung, dass das zu erwartende Gefummel mögliche Einbrecher/innen eher abhält als eine weit offen stehende Tür.

Nichts zu verbergen

Früher oder später taucht jemand auf, der oder die nichts zu verbergen hat. Schon gar nicht vor der NSA oder anderen Geheimdiensten. Für diesen Fall sitzt locker in der Hosentasche ein kleines Set an Argumenten:

  • die Leute, die in Mails oder in ihren Facebook-Profilen missverständliche Scherze gemacht haben und deswegen nicht in die USA einreisen durften oder gleich festgenommen wurden
  • die Leute, denen etwas Ähnliches in Europa passiert ist
  • die Leute, die lieber nicht wollten, dass Arbeitgeber/in oder Familie von der Abtreibung oder Affäre erfahren
  • der Stalker
  • die Steuererklärung
  • Firmen-Interna
  • der Unterschied, ob ich freiwillig entscheide, Informationen über mich weiterzugeben oder ob ich dazu gezwungen werde
  • Auf der anderen Seite gibt es die, die lakonisch bis überheblich erklären, dass das alles nichts Neues sei, dass sich nichts Relevantes getan hat und deswegen auch keine Notwendigkeit besteht, irgendetwas zu ändern.

    Ja, wir wussten von Echelon und wir wussten auch durch die früheren Whistleblower, dass die NSA in Utah einen großen Datenspeicher baut. Eins der beliebtesten Gesprächsthemen im Bereich Computersicherheit ist die Fachsimpelei, wie viel Rechenkapazität nötig ist, um Schlüssel dieser oder jener Länge zu knacken und wie lange das dauern wird. Selten kommt in diesen Gesprächen die Frage vor, was das jeweils kostet und ob Behörden bereit und in der Lage sind, die entsprechenden Ressourcen einzusetzen. Meiner Meinung nach ist die Option, dass etwas in x Jahren geknackt werden kann, das beste Argument dafür, so viel wie möglich zu verschlüsseln, auch wenn ich davon ausgehe, dass möglicherweise in 10 Jahren diese oder jene Mail von mir gelesen wird. Denn je mehr verschlüsselt ist, desto mehr sinkt auch die statistische Wahrscheinlichkeit, dass meine Mails bei denen dabei sind, die tatsächlich entschlüsselt werden.

    Und Google Earth?

    Schließlich gibt es regelmäßig Diskussionen, die sich darum drehen, dass sich viel zuwenig Menschen dafür interessieren, was die Snowden-Leaks ans Licht gebracht haben. Warum gibt es in Deutschland einen Aufstand, wenn Google-Autos Häuser fotografieren, aber nicht, wenn Inhalte und Meta-Daten unserer gesamten digitalen Kommunikation überwacht werden?

    Die einfache Interpretation ist, dass die Menschen eben einfältig sind und dazu von tiefsitzendem Anti-Amerikanismus beseelt. Ich halte das für falsch und zudem arrogant. Falsch, weil nicht überraschend ist, dass etwas, das sichtbar und dessen Auswirkungen damit vorstellbar sind (die Google-Autos und die Bilder der Häuser im Netz), viel mehr Angst erzeugt als die völlig abstrakte Überwachung durch NSA, GCHQ und womöglich auch den BND.

    Arrogant ist es, weil wir auf demokratische Weise nur dann etwas ändern können, wenn viele etwas ändern wollen. Wir müssen nicht alle einer Meinung sein, aber wir müssen am selben Strang ziehen. Aus den beschriebenen Gründen gibt es weniger Angst vor Überwachung als angemessen wäre, aber wenn es sie gibt, dann müssen wir das nutzen, um politisch etwas zu ändern. Genauso ist es unser Job, das Abstrakte und schwer Vorstellbare an der Überwachung, die wir jetzt sehen, besser zu erklären und vorstellbar zu machen. Und unser Wissen darüber zu teilen, wie wir uns dagegen schützen können. Natürlich ist es ein Problem, dass so viele Menschen viele Informationen scheinbar freiwillig an die Unternehmen weitergeben, die direkt mit den Geheimdiensten kooperieren. Mindestens genauso so problematisch ist aber, dass das Wissen darüber, wie digitale Kommunikation und technische Netzwerke funktionieren, für viele immer noch eine Art Geheimwissen ist.

    Wenn sich alle trauten, ihre scheinbar dummen Fragen zu stellen, wären wir einen großen Schritt weiter.

    [*] Danke an Antje Schrupp für „Mein Problem mit Post-Privacy

    Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

    flattr this!

    October 31 2013

    Dark Mail Alliance: NGO und offenes Protokoll von Lavabit und Silent Circle für sicheres Mailen

    darkmailallianceDie Gründer von Lavabit und Silent Circle haben sich zusammengeschlossen und wollen ein sicheres, offenes, auf XMPP basierendes Mail-Protokoll entwickeln. Beide Unternehmen hatten ihren Mail-Dienst in den vergangenen Monaten wegen der NSA eingestellt und wurden gezwungen die privaten SSL-Schlüssel an die NSA auszuhändigen. Dark Mail soll nun einige Schwächen der bisherigen Mail-Protokolle ausmerzen. So basiert Dark Mail auf dem Extensible Messaging and Presence Protocol (XMPP) und verzichtet sowohl auf SMTP als auch auf SSL. Silent Circles Instant Messaging Protocol (SCIMP) kann, laut CTO Jon Callas, als “erste Alpha” und grundlage für Dark Mail gesehen werden. Fokus des neuen, offenen Protokolls liegt auf Ende-zu-Ende Verschlüsselung, Perfect Forward Secrecy und so wenig Meta-Daten, wie möglich. Da Lavabit und Silent Circle nicht nur einen Dienst, sondern vorrangig ein Protokoll entwickeln, soll es möglich sein, dass andere Mail-Anbieter das Dark Mail Protokoll bei sich implementieren. Silent Circles CEO, Mike Janke sagte, er betrachte Dark Mail als “Mail 3.0″:

    Our vision is three or four years from now that this will become email 3.0—the way the majority of Internet users email.

    Größter Unterschied zu bisherigen Mail-Protokollen ist sicherlich, dass Mails nicht mehr über einen zentralen Mailserver versandt werden, sondern Dark Mail auf einem Peer-to-Peer System aufbaut. Außerdem wird jede Mail mit einem separaten Schlüssel versehen, wodurch – falls Mails wirklich abgefangen werden – der Angreifer jede Mail individuell entschlüsseln muss.

    By operating peer-to-peer, the email messages will not reside on or pass through a central server where they can be captured, by court order or otherwise, by national intelligence agencies. By using ephemeral encryption keys (which are destroyed after use), there are no permanent encryption keys that can be subpoena’d by government. This means that while interception will still be possible, the encryption for every single email will need to be cracked individually – making dragnet surveillance effectively impossible.

    Auf der kalifornischen Mail-Konferenz “Inbox Love” gaben die Entwickler gestern erste Antworten und einen Überblick zu Dark Mail und ihrer Idee. Kommende Woche wird wohl ein Kickstarter eingerichtet werden und die Hoffnung ist, dass Mitte nächsten Jahres mit der ersten Version des Dark Mail Protokolls zu rechnen sei.

    Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

    flattr this!

    October 07 2013

    Offener Brief von Sicherheitsexperten und Technokraten an NSA Review Group

    480px-Office_of_the_Director_of_National_Intelligence_Seal_(USA)47 Technokraten und Sicherheitsexperten haben zusammen mit der Electronic Frontier Foundation und dem Center for Democracy & Technology einen offenen Brief an die NSA Review Group veröffentlicht. Die Ratio der Unterzeichner ist recht einleuchtend: Wenn das selbst ernannte Ziel einer ‘Review Group’ ist, zu untersuchen inwieweit die technischen Maßnahmen der NSA die Bürgerrechte wahren, dann sollte zumindest einer aus der Gruppe den nötigen technischen Sachverstand haben. Dem ist leider nicht so. Die NSA Review Group setzt sich aus folgenden Leuten zusammen:

    Es gibt einige Kritik an der Zusammensetzung dieser Expertengruppe, von der Barack Obama behauptet, sie sei “unabhängig” und “betriebsfremd” (in Bezug auf die Geheimdienste). Der Director of National Intelligence, der die Gruppe auf Geheiß Obamas ins Leben rief, definierte als Ziel der Ermittlungen folgendes:

    The Review Group will assess whether, in light of advancements in communications technologies, the United States employs its technical collection capabilities in a manner that optimally protects our national security and advances our foreign policy while appropriately accounting for other policy considerations, such as the risk of unauthorized disclosure and our need to maintain the public trust.

    Ungeachtet der Tatsache, dass die Expertgruppe weder betriebsfremd, noch unabhängig ist, ist sie vor allem nicht in der Lage die implementierten Maßnahmen aus technischer Perspektive zu beurteilen. Dies ist jedoch von enormer Wichtigkeit seitdem bekannt wurde, dass die NSA aktiv Verschlüsselungsverfahren bricht, kompromittiert und Einfluss auf die NIST-Standardisierungsverfahren nimmt. All das kann diese Expertengruppe nicht beurteilen. Nichtmal ansatzweise. Daher der offene Brief.

    The Review Group must have deep, competent technical expertise. You must also have access to granular technical details to do this work and you must be able to properly situate the technical reality you find behind the veil of secrecy surrounding the surveillance programs. You must recognize that current NSA surveillance activities make everyone less secure and call into question the extent to which human rights translate into the online environment.

    Der Brief endet mit 6 Fragen, die die NSA Review Group gegenüber der NSA stellen sollte.

    1. Wie genau gelangt die NSA an private SSL Schlüssel von X.509 Zertifikaten?
    2. Inwieweit wird die Effizienz, Genauigkeit, Einhaltung von Vorschriften und Nutzen der Programme überprüft?
    3. Wie werden die gesammelten Daten abgespeichert und wer hat unter welchen Bedingen Zugriff auf diese Daten?
    4. Was sind beispielhafte Datensätze, die erfasst oder zusammengestellt werden, für jedes aktive NSA Programm?
    5. Was genau wird durch Upstream erfasst, basierend auf welchen Identifikatoren?
    6. Wie genau wird zwischen Bürger und Ausländer unterschieden?

    Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

    flattr this!

    September 16 2013

    Verschlüsseln reicht nicht. Wir müssen die Verantwortung auch zurück in die Politik geben

    Die Sendung Breitband auf Deutschlandradio Kultur hatte am Samstag ein Interview mit Phil Zimmermann, dem Erfinder von PGP. Dabei ging es um Verschlüsselung (Ja, die ist immer noch sicher, wenn man die richtige auch richtig nutzt) und was jetzt zu tun ist:

    Wir können die Entwicklung von Algorithmen nicht stoppen. Aber was wir machen können, ist eine politische Debatte darüber zu führen, dass es nicht erlaubt sein darf großen Datenmengen zu sammeln und zu durchsuchen, so dass alle unsere Bewegungen nachverfolgt werden können. Viele europäische Länder haben Datenschutzbehörden. Diese müssen eine größere Rolle spielen. Es muss verboten werden, Daten zur Überwachung zu sammeln. Natürlich können wir unsere Daten verschlüsseln aber das reicht nicht aus. Wir müssen die Verantwortung auch zurück in die Politik geben. [...]

    Angesprochen auf Bruce Schneiers Plädoyer, dass die Entwicklercommunity das Internet zurück erobern müsste:

    Ja, ich stimme Bruce zu, das sollten wir. Denn wir sind Ingenieure und wir wissen, wie man dieses Problem angeht. Das ist auf jeden Fall eine gute Sache. Aber ich denke, das reicht nicht aus. Wir müssen mehr tun als nur ein Technologieproblem zu lösen. Wir Ingenieure und Mathematiker können an der technologischen Seite arbeiten. Und gleichzeitig muss sich der Rest von uns um die politische Seite kümmern.

    Hier ist die MP3.

    Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

    flattr this!

    September 06 2013

    Projekt Bullrun: Westliche Geheimdienste knacken und umgehen verbreitete Verschlüsselungs-Technologien

    NSA diagramDie westlichen Geheimdienste mindestens aus Amerika und Großbritannien betreiben enormen Aufwand, um verbreitete Verschlüsselungs-Technologien zu knacken und zu umgehen. Das geht aus neuen Leaks aus dem Fundus von Edward Snowden hervor. Das Ziel ist es, die abgehörten Kommunikationsdaten der gesamten Menschheit auch unverschlüsselt verarbeiten zu können – anscheinend haben sie Erfolg.

    Mittlerweile ist allgemein bekannt, das die westlichen Geheimdienste große Teile der weltweiten digitalen Kommunikation sammeln, speichern und auswerten. Manche sehen starke Verschlüsselung als ausreichenden Schutz vor Überwachung, andere nicht. Meldungen, wie dass die NSA verschlüsselte Kommunikation so lange speichert bis sie sie entschlüsseln kann, dass Behörden Verschlüsselungs-Schlüssel von Unternehmen anfordern und dass die Dienste “in bahnbrechende kryptoanalytische Fähigkeiten [investieren], um gegnerische Kryptographie zu knacken und Internet-Verkehr ausnutzen zu können“, schwächen das Vertrauen in Verschlüsselung als wirksame Methode gegen die Massenüberwachung.

    Neue Veröffentlichungen aus dem Fundus von Snowden (der Guardian hat 50.000 Dokumente davon weitergegeben!) kratzen erneut am Image von Verschlüsselung. Guardian, New York Times und ProPublica berichten gemeinsam über Erfolge der Geheimdienste beim Knacken und Umgehen verbreiteter Verschlüsselungs-Technologien:

    Dokumente zeigen, dass die NSA einen Kampf gegen Verschlüsselung führt mit einer Bandbreite an Methoden: Zusammenarbeit mit Unternehmen, Schwächen von Verschlüsselungs-Standards, Design-Änderungen an Verschlüsselungs-Software und das Drängen auf internationale Verschlüsselungs-Standards, von denen sie weiss, dass sie sie brechen kann.

    Als Quelle gibt es drei weitere Seiten aus dem geheimen Haushalt der US-Dienste, sowie ein Briefing Sheet und einen Guide des “Projekts Bullrun”.

    NSA Bullrun 1In den Neunziger Jahren gab es die Crypto Wars, in denen wir das Recht auf starke Verschlüsselung für die Massen gegen die Interessen von Regierungen und Geheimdiensten erkämpfen mussten. Wenig überraschend, haben die sich nicht einfach so damit abgegeben. Seit 2000 hat die NSA viele Milliarden Dollar investiert, um ihre Abhör-Kapazitäten trotz frei verfügbarer Verschlüsselung zu erhalten. Allein in den letzten beiden Jahren haben die amerikanischen Dienste jeweils 250 Millionen Dollar dafür ausgegeben. Und damit konnten sie einige Erfolge erzielen. So heißt es in einer Präsentation der NSA für den GCHQ aus dem Jahr 2010:

    Neue kryptoanalytische Fähigkeiten werden jetzt eingesetzt. Unmengen verschlüsselter Internet-Daten, die bis bis jetzt verworfen werden mussten, sind jetzt nutzbar.

    Die Reaktion der GCHQ-Agenten war Sprachlosigkeit.

    Verschlüsselung umgehen

    Da Verschlüsselung als komplexes System nur so stark ist, wie das schwächste Glied in der Kette, ist die einfachste und effektivste Methode das Umgehen der Verschlüsselung. Die New York Times:

    Die NSA hat sich in Zielcomputer gehackt, um Nachrichten mitzulesen, bevor sie verschlüsselt werden. In einigen Fällen wurden Unternehmen von der Regierung zur Übergabe ihrer Crypto-Schlüssel oder zum Einbau von Hintertüren gezwungen. Außerdem nutzt die NSA ihren Einfluss als erfahre Crypto-Behörde, um Schwachstellen in Verschlüsselungs-Standards einzubauen, die von Hardware- und Software-Entwicklern auf der ganzen Welt verwendet werden.

    Oder in den Worten des Haushalts:

    Das SIGINT Ermöglichungs-Projekt greift aktiv in die amerikanische und ausländische IT-Industrie ein, um die Designs ihrer kommerziellen Produkte heimlich zu beeinflussen und/oder offen auszunutzen. Diese Design-Änderungen machen die betroffenen Systeme mit Vorwissen der Änderungen auswertbar durch strategisches Abhören. Gegenüber Nutzern und anderen Widersachern bleibt die Sicherheit der Systeme jedoch intakt.

    Kooperation mit Firmen

    NSA Bullrun 2Wenn Firmen nicht kooperieren wollen, was sie oft genug tun, werden sie eben mit Gerichtsbeschlüssen zur Herausgabe der Crypto-Schlüssel gezwungen, ihre Hard- und Software verwanzt oder einfach gehackt. Konkret genannt werden Google, Yahoo, Facebook und Microsoft Hotmail – aber spätestens seit Prism sind die ohnehin als kompromittiert zu betrachten. Seit letztem Jahr hat der GCHQ “neue Zugriffs-Möglichkeiten” auf Googles Systeme – auch egal.

    Amerikanische Hardware-Hersteller kooperieren mit den Diensten, um Hintertüren einzubauen – weswegen China keine Cisco-Hardware mehr nutzt. Zudem gibt es “Partnerschaften mit großen Telekommunikationsunternehmen, um aus der Perspektive der Datensammlung die weltweiten Kommunikationsnetze zu gestalten”.

    Hintertüren in Standards

    Die NSA spielt eine wichtige Rolle in der Erarbeitung und Verabschiedung von weltweit genutzten Verschlüsselungs-Standards. Für Kritikern war diese Doppelrolle schon immer schizophren – jetzt gibt es erstmals Belege dafür. Im Haushalt wird ein Ziel definiert:

    Einfluss auf Richtlinien, Standards und Spezifikationen für gewerbliche Public-Key-Technologien ausüben.

    Die New York Times beschreibt das als:

    Gleichzeitig hat die NSA bewusst internationale Verschlüsselungsstandards geschwächt.

    Dazu bringt sie Beispiele von einer schweren Sicherheitslücke bei Microsoft 2007 und Herstellern von IT-Sicherheit-Produkten.

    Offensives Hacken

    Das offensive Hacken von Computer-Systemen ist auch längst keine Neuigkeit mehr. Wenig überraschend wird auch diese Möglichkeit eingesetzt, um Verschlüsselung auszuhebeln:

    Bis 2006 ist die NSA laut eigenen Dokumenten in drei ausländische Fluggesellschaften, ein Reise-Reservierungssystem, die Kernkraft-Abteilung einer ausländischen Regierung und die Internet-Dienste einer anderen eingebrochen, in dem sie sie virtuelle private Netzwerke gecrackt hat, die sie schützen sollten.

    Bis 2010 hat Edgehill, das britische Anti-Verschlüsselungs-Programm, den VPN-Verkehr von 30 Zielen entschlüsselt, und sich ein Ziel von weiteren 300 gesetzt.

    Brute-Force

    Neben all diesen “Seitenangriffen” beherrscht die NSA aber auch “klassische” Angriffe auf Verschlüsselung mit purer Rechenkraft:

    Die NSA setzt laut Dokumenten und Interviews auch selbstgebaute, superschnellen Computer ein, um Verschlüsselung zu knacken.

    Ziele: SSL/TLS, VPN, OTR, LTE

    Die Ziele der NSA sind gängige Verschlüsselungstechniken. Allen voran SSL/TLS, das so ziemlich überall im Netz Datenverbindungen zwischen Client und Server verschlüsselt, unter anderem im Web mit HTTPS und bei E-Mail. Weitere Ziele sind virtuelle private Netze (die auch oft mit SSL/TLS gesichert werden), verschlüsselte IP-Telefonie Protokolle und der Mobilfunkstandard der vierten Generation Long Term Evolution.

    Laut einer Zusammenstellung der New York Times sind auch “Ende-zu-Ende verschlüsselte Chats” wie in Adium (Off-the-Record Messaging?) und das Netzwerkprotokoll Secure Shell betroffen. Der Guardian:

    Ein weiteres Programm mit dem Codenamen “Cheesy Name” zielt darauf ab, Verschlüsselungs-Zertifikate herauszufiltern, die anfällig sind, von Supercomputern des GCHQ geknackt zu werden.

    Dokumente zeigen, dass die NSA eine interne Datenbank mit Crypto-Schlüsseln für bestimmte kommerzielle Produkte unterhält, genannt “Key Provisioning Service”, der viele Nachrichten automatisch entschlüsseln kann. Wenn der notwendige Schlüssel nicht in der Sammlung ist, geht eine Anfrage an den separaten “Key Recovery Service”, der versucht, den Schlüssel zu erhalten.

    Auf den üblichen Listen drehen sich jetzt die Diskussionen darum, genau welche konkreten Algorithmen, Verfahren, Elemente oder Schlüsselgrößen jetzt bedroht sind.

    Das Ziel: Jede Kommunikation abhören

    Bei all dem geht es den westlichen Diensten nicht um spezifische Ziele oder Einzelpersonen. Die New York Times:

    Das Ziel der NSA war es, weg vom Entschlüsseln einzelner Tools bestimmter Zielpersonen zu kommen und stattdessen in Echtzeit alle Informationen zu entschlüsseln, die über die weltweiten Glasfaserkabel und durch die Internet-Knotenpunkte fließen, um das entschlüsselte Material danach nach wertvollen Informationen zu durchsuchen.

    Die Totalüberwachung der gesamten Kommunikation der Menschheit.

    Was bleibt?

    Auch wenn die Dienste viel können, sie sind nicht allmächtig. Edward Snowden sagte im Juni:

    Verschlüsselung funktioniert. Richtig umgesetzte, starke Krypto-Systeme sind eines der wenigen Dinge, auf die sie sich verlassen können.

    Leider schob er hinterher:

    Leider ist die Sicherheit auf Endgeräten so furchtbar schwach, dass die NSA häufig Wege findet, um Verschlüsselung herumzukommen.

    Bruce Schneier, Experte für Kryptographie und Computersicherheit, der in letzter Zeit ebenfalls viele Snowden-Dokumente gelesen hat, kommentiert das:

    Was ich vom Lesen der Snowden-Dokumente mitnehme, ist: Wenn die NSA in ihren Computer will, es sie drin. Punkt.

    Schneier weiter:

    Kryptographie bildet die Grundlage für Vertrauen im Internet. Durch diese gezielte Unterminierung der Online-Sicherheit, für kurzsichtige Abhör-Möglichkeiten, untergräbt die NSA die Struktur des Internets.

    Schneiers Aufruf: Die US-Regierung hat das Internet verraten. Wir müssen zurückerobern.

    Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

    flattr this!

    August 19 2013

    Rechenzentrum für Apotheken handelt mit unzureichend anonymisierten Patientendaten

    Nach Informationen des Nachrichtenmagazins Spiegel werden in Deutschland “Millionen Ärzte und Patienten ausgespäht”. Dem Spiegel liegen vertrauliche Dokumente vor, die belegen, dass das Apothekenrechenzentrum VSA Patientendaten ohne ausreichende Verschlüsselung weiterverkauft hat. Durch die unzureichende Verschlüsselung ist es demnach möglich, die tatsächliche Versichertennummern zu errechnen. Abnehmer solcher Datensätze sind nach Angaben des Spiegel Unternehmen aus der Pharmaindustrie, welche diese Daten zu Zwecken der Marktforschung nutzen.

    Im Fokus des Berichts stehen das bayerische Apothekenrechenzentrum VSA und der US-Konzern IMS Health. IMS Health rühmt sich selbst damit, die Krankheiten von weltweit rund 300 Millionen Patienten verfolgen zu können – “darunter auch ’42 Millionen verschiedene gesetzlich Versicherte’ in Deutschland”, wie der Spiegel schreibt. Grundsätzlich ist der Handel mit Patientendaten nicht verboten. Es muss jedoch Streng darauf geachtet werden, dass die Daten anonymisiert verkauft und verwendet werden. Doch genau das ist nach Informationen des Spiegel nicht der Fall.

    Bei der Lieferung von Rezeptdaten an IMS wird die Identität der Patienten lediglich durch einen 64-stelligen Code verschleiert, der sich leicht auf die tatsächliche Versichertennummer zurückrechnen lässt, [...]. Zusätzlich werden auch Alter und Geschlecht der Patienten an die Marktforscher weitergegeben. Für jeden Rezeptdatensatz eines deutschen Versicherten muss der amerikanische IMS-Konzern teils weniger als 1,5 Cent an Apothekenrechenzentren bezahlen.


    Hierbei ist nicht nur die Privatsphäre der Patienten verletzt worden, sondern ebenso die der Ärzte. Den Pharmaunternehmen wäre es mit Hilfe solch unzureichend verschlüsselter Daten beispielsweise möglich zu kontrollieren, welche Arztpraxen welche Medikamente am häufigsten verschreiben. Als Folge könnten Arbeiter der Pharmaunternehmen gezielt Arztpraxen besuchen und dort Werbung für ihre Medikamente machen, wie der Spiegel angibt.

    Thilo Weichert, Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, hält den Verkauf dieser nicht ausreichend anonymisierten Daten für einen “der größten Datenskandale der Nachkriegszeit”. Weichert weiter:

    “Es wäre traurig, wenn die Dienstleister des Vertrauensberufs Apotheker erst durch Gerichtsprozesse zur Vertraulichkeit zu veranlassen wären.”

    Bereits im Februar 2012 berichtete der Spiegel über die Weitergabe von nicht verschlüsselten Patientendaten an Pharmaunternehmen. Damals wurden mehrere große Rechenzentren beschuldigt, mehrere Millionen Daten aus Rezepten an führende Pharmaunternehmen verkauft zu haben, ohne die Daten zuvor anonymisiert zu haben. Nach Informationen des Spiegel hat das “Norddeutsche Apothekenzentrum” seitdem seine Datenlieferung umgestellt – das Apothekenzentrum VSA und IMS Health jedoch nicht.

    Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

    flattr this!

    whistle.im – Versprochene Verschlüsselung als undurchdachtes Konzept

    In der zehnten Woche nach Beginn der Snowden-Enthüllungen werden Messanger-Dienste immer beliebter, die verschlüsselte Kommunikation versprechen. Facebook fällt weg, weil wahrscheinlich Schnittstellen zur NSA, zumindest erzählen das die PRISM-Folien. Whatsapp ist zwar vor allem in Deutschland populär, was aber nur an der Einfachheit und Verbreitung liegt und weniger an der nicht vorhandenen verschlüsselten Kommunikation.

    In den letzten Wochen haben sich Threema und whistle.im als Alternativen verbreitet. Im Freundeskreis habe ich festgestellt, dass das Schweizer Start-Up Threema gerade bei Personen populär wird, die keine Ahnung von Technik haben und sich nicht dafür interessieren. Denen aber zumindest bewusst ist, dass man die eigene Kommunikation lieber verschlüsseln sollte. Das verspricht Threema, aber ein Beweis ist noch nicht erbracht, dass das Versprechen technisch auch eingehalten wird.

    Der Hannoveraner Chaos Computer Club hat sich jetzt mal den Konkurrenten whistle.im genauer angesehen. Der deutsche Dienst ist in den letzten Wochen auch gehypt worden, weil es aus Deutschland kommt, ein Start-Up ist und Verschlüsselung verspricht. Das Werbeversprechen ist: “Secure instant messaging made in Germany.”. Und das Fazit des CCC Hannover lautet: FaaS – Fuckup as a Service. Kurzfassung: Auf die Verschlüsselung sollte man sich nicht verlassen.

    Alles in allem ein vollkommen undurchdachtes Konzept. Die aktuellen Analysen kratzen bisher nur an der Oberfläche und decken eklatante Sicherheitsmängel und ein grundlegendes Missverständnis kryptographischer Algorithmen auf. Statt sich mit existierenden Lösungen zu beschäftigen und diese zu verbessern, wird hier durch den Versuch ein neueres, bunteres Verfahren zu entwickeln eine cryptographische Bauchlandung vollzogen.

    Und jetzt bitte mal Threema genauer untersuchen. Danke.

    Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

    flattr this!

    August 13 2013

    Phil Zimmermann: “Ich dachte nicht, dass es so schlimm kommen würde”

    Phil Zimmermann entwickelte im Jahr 1991 die E-Mail-Verschlüsselungssoftware PGP und setzt sich für das Recht auf Privatsphäre ein. Darüber hinaus ist Zimmermann Mitgründer von Silent Circle, einem Unternehmen welches Dienste zur sicheren und verschlüsselten Kommunikation anbietet. Im Zuge der Schließung von Lavabit entschied sich Silent Circle seinen Emaildienst Silent Mail ebenfalls zu schließen. Zimmermann hat sich nun in zwei Interviews zu den Hintergründen geäußert, sowie seinen Ansichten zu Privatsphäre und der Überwachung der Gesellschaft.

    Im Interview mit dem Forbes Magazine gab Zimmermann einige Hintergründe zur Schließung von Silent Mail preis, darunter welche Informationen Geheimdienste oder Strafverfolgungsbehörden erhalten würden, wenn sie eine Anfrage an Silent Mail stellen würden:

    At the very least they would be able to see the plain text headers of the e-mails, [which] would say who the mail is from, who it’s to, the date it’s sent, time stamp, and subject line. If the message body is encrypted to a key that we hold on our server, they could ask for the key, or ask us to decrypt it, or ask for the key so they could decrypt it. That’s what we were afraid could happen.

    Dass Silent Mail überhaupt im Besitz von geheimen Schlüsseln seiner Benutzer war, lag laut Zimmermann an einer mangelhaften oder schlicht nicht vorhandenen Umsetzung von PGP auf mobilen Geräten. Um seinen Kunden aber dennoch verschlüsselte Dienste anbieten zu können, arbeitete man mit dem von Symantec entwickelten Programm PGP Universal, bei dem die geheimen Schlüssel direkt auf dem Server verwaltet werden können – aber eben auch die Herausgabe der Schlüssel durch Behörden verlangt werden kann. Um sich diesem Risiko nicht auszusetzen, entschied man sich Silent Mail zu schließen und alle Daten seiner Kunden zu löschen. Dass die Server von Silent Mail in Kanada standen, mache in der Praxis keinen Unterschied wie Zimmermann betonte:

    Well, the U.S. would approach the Canadian judicial system and ask for the Canadians to cooperate, and depending on the nature of the request, the Canadians might choose to cooperate.

    Ähnlich wie auch Ladar Levinson, der ehemalige Betreiber von Lavabit, gab auch Zimmermann an, kaum noch Emails zur Kommunikation zu nutzen. Stattdessen sei er auf „Mobile messaging“ umgestiegen.

    I don’t use e-mail that much anymore. One reason why I don’t is PGP doesn’t run very well on a Mac these days. Symantec hasn’t kept that up. So I hardly ever run PGP. When people send me PGP encrypted mail I have to go through a lot of trouble to decrypt it. [...]. Mobile messaging is less clunky than e-mail. E-mail has its place. [...] So e-mail is not going to go away, but if you want to send secure messages, there are more streamlined ways to do it now.

    Zum Schluss des Interviews gab Zimmermann noch an, in naher Zukunft auch einiger Server von Silent Circle in der Schweiz betreiben zu wollen. Auf die Frage warum denn gerade die Schweiz verpasste er der EU und seinen Plänen zur Vorratsdatenspeicherung einen Schuss vor den Bug:

    They don’t have the data retention laws that the European Union have. All of the EU countries are subject to EU data retention laws. In that respect Europe is worse than the U.S.

    Dass es in der Schweiz, unabhängig von der EU-Richtlinie, bereits seit über 10 Jahren eine Vorratsdatenspeicherung gibt, scheint Zimmermann dabei allerdings nicht zu wissen.

    In einem zweiten Interview mit Om Malik von GigaOM ging Zimmermann mehr auf die Auswirkungen der Komplettüberwachung durch die NSA ein und versucht das Thema in einem gesellschaftlichen Kontext einzubetten.

    Gleich zu Beginn des Gesprächs mit Om Malik gab Zimmermann an, dass Kryptographie nicht der richtige Ansatz sei, um sich aus der Überwachung zu befreien:

    The surveillance landscape is far worse than it has ever been and I feel like everything we do is now observable. All of our transactions and communications are all fused together into total information awareness apparatus. I don’t think any of this can be fixed merely by the application of cryptography. It is going to require some push back in the policy space.

    Dass die USA ein anderes Verhältnis zu ihren Geheimdiensten und Überwachung haben als wir Deutschen wird deutlich, wenn Zimmermann die NSA verteidigt und ihre Bedeutung nicht in Frage stellen möchte. Das größte Problem für die Amerikaner scheint weiterhin nicht zu sein, dass die NSA einen Überwachungsapparat aufgebaut haben, sondern dass sie als Auslandsgeheimdienst die Bürger im eigenen Land überwacht.

    I think the NSA has a job to do and we need the NSA. In general, all great nations need to have great intelligence apparatus to inform its leadership of what’s going on in the world. But when these tools are focused on domestic population, it is bad for democratic institutions.

    Zimmermann nennt hier als Beispiel eine Überwachung seiner Telefongespräche durch chinesische Behörden. Er gab an diese Vorstellung nicht zu mögen, aber nicht fürchten zu müssen, dass chinesische Beamten eines Tages an seiner Tür klopfen. Wenn Behörden aber die eigenen Bürger überwachen, hätten diese einen Einfluss auf die politische Opposition im Land und würde damit in demokratische Prozesse eingreifen.

    Auch zum Ende des Gesprächs mahnte Zimmermann, dass die Zukunft aktiv gestaltet werden müsse, anstatt sie sich nur passiv auszumalen:

    I wrote about these things over twenty years ago and when I first wrote PGP and technology extrapolations leading us to a future where the governments can listen to all our communications, can search through all our communications and do pattern recognition and study our traffic patterns. But I didn’t think it would get this bad.[...]there is a certain act of passivity in the act of prediction. I would rather not passively predict and I would rather actively correct. What kind of future we want to have, that’s the future we should all work together to create.

    Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

    flattr this!

    August 12 2013

    Lavabit-Gründer: “Wenn ihr über E-Mails wüsstet was ich weiß, könntet ihr sie auch nicht mehr nutzen”

    Letzte Woche gab Ladar Levison bekannt, seinen E-Maildienst Lavabit zu schließen. Nun hat er sich in einem Interview mit dem Forbes Magazine erstmals zu Wort gemeldet. Das Interview beleuchtet dabei die Hintergründe zur ehemaligen Gründung von Lavabit, Levisons Einstellungen zu Strafverfolgungsbehörden und Überwachung und warum er Lavabit nicht von einem anderen Land aus betreibt.

    Levinson stellte dabei auch nochmal klar, dass der Schritt Lavabit zu schließen ausschließlich dem Schutze seiner Nutzer diente:

    This is about protecting all of our users, not just one in particular. It’s not my place to decide whether an investigation is just, but the government has the legal authority to force you to do things you’re uncomfortable with.[ ...] The fact that I can’t talk about this is as big a problem as what they asked me to do.

    Levison zog Parallelen zum Fall Aaron Swartz und sagte, dass auch er von Behörden eingeschüchtert wurde. Dabei ist Levison nach eigener Aussage nicht daran interessiert, die Arbeit der Strafverfolgungsbehörden zu erschweren.

    He says he’s received “two dozen” requests over the last ten years, and in cases where he had information, he would turn over what he had. Sometimes he had nothing; messages deleted from his service are deleted permanently. “I’m not trying to protect people from law enforcement,” [...]. “If information is unencrypted and law enforcement has a court order, I hand it over.”


    Das Problem in diesem Fall sei jedoch, dass jegliche Informationen und Auskünfte der Behörden geheim gehalten werden müssen. Da er sich daran nicht halten wollte, schloss er Lavabit.

    Zur Zeit fokussiert sich Levinson darauf, das Recht auf eine Veröffentlichung der Geheimdienstanfrage zu erwirken. Sein ins Leben gerufener “Lavabit’s legal defense fund” hat bis zum Samstagmorgen rund 90.000 US-Dollar eingenommen. Ob er Lavabit in dieser oder ähnlicher Form wiederbeleben werde, koppelt er an die Bedingung, dass die Geheimdienste und Strafverfolgungsbehörden ihre Methoden grundlegend ändern.

    It needs to be clear that the government can’t do what they’re trying to do. Otherwise the same request is going to come right back at us. Other big names aren’t able to shut down in protest. I’m one person without a bunch of employees to support. If we win, we win for everyone.

    Einen Umzug von Lavabit ins Ausland, um sich dem Einfluss amerikanischer Behörden zu entziehen, schloss Levinson aus, da er die USA nicht verlassen wolle und der logistische Aufwand so nicht zu bewältigen sei.

    “Even if I found somewhere secure overseas, it would be hard logistically. My life is here in the States. It would be hard for me to move to another city let alone another country.”

    Zur Zeit nehme Levinson aber sowieso eine “Auszeit” von E-Mails, auch wegen des Wissens, welche er über die Methoden der Behörden erlangt hat. Er gab an, dass alle die die selben Informationen hätten wie er, sicherlich ebenfalls von der Nutzung von E-Mails absehen würden.

    “I’m taking a break from email. If you knew what I know about email, you might not use it either.”

    Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

    flattr this!

    August 05 2013

    Mailpile: Crowdfunding Kampagne für sicheren Webmail-Client gestartet

    mailpile-logoSeit den Veröffentlichungen rund um die Spionagetätigkeiten der NSA, des GCHQ und auch des BND ist das Thema der sicheren Kommunikation im Internet populär wie kaum zuvor. Das meist genutzte Kommunikationsmittel, privat wie auch beruflich, ist dabei die E-Mail. Viele Menschen greifen dabei auf einen der großen Mailanbieter, wie Google, Microsoft oder GMX, zurück. Das Problem daran ist, dass die verschickten und empfangenen Nachrichten auf den Servern jener Konzerne liegen, teilweise gar in den USA, was den Zugriff amerikanischer Behörden auf die eigene Kommunikation erleichtert. Um wieder die Kontrolle über seine eigenen Mails zu erlangen, wurde nun das Projekt Mailpile gestartet. Ziel ist es, einen freien und offenen Webmail-Client zu entwickeln, der auf dem eigenen Computer oder Server läuft und mit dem ohne Zusätze per OpenPGP verschlüsselt kommuniziert werden kann.
     

    Mailpile_0_1_Interface_Compose

    Erster Entwurf des Interfaces von Mailpile



    Vorangetrieben wird das Projekt von Bjarni Einarsson, Gewinner des Nordic Free Software 2010, Smári McCarthy, Direktor des International Modern Media Institute und Mitglied der isländischen Piratenpartei, sowie Brennan Novak. Damit Mailpile ein Erfolg wird und möglichst schnell fertig gestellt werden kann, benötigen die Entwickler allerdings finanzielle Unterstützung. Aus diesem Grund wurde nun eine Crowdfunding Kampagne auf Indiegogo gestartet. Ziel ist es bis zum 10. September 100.000 Euro einzunehmen, um bis zum Januar 2014 eine erste funktionsfähige Alpha-Version veröffentlichen zu können. Diese soll sowohl auf einem Server sowie auf dem eigenen Rechner laufen können und ein intuitives Interface bieten. Großes Augenmerk wird darüber hinaus in die Suchfunktion und die integrierten Verschlüsselungsmöglichkeiten von Mailpile gelegt. So sollen beispielsweise nicht nur die Mails an sich, sondern auch die Suchanfragen und die Einstellungen verschlüsselt werden können.

    Sollten mehr als 100.000 Euro eingenommen werden, soll nach Aussagen der Entwickler auch eine Mehrbenutzerversion für Familien, Freunde oder kleine Unternehmen entwickelt werden. Auch eine eingebaute Unterstützung von XMPP (Jabber) soll folgen. Die Veröffentlichung einer ersten stabilen Version ist nach jetzigem Stand für den Sommer 2014 geplant. Ausführliche Informationen zu Mailpile findet ihr auf der Homepage des Projekts sowie direkt auf der Kampagnenseite bei Indiegogo. Wer sich den Quellcode ein wenig genauer ansehen möchte, findet diesen auf github.

    Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

    flattr this!

    Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
    Could not load more posts
    Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
    Just a second, loading more posts...
    You've reached the end.

    Don't be the product, buy the product!

    Schweinderl