imported>Wanne am 11. Januar 2014 um 16:16 Uhr

2014-01-11T16:16:44Z

Neue Seite

[https://wiki.piratenpartei.de/Benutzer:Wopr Wopr] schreibt: wenn sich innerhalb von 10 tagen keiner beschwert werde ich das tun:
ich werde ein paar teile der seite auf
:"Es gibt aber alternative Mailsysteme zu PGP/Mail, beispielsweise Pond. Da sowieso alle Teilnehmer eine neue Software installieren müssen, hat es keinen Sinn, krampfhaft an E-Mail festzuhalten, welches architekturbedingt eine zeitgemäße Sicherheit nicht mehr bieten kann."
auf pond zu verweisen ist witzlos, dafür gibts keinerlei infrastruktur und es ist alpha, leuten auf ein nicht-existentes system zu verweisen ist wenig nützlich.
die behauptung, dass keyserver falsche keys ausliefern können ist falsch, dann stimmt der fingerprint nicht mehr.
pgp nicht mehr zeitgemäß zu nennen finde ich unglücklich.
die termine sind sowieso abgelaufen, bleiben noch die kurzanleitungen zu pgp und smime, die könnte ich auf ne extra seite schieben.

:PGP als nicht mehr zeitgemäß zu bezeichnen, ist in der Tat ziemlicher Blödsinn. Ein kleiner Hinweis auf Pond kann aber durchaus drin bleiben. Allerdings nicht als echte Alternative für E-Mail. Man sollte hier vielleicht auch den Anwendungszweck beleuchten. Bei E-Mail will ich ja ganz explizit meine verschlüsselten Mails auch nach Jahren noch lesen können, wogegen OTR und wohl auch Pond eher dem Instant Messaging zuzuordnen sind. Hier könnte man dann sogar Systeme wie [http://sebsauvage.net/wiki/doku.php?id=php:zerobin zerobin] erwähnen. Das E-Mail System an sich ist ja - was die Verbindungsdaten angeht - auch deshalb so kritisch, weil wir uns mittlerweile auf einige zentrale E-Mail-Server begrenzt haben bzw. haben begrenzen lassen. In der Anfangszeit von SMTP wurden Mails noch zwischen den Hosts direkt ausgetauscht, was heute auch noch bei fehlendem MX-Record der Standard ist. Um wieder Herr unserer Verbindungsdaten zu werden, könnte man auch hier wieder zu den Wurzeln zurück gehen, wenn vereinfacht gesagt jeder Heimrouter gleichzeitig auch E-Mail-Server wäre. Mit IPv6 wäre so etwas sogar noch einfacher. Natürlich müsste man dann auch diese SPAM-Blacklists (mit dynamischen IP-Adressen) bereinigen. Am Ende hätten Provider und Staat weniger bis keinen Zugriff mehr auf die Mailheader. --[[Benutzer:Formwandler|Formwandler]] 09:18, 28. Okt. 2013 (CET)

:::<<small>[[User:lynX|vonlynX]]</small>> Sorry für den Fehler was die Keyserver betrifft. Ist raus. Ansonsten sind die Probleme mit SMTP dermaßen gravierend, dass ich gewiss kein Exot bin den Einsatz von SMTP nicht mehr zu empfehlen. Angesichts der Angriffslage ist PGP/SMTP zweifellos nicht mehr zeitgemäß – da reicht es sich nur [http://secushare.org/PGP einige der 13 Gründe gut zu überlegen], dass die Alternativen noch nicht etabliert sind, ist ein Problem, ändert aber an der Sachlage hinsichtlich E-Mail nichts. Pond ist eindeutig ''nicht'' dem Instant Messaging zuzuordnen. "Bei E-Mail will ich ja ganz explizit meine verschlüsselten Mails auch nach Jahren noch lesen können" <- aber doch nicht auf eine Art, dass sie jahrelang als Beweismittel gegen Dich verwendet kann! Was Du willst ist einfach eine verschlüsselte Festplatte, auf der Nachrichten gespeichert sind. Die Vorstellung man könne SMTP wieder mehr Federation werden lassen ist unrealistisch, dafür verursachen eigene Server viel zu viel Arbeit und schützen nicht vor SPAM. Die neue Generation Tools wird einfach per default verschlüsseln und Nachrichten ausliefern, ohne dass ein Server konfiguriert oder irgendwas über Sender und Empfänger wissen muss. Noch gibt es nicht die eine Lösung die alle überragt, aber jedes Alternativsystem - egal welches - ist sicherer als E-Mail, wenn man, wie Jacob Appelbaum empfiehlt, sicherheitshalber nochmal die Nachrichten mit PGP verschlüsselt.
:::: Die 15 Gründe resultieren zum Großteil aus einem unverständnis von PGP. Die anfragen über http rsultieren daraus, dass schon signiert wurde. (Mit PGP) Entsprechend ist SSL nutzlos und man braucht es nicht. Genau deswegen ist man eben nicht abhängig von SSL wie behauptet. Das WoT ist bis jetzt der einzige bekannte Ansatz wie man auch Regierungen entgegnen kann. Performanter mag es vielleicht tatsächlich sein sich sein zeug von er NSA signieren zu lassen.
Achso: Ja vor metadatenanalyse schützt es nicht. Dem muss man sich bewusst sein. Das ist ein Grund auf andere Systeme umzusteigen. Wenn es denn sinnvolle andere gäbe.
:::: Achso: PFS ist nunmal nicht möglich mit asynchroner Kommunikation. Man kann jetzt sagen, dass man nur noch instant messaging machen soll oder sinnvollerweise halt Schlüssel nehmen, die auf Dauer lange genug sind.
Und zum Spam-Problem: das würde sich mit dem konsequenten Einsatz von PGP erledigen und liegt in erster Linie an der großen Verbreitung von lauter gleichen Mailadressen. Mir ist kein System bekannt das dagegen besser gewappnet ist als SMTP. --[[Benutzer:Wanne|Wanne]] 17:15, 11. Jan. 2014 (CET)

== Kryptosektierer in der Piratenpartei? ==

Diese Mail ging heute morgen über die [https://lists.piratenpartei-nrw.de/wws/info/cryptoparty cryptoparty-mailingliste NRW]:

-----

ich wollte gerade http://wiki.piratenpartei.de/HowTo_Kryptoparty etwas
verbessern und bin dabei auf http://wiki.piratenpartei.de/Krypto-Party
gestoßen, worin sich Äußerungen finden, bei denen sich mir die Zehennägel
aufrollen. Ich würde das nicht mal mehr reparieren, sondern gleich in die
Tonne hauen, aber da derjenige, der den Mist verzapft hat, immerhin
Parteifunktionär ist (und, oho, Autor einer Software, die E-Mail ersetzen
soll...) und ich nicht mal Mitglied, überlasse ich das anderen. Ich denke, die
Piratenpartei tut gut daran, sich zu entscheiden, ob sie auf Kryptopartys den
Konsens der IT-Szene vermitteln will oder abseitigen Außenseitermeinungen ein
Forum bieten möchte. Und hierum geht es:

http://wiki.piratenpartei.de/wiki//index.php?title=Krypto-Party&action=historysubmit&diff=2184487&oldid=2184331

--------------------------------------------------------
PGP nicht mehr zeitgemäß

Wie wir seit Snowden wissen, werden verschlüsselte Nachrichten von
Geheimdiensten systematisch gespeichert. Mit PGP verschlüsselte Nachrichten
sind solange entschlüsselbar, solange der Besitzer den Schlüssel nicht
vernichtet. Somit kann der Besitz des Schlüssels Hausdurchsuchungen
verursachen, oder auf andere Art die eigene Unversehrtheit beeinträchtigen.

Periodisches erneuern der Schlüssel funktioniert mittels Subkeys, erfordert
aber das regelmäßige versenden solcher Subkeys an alle möglichen
Gesprächspartner. Alternativ muss man zentralen Keyservern vertrauen, welche
auf Anfrage der zuständigen Regierung auch falsche Schlüssel ausliefern
können, sowie systematisch ausgewertet werden, wie infolge beschrieben:

Analysis of a dynamic social network built from PGP keyrings
http://cryptome.org/2013/07/mining-pgp-keyservers.htm
Weiteres Problem von PGP/Mail ist, dass nicht versteckt werden kann, wer wann
wieviel mit wem zu bereden hat. Somit entsteht eine Datenhalde ähnlich der
Vorratsdatenspeicherung. Dies kann beim veralteten E-Mail-System gar nicht
vermieden werden.

Es gibt aber alternative Mailsysteme zu PGP/Mail, beispielsweise Pond. Da
sowieso alle Teilnehmer eine neue Software installieren müssen, hat es keinen
Sinn, krampfhaft an E-Mail festzuhalten, welches architekturbedingt eine
zeitgemäße Sicherheit nicht mehr bieten kann.
--------------------------------------------------------

Mal abgesehen von

a) der Falschbehauptung, dass die Schlüssel auf den Keyservern in relevanter
Weise manipuliert werden könnten (es ist lediglich möglich, Updates zu
blockieren, was aber auffällt)

b) der maximal naiven Betrachtung zu löschender Schlüssel ohne Betrachtung der
Daten (auch löschen? Wenn nicht, warum dann die Schlüssel?),

wird hier ohne jede ernsthafte Analyse oder ernsthafte Quelle die groteske
Behauptung getätigt, PGP sei nicht mehr zeitgemäß. Da wird statt dessen(!) die
Verwendung einer Software empfohlen, von der völlig unklar ist, ob sie jemals
relevant wird. Wer die Installation von z.B. Enigmail auf eine Stufe mit dem
inkompatiblen Wechsel der Infrastruktur stellt, hat meines Erachtens den
Schuss nicht gehört.

Meiner Erfahrung nach interessiert sich auf Cryptopartys (aus gutem Grund) nur
ein kleiner Teil der Teilnehmer für diese Form von Anonymisierung. Es spricht
nichts dagegen, diese Möglichkeit anzusprechen, aber dann in einem
vernünftigen Kontext. Mit "PGP nicht mehr zeitgemäß" (lies: "E-Mail nicht mehr
zeitgemäß") macht man sich dagegen lächerlich.

-----

Meinungen? -- [[Benutzer:Ka'imi|ka’imi]] 12:53, 28. Okt. 2013 (CET)

:::<<small>[[User:lynX|vonlynX]]</small>> Ja sorry nochmal wegen der Falschaussage, da hab ich nicht genug nachgedacht. Ansonsten hatten Herr "OpenPGP-Schulungen" Laging und ich eine ordentliche Diskussion auf den cryptoparty Listen, weswegen er das Thema auch mit mir hätte besprechen können, statt Alarmismus auf Listen auszulösen, auf denen ich gar nicht vertreten bin. Das ist schlechter Stil. Fakt ist, dass ich überrascht war, dass es nicht längst klar ist, seit Tempora und PRISM, dass PGP über E-Mail beim besten Willen nicht mehr ausreichend sein kann, somit habe ich das Thema beim Circumvention Tech Summit diskutiert und [https://mailman.stanford.edu/pipermail/liberationtech/2013-October/011790.html auf liberationtech] eine heisse Diskussion ausgelöst. Da haben sich zwar einige Leute, die seit nem Jahrzehnt PGP-Schulungen machen, recht empört - und dabei übersehen, dass es unvernünftig ist, diese gravierenden Probleme wegzuwischen. Andererseits kam konstruktives Feedback und aus den zunächst zehn Gründen, die gegen PGP über SMTP sprechen, wurden dreizehn. Nach wie vor sagt der erste Absatz '''dass PGP besser als gar nichts ist''' aber angesichts der netzpolitischen Lage ist es hanebüchen zu behaupten PGP über SMTP sei zeitgemäß. Wir brauchen Alternativen, schnell, und ein neuer "Standard" wird sich irgendwie dann wohl etablieren – das können wir eh nicht entscheiden. Vermutlich bleibt die Lage übergangsweise konfus. Sehr geil übrigens die Formulierung "Kryptosektierer" ... haha. Wenn ich die Tage die Tor-Entwickler wiedertreffe, richte ich ihnen aus, dass sie radikale Kryptosektierer sind, weil sie E-Mail nicht für zukunftsfähig halten.

Diskussion:Krypto-Party - Versionsgeschichte

imported>Wanne am 11. Januar 2014 um 16:16 Uhr