Re: [Sg-presse] [Ag-netzpolitik] Frage wegen möglichem Pressestatement: PE BMI 090315 De-Mail: Ende-zu-Ende-Verschlüsselung kommt

["\(lists\) Lily | LV Sachsen KV Leipzig" <ressorts@piratenlily.net>]

Hier mal kurz, was vorhin dazu über die ML des AK Vorrat ging:

###
DE-Mail bekommt PGP.
http://www.heise.de/newsticker/meldung/De-Mail-integriert-Ende-zu-Ende-Verschluesselung-mit-PGP-2570632.html
Es ist jedoch ein falsches Pferd, somit ein totes Pferd, wenn nicht gar ein 
trojanisches Pferd.
Das DE-Mail-Programm ist closed source und PGP soll quelloffen als Plugin 
implementiert werden.
Gleichzeitig schreibt die TKÜV vor, dass Provider im Bedarfsfall Plaintext 
liefern können müssen, darum heissen sie ja Provider.
Wie sie das machen und dass sie das machen, darüber dürfen sie laut TKÜV 
nicht sprechen (darum machen wir das hier: Eigentlich eine schlimmere Zensur 
von freien Unternehmen als das Verbot von Sattelitenanlagen für Bürger in 
Singapur).

Hinzu kommt die Option der Quellen-TKÜ ("key logger").
D.h. das closed source Mailprogramm wird z.B. eine systematische 
Programmierung vorsehen, mit dem der Provider den privaten Schlüssel und das 
Passwort dazu aus dem open source Plugin zum Provider uploaden kann.
Das kann keiner nachprüfen, darüber kann keiner sprechen und das ist der 
einzig wahrscheinliche Weg, der TKÜV Verordnung der Prodiver nachzukommen.
SIMsMe der Post muss ebensolche Lösungen parat halten. Keines der Unternehmen 
reagiert auf diese Anfragen und ist daher unseriös gegenüber 
Sicherheitsarchitekturanfragen. Die Vermarktung als "sicher" ist daher eine 
Farce, wenn nicht eine bewusste Irreleitung der Kunden - da die Verordnung 
der TKÜV ja bekannt ist.

Ende-zu-Ende wird also mit asymmetrischen Mittel umgesetzt, das als Phoenix 
aus der Asche kommt - wurde PGP doch als altbackend, wenn nicht sogar als 
verbrannt erklärt:
http://www.heise.de/ct/ausgabe/2015-6-Editorial-Lasst-PGP-sterben-2551008.html

Dabei kann End-zu-Ende Verschlüsselung auch symmetrisch umgesetzt werden und 
ist Verschlüsselung ist damit wesentlich schneller neu zu generieren und auch 
in einem 2-Partein-Verfahren von beiden Seiten generierbar (vgl. 
z.B.http://www.quora.com/How-would-you-explain-Instant-Perfect-Forward-Secrecy-IPFS-in-laymans-terms
 )
Jeder der zwei Kommunikationsteilnehmer generiert jeweils die Hälfte des 
smmetrischen Passwortes.

Daraus folgt als Forderung an die DE-Mail:
1. Das DE-Mail-Programm muss ebenso quelloffen sein wie ein mögliches 
Crypto-Plugin
2. Die Ende-zu-Ende Verschlüsselung muss symmetrisch und nicht asymmetrisch 
implementiert werden
3. Die Ende-zu-Ende Verschlüsselung solle auch ein manuelles edieren des 
Passwortes ermöglichen.

Andernfalls bleibt DE-Mail ein weiterhin toter Trojaner, gegenüber dem 
quelloffene Lösungen aus privater oder community Programmierung vorzuziehen 
sind.
###


> -----Ursprüngliche Nachricht-----
> Von: ag-netzpolitik-bounces@lists.piratenpartei.de [mailto:ag-netzpolitik-
> bounces@lists.piratenpartei.de] Im Auftrag von Sebastian Dicke
> Gesendet: Montag, 9. März 2015 11:43
> An: ag-netzpolitik@lists.piratenpartei.de; AG-Datenschutz
> Cc: SG Presse
> Betreff: Re: [Ag-netzpolitik] Frage wegen möglichem Pressestatement: PE BMI
> 090315 De-Mail: Ende-zu-Ende-Verschlüsselung kommt
> 
> Was auch noch gegen De-Mail spricht ist, dass es, soweit ich informiert bin,
> bislang nur einen browserbasierten Zugang dazu gibt. Das verhindert eigene
> Datensicherungen und eine Einbindung in E-Mail-Programme o. ä., macht die
> Kommunikation also eher unübersichtlicher.
> 
> Man könnte dazu etwas in der Art schreiben wie: Ein weiterer 
> Rettungsversuch,
> der jedoch nicht weit genug greift und die Lage nicht wesentlich verändert.
> 
> Grüße
> 
> Sebastian
> 
> On 09.03.2015 11:20, Markus Drenger wrote:
> > imho wird das das DE-Mail-Konzept auch nicht retten.
> >
> > Einer der großen Kritikpunkte ist die fehlende
> > Ende-zu-Ende-Verschlüsselung und jetzt hat man dafür ein Plugin
> >
> > [...]