[Sg-presse] Fwd: Das falsche Pferd: DE-Mail bekommt asymmetrisches PGP

[Jens Stomber <jens.stomber@piratenpartei.de>]

ACHTUNG: Bitte nicht diesen Schwachsinn glauben, der Autor hat offensichtlich 
keine Ahnung wie Verschlüsselung funktionirt!


-- 
Jens Stomber - Pirate Party Germany
http://wiki.piratenpartei.de/Benutzer:ZombB
mobile: +49-151-54828237 \o\ zrtp: zombb@ostel.co
e-mail: jens.stomber@piratenpartei.de /o/ key id: 0x6951B4FA
fingerprint: D331 9041 7DCB 4779 C0D1 FCA0 7EDE 42DB 6951 B4FA
jabber: zombb@jabber.ccc.de \o\ twitter: @ZombBi

councillor of the European Pirate Party /o/ https://europeanpirates.eu/
coordinator squad nsa-scandal \o\ http://is.gd/stopnsa

----------  Weitergeleitete Nachricht  ----------

Betreff: Das falsche Pferd: DE-Mail bekommt asymmetrisches PGP
Datum: Montag, 9. März 2015, 10:27:42
Von: Thomas Asta <thomasasta@googlemail.com>
An: AKV-ML: Die Hauptmailingliste des AKV (Plenum/Vollversammlung) <AKV-
ML@listen.akvorrat.org>, Bündnis gegen Ueberwachung (in Gruendung) 
<buendnisgegenueberwachung@listen.akvorrat.org>, debate@lists.ccc.de

Hallo

DE-Mail bekommt PGP.
http://www.heise.de/newsticker/meldung/De-Mail-integriert-Ende-zu-Ende-Verschluesselung-mit-PGP-2570632.html

Es ist jedoch ein falsches Pferd, somit ein totes Pferd, wenn nicht gar ein
trojanisches Pferd.

Das DE-Mail-Programm ist closed source und PGP soll quelloffen als Plugin
implementiert werden.
Gleichzeitig schreibt die TKÜV vor, dass Provider im Bedarfsfall Plaintext
liefern können müssen, darum heissen sie ja Provider.

Wie sie das machen und dass sie das machen, darüber dürfen sie laut TKÜV
nicht sprechen (darum machen wir das hier: Eigentlich eine schlimmere
Zensur von freien Unternehmen als das Verbot von Sattelitenanlagen für
Bürger in Singapur).

Hinzu kommt die Option der Quellen-TKÜ ("key logger").
D.h. das closed source Mailprogramm wird z.B. eine systematische
Programmierung vorsehen, mit dem der Provider den privaten Schlüssel und
das Passwort dazu aus dem open source Plugin zum Provider uploaden kann.

Das kann keiner nachprüfen, darüber kann keiner sprechen und das ist der
einzig wahrscheinliche Weg, der TKÜV Verordnung der Prodiver nachzukommen.
SIMsMe der Post muss ebensolche Lösungen parat halten. Keines der
Unternehmen reagiert auf diese Anfragen und ist daher unseriös gegenüber
Sicherheitsarchitekturanfragen. Die Vermarktung als "sicher" ist daher eine
Farce, wenn nicht eine bewusste Irreleitung der Kunden - da die Verordnung
der TKÜV ja bekannt ist.

Ende-zu-Ende wird also mit asymmetrischen Mittel umgesetzt, das als Phoenix
aus der Asche kommt - wurde PGP doch als altbackend, wenn nicht sogar als
verbrannt erklärt:
http://www.heise.de/ct/ausgabe/2015-6-Editorial-Lasst-PGP-sterben-2551008.html

Dabei kann End-zu-Ende Verschlüsselung auch symmetrisch umgesetzt werden
und ist Verschlüsselung ist damit wesentlich schneller neu zu generieren
und auch in einem 2-Partein-Verfahren von beiden Seiten generierbar (vgl.
z.B.
http://www.quora.com/How-would-you-explain-Instant-Perfect-Forward-Secrecy-IPFS-in-laymans-terms
)
Jeder der zwei Kommunikationsteilnehmer generiert jeweils die Hälfte des
smmetrischen Passwortes.

Daraus folgt als Forderung an die DE-Mail:
1. Das DE-Mail-Programm muss ebenso quelloffen sein wie ein mögliches
Crypto-Plugin
2. Die Ende-zu-Ende Verschlüsselung muss symmetrisch und nicht asymmetrisch
implementiert werden
3. Die Ende-zu-Ende Verschlüsselung solle auch ein manuelles edieren des
Passwortes ermöglichen.

Andernfalls bleibt DE-Mail ein weiterhin toter Trojaner, gegenüber dem
quelloffene Lösungen aus privater oder community Programmierung vorzuziehen
sind.

LG Tom
-------------------------------------------------------------

Attachment: signature.asc
Description: This is a digitally signed message part.