GPG schütz vor dem Bundestrojaner …

… und auch anderen „Fieslingen„. Bisher galt das Signieren von E-Mails mittels GPG-Signatur wohl eher in das Repertoire von Geeks und Computerfuzzis. Das Signieren kann aber unheimlich praktisch sein, um sich vor Veränderungen in E-Mails zu schützen. Wie ich auf kernel.panic! erfahren habe, soll die Bundesregierung in der Lage sein, E-Mails von Freunden und Bekannten zu modifizieren, um so die Spionage-Software der Regierung auf dem Computer zu installieren.1

Für mich, der sich mit der Materie des GPGs schon vertraut gemacht hat, sind Apelle wie: „Signiert eure Mails!“ selbstverständlich, aber für Personen die sich mit der Materie des Computers nicht mehr befassen als E-Mails zu schreiben und Briefe zu tippen, wissen vielleicht nicht sofort, was es mit dem GPG-Signaturen auf sich hat. Daher hier ein Versuch den Mechanismus zu beschreiben.2

GPG – Das Prinzip

Das Prinzip des GNU Privacy Guard basiert auf der Idee von zwei Schlüsseln, dem so genannten Schlüsselpaar. Es gibt einen geheimen Schlüssel, der sich nur in Besitz des Eigentümers befinden sollte und einen öffentlichen Schlüssel, der in Besitz aller sein sollte, mit denen man kommunizieren möchte. Möchte man nun eine Nachricht signieren, dann schickt man quasi die Daten durch den geheimen Schlüssel und mit Hilfe des dazugehörigen Passworts wird eine Prüfsumme erstellt. Die Prüfsumme ist also eine eindeutige Datenmenge die sowohl durch die Nachricht, den geheimen Schlüssel und dem Passwort erstellt wird. Diese entstandene Datenmenge ist die eigentliche Signatur.

Derjenige der die Nachricht inkl. der Signatur erhält kann mit Hilfe des öffentlichen Schlüssels feststellen, ob die Nachricht wirklich von dem Empfänger stammt. Sollte die Nachricht unterwegs verändert worden sein, dann wird festgestellt, dass die Prüfsumme nicht richtig sein kann und somit ist man in der Lage E-Mails zu entdecken, deren Inhalt auf dem Weg zum Empfänger verändert wurden. Sollte sich also der Bundestrojaner eingeschlichen haben, stimmt die Prüfsumme nicht mehr und man sieht das etwas nicht stimmt und kann nun Rücksprache mit den Versender der E-Mail halten.

Verschlüsselung

Ein ähnliches Prinzip  wird auch bei der Verschlüsselung der Daten genutzt. Hier wird die Nachricht mit Hilfe des öffentlichen Schlüssels verschlüsselt und kann nur wieder entschlüsselt werden, wenn man in Besitz des geheimen Schlüssels und dem dazugehörigen Passworts ist.

Vorteile vom Einsatz von GPG

  1. Man sieht wer der wirkliche Absender der Nachricht ist und fällt so nicht auf Fehlinformationen rein.
  2. Man erkennt ob eine E-Mail unterwegs bearbeitet wurde oder nicht.
  3. Man kann Nachrichten so verschlüsseln, dass sie nur vom Empfänger wieder entschlüsselbar, also lesbar sind.

Da das Prinzip des Ganzen nun klar geworden ist (so hoffe ich 😉 ), empfehle ich weiterführende Literatur:

Fragen und Unklarheiten einfach in die Kommentare…

  1. Wenn hier einer Stasi-Methoden unterstellen möchte, so kann er das gerne tun. Ich werde mich zu solchen Äußerungen nicht hinreißen lassen, da ich der Meinung bin, dass solche Verfahren die Methoden des Ministeriums Staatssicherheit um ein vielfaches übertreffen. []
  2. Ich bitte über kleine Ungenauigkeiten und Vernachlässigungen hinwegzusehen, da es sich hier nicht um eine fachliche Auseinandersetzung mit dem Thema handelt, sondern um eine reduzierte Fassung des Sachverhaltes um das Verfahren zu veranschaulichen. []

Ist Skype ein Teil vom großen Bruder?!

Wie ich bereits in dem Artikel über die Instant Messenger geschrieben habe, kann es unter Umständen wichtig sein, sich doch mal das Kleingedruckte in den Nutzungbedingungen von geschlossener Software anzuschauen. Aber was nun die Runde macht, setzt dem Fass die Krone auf. Das supertolle, hochgelobte und total hippe Tool Skype spioniert seine Benutzer aus – naja, jedenfalls hat es den Anschein. In den Foren von Skype stellte jemand die Frage auf, wieso Skype Daten auf der ganzen Festplatte ausliest?! Die Spekulationen sind immens, aber eine Stellungnahme von der Skype-Seite gab es bislang nicht. Ein Schelm der böses dabei denkt.

Die Empfehlungen für ein Verhalten der Benutzer ist eigentlich ganz einfach: Nutzt keine geschlossene Software. Klar kann ein solches Verhalten auch bei OpenSourceSoftware implementiert werden, aber man kann sich sicher sein, dass die Community ein solches Verhalten relativ schnell spitz kriegt und revidieren würde.

Weitere Links zum Thema

Kurzfilm über den großen Bruder

Der große Bruder | Via Screenshot von Zeit.de | 23.08.2007Der Staat Die Staaten der westlichen Welt versuchen immer mehr Sicherheit dadurch zu erreichen, dass sie  uns Otto-Normal-Verbraucher überwachen. Sei es mit Kameras, durch das Abhören von Telefonaten, das Lesen von E-Mail etc. Wenn die Herren und Damen Politiker das Vorhaben begründen und erklären, was sie mit welcher Aktion erzwingen wollen, dann hört sich das im ersten Moment immer sehr plausibel und logisch an.

David Scharf  von der Fachhochschule Augsburg, hat sich dieses Thema vorgenommen und einen kleinen Animationskurzfilm erstellt, der die Problematik schön deutlich macht. Aus Gründen der Internationalität ist der Film in Englisch verfasst. Interessant wären hier Übersetzungen in andere Sprachen, damit die Information noch weiter getragen werden kann.

Jabber-Bericht zeigt Wirkung

Nicht nur dass auf Readers-Edition ein klasse Kommentar zu meinem Instant-Messenger-Artikel zu lesen ist, mich hat auch Sascha per Jabber angetextet, der zwar schon eine Konto hatte, es aber nie richtig nutzte.

Ich freue mich, dass es doch Menschen gibt, die sich das was ich schreibe zu Herzen nehmen 😉 Nach dem Austausch der GPG-Kennungen sind wir mittlerweile sogar in der Lage, verschlüsselt zu kommunizieren.

So macht das Internet doch Spaß.

Instant Messaging für Jeden

Instant Messenger gehören mittlerweile fast zum Standard der modernen Kommunikation. Gerade unter Jugendlichen sind diese Programme sehr beliebt, da sie es ermöglichen sofort zu sehen welcher ihrer Freunde gerade online ist und so direkt beginnen können mit ihm oder ihr zu chatten. Diese Art der Kommunikation geht schneller als das Schreiben einer E-Mail und dennoch ist man nicht so gebunden, wie bei einem Telefonat. In den Weiten des Internets gibt es die verschiedensten Anbieter solcher Dienste, aber viele der angebotenen Programme, bzw. Protokolle schränken die Persönlichkeitsrechte des einzelnen Nutzers ein.

ICQ

Eines der beliebtesten Dienste ist wohl ICQ. Mittlerweile gehören die Dienste von AOL (aim) und ICQ zusammen. Aber das ist nicht genug, seit einiger Zeit gehört auch die ProSiebenSat1-Gruppe zu den Partnern des Unternehmens. In der heutigen Medienwelt sind solche Zusammenschlüsse unter Medien-Giganten ja keine Seltenheit mehr und das alles ist auch noch nicht unbedingt ein Grund, diesen Dienst zu kritisieren.

Obwohl ein Sprichwort sagt: „Das Kleingedruckte ist schlecht für die Augen„, sollte man sich die „License Agreement“ von ICQ mal genauer angucken. In dem Moment in dem ein Nutzer etwas über ICQ versendet, und damit sind nicht nur die Textnachrichten gemeint, sondern auch der mögliche Dateitransfer, gewährt man ICQ uneingeschränktes Recht die Dateien und Informationen zu nutzen. Wenn man von dieser Tatsache gerade das erste Mal liest, kann man denken, dass ich mir geraden einen wirklich schlechten Witz erlaubt habe, dass ist aber nicht der Fall. Um das Ganze mit den Worten von ICQ zu sagen:

Durch das Vorlegen oder Einschicken von Dokumenten, Informationen oder anderem Material („Material“) bei ICQ oder durch das Postieren von Informationen, die in den diversen ICQ-Verzeichnissen sowie Werkzeugen und Nachrichten auf den ICQ-Nachrichtenboards (1) gewähren Sie, dass Sie keinerlei Rechte an dem Material haben, dass nach Ihrem besten Wissen keine andere Partei irgendwelche Rechte an dem Material hat; (2) gewähren Sie ICQ eine uneingeschränkte, fortwährende, unwiderrufbare Lizenz, das Material in allen Medien zu benutzen, zu reproduzieren, anzuzeigen, vorzuführen, zu bearbeiten, abzuändern, zu übertragen und zu verteilen; und (3) Sie erklären sich damit einverstanden, dass ICQ es frei steht, jegliche Ideen, Know-How, Konzepte, Techniken oder andere Materialien, die Sie uns für jeglichen Zweck schicken, zu benutzen.

Quelle:ICQ End User License Agreement (Stand: 04.08.2007)

Sachen gibt es, die gibt es gar nicht… Wenn wir dieses Beispiel aus der digitalen Welt in die reale Welt transferieren würden1, hieße das, dass die Rechte an einem bisher nicht veröffentlichten Manuskript automatisch an die Post übergehen würden, sobald man dieses auf normalen Wege zu seinem Verlag schickt. Da Manuskripte auch schon gerne als PDF versendet werden, ist das Versenden eines Manuskripts über ICQ also nicht sehr unwahrscheinlich.

Auch wenn ich hier niemanden auffordere den Dienst von ICQ zu boykottieren, sollte einem speziell dieser Passus schon bewusst sein, wenn man das nächste Mal chattet. Außerdem sollte man sich dann auch nicht wundern, wenn plötzlich seine Lebensgeschichte auf ProSieben oder Sat 1 als Fernsehfilm zu sehen ist.

Ganz deutlich möchte ich machen, dass man sich dieser Problematik nicht entzieht, wenn man andere Programme2 nutzt, aber immer noch über das ICQ-Konto kommuniziert.

Andere Dienste

Neben dem oben genannten Dienst gibt es noch viele andere Firmen, die ähnliche Programmen anbieten. Unter anderem der MSN, bzw. Windows Live Messenger, der Yahoo! Messenger oder auch Skype. Auf diese Programme und Dienste möchte ich an dieser Stelle nicht weiter eingehen, da auch sie sehr eingeschränkte Regeln zur Benutzung haben. Zum Beispiel ist es mir nicht möglich, legal über einen dieser Zugänge zu kommunizieren, da ich ein Betriebssystem3 nutze, für das keine der Firmen einen Klienten zu Verfügung stellt.

Alternativen

Jabber Logo | Quelle: http://upload.wikimedia.org/wikipedia/commons/0/07/Jabber_logo.svgEs soll nicht der Eindruck entstehen, dass mit diesem Artikel die Idee des Instant-Messaging kritisiert werden soll, denn die Idee als solches ist ja genial. Das Problem des Ganzen sind die Firmen, die hier die Idee aufgreifen und in jeglicher Hinsicht versuchen sie auszunutzen. Es gibt aber ein Licht am Horizont… dieses Licht nennt sich Jabber oder exakter gesagt XMPP. Es handelt sich dabei um ein Protokoll, welches einen offenen Standard verfolgt.

Im Gegensatz zu den anderen vorgestellten Diensten fordern die Macher dazu auf, eigene Klienten zu erschaffen und zu programmieren. Es gibt nicht einmal einen offiziellen Jabber-Klienten und somit hat man die freie Wahl. Natürlich kann gerade die Wahl für den Otto-Normalverbraucher ein Problem sein, da er es gewohnt ist, mit der Software zu arbeiten, die ihm vorgesetzt wird.

Ein weiterer (technischer) Vorteil des XMPP ist, dass es dezentral organisiert ist. Im Klartext heißt das, dass wenn ein Server mal nicht erreichbar ist, fällt nicht das gesamte Netzwerk aus, sondern nur ein Teil.

Da Jabber keiner einzelnen Firma gehört, die sich an dem Dienst bereichern will, wird man während des chattens auch nicht mir Werbung belästigt, die einen zum Einen nicht interessiert und zum Anderen dem Computer einfach Ressourcen stielt. Um zu verhindern, dass die Nachrichten evtl. doch gelesen und bewertet werden können, ist eine Verschlüsselungen der Nachrichten natürlich möglich.4

Ein Wechsel ist immer mit Arbeit verbunden und man versucht immer den Weg des geringsten Widerstands zu gehen. Somit gibt es auf diese Thema zwei Standardantworten, um sich einer Diskussion und einem Wechsel zu entziehen. Die eine lautet: „Wieso soll ich wechseln? Die können ruhig alles lesen, ich habe nichts zu verbergen…“ und die andere ist: „Alle meine Freunde nutzen XYZ, warum soll ich nun Jabber nutzen…“.

Ich habe nichts zu verbergen.

Natürlich hat der Normalbürger nichts zu verbergen und es geht auch nicht darum, etwas zu verstecken oder bei etwas erwischt zu werden, sondern einzig um allein um das Recht auf Privatsphäre. Und exakt dieses Recht ist durch o. g. Lizenzvereinbarungen nicht mehr vorhanden.

Außerdem geht es hier auch nicht unbedingt um das Schicksal des Einzelnen sondern auch um die Allgemeinheit. Denn durch findige Software, die den Chat-Verkehr mitliest, ist es unter Garantie möglich, Nutzer- oder sogar Persönlichkeitsprofile zu erstellen, die dann wieder genutzt werden, um Werbung einzuspielen, neue Produkte zu entwickeln, also im Kern dem Verbraucher noch mehr Geld aus der Tasche zu ziehen. Aber auch hier gibt es sicherlich Gegenstimmen, die es vielleicht sogar für sinnvoll erachten, wenn durch solche Auswertungen, Produkte zielgruppengerecht angepriesen werden.

Außerdem hat jeder Bürger definitiv irgendetwas zu verbergen und sei es nur die PIN der Konto- oder Kreditkarte, Passwörter für E-Mail-Konten oder FTP-Server oder Kundennummern. Aber auch über chronische Krankheiten oder schlechte Angewohnheiten muss nicht jeder, zum Beispiel der neue Arbeitgeber, Bescheid wissen.5

Um es nochmals deutlich zu machen, es geht nicht in erster Linie darum, dass man etwas verbergen möchte oder muss, sondern um das bisschen Privatsphäre, die uns als Bürger der modernen westlichen Welt bleibt, zu verteidigen und sie auch als ein ernst zunehmendes Gut wahrnimmt. Nur durch die Entscheidungen die ein Einzelner trifft, kann man langsam aber sicher Veränderungen in der Gesellschaft erreichen.

Alle meine Freunde haben…

Der Nutzen der Instant Messenger ist ja der, dass man schnell und einfach mit seinen Freunden und Bekannten in Kontakt treten kann. Daher ist der Hinweis, dass der Bekanntenkreis kein Jabber nutzt und man daher auch nicht so viel damit anfangen könne, sicherlich nicht von der Hand zu weisen. An dem Zustand wird sich auch nichts ändern, wenn man sich selbst nicht ändert. Da auch in meinem Bekanntenkreis noch viele ICQ nutzen, bin auch ich noch auf mein Konto „angewiesen“, aber nach und nach versuche ich auch wichtige Kontakte von Jabber zu überzeugen. Da viele schon ein Jabber-Konto besitzen, ohne es eigentlich zu wissen6 , ist es ein Leichtes sie von der Nutzung des Ganzen zu überzeugen und sobald sie mit dem Jabber-Konto online sind, kann man sie auch direkt nur noch darüber ansprechen. Der stetige Tropfen höhlt hier den Stein.

Fazit

In der schnelllebigen Zeit in der wir existieren und uns entwickeln, ist eine schnelle Möglichkeit der Kommunikation von immer höherer Wichtigkeit. Durch das Instant Messenging, ist der Sender schon vor dem Senden einer Nachricht in der Lage zu erkennen, ob seine Nachricht zeitnah gelesen werden kann oder nicht, da er den online/offline Status des Empfängers kennt. Instant-Messenging-Programme die von diversen Firmen angeboten werden, habe in vielen Fällen für einen freien, aufgeklärten Bürger nicht annehmbare Passagen im Kleingedruckten. Jabber, bzw. XMPP bietet hier nicht nur für den privaten, sondern auch für den gewerblichen und geschäftlichen Gebrauch eine sehr gute Alternative7 , fordert aber den Nutzer auf aktiv zu werden. Und hier liegt das Problem, dass der Mensch doch in den meisten Fällen lieber den Weg des Wassers wählt, den mit dem geringsten Widerstand, aber vielleicht hat der eine oder die andere ja doch lust Jabber zu testen, daher hier meine Jabber-ID: spitau@jabber.ccc.de (Nein es sieht nur so aus, ist aber keine E-Mail-Adresse.).

Weitere Links zu den Themen

Dieser Artikel ist auch auf Readers-Edition veröffentlicht worden.

  1. Wobei der Unterschied zwischen der realen und der digitalen Welt immer geringer wird, bzw. die digitale Welt einen immer größeren Teil in der realen Welt einnimmt. []
  2. Hier können Klienten wie trillian, pdigin, kopete oder sim genannt werden. Aber Achtung, selbst das Nutzen dieser Programme ist laut des Agreements nicht erlaubt. []
  3. Seit vielen Jahren nutze ich GNU/Linux. []
  4. Abhängig vom verwendeten Klienten. []
  5. Eine nette Skizzierung des Ganzen unter: http://blog.pantoffelpunk.de/archives/1118 []
  6. Die Firma United Internet bietet mit seinen Marken auch den Dienst Jabber an. Mehr Informationen dazu: http://de.wikipedia.org/wiki/Jabber#Besondere_Server []
  7. Es können zum Beispiel firmeninterne Jabber-Netzwerke aufgebaut werden, um die Kommunikation in einem Betrieb zu verbessern. []