[archimedes] Re: HTTPServer
- From: Alexander Ausserstorfer <bavariasound@xxxxxxxxxxxxxxx>
- To: archimedes@xxxxxxxxxxxxx
- Date: Fri, 08 Aug 2014 18:42:39 +0200
In message <9e210c3254.Thomas@xxxxxxxxxxxxxxxxxxxxxxxxx>
Thomas Milius <Thomas-Milius@xxxxxxxxxxx> wrote:
>> > Insbesondere sei auch auf folgendes Dokument hingewiesen:
>> >
>
> Nach Deiner Recherche habe ich auch nochmal im Netz geforscht und bin zu
> meiner Überraschung zu ähnlichen Ergebnissen, wie Du gekommen. Es scheint
> entgegen meine bisherigen Überzeugung da keine Beschränkung zu geben, obwohl
> ich meine, schon öfter Gegenteiliges auch in seriösen Quellen gelesen zu
> haben.
[Teil der Antwort geschnippt]
> Irgendwie werde ich das dumme Gefühl nicht los, daß es angesichts der
> Marktdominanz bestimmter Firmen ziemlich egal ist, was in deutschen Gesetzen
> steht.
Was praktiziert wird, ist natürlich eine völlig andere Sache. Aber gut
ist doch schon einmal, dass es zumindest rein rechtlich keine
Beschränkungen bei der Anwendung von Verschlüsselungen in der
Bundesrepublik Deutschland zu geben scheint (im Gegensatz zu vielen
anderen Ländern).
> 7. NSA/BND/Verfassungsschutz haben, ob mit oder ohne Verschlüsselung
> eh keine Probleme, da die Provider ihnen weitreichende Zugriffe
> erlauben müssen, was wohl im Zweifelsfall auch für de Relaisserver
> gelten dürfte, aber auch ein staatlich geprüfter
> Man-In-The-Middle-Lauschangriff macht die Situation nicht wirklich
> besser.
>
> Es ist mir völlig unklar (und wahrscheinlich nicht nur mir), ob der
> Schutz des Fernmeldegeheimnisses der gleiche ist, wie bei
> Verschlüsselung lokaler Speichermedien. Das kann, muß aber nicht,
> juristisch das Gleiche sein.
Wie Gesetze verstanden oder ausgelegt werden, ist freilich oft eine
haarige Geschichte. Dazu kann ich nichts sagen.
>> Allerdings ersetzt dies gerade eben NICHT die Verschlüsselung von
>> E-Mail-Inhalten. Dies müssten die Endanwender selbst vornehmen. Die
>> meisten tun das aber mangels Kenntnissen oder Interesse eben nicht.
>> Vielleicht denken auch viele, dass die Inhalte berets durch TLS / SSL
>> geschützt wären, was aber völlig falsch ist.
>
> Siehe Punkt 7.
Wenn die Verschlüsselung "richtig" durch die Endanwender vorgenommen
wird, sind die Provider aus dem Spiel. Denn diese bekommen die E-Mail
dann ebenfalls nur noch verschlüsselt. Und mit Schlüssellängen von 1024
Bit oder ein Vielfaches davon dürften selbst die schnellsten heutigen
Rechner Probleme bekommen, wenn es richtig gemacht wird. Ist jedoch
alles Theorie. Die Praxis ist meist wesentlich komplizierter.
Bei TLS wird leider nur die Verbindung zum nächsten Server
verschlüsselt (und das auch noch ziemlich mickrig). D. h. der Server
selbst MUSS die empfangenen Daten wieder entschlüsseln, bevor er sie
erneut verschlüsselt weiterschicken kann. Nur hier greift der von dir
erwähnte Punkt 7.
>>
>> Es müsste einem halt bereits richtig in der Schule beigebracht werden.
>
> Vorsichtig. Ich habe z.B. im Rahmen meiner Recherche auch den Hinweis
> gefunden, daß es in vielen Staaten unter Kriegsrecht (es werden leider
> gefühlt immer mehr), das Nutzen von Verschlüsselung für Nachrichten bzw. beim
> Ablegen von Informationen als Spionage ausgelegt werden kann. Das bedeutet in
> den vielen Fällen die unmittelbare Todesstrafe und diese kann sogar angewandt
> werden, wenn jemand eine verschlüsselte E-Mail von jemand anderem bekommt,
> obwohl er dies gar nicht wollte.
Bestes Beispiel hierfür sind die USA. Das macht die Sache natürlich
kompliziert, da hast du völlig Recht.
> In Betracht dieser Situation schlage ich für die deutschen GAG
> Mitglieder folgendes Verschlüsselungsverfahren vor:
>
>- Einfaches Kodier-/Dekodierungsprogram mit XOR Verschlüsselung
>- Den zugehörigen Schlüssel gibt es auf SD-Karte/USB-Stick am Ende eines
> jeden GAG-Treffens persönlich, damit auch mal wieder mehr als 10 Leute
> kommen
>- Der Schlüssel ergibt sich aus auf dem Treffen gemachten zufällig
> ineinander gewürfelten Film/Ton-Sequenzen (Grillen des Fleisches/der Würste
> Unterhaltung)
>
> Wäre das nichts? ;-). Wie hoch ist die Sicherheit des Schlüssels
> einzustufen?
Leider bin ich Vegetarier. Da muss ich nochmals drüber nachdenken.
Die beste Verschlüsselung ist freilich die, welche man selbst
programmiert hat und damit selbst versteht und kennt (zumindest dann,
wenn man es richtig gemacht hat). Weil so ausgeschlossen werden kann,
dass irgend jemand (z. B. von der NSA oder vom Bundesnachrichtendienst)
eine "Hintertür" in den Programmcode eingebaut hat, mit welcher man eine
verschlüsselte E-Mail ganz einfach aufsperren könnte.
Du berufst dich hier auf das Vertrauensweb (Web of Trust), für welches
PGP (Pretty Good Privacy) entwickelt worden ist. Hier tauschen sich die
Leute am besten persönlich untereinander ihre öffentlichen Schlüssel
aus.
Nutzt irgend jemand hier im Verteiler außer mir überhaupt GnuPG? Und wie
könnte man solch ein System auf einen E-Mail-Verteiler anwenden?
Schönes Wochenenede,
A.
--
http://home.chiemgau-net.de/ausserstorfer/
Sent wirelessly from RISC OS per LTE
Other related posts: