Helft mit, herauszufinden, wie man Verschlüsselung besser in den Alltag bringt!
Computer Lockdown by Perspecsys Photos on flickr.com. Creative Commons Licence https://creativecommons.org/licenses/by-sa/2.0/
Bitcoin.de ist assoziierter Partner des enzevalos Projektes an der Freien Universität Berlin. Das Ziel des Forschungsprojektes ist es, eine sichere und gut benutzbare Ende-zu-Ende-Verschlüsselung zu erarbeiten. Da für Bitcoin.de Verschlüsselung wichtig ist, unterstützt der Bitcoin-Marktplatz das Projekt. Was aber vor allem zählt, ist eure Meinung!
Verschlüsselung funktioniert. Es ist heute problemlos möglich, seine E-Mails in einer Weise zu verschlüsseln, dass keine Macht der Erde sie entschlüsseln kann. Trotz allem – trotz der NSA-Affäre, trotz der zunehmenden Überwachung, trotz der Hacks von Datenbanken – verzichten so gut wie alle User weiterhin darauf. Mindestens 99,9 Prozent der E-Mails, die verkehren, sind wie Briefe ohne Briefumschlag.
Woran liegt das? Und wie kann man es ändern? Wie muss man ein Verschlüsselungssystem bilden, das tatsächlich auch die User mitnimmt? Dies ist Thema und Anliegen der enzevalos-Forschungsgruppe an der FU Berlin.
“In diesem Kontext ist die Frage aufgetaucht, wie Nutzer heute mit ihren privaten Schlüsseln oder anderen digitalen Geheimnissen umgehen. Digitale Geldbörsen sind hier besonders interessant, weil in ihnen wirkliche Werte gespeichert werden und ein Verlust auch klar zu beziffern ist, während der Verlust eines privaten Schlüssels zur Entschlüsselung von E-Mails meist nur schwer zu messen ist,” erklärt Oliver Wiese, wissenschaftlicher Mitarbeiter des Projekts.
Die Lösungen, die es derzeit gibt, meint Wiese, lassen der Nutzer entweder alleine – oder er muss sich einen Code aufschreiben, wie bei einer deterministischen Wallet. “Die Idee ist zwar gut, aber dennoch ist der Nutzer hierbei einzig und alleine für sich selbstverantwortlich. Schaut man sich in der analogen Welt um, so ist das meist nicht der Fall. Kreditkarten, Ausweise können verloren gehen und es ist kein Problem. Selbst Wohnungsschlüssel stellen kein Problem dar: Entweder wird der Schlüsseldienst gerufen oder der Schlüssel wurde vorher bei einer vertrauensvollen Person hinterlegt.”
Wie kann man dieses Verfahren nun auf die Verwaltung von Schlüsseln übertragen? Wiese erklärt ein Konzept, das die enzevalos-Forscher derzeit erarbeiten: “Unsere Idee ist es, dass der Nutzer mehrere vertrauenswürdige Personen bittet, einen Anteil an einem (Entschlüsselungs-)Schlüssel aufzubewahren. Mit diesem Schlüssel kann eine Sicherungskopie seiner Wallet entschlüsselt werden. Die Sicherungskopie kann so verschlüsselt in der Cloud oder woanders deponiert werden. Zum Wiederherstellen sind dann die Hälfte der Anteile nötig.” Eine Illustration des Verfahren ist hier zu finden.
Was die Forscher nun von euch, liebe Bitcoin-Nutzer und Kunden von Bitcoin.de, wollen, ist schnell gesagt: eure Meinung! Kaum eine Firma hat das Glück, so viele Kunden zu haben, die mit privaten und öffentlichen Schlüssel arbeiten, wie Bitcoin.de. Also: Wie findet ihr das hier dargestellte Modell? Welche Schwächen hat es, wie würdet ihr es benutzen, worauf müsste eine solche App zur Schlüsselverwaltung achten? Ihr könnt entweder einen Kommentar unter diesem Post hinterlassen, oder Wiese direkt schreiben: oliver.wiese(et)fu-berlin.de.
Außerdem seid ihr auf aufgerufen, an einer wissenschaftlichen Umfrage teilzunehmen. Der Fragenbogen zum Thema ist hier zu finden. Viel Spaß!
“wie man Verschlüsselung besser in den Alltag bringt!”
Solang menschen brav ihre GEZ Gebühren zahlen wird das eh nichts 😀
Protonmail oder Tutanota nutzen.
Keine gute Idee, finde ich. Wenig ist so unverlässlich wie private Beziehungen. Außerdem ist das Problem nur verschoben. Und Geld ist unter Freunden sowieso ein schwieriges Thema. Die Idee ist nicht massentauglich.
Der private Schlüssel müsste an etwas gebunden sein, das unverwechselbar mit der Person verbunden ist und jederzeit reproduzierbar, wie ein Fingerabdruck oder die Unterschrift – Biometrie eben.
Schade, dass die Vertrauenswürdigkeit dank der Finanzierung des Bundesministerums für Bildung und Forschung leidet.
An sich eine gute Idee, ich würde dies jedoch eher nutzen um die Teilschlüssel an Orten zu teilen und nicht mit Freunden.
PGP
Das große Dilemma mit der Verschlüsselung ist ja nicht die Technik dahinter, sondern die Anwendung!
Heute ist etwas entweder sicher aber unkomfortabel oder komfortabel aber unsicher.
Den meistens Menschen (mir eingeschlossen) ist das zu doof!!!
Hier muss ich meinem Vorredner zustimmen:
Der private Schlüssel muss mit einer Person unverwechselbar und reproduzierbar verbunden sein (Fingerabdruck, Irisscan, DNA) und vor allem Offline! Dann bräuchte man noch eine einfache komfortable Schnittstelle diesen Offline-Schlüssel auszulesen.
Das alles SO einfach hinzubekommen, OHNE Abstriche bei der Verschlüsselung und Sicherheit, dass es nachher von den meistens Menschen auch angenommen wird – PUUHHH viel Spaß dabei Herr Oliver Wiese!!!
..ihr versteht das einfach nicht: Mindestens ein Schritt muss von euch selbst durchgefuehrt werden(ooh der Aufwand), sonst ist dieser Schritt fremdbeinflussbar.
Aber ja, Logik und Bequemlichkeit heben sich gegenseitig auf.
PS:Den unverwechselbaren personengebundenen Schluessel gab es schon vor 70 Jahren,
man bekam ihn auf den Arm tätowiert. – Vorsicht.
Klar muss etwas selbst durchgeführt werden, aber der Schritt muss möglichst einfach sein, sonst hat das keine Zukunft. Beim Auto musste man auch früher die Kurbel drehen, später den Schlüssel, demnächst sagt man vielleicht nur ein Wort.
Yubikey finde ich übrigens auch eine gute Lösung für privaten Zugang, nur manchmal schwer zu installieren.
Ich verstehe nicht was an PGP/GPG so kompliziert oder unkomfortabel sein soll. Ist in 15 min eingerichtet und erfordert danach nur die Eingabe des PW. Den keyring auf verschiedenen Geraten speichern und gut ist. Andere Personen einzubeziehen wäre mir zu unsicher. Und Biometrie ist zu leicht manipulierbar wie schon mehrfach bewiesen.
Auch wenn ich ein Verfechter von GPG bin, ist die Sache für die meisten meiner Freunde zu kompliziert. Und im Prinzip haben diese auch Recht, denn sie kommen meist alle paar Monate mit einem Rechner, der “nicht geht” zu mir…
Ich richte mittlerweile nur noch Linux Desktops ein, reinstalliere kein Windows System mehr. Admin Passwörter werden bei mir sicher hinterlegt, damit keine schädlichen Plugins “mal eben” nachinstalliert werden, weil das eine Website fordert. Damit ist auch Ruhe für ein paar Jahre, zumal die meisten ihre Rechner nur zum Surfen benutzen.
Einen PGP / GPG Key darauf zu speichern, halte ich trotzdem für fahrlässig. Es sind Systeme, die nur dafür verwendet werden, online zu gehen und somit allen (0-Day) Risiken ausgesetzt sind. Ich würde mir ein ähnliches System wünschen, wie Bitcoin Hardware Wallets, um deren Sicherheit sich der User keine Gedanken machen muss. Den private Key kann man zur Not gesplittet bei verschiedenen Notaren hinterlegen…
Man kann leider kein (offline) Paper Wallet anlegen wie beim Bitcoin, denn man will seine Mails signieren (und entschlüsseln).
Wo ist das Problem an einem Passwort? Man nehme einfach eine x-beliebige billige Mensakarte. Was ein beknackter Post.. die ganzen Lösungen gibts schon längst und billig.
Investiert lieber in den Ber Flughafen, vielleicht wir der unnütze Mist da dann mal schneller aufgegeben und wieder abgerissen.
Die Anforderung einen Schlüssel in 3 Bruchstücke zu zerlegen, und dass dann beliebige 2 Bruchstücke ausreichen, um das Schloß aufzusperren finde ich eine geniale Idee. Warum?
Menschen sind sterblich (!), aber wollen meist, dass ihre Nachkommen dennoch ihre vererbte Schatzkiste aufsperren können. Auch nachdem ich tot bin und es keine biometrischen Daten mehr von mir gibt. Trotzdem ist dann immer noch das 4-Augenprinzip fürs Aufsperren gewahrt.
Leider: Gerade dieses Feature ist im 4. Bild der kleinen Präsentation nicht erkennbar.
Zugegeben: Für Emails ist das Verfahren nicht praktikabel, für größere Bitcoin-Schätze aber schon.
Das Problem bei Otto Normalo besteht darin, dass für die Verschlüsselung von Mails extra Gebühren fällig werden. Würde ich meine Mails verschlüsseln wollen, müsste ich meine Mail-Adresse ändern, da (laut Provider) eine nachträgliche Installation der Verschlüsselung auf meinem Postfach nicht möglich ist. Außerdem müsste ich mich davon überzeugen, dass alle meine Bekannten usw. diese Verschlüsselung (und nicht etwa eine andere) verwenden um Mails auszutauschen. Es ist zu umständlich!! Eine einheitliche Verschlüsselung wiederum wäre hackbar…..
Das Problem ist, dass die meisten Menschen keine Ahnung von Verschlüsselung haben.
Für (die wohl sicherste) Verschlüsselung mittels PGP / GPG fallen keinerlei Gebühren an und man kann sie mit jedem Postfach nutzen. Verschlüsselt und entschlüsselt werden Nachrichten lokal auf dem Rechner oder Smartphone und der verschlüsselte Code wie eine herkömmliche Nachricht übertragen. Gibt es alles als Plugin für Windows Clients wie z.B. https://www.gpg4win.org/ oder als Browser Extensions wie z.B. https://chrome.google.com/webstore/detail/mailvelope/kajibbejlbohfaggdiogboambcijhkke oder auch als Stand-Alone Clients. PGP / GPG ist ein Standard, den es praktisch für jedes Betriebssystem gibt und bis heute ungeknackt ist (sichere Schlüsselgenerierung vorausgesetzt).
Daher kann ich ein Projekt, welches Verschlüsselung den Massen näher bringt, nur gutheißen.