Als Reaktion auf Terror: Auch die EU möchte eine Backdoor in Ende-zu-Ende-Verschlüsselung
Europäische Flagge. Bild von Rock Cohen via flickr.com. Lizenz: Creative Commons
Nachdem einige islamistische Wahnsinnige in Europa Terror verbreitet haben, möchte die EU zurückschlagen. Eine geplante Resolution zu Verschlüsselung wird aber vor allem die Datensicherheit der anständigen Bürger beschädigen.
Immer wieder dasselbe: Auf die Idiotie folgt die Idiotie. Und danach legen die Idioten erst richtig los. Ich muss gestehen, ich bin am Verzweifeln, und daher ist dieser Beitrag ziemlich subjektiv und meinungsgeladen und unter einer gewissen Perspektive auch polemisch.
Also: In Frankreich meint ein hirnamputierter Vollpfosten, er würde einen Gott heiligen, indem er einem französischen Lehrer den Kopf abschneidet. Anstatt das als das zu verurteilen, was es ist – ein Mord und ein Verstoß gegen die Gebote aller Religionen, insbesondere gegen das fünfte der zehn Gebote, die der Gott der Juden, Christen und Muslime in Gestalt eines brennnenden Dornenbusches verkündet hat – meinen einige nicht weniger bekloppte Anhänger derselben Religion, dem Vollpfosten nacheifern zu müssen. Es kommt zu einem weiteren Anschlag in Frankreich, bei dem der Attentäter aber nicht nur Irrsinn, sondern auch Inkompetenz demonstriert, indem er es nicht schafft, seinem Opfer wie gewünscht den Kopf abzuschneiden. Kurz darauf folgt ein weiterer Anschlag, diesmal in Wien.
Und all das deswegen, weil der liebe Gott bzw. sein heiliger Prophet von einem Karikaturisten verhöhnt wurde? Was zum Teufel denken die Deppen denn von ihrem Gott? Dass ER eine totale Mimose ist, weder fähig, selbst zu entscheiden, wann er beleidigt ist, noch eigenmächtig Vergeltung zu üben? Dass ER die Welt erschaffen hat, mit all dem Guten und Bösen und Wundervollen, dass er seit 6 Milliarden Jahren zuschaut, wie aus Steinen organische Materie und daraus Bakterien, Tiere und schließlich Menschen wurden, wie viele Milliarden von Menschen im Lauf der Jahrtausende geboren werden und verrecken und dazwischen sündigen und fluchen und morden und rauben – und dann soll es dieser weise, starke, geduldige und milde Gott nicht ertragen, wenn ein französischer Zeichner eine Karikatur eines seiner Propheten macht, und auf die Hilfe eines Idioten angewiesen sein, der einem Lehrer den Kopf abschneidet, weil dieser die Karikatur verbreitet hat? Echt? Wie respektlos kann man eigentlich zu seinem eigenen Gott sein?
Europa darf meiner Meinung nach an der Stelle keinerlei Toleranz mehr zeigen und muss sich voll und ganz auf die Seite von Macron, einem Gott der zehn Gebote, einer Religion der Liebe und einem Bekenntnis zur Aufklärung stellen. All diese Werte sind nicht verhandelbar. Demonstrationen, die sich mit einem Mörder solidarisieren und gegen sein Opfer und gegen die Meinungsfreiheit protestieren, sollten verboten werden; Vereine, die zu ihnen aufrufen, sollten ebenso behandelt werden wie Neonazi-Gruppierungen; nahöstliche Staatsführer, die nicht den Mörder, sondern Präsident Macron wahnsinnig nennen, gehören mit allen Mitteln boykottiert. Was natürlich nicht bedeutet, dass Europa nicht versuchen sollte, Einwanderer mit muslimischem Glauben respektvoll zu behandeln, ihre Gefühle zu achten und ihre Lebenschancen so weit wie möglich zu steigern.
Aber leider reagiert Europa – bzw. die EU – auf die Idiotie offenbar vor allem mit einer weiteren Idiotie: Sie liebäugelt mit einer Maßnahme, die den Terroristen überhaupt nicht schadet – sondern nur den ehrlichen Bürgern. Wie der ORF berichtet, hat der EU-Ministerrat im Eilmarsch eine Resolution beschlussfertig gemacht, die Ende-zu-Ende-Verschlüsselung in Apps wie WhatsApp oder Signal verbietet bzw. durch eine verpflichtende Backdoor unterläuft.
Dies gehe auf ein Dokument der deutschen Ratspräsidentschaft vom 6. November zurück, das dem ORF vorliege. Dieses reagiert auf die Anschläge von Wien und Frankreich mit „weiteren Schritten gegen den Terrorismus“, welche in einer Videokonferenz der Innen- und Justizminister Anfang Dezember verabschiedet werden sollen. Offenbar hat der Rat auch schon über die Resolution abgestimmt, im Lauf des Novembers soll sie durch weitere Gremien und Arbeitsgruppen gehen.
Laut dem Dokument soll die EU sicherstellen, dass „kompetente Behörden für Sicherheit und Kriminaljustiz, etwa die Polizei und Staatsanwälte, ihre legalen Kompetenzen ausführen, sowohl online als auch offline.“ Dies macht die mehr und mehr verwendete Ende-zu-Ende-Verschlüsselung (E2E) schwierig, da sie Nachrichten so verschlüsselt, dass ausschließlich der Empfänger sie entziffern kann. Für die Strafverfolger ist der „Inhalt der Kommunikation praktisch unmöglich zugänglich zu machen.“ Daher möchte die EU und ihre Behörden mit den Tech-Konzernen zusammenarbeiten, um die zu verabschiedende Bestimmung durchzusetzen, dass „kompetente Behörden die Möglichkeit haben, gesetzmäßigen Zugang zu relevanten Daten zu erhalten.“
Mit anderen Worten: Die EU möchte eine Backdoor. Eine solche Idee ist nicht eben ein Zeugnis der Geistesschärfe des Rates. Es wäre ja irgendwie noch diskutabel, wenn man tatsächlich den Datenschutz der Bürger dafür opfern würde, um Terror – oder meinetwegen Kriminalität – zu verhindern. Aber so ist es nicht. Die Backdoor bringt aller Wahrscheinlichkeit nach nichts, sondern schadet nur.
Terroristen sind zwar Idioten, aber in ihrem Gewerbe nicht blöd. Wenn Signal oder WhatsApp oder Telegram nicht mehr verschlüsseln dürfen, benutzen sie andere Apps oder Programme; diese wird es immer geben, und wer wirklich etwas verbergen MUSS – meistens Terroristen oder Kriminelle eben – der wird das auch weiterhin können. Die Technologie ist aus der Flasche entströmt, es gibt keinen Weg zurück. Wer Infos stark verschlüsseln will, kann das, und wer versucht, gegen eine Technologie anzukämpfen, die schon so weit verbreitet ist wie die Kryptographie, wird keinen Erfolg haben, sondern nur verbrannte Erde hinterlassen.
Wenn die EU die E2E-Verschlüsselung bei WhatsApp, Signal, Telegram und so weiter unterminiert, indem sie eine Backdoor einführt, schadet das den ehrlichen, gesetzestreuen Bürgern: Erstens verletzt sie deren Recht auf den Datenschutz, auch vor den europäischen Behörden. Zweitens gefährdet sie deren Datensicherheit enorm, da eine Backdoor im Falle eines Hacks immer auch von den Bösen verwendet werden kann. Und dies dafür, um im Kampf gegen den Terror vermutlich gar nichts zu erreichen.
Ohnehin scheint der Verweis auf die Anschläge in Österreich und Frankreich lediglich ein zynischer Vorwand zu sein. Denn es scheint sich um einen weltweiten Trend zu handeln, E2E-Verschlüsselung als Problem zu halten. Australien pirschte schon vor einigen Jahren mit einem entsprechenden Gesetz vor. Vor kurzem folgte die USA mit einer Erklärung, an der neben Australien auch Großbritannien, Neuseeland, Kanada und Indien beteiligt war. In dieser Erklärung war auch zu lesen, dass die EU ähnliches vorhabe und beabsichtige. Die Resolution war also vermutlich schon geplant und mit anderen Mächten abgesprochen. Die Anschläge der letzten Wochen haben wohl lediglich den passenden Zeitpunkt abgegeben.
Damit verschärft sich eine globale Tendenz zum Kampf gegen Verschlüsselung. Der „Krypto-Krieg“ geht in eine neue Runde. Kryptowährungen sind darin indirekt involviert. So sind ihre User oft Cypherpunks und damit Anhänger der Verschlüsselung. Zudem erlauben Blockchains wie Ethereum, EOS, Bitcoin SV und andere es, Nachrichten Ende-zu-Ende-verschlüsselt zu übertragen, wie dies auch eine App für das Lightning-Netzwerk erlaubt. Und schließlich gibt es auch Kryptowährungen wie Monero oder Zcash, die faktisch eine Ende-zu-Ende-verschlüsselte Übertragung von Werten erlauben. Wie auch Bitcoin mit dem Lightning-Netzwerk oder mit CoinJoin-artigen Mixern. Wenn die Regierungen dieser Welt es nicht zulassen, dass Nachrichten Ende-zu-Ende-verschlüsselt werden – werden sie dann zulassen, dass Geld auf diese Weise übertragen wird?
Die Regierungen gehen schon jetzt gegen Privacy-Coins wie Monero vor. Dementsprechend schlecht sieht es um Börsen für Privacy-Coins aus. Srbst Shape-Shift hat gerade Monero delisted: https://www.reddit.com/r/Monero/comments/jpgkbi/the_next_one_shapeshift_quietly_delists_monero/
KYC und AML gibt es bei Shape-Shift schon lange.
Die Erfolge der EU gegen Verschlüsselung werden wohl so erfolgreich sein wie der „War on drugs“. Wie illegale Drogen wird es auch weiterhin Privacy-Coins geben. Nur hat man es als normaler Mensch einfacher, wenn man sie nicht benutzt.
Shapeshift hat sich damit noch weiter in die Irrelevanz bewegt. Was hat Shapeshift mal ausgemacht? Man konnte ohne Account Coins swappen. Ich meine irgendwo gelesen zu haben, dass sie seit KYC über 90% des Volumens verloren haben, zu Recht, denn selbst große Börsen wie Binance, Kraken oder Bitfinex verlangen das vollständige Entblößen erst ab höheren Beträgen, solange kein Fiat im Spiel ist.
Erik Voorhees ist feige, obwohl er sich als Freiheitskämpfer darstellt. Er traut sich noch nicht einmal, das Delisting von Zcash, Dash und Monero irgendwo anzukündigen, sondern hoffte, dass es keiner merkt. Auf Nachfragen reagiert er nicht…
https://twitter.com/janowitz/status/1325052757523488768
Paul J. hat es auf btc-echo geschafft!
https://www.btc-echo.de/hacker-offenbart-ip-adressen-und-erotische-vorlieben-von-monero-holdern/
Sorry passt nicht wirklich hier rein müsste aber sein.
> werden sie dann zulassen, dass Geld auf diese Weise übertragen wird?
Bring it on! Macht aber das Kraut auch nicht mehr fetter. Phase 2 „Black Market“: https://github.com/libbitcoin/libbitcoin-system/wiki/Other-Means-Principle
(Shitcoins sind natürlich nicht dagegen resistent.)
Vielen Dank für den Beitrag, Christoph! Es ist eines der wichtigsten Themen der Digitalisierung und jegliche involvierten Politiker / Parteien, die dem zustimmen sind eigentlich unwählbar und wir sollten ihnen das bewusst machen. Ein paar Jahrzehnte her ist man noch wegen einer Volkszählung auf die Barrikaden gegangen, heute kümmert sich keiner mehr um tatsächliche Einschränkungen seiner Grundrechte. Das Briefgeheimnis und die Unverletzlichkeit der Wohnung wurden nicht zum Spaß ins Grundgesetz gepackt.
Das vorliegende Paper ist ein Schlag ins Gesicht, denn der erste Satz ist:
Um dann auszuholen… Das hört sich ziemlich ähnlich an, wie „Ich bin ja kein Nazi, AAAAABER…“ und was dann kommt ist meist genauso stupide wie dieses Gesetzesvorhaben.
Eine Verschlüsselung mit Backdoors ist keine Verschlüsselung, da gibt es keinen Raum für Kompromisse. Wie Du schon geschrieben hast, ist die Technologie lange als Open Source verfügbar und wenn Terroristen kein Whatsapp mehr nutzen können/wollen, weil dies eine Backdoor enthält, dann werden sie auf OTR Messaging über z.B. Jabber umsteigen, vielleicht weniger fancy, aber erfüllt den gewünschten Zweck. Strafverfolger sind auch nur Menschen und man kann sich vorstellen, wie viele davon ihrem eigenem Voyeurismus verfallen um den Nachbarn auszuspähen, wozu es teilweise auch verheerende Statistiken gibt. Eine Backdoor wird auch früher oder später öffentlich und könnte verheerende Folgen haben.
Der Kampf gegen Verschlüsselung ist die neue Vorratsdatenspeicherung, der höchstrichterlich alle paar Jahre gekippt wird, worauf es eine Umbenennung gibt, die dann wieder beschlossen und schließlich gekippt wird. So weit sollte es aber nicht kommen, wir können uns nicht darauf verlassen, dass Verfassungsrichter in letzter Instanz einen Riegel vorschieben. Ich werde jedenfalls Politiker in meinem Wahlkreis anschreiben und ihnen versuchen zu erklären, warum sie sich unwählbar machen, sollten sie dieses Vorhaben unterstützen.
Hier wird etwas heisser gekocht als gegessen. Das Papier ist ein Vorschlag, der so sowieso nie umgesetzt werden wird.
Siehe unter anderem hier:
https://youtu.be/6ob6PP1wOwA?t=2775
Das Video ist eine 1-stündige Pressekonferenz zu Corona, Versammlungsfreiheit und mehr. Wäre schön, wenn du eine Zeitmarke hättest, so dass man es sich nicht ganz anhören muss.
Und nach all dem, was weltweit passiert, siehe etwa Australien oder die „Five Eyes“, denke ich nicht, dass ein Satz eines Pressesprechers der Bundesregierung ausreicht, um den Vorschlag zu aufzuhalten. Vielleicht kurzfristig, aber sicherlich nicht langfristig.
Danke für den Link, um Verschlüsselung geht es ca. bei Minute 46 los. „Alter“ behauptet zwar, es gehe nicht um einen Generalschlüssel, aber nichts dazu, um was es geht, er bejaht ja ausdrücklich, dass entsprechende Behörden Zugriff haben sollten und das Papier „Gespräche“ mit den Anbietern anregen sollen. Klingt sehr plausibel, einen Gesetzentwurf zu erstellen, um mit jemandem zu sprechen.
Wie gesagt, es gibt keine sichere Verschlüsselung, bei der „Einzelne Dienste“ selektiv trotzdem Zugriff haben. Entweder ist die Verschlüsselung sicher oder sie ist es nicht, dazwischen ist kein Spielraum. Wahrscheinlich ist, dass man Dienste dazu zwingen will, die Verschlüsselung für einzelne Nutzer auf welche Art auch immer, auszuhebeln ohne diese darüber zu informieren. In der EU mit all ihren Mitgliedsländern gäbe es also mit Sicherheit mehr als 100 solcher weisungsbefugter Behörden, dazu kommen ganz sicher noch die USA, Australien, Kanada, Großbritannien und wer noch? Wenn Apps mit solchen Ausnahmen anfangen, klopft auch China und Russland schnell an und wie weit soll die Befugnis gehen? Aus eigener Erfahrung kann ich sagen, dass die Polizei und Staatsanwaltschaft ziemlich großzügig mit solchen Befugnissen umgeht und selbst bei kleinsten vermuteten Delikten von größtmöglichen Einschränkungen der Freiheiten Gebrauch macht, oft sogar gerichtlich durchgewunken, da man sich mit Einzelfällen im Detail nicht auseinandersetzen kann oder will, da die Justiz notorisch überlastet ist. So kann eine gefälschte, nicht erfolgte (da erkannte) Überweisung mit jemandem als Empfänger bei diesem schon mal zu einer Hausdurchsuchung führen. In Deutschland. Wie sieht es mit den anderen Mitgliedsstaaten aus, die die Rechtsstaatlichkeit nachweislich unterwandern? Ungarn? Polen?
Reicht es, wenn ich mit einem „Gefährder“ in einer Telegram Gruppe bin, um selbst überwacht zu werden? Reicht es vielleicht, wenn ich mich kritisch zu Orban oder Kaczynski äußere?
Sorry ich hatte soweit ich weiss den YT link mit Zeitangabe kopiert. Keine Ahnung ob ich was falsch gemacht habe oder es hier nicht funktioniert.
Hier auch noch etwas Relativierung: https://twitter.com/JoeUchill/status/1325565498491277312
Ganz ehrlich finde ich Relativierung dabei unangebracht, es ist aus meiner Sicht eher die Auslotung einer Schmerzgrenze, genauso wie bei der Vorratsdatenspeicherung bisher jedes Mal. Man schafft erstmal Fakten, bis diese dann durch Verfassungsgerichte gestutzt / gekippt werden und tastet sich immer weiter vor.
Einige dürften sich noch an die Klarnamenpflicht erinnern, deren Debatte noch nicht allzu lange her ist und falls es keinen lauten Aufschrei gegeben hätte, dürfte sie auch beschlossen werden, ist ja eigentlich „logisch“. Betrifft mich (hier) zwar nicht, da ich ohne Pflicht meinen Klarnamen nutze, aber das mache ich bewusst.
Mein Schluss wäre, dass verschlüsseltes Messaging auf Dauer nur dezentral gelingen kann. Der neue Messanger „secrets“ von Society2 könnte in diese Richtung gehen.
https://society2.com/secrets/
du weißt doch genau dass da noch der coordinator habt und trotzdem shillst du euren scheiß
and don’t get me started warum man überhaupt ein globales konsenssystem für ’nen messenger braucht.
alles nur um eure bags zu pumpen
Ich würde auch absolut einen Bitcoin-Messanger befürworten. Hast du irgendeine Hoffnung, dass es einen solchen in Zukunft geben könnte. Einen, der das Potenzial hat, zu skalieren und der verschlüsselte Kommunikation zulässt? Wird überhaupt an der Lösung des Problems verschlüsselter Kommunikation gearbeitet? Wenn ja, würde mich das sehr interessieren. Ich warte auf eine sachlich fundierte Antwort.
Für sichere E2E Verschlüsselung ist das übertragende Medium tatsächlich irrelevant, ich würde bei der Selektion eher auf Effizienz schauen, bei der egal welche DLT Technologie nie mit zentralen Services mithalten kann. Das ist ja gerade das tolle an E2E Verschlüsselung, dass man sich nicht darum kümmern muss, ob das Medium der Übertragung kompromittiert ist. Man kann seine sicher verschlüsselten Backups im Usenet posten oder z.B. auf Google Drive lagern, solange man die Verschlüsselung lokal vornimmt. Letzteres eignet sich übrigens hervorragend für allerlei Backups, da man mit eigener Domain tatsächlich unbegrenzten Speicherplatz für etwas mehr als 10€ monatlich bekommt und ich spreche aus Erfahrung, da mein Nutzerkonto bereits über 10TB überschritten hat.
Prinzipiell freue ich mich über jegliche Bestrebungen in diese Richtung und vielleicht ergibt es irgendeinen Sinn, um z.B. für die Authentifizierung IOTA zu nutzen. Für die Datenübertragung imho eher nicht, da der Overhead einfach zu groß ist und sich effizienter lösen lässt. Bei der Zensurresistenz könnte das vielleicht noch eine Rolle spielen, aber ich befürchte Bitcoin und alle anderen zensurresistenten Projekte haben dabei schlechtere Chancen als eine schnöde Amazon oder Google Cloud. Wenn man für die Nachrichtenverschlüsselung statische Schlüssel verwendet, verliert man aber auch die plausible Abstreitbarkeit von OTR, bei Signal noch weiterentwickelt. Ich habe mir das Protokoll jetzt nicht angesehen, aber vermute, dass es diesbezüglich kaum mithalten kann…
Für die Zensurresistenz werden in naher Zukunft wahrscheinlich „Pluggable Transports“, bekannt von Tor und I2p wahrscheinlich eine immer größere Rolle spielen. Damit lässt man einen beliebigen Datenstrom wie HTTP / Skype / Videostream aussehen, die nicht der Kryptographie sondern der Stenographie zugeordnet werden können. Man verschlüsselt also eine Nachricht und tarnt sie anschließend als etwas, das die Verschlüsselung nicht direkt sichtbar macht. Solche Methoden sind heute z.B. in China notwendig, wenn man ein zensurfreies Internet genießen möchte um bei Facebook sein Mittagessen mit der restlichen Welt zu teilen 😉
*Steganographie, die Autokorrektur war noch nie mein Freund.
Gute Messenger mit sicherer Verschlüsselung etc gibt’s schon lang, und brauchen auch keine Blockchain oder einen Tanlge, benutzt halt nur niemand. Netzwerkeffekte von Whatsapp und co.
> Ich würde auch absolut einen Bitcoin-Messanger befürworten.
Es gibt einen auf Lightning ja, aber bewerte ich nur als Spielerei. Sowas ist meisten Anreiz-inkompatibel.
Das Problem verschlüsselter Kommunikation ist komplex, und es kommt auf dein Threat Model an, eine allgemeine Lösung gibt es nicht.
Signal z.B. wär wohl noch am benutzerfreundlichsten, aber schützt nicht die Metadaten.
„We kill people based on metadata.“—Michael Hayden
Signal versucht das zu verbessern mit Hashen der Kontakte etc, aber das bringt nich viel, gibt ja auch Verbindungsdaten, d.h., wenn dann Messenger, die auch Onion Routing machen (Briar, Ricochet,…). und selbst das ist anfällig. Bräucht eigentlich noch ne Mixnet-Komponente (katzenpost) und und und.
>> In particular we are interested in developing mix network based communications systems that can be used by everyone to hide these kinds of communications metadata:
>>
>> geographic location
>>
>> message sender
>>
>> message receiver
>>
>> message sent time
>>
>> message receive time
>>
>> message size
>>
>> ordering of messages
>>
>> frequency of sent messages
>>
>> frequency of received messages
Da sieht man mal was man da alles beachten muss.
Und wenn man auch Anrufe machen will dann macht man wieder ein ganz anderes weiteres Fass auf.
Bitmessage (nur von Bitcoin „inspiriert“, läuft nicht über’s Bitcoin-Netzwerk) war/ist ein Messenger, der konzeptionell am sichersten und Metadaten-resistentesten ist, aber hatte schon krasse Lücken/Vorfälle und wird nicht gut/oft auditiert. Außerdem für den Alltagsgebrauch viel zu heavy, alles wird an alle gesendet. Aber wenn’s vernünftig implementiert und audited wäre, dann wär es das, was man in einem Snowden-Szenario empfehlen müsste.
> Wenn ja, würde mich das sehr interessieren.
Zeig doch mal einen Link, wo du dich bereits für Free Software / Open Source / Dezentralisierung / Peer-to-Peer / Verschlüsselung / Privacy / Hacktivismus / was auch immer in dem Bereich bereits eingesetzt oder zumindest interessiert hast, bevor du deine Bags hattest.
Wirklich traurig mit anzusehen, wie diese negative Entwicklung immer weiter voranschreitet. Ich kann Euch empfehlen mal bei incognito.org vorbeizuschauen. Incognito ermöglicht es alle Coins wie BTC, ETH etc. durch eine Second Layer Lösung zu Privacy Coins zu machen. Des Weiteren gibt es eine dezentrale Exchange, wo ihr auch XMR usw. ohne KYC erwerben könnt.
Wir haben ein Staatssystem und eine Staatsbürokratie mit denkbar schlechtestem Wirkungsgrad allerzeiten. Es verschlingt Unsummen an fremden Eigentum. Hayek, Mieses, Baader und Co haben dies kommen sehen.