LNP368 Nicht vergessen: Freitag, Anschlag!

Angriff auf Ende-zu-Ende-Verschlüsselung — Biometrie-Kampagne — Frag den Staat — rC3

Heute eine kompakte Sendung mit wenig Themen. Dafür nehmen wir uns etwas mehr Zeit ausgelöst durch neue Verbotsversuche das Wesen der Ende-zu-Ende-Verschlüsselung zu erläutern. Außerdem reden wir über eine Kampagne zum Verbot der massenhaften Gesichtserkennung und sprechen üben den jüngsten Erfolg des Frag-den-Staat-Projekts.

Dauer: 1:07:13

On Air
avatar Linus Neumann Paypal Icon Bitcoin Icon Amazon Wishlist Icon
avatar Tim Pritlove Paypal Icon Bitcoin Icon Liberapay Icon Amazon Wishlist Icon

Angriff auf Verschlüsselung

Leak aus dem Ministerrat

Vortrag zu De-Mail

Berichterstattung & Kommentare

Biometrie-Kampagne

Frag den Staat: Glyphosat-Gutachten

rC3

40 Gedanken zu „LNP368 Nicht vergessen: Freitag, Anschlag!

  1. ein paar Links zu eurem Clip “Wahlen in USA”

    Das Justziz- und Gefängnisssytem in USA und wie Joe Biden mithalf:

    https://en.wikipedia.org/wiki/Violent_Crime_Control_and_Law_Enforcement_Act

    https://en.wikipedia.org/wiki/Incarceration_in_the_United_States

    https://en.wikipedia.org/wiki/Prison%E2%80%93industrial_complex

    arte: USA – Die Dollardemokratie:

    https://www.youtube.com/watch?v=-JRAotDftBo

    DW: How poor people survive in the USA:

    https://www.youtube.com/watch?v=JHDkALRz5Rk

    UN: 18,5 million in USA live in Extreme poverty (250 $ oder weniger pro Monat)

    https://en.wikipedia.org/wiki/Extreme_poverty

    https://www.livescience.com/diseases-despair-rising-us.html

    Obdachlosigkeit in USA:

    https://en.wikipedia.org/wiki/Homelessness_in_the_United_States#2001%E2%80%932020

    In San Francisco ist es besonders schlimm. Dort, wie auch in Kalifornien haben die Demokraten eine Super Majority. Nanci Pelosi, Parteivorsitzende und Senatorin von Kalifornien hat ihren Wahlbezirk in SF.

    alte und neue Kabinette der Demokraten:

    https://inthesetimes.com/article/joe-biden-department-of-defense-pentagon-transition-team-weapons-industry-military

    https://www.wsws.org/en/articles/2016/10/15/wiki-o15.html

    https://buffalochronicle.com/2020/11/07/mitt-romney-has-been-asked-to-lead-health-and-human-services-in-biden-administration/

    https://twitter.com/foe_us/status/1326168277895274497

    Joe Biden über Green New Deal:

    https://youtu.be/nDo0Xb8OhZE?t=16

    Drogen und Waffen:

    https://en.wikipedia.org/wiki/Opioid_epidemic_in_the_United_States

    https://www.gunviolencearchive.org/

    ein Vorgeschmack, was US-Bürgern bei einem Bankrott wegen Covid droht:

    https://www.gq.com/story/joe-biden-bankruptcy-bill

    Biden war Senator in Delaware, dem Steuerhafen der USA, wo große Kreditkartenfirmen sitzen.

    • Ich kann mich dem nur anschließen. Biden steht wie kaum ein anderer für die Politik, die Trump letztlich hervorgebracht hat. Und zu dieser “guten, alten Zeit” möchte er jetzt gerne wieder zurückkehren. Wenn er diesen Instinkt nicht hinter sich lässt und in den nächsten Jahren wirklich etwas positives für die breite Bevölkerung bewegt, wird bei der nächsten Wahl der nächste Hetzer kommen und gegen ihn gewinnen. Trumps 70 Millionen Wähler sind ja nicht einfach weg. Aus meiner Sicht hätte Biden ohne Pandemie und Wirtschaftseinbruch schon dieses Jahr keine Chance gehabt.

      Bei aller verständlicher Erleichterung über nun hoffentlich wieder “normale Zustände”: Die Mobilisierung vieler neuer Wähler und Aktivisten, der vielleicht einzig positive Effekt von Trumps Amtszeit, dürfen nicht durch ein Narrativ von “nun ist endlich wieder alles Gut” verspielt werden, das Probleme wieder öfter ignoriert. Zum Thema “international law”, das Tim erwähnt hat, sei hier etwa Obamas Drohnenkrieg erwähnt. Internationales Recht interessiert die USA schon seit jeher nur sehr bedingt. Und ob Biden für Assange gut ist, wird sich auch zeigen. Zu Beginn der ganzen Saga war er jedenfalls geneigt, ihn als “high-tech terrorist” zu bewerten. Insofern muss es für progressive Kräfte darum gehen, die nächsten vier Jahre Bidens Füße ans Feuer zu halten, damit er Politik macht, die die großen Probleme des Landes und der Welt tatsächlich angeht. Dazu könnt ihr mit eurem Einfluss auf die öffentliche Wahrnehmung der kommenden Administration im Ausland einen kleinen Beitrag leisten.

  2. Ich möchte Linus’ Spruch gern etwas verschärfen:

    Das ist nicht der Kampf um die Ende-Zu-Ende Verschlüsselung, dass ist der Kampf um das Ende der Verschlüsselung!

  3. Zum Thema Bundestrojaner per Softwareupdate:

    Ich bin Informatikstudent und kenne mich daher mit Programmieren und so nicht so aus, deswegen die Frage: Wie wenig illegal wäre denn eine App, die aktuelle Builds von gängigen Kommunikations-Apps mit denen auf dem eigenen Smartphone bitweise vergleicht? Auch einfach um noch mal zu überprüfen, ob man wirklich mit der aktuellen version arbeitet.

    Kann mir zwar schon vorstellen, dass das bei iOS rechtetechnisch problematisch ist und ich kenne jetzt auch nicht so viele Terroristen, aber die, die ich mal in der Kneipe oder über Tinder getroffen habe benutzen sowieso gejailbreakte Android-Geräte.

  4. Sehr gute Folge. 10 von 10 Sternen.

    Ob nun der alte Mann etwas in den USA verbessern wird, wird die Zeit zeigen. Ich wünsche ihm Kraft aber mit 78 Jahren ist er dem Sensemann nah.

    Zum Hauptthema:

    Es ist doch unvollstellbar, daß folgendes passieren könnte:
    Stellt euch vor, es ist Cyberpandemie (irgendein Cybervirus befällt Kraftwerke, Krankenhäuser, Lebensmittelfabriken, etc.). Die Regierung erlässt Verordnungen. Diese sollen die Cyberpandemie stoppen.
    Und dann:
    Eine Behörde kommt zum Linus (Behörde hat erfahren dass er etwas mit Computern macht) und nimmt all seine digitalen Spielzeuge weg um nach Viren zu suchen (einen Richtervorbehalt gibt es nicht). Der Test dauert zwei,drei Tage. Werden Viren gefunden, so löscht die Behörde diese und gibt ihm die Sachen nach zwei Wochen zurück. Wird nichts gefunden, erhält er sein Spielzeug nach 14 Tagen wieder. Natürlich darf er in der Zwischenzeit keine anderen digitalen Spielzeuge benutzen noch Kontakt zu seinen Cyberfreunden suchen. Selbstverständlich wird bei diesem Test kein Abbild seiner Daten gespeichert. Es wird nur auf Viren überprüft.

    Tim und seinen Cyberfreunden wird vorgeschrieben ihr Computergedöns für die Dauer der Cyberpandemie nur noch von 10 bis 16 Uhr benutzen zu dürfen. Dabei dürfen sie nur einen Kern mit halben Takt verwenden und ihr Internet wird auf halbe Geschwindigkeit reduziert. Das soll dazu dienen die Ausbreitung des Viruses zu verlangsamen.
    Tim findet die Regeln (zähneknirschend) gut und hält sich daran. Trotzdem erlässt nach einigen Wochen der Staat eine Verordnung die ihnen für vier Wochen verbietet das Computerzeugs komplett zu nutzen. Sie sind ihrer Erwerbsgrundlage beraubt.

    Warum sollte der Staat sich auf eine solche Cyberpandemie nicht vorbereiten dürfen? Wie soll der Staat die Regeln in der Cyberpandemie durchsetzen, wenn es keinen Zugriff auf die verschlüsselten Nachrichten und Daten der Bevölkerung gibt? Wie sollen Kontaktverbote zwischen cyberaffinen Menschen ohne entsprechende Werkzeuge durchgesetzt werden? Und die wichtigste Frage ist: wie komme ich auf all diese Ideen?

    • Und dann kommt es noch schlimmer: Wenn die Cyberpandemie nicht weggeht, müssen härtere Maßnahmen her, die laschen Maßnahmen haben ja nichts gebracht. Wenn sie aber weggeht (oder nicht so schlimm wird), dann waren sie wohl gerade so ausreichend. Aber für die nächste Welle brauchen wir härtere Maßnahmen.

      Aber nicht alles was hinkt, ist auch ein Vergleich:
      Immerhin soll es ja Pandemien geben, bei denen man die Auswirkungen von Maßnahmen vergleichen kann, weil Hintertupfistan sie nicht (oder härter) hat und andere Erfolge damit erzielt.
      Die durch “Maßnahmen” verhinderten Fälle, die man bei Terrorpandemien zeigen könnte, konnte halt noch niemand aus dem Hut zaubern.

  5. “kompromittierte Ende-zu-Ende Verschlüsselung heißt nie wieder Dickpics ohne an Horst Seehofer zu denken”

    Das sollte die Massen mobilisieren.

  6. kleine Anmerkung zu “Angriff auf Ende-zu-Ende-Verschlüsselung”:

    Ende-zu-Ende-Verschlüsselung sollte im Privatbereich erste Wahl sein, egal was Mail, Messenger, Browser….

    Grenzen findet das Ganze da, wo Internetkommunikation vom Arbeitsplatz aus zu anderen Empfängern geht. Admins bzw. die Firewalls meines Arbeitgebers müssen die Möglichkeit haben in die Kommunikationsinhalte reinzuschauen, damit schädliche Dateien und Inhalte herausgefiltert werden können, um auch die nicht immer technisch so versierten Mitarbeiter zu schützen.
    Ich denke da z.B. an Mailkommunikation. PGP Schlüssel werden dann an der Firewall vom Unternehmen hinterlegt und so können Mails inhaltlich gescannt werden. Wenn sie nicht schädlich sind, werden sie weitergeleitet.

    • Da gebe ich Dir vollkommen Recht, es muss Grenzen geben!

      Grenzen, wo Dateien schädlich sind.
      Grenzen, wo Terroristen Atombombenpläne austauschen.
      Grenzen, wo kleine Kinder missbraucht werden.
      Grenzen, wo mein Nachbar sagt, dass ihm meine Frisur nicht gefällt.

      In Deinem Fall sollte vielleicht das Unternehmen keine Software einsetzen, die offen steht wie ein Scheunentor? Aber was weiss ich schon.

    • Wie Linus schon sagte, man will die Keys nicht rumliegen haben.
      Darauf haben die anbieter gar kein bock, das auch noch “abzusichern”.

      Deswegen bietet sich PFS=Perfect Forward Secrecy an.
      Für die Verbindung zu meiner Bank wird für jede Verbindung einfach einmal ein Key mittels DH ausgetauscht.
      Ansonsten würde es sich ja richtig lohnen den verschlüsselten Verkehr aufzuzeichnen und mit dem leak der Keys einfach mal rein zuschauen was so abging.

  7. Zum Glyphosat-Gutachten: Wenn ich Euch richtig verstehe, heißt das Urteil aber nicht, dass künftig das Urheberrecht nicht mehr als Zensurmittel verwendet werden könnte. Sondern nur, dass bei jedem Gutachten erstemal 45k Antragsteller das Gutachten erfragen müssen, bevor es dann veröffentlicht werden darf? Das halte ich leider für nicht mehr als einen Achtungserfolg :-(

  8. So, Wochenende, Corona-Zeiten, zuhause eingebunkert und die Zeit genutzt, um den Dauerauftrag an die Metaebene umzustellen und ein paar Takte an meine zuständigen EU Abgeordneten zu schicken bzgl. der Verschlüsselungsvorlage.

    Bei der Gelegenheit auch nochmal vielen Dank für Eure unermüdliche Arbeit!

  9. Die älteren unter uns werden sich vielleicht noch an die kryptischen Zahlensender während des kalten Krieges auf Kurzwelle erinnern (“Achtung! Fünnef-Drei-Vier-Neuen-Neuen Fünnef-Drei-Vier-Neuen-Neuen…”). Damals wusste man wenig über den Sender und gar nichts über den Empfänger der Nachrichten, da ja jeder Kurzwelle hören kann. Heute gibt es dafür NRPs (Number Relay Pages). Mit ein wenig Vorbereitung (One-Time-Pads erstellen und verteilen) und etwas händischer Fleissarbeit mit Spreizungstabellen nach Geheimagentenart kann man sich dann unbeobachtet über TOR mit seinen Kommunikationspartnern austauschen und der Heimat-Hotte schaut in die Röhre!

  10. Ein Aspekt, der mir in eurer Diskussion der Verschlüsselungsdiskussion gefehlt hat: Das gleiche inkompetente Polit-Pack, das seit nem halben Jahr offensichtlich nicht gewillt ist, geeignete Maßnahmen zu treffen um Zero COVID-19 zu erreichen, und es mutwillig in Kauf genommen hat, den Shutdown so lange hinauszuzögern (und im Bereich der Schulen *noch immer* hinauszögert!), dass wir mittlerweile in diesem Land jeden einzelnen Tag dreistellig Tote durch COVID-19 zu beklagen haben, und jeden einzelnen Tag fünfstellig Neuinfizierte (von denen ein beträchtlicher Anteil schwere gesundheitliche Langzeitschäden haben wird), maßt sich unter dem Vorwand “es ist zu eurer *Sicherheit*” an, uns Mathe verbieten zu wollen.

    Das exakt gleiche Pack übrigens, das sich seit 30 Jahren weigert, den Klimawandel endlich anzugehen, der uns sehr viel mehr kosten wird, als irgendwelche Terror-Oaschlöcher es jemals könnten.

  11. Hallo Linus,

    kannst/möchtest Du die aktuelle Debatte um openPGP/Enigmail und Thunderbird 78.4.3 kommentieren. Ich selber nutze das regelmäßig zur Verschlüsselung und bin gerade unsicher was da auf mich zukommt.

    LG
    Emma

    • Also offenbar unterstützt Thunderbird PGP jetzt nativ. Das sollte eigentlich eine positive Nachricht sein.
      Anscheinend sind aber einige Menschen unzufrieden, weil ihnen das alte Plugin besser gefallen hat.
      Soweit, so üblich :)

      Ich persönlich würde mich ja viel mehr über das katastrophale Thunderbird aufregen, so dass ich gar keine Energie hätte, mich über sowas auch noch aufzuregen ;-)

      • Okey, vielen Dank für die Antwort. Ich dachte mir auch, dass es eigentlich positiv ist, aber dann hab ich mitbekommen, dass einige Mailinglisten im Nerdumfeld explodiert sind (zugegeben auch soweit so üblich) und dachte ich muss mich mal genauer damit auseinander setzen.

  12. Hallo liebes Logbuch Netzpolitik Team!
    Ich finde Euer Engagement für E2E Verschlüsselung wichtig und richtig. Auch kann ich den meisten Eurer Argumenten zustimmen vor allem dem jenigen, dass sich die wirklich bösen Jungs und Mädels ja nicht davon abhalten lassen ihre Nachrichten weiter zu verschlüsseln …. allerdings habe ich eine kleine Einschränkung. Verschlüsselung und Datenschutz ist leider nicht unbeding ein Grundpfeiler der Digitalisierung. Es gibt genug Beispiele die zeigen, dass es auch ohne geht (zB.: Amateurfunk ==> Versclüsselungsverbot, aber aktive Community, China ==> Digitalisierung auf dem Vormarsch und der Staat kann alles lesen, aber auch Südkorea ==> Datenschutz kaum vorhanden, CoronaApp mit GPS-Bewegungsprofile, überall hängen Streamingameras, zentrales Register für Krankheiten, Patientenakte mit staatlichen Zugriff, usw und trotzdem ist Südkorea so digital, wie kaum ein anderes Land auf diesem Planeten, Hochgeschwindigkeits-WLAN in jedem Zug, auf jedem Hügel, usw). Insofern ist die Theorie keine Podcasts ohne Verschlüsselung schon etwas weit hergeholt. Aber trotzdem den Angriff auf die Ende zu Ende Verschlüsselung ist nichts was ich anstrebe. Ich denke, starker Datenschutz und Beschränkund der staatlichen Macht/des staatlichen Zugriffs ist ein hohes Gut, dass wir erhalten sollten.

    • Wie halten es die Südkoreander mit Identitätsschutz?
      Für mich ist der Datenschutz auch eine Art Identitätsschutz. Wenn alle meine Daten im Netz herumliegen, wie kann ich mich davor schützen dass jemand meine Identität klaut und damit Unsinn veranstaltet?
      Wie funktionieren diese Staaten und die Menschen die dort leben?

  13. Apple hat bereits heute eine Backdoor auf die iPhones und iPads ihrer Kunden. Einer der Gründe, warum ich nicht verstehe, dass die Geräte im CCC-Umfeld so populär sind.

          • Und selbst wenn man es aktiviert handelt es sich um eine Ende-zu-Ende-verschlüsselte Kommunikation zwischen den eigenen Geräten, wo die Position der Geräte nicht zentral gespeichert, sondern nur die Kommunikation der Geräte zur Positionsübermittlung untereinander zentral koordiniert wird.

          • Apple kann aus der Ferne iOS Geräte orten und löschen, also aus der Ferne Kommandos auf iOS Geräten ausführen. Wenn das keine Backdoor ist, was dann?

            Woher weiß ich, dass bei deaktivierter Einstellung Apple wirklich keine Möglichkeit mehr hat, Kommandos auf meinem iOS Gerät auszuführen?

            • Eine „Backdoor“ von Apple gegen mich könnte ich sicherlich nicht abschalten und sicherlich wäre sie auch nicht dokumentiert. Wenn das deine Definition von Backdoor ist, dann ist jedes Software Update eine.
              Ich werde nicht müde zu betonen: dem Hersteller deines Gerätes musst du leider vertrauen oder du kannst es nicht benutzen.
              Google zu vertrauen ist halt sportlich.
              Remote Wipe hingegen eines der wichtigsten Features für kleine Geräte, die man schnell verliert.

              • Der Unterschied zwischen einem Software-Update und der in Apple- und Google-Geräten eingebauten Backdoors ist, dass das Software-Update von meinem Gerät angestoßen und nicht von extern getriggert wird.

                Ja, leider muss man heutzutage i.d.R. dem Hersteller der Geräte vertrauen, wenn man sie sinnvoll nutzen will. Aber das kann ich nicht, wenn ich weiß, dass es solche Hintertüren gibt, von denen ich nicht weiß, ob und wer außer dem Hersteller sie vielleicht sonst noch nutzen kann.

                Wenn ich remote Wipe nur dann nutzen kann, wenn ich für den Hersteller des Geräts permanent die Hintertür offen lasse, und durch diese Tür dann potentiell auch andere rein kommen können, dann verzichte ich gerne darauf, und nutze eben ein anständiges Passwort. Das geht etwas auf Kosten des Komforts, aber vielleicht hat das bei dem/der einen oder anderen den schönen Nebeneffekt, dass man etwas weniger Zeit vor dem Display verbringt.

                Und auch wenn ich von deinen Whataboutism gerade überrascht bin, ich vertraue Google natürlich was das angeht genauso wenig wie Apple.

                • Naja. Ich glaube wir brauchen das nicht weiter zu diskutieren, weil du mit deinen Aussagen einfach nur grundsätzliches Misstrauen äußerst, das sich allerdings nicht an den dokumentierten Fakten begründen lässt.
                  Das Misstrauen ist auch völlig okay.
                  Ich sehe nur nicht, dass es sich anhand dieses Features besser oder schlechter begründen ließe, als wenn es das Feature nicht gäbe.

                  https://support.apple.com/en-ie/guide/security/secc46f3562c/1/web/1

                  Zum Thema Software Update: Wenn du keine automatische Software Updates machst dann hast du eh ganz andere Sorgen :)

                  Ansonsten würde ich dir noch das Meiden jedes Microsoft Rechners sind mit active Directory, jedes Linux-Rechners mit unattended-upgrades und jedes Androids mit automatischen Updates empfehlen.

                  Du wirst immer denen vertrauen müssen, deren Code ausführst. Dass sie dir wie zum Beispiel AD, MDM. remote wipe, etc. mächtige Funktionen für Notfälle bauen, ist imho davon unabhängig.

                  • Es wird durch dieses Feature in der Tat weder besser noch schlechter, aber dieses Feature ist eben ein Beleg für das Vorhandensein einer Backdoor, durch die Apple Dinge aus der Ferne auf iOS Geräten ausführen kann. Das selbe gilt natürlich auch für Google und Android mit Google-Diensten.

                    Deswegen nutze ich ein Smartphone auf dem Android (GrapheneOS, mit wieder gesperrtem Bootloader) läuft, aber eben keine Google-Dienste.

                    Dadurch muss ich mich bei der Auswahl der Software die ich nutzen kann einschränken, und das ist nicht für alle praktikabel. Und auch wenn es völlig irrelevant ist, aber bevor jemand fragt: Ja, ich nutze die Corona Warn App, bzw. deren Ableger aus dem F-Droid Store.

                    Wir als die, die sich eingehender mit der Materie beschäftigen, sollten die Dinge dann eben auch beim Namen nennen. Und dazu gehört dann auch der Hinweis, dass Apple und Google bereits heute eine Backdoor in ihren Geräten haben.

                    Aber ja, wir brauchen das nicht weiter zu diskutieren, da unsere Interpretationen von “Backdoor” sich offenbar unterscheiden.

  14. Hallo liebes Logbuch,

    zum Hauptthema:
    Wie würde eine gefläschte App denn technisch am “besten” außsehen? Wird dann Apple oder Goolge eine Art overlay über die gewünschte App legen die zB. Texteingaben mitliest also zB eine Overlay.apk innerhab der dann wiederum die Original.apk läuft? Oder wird dann herstellermäßg eine zweite AppVersion bereitgestellt die im Falle eines Überwachungsanliegens eingespielt wird?
    In wie weit ist zu erwarten, dass Apple und Googel sich da gegen wehren solche Methoden zuzulassen?
    Und welche Anbieter außerhalb von Smartphones wären auch noch betroffen? Könnte mir auch mein Internetanbieter zB. gefälschte Steamclient Versionen unterjubeln oder nur Steam selbst weil ja eigentlich alles transportverschlüsselt ist..? Also kurz: Wer müsste alles mitmachen um mir Schadsoftware unterzujubeln?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.