Linus Neumann
Ja, ja. Alsoum jetzt nicht nochmal diese gesamte D-Mail äh Geschichte auszurollen, war vor allem in der letzten Sendung ja schon drüber gesprochen haben, verweise ich jetzt einfach nochmal auf den äh Vortrag, den ich beim beim dreißig C drei zu dem Thema gehalten habe, da war das jaeigentlich schon ähm ein ein alter Schuh so ein bisschen, da waren dann die Gesetzesänderungen schon durch, in denen,ähm TD Mail als bevorzugtes Mittel für die Kommunikation mit den Gerichten und den Behörden etabliert werden sollte,Wir haben in der letzten Sendung nochmal darüber gesprochen, ähm dass trotz massiver Bewerbung dieses Produkt immer noch keine.Kritische Anzahl an Nutzern erreicht hat. Ähm und jetzt kam am Anfang dieser Woche die Meldung, äh D-Mail,Ende zu Ende Verschlüsselung. So. Ihr habt ihr habt's gefordert, wir richten's einso also die Anbieter haben offensichtlich gesehen so, okay wir schieben den Leuten die Zalando-Gutscheine und die Amazon-Gutscheine und die Lufthansa-Meilen und die Freiminuten und den und den dengib es nicht alles noch für Gutscheine, die man heute irgendwie den Leuten in den Arsch schieben muss und trotzdem kriegen wir einfach die, die melden sich einfach nur an, nehmen den, nehmen den Schuhgutscheinund äh nutzen den Scheiß nicht und wir müssen dieses Ding jetzt irgendwie mal an den an den Start bringen, weil wir haben ja viele, viele Millionen investiert undall das haben wir alles schon besprochen und jetzt hat die Marketingabteilung offensichtlich gesagt, ja ähm hör mal, äh mach doch mal Ende zu Ende.Und dann und dann haben die sich gesagt, ja okay, dann machen wir jetzt Ende zu Ende.Jetzt muss man das so sehen. D-Mail ist, wie gesagt, eine ein sehr langer, großer, eine sehr lange, große Spezifikation, wie man einen E-Mail-Server so, so sicher wie möglich,konfiguriert, den Server wohlgemerkt.Und dann auch noch in kompatibel Macht mit allen anderen E-Mail-Servern, obwohl das eigentlich nicht notwendig wäre. So, dann.Und in dieser riesigen Spezifikation steht eben nichts von einer Ende zu Ende Verschlüsselung.Und der Hinweis, den ich damals immer gebracht habe und der Hauptkritikpunkt war, dass ich gesagt habe, Freunde,Wir leben in einer Welt, in der es seit seit vielen Jahren bald ein Vierteljahrhundert, ja, ich ich springe da, ich überspringe jetzt zwei Jahre, also PGP ist jetzt, glaube ich, so dreiundzwanzig Jahre alt. Bald ein Vierteljahrhundert gibt es diese schöne Technik.Und sie findet keinerlei Verbreitung, weil,sie nicht als Standard in unsere Kommunikationssysteme integriert ist. Wir müssen uns immer nochmal ein Plugin,in unseren van bauen, wir müssen uns ein Plug-in in unser Apple Mail bauen wir.Wir bekommen einfach keine standardmäßige Ende zu Endeverschlüsselung ab Werk. Das hat.Einerseits auch ganz gute Gründe, weil die Idee einer Ende zu Endeverschlüsselung natürlich ist, dass sie,abhängig, unabhängig ist von dem Medium, über das man sie spricht,Ja, also D-Mail konnte schon immer Ende zu Ende verschlüsseln, genauso wie jedes andere Kommunikationsmedium auch, ja? Ich kann Ende zu Ende verschlüsselte Nachrichten,übers Telefon austauschen oder über ein Brief. Es ist nur sehr umständlich.Und deswegen sind die meisten Briefe, die wir schicken, eben auch nicht Ende zu Ende verschlüsselt, weil es sehr schwierig wäre, dass äh einmal zu zu implementieren und zu standardisieren. Was jetzt in den letzten Jahren geschehen ist.Ist das ähm uns Systeme geschenkt wurden, die in den Clientschon einfach eine Ende zu Endeverschlüsselung eingebaut haben. Schöne Beispiele ist also dieses äh Textsecure und das in Deutschland ja auch sehr beliebte Threema, wo im Prinzip einfache Instant Messenger-Systeme.Laufen und in dem Client automatisch,die Fähigkeit zu Ende zu Ende Verschlüsselung integriert ist, während die Fähigkeit nicht Ende zu Ende verschlüsselte Nachrichten zu versenden, gar nicht erst existiert.Und,somit brauchst du kein Plugin mehr und das ist genau das, wofür ich seit Jahren plädiere, baut die Systeme bitte so, dass es den unverschlüsselten Fall gar nicht mehr gibt.Aus einer technischen Perspektive muss ich jetzt natürlich schon anmerken, es ist schon wichtig, dass die.Der Teil, der die Ende zu Endeverschlüsselung macht, aus einer von der Plattform unabhängigen Instanz kommt.Die vor allem quell offen ist, damit du sichergehen kannst, dass nicht der Schlüssel äh nochmal gelegt wird oder so. Aber von genau dieser reinen Lehre, ich hatte vor ein paar Sendungen schon mal davon gesprochen, müssen wir uns, glaube ich, einfach nach,fast einem Vierteljahrhundert jetzt mal ähm lossagen.Und sagen, okay, was wir wollen, was wir brauchen, ist Ende zu Ende Verschlüsselung in die Breite. Und für alle,indem wir sie einfach zum Standard erheben. Und da kommt es jetzt auch nicht mehr darauf an, dass diese Ende zu Endeverschlüsselung so implementiert ist, dass wir damit einen Edward Snowden schützen können, denn wir wollen einfach erstmal die Grundbevölkerung,die Basisbevölkerung schützen, die ähm äh einfach mal.Verschlüsselt und sicher kommunizieren kann. Vertraulich kommunizieren kann, ohne dass sie einigermaßen Überwachung verschiedener internationaler Geheimdienste äh zum Opfer fällt,Und das war genau mein Argument immer bei der D-Mail, dass ich gesagt habe, baut das bitte von vorneherein ein. Haben sie nicht gemacht? Haben, ist ihnen das Ding auf die Füße gefallen und jetzt gehen sie hin und sagen, okay.Wir bauen Ende zu Ende Verschlüsselung ein. Und jetzt ist natürlich die Frage, wie? Und zwar nehmen sie ein,Ein Plug-in für den Chrom Browser, das ähm.Quasi im Browser ein ein Plug-in ist und das dann auch mit D-Mail funktioniert.Dieses, dieses Plug-in ist äh geschrieben von ähm Thomas äh Thomas Obernörfer. Ähm,Angefangen hat er damit zweitausendzwölf. Ich kenne den Thomas auch, falls er uns zuhört, äh schöne Grüße, guter Mann. Der entwickelt seit ähm einiger Zeitan diesen, an dieser Open Extension äh für den für den Browser. Was keine schlechte Idee ist.In einer Welt, in der deine ähm deine Anbieter.Ende zu Endeverschlüsselung nicht unterstützen. Und er hat zum Beispiel dieses Plug-in halt so geschrieben, dass, wie gesagt, ist ein Chrome Plugin, da ist ein ist ein kompletter PGP-Stick drin undGleichzeitig erkennt dieses Plug-in zum Beispiel, wenn du jetzt auf einer Gmail-Seite bist, auf einer Jahu-Mail GMX Outlook Dot com Seite, erkennt es dann schon mal die,Webseite und versucht sich so schön wie möglich da rein zu integrieren. Also hier eine eine Lösung, die.Elegant ist, die in Ordnung ist, aber deren einzige Notwendigkeit ähm daher existiert, weil wir eben nicht.In den Kommunikationsdiensten, die wir nutzen, von vorneherein diese Möglichkeit finden.Also, sie fallen jetzt genau auf dieses Problem zurück, dass wir, dass die Nutzer, die über eben über D-Mail Ende zu Ende verschlüsselt kommunizieren wollen, ein Plug-in installieren müssen in ihrem Browser.Was der größere Teil der Nutzer nämlich nicht tun wird und der Teil der Nutzer, der es tut, kann dann wieder nicht mit allen kommunizieren und lässt es dann eben auch sein.Gleichzeitig stellt sich die Frage, ob und wie sie.Die ähm die Schlüsselverwaltung machen, also ob sie wenigstens sich die Mühe gemacht haben, in ihre D-Mail-Oberfläche sowas wie eine,Vertraute Instanz für PGP-Schlüssel zu,einzubauen, die automatisch sagt, ey, du schreibst jetzt grade äh eine E-Mail an den an den Thomas. Äh wunderbar. Dann nimmst du direkt den Key hier,und schickst die Nachricht raus. Meine Vermutung ist, aber da kann ich, wie gesagt, nur sagen, dass ich da jetzt grade vermute.Wenn sie schon sich an einer Open-Source-Lösung äh bedienen, die übrigens von verschiedenen äh.NGOs und ähm GOs äh gefahndet wurde, ähm um quelloffen äh eben der der Menschheit zur Verfügung zu stehen, dann werden sie sich auch nicht die Mühe machen, die noch großartig anzupassen. Ähm,Das heißt, sie haben da jetzt gesehen, ach da gibt's ja was, äh von von Open Source, was ja auch nicht verkehrt ist, wie gesagt, wir wollen ja auch äh was haben bei dieser Krypto, aber der das Problem, was sie hier haben, es ist halt so eine,von hinten durch die Brust ins Auge lösung, die.Für das Problem, was sie löst, sehr elegant ist, aber eben nicht das Problem löst, dass wir dass die äh die Nutzung der Ende zu Endeverschlüsselung,an der mangelnden Verbreitung krankt. Und das heißt, ähm letztendlich,bedienen Sie sich hier an einem an einem Open-Source-Projekt, der der Community ähm hacken das irgendwie zurecht, dass es äh dass es in Ihr System integriert werden kann, das ist vielleicht einein paar Tage bis in ein paar Wochen Arbeit, wenn man dann noch die Testzeiten mit dazu nimmt äh und haben dann äh die Hoffnung,dass eben überall dieser Einwand der fehlenden Ende zu Ende Verschlüsselung ausgeräumt ist.Und die Piratenpartei hat da eine sehr schöne äh Pressemitteilung zu ich wurde natürlich, weil ichwenn man den Namen und Ende zu Ende googelt, dann kommt, fällt da relativ schnell mein Name äh und auch der des Compost Computerclubs. Ich würde da auch von äh einigen,Journalisten zu interviewt.Habe da eben auch meine ähm meinen Teil dazu gegeben, deswegen zitiere ich natürlich jetzt äh an dieser Stelle mal die Piratenpartei, äh die gesagt hat,D-Mail bleibt eben auch,mit Ende zu Ende Verschlüsselung ein ein totes Pferd, weil sie eben nicht pertiphaltrin ist, ja? Das heißt, dieser schöne, dieses schöne Beispiel,ähm ähm wie war das, wie war's nochmal.Jetzt fällt mir das Beispiel nicht ein. Egal, stattdessen zitiere ich einen sehr schönen Tweet, den ich im im Internet gelesen habe, wo jemand sagte, ähm du kannst auchüber eine Brieftaube endet zu Ende verschlüsselt, kommunizieren, aber dann ist es halt kein Feature der Brieftaube,und genau das ist hier äh jetzt mit dem mit der mit dem Anbieten eines eines Open Force Plug-ins zur zur freien Installation in dein D-Mail eine äh genau der Fall.