Die EU will nur eine Backdoor

Benutzer Tzupa schrieb:

Nö, warum denn? Die Schnittstelle muss nur den Schlüsseltausch vor dem Versenden ermöglichen.

Benutzer foobar99 schrieb:


Ganz so einfach ist das nicht. Es würde erfordern, dass alle Clients stets den Algorithmus aller anderen Clients verstehen und benutzen können. Bei einer Vielzahl von Messengern ist das operativ ein Ding der Unmöglichkeit. Auch kleine und neue Anbieter müssten Clients schaffen, die mit allen anderen Messengern zusammenarbeiten können.
Das berührt dann vor allem auch Intellectual Property Rights der jeweiligen Anbieter, zu deren Preisgabe man sie überhaupt nicht zwingen kann.

Die Erfahrung zeigt, dass auch bei anderen interoperablen Lösungen (wie z.B. SMS) einfach serverseitig "umverschlüsselt" wird und eine Ende-zu-Ende Verschlüsselung regelmäßig nicht zur Anwendung kommt.

Den Schuh zieht sich keiner an.

Benutzer Tzupa schrieb:

Naja ob es nun ein Ding der Unmöglichkeit ist, sowas wie einen gemeinsamen Standard zu entwickeln?


Naja, Security by Obscurity ist zwar super toll, aber eine open source Grundlage mit nem knallharten Auditing und dicken Bug Bounties wäre auch nicht schlecht.

Benutzer an0n schrieb:



Man kann nicht alle Messenger-Anbieter zwingen, den gleichen Standard für alle Teile der Verschlüsselung zu benutzen. Das funktioniert nirgends, auch z.B. beim DRM nicht. Hier muss man auch berücksichtigen, dass die Grenzen des Internets nicht mit den Grenzen der EU identisch sind... Auch wenn man das in der EU gerne hätte bzw. manchen Leute dort denken, dass es so sei.


Ich bin mir sicher, dass faktisch alle Anbieter Standard-Verschlüsselungstechnologien verwenden. Das ist auch gut so. Wenn es aber um den Algorithmus z.B. zum Schlüsselaustausch geht, sieht es schon wieder anders aus. So wirst du z.B. mit einem Apple FairPlay DRM Client niemals einen Videostream entschlüsseln können, der mit Google Widevine verschlüsselt ist, und das, obwohl die eigentlich Payload-Verschlüsselung (das Video) bei beiden dem selben Standard folgt (CENC). Es scheitert daran, dass der Apple Client vom Google Server keinen Schlüssel bekommt, weil er dessen Secrets nicht kennt und daher auch nicht mit ihm kommunizieren kann.

Hier geht es um Dinge, wie z.B. das Sicherstellen, dass es sich bei dem Gegenüber um einen verifizierten, echten Client handelt. Also der, den der Client vorgibt, zu sein. Ein erzwungenes Öffnen dieser Authentifizierung wird dem Missbrauch Tür und Angel öffnen.

Aber warten wir mal ab, wie WhatsApp darauf reagiert. Threema, die angeblich davon profitieren sollten, halten schonmal nichts davon. Das spricht ja schon Bände.

Nachtrag: Weitere Beispiele aus der Realität gefällig?

1. beA, das elektronisch Anwaltspostfach:

Hier wollte man ein interoperables, sicheres elektronisches Kommunikationsmittel schaffen, mit dem Anwälte und Gerichte sichererer als mit Email kommunizieren können. Die Integration in unterschiedliche Clientsysteme führte genau zur oben beschriebene Problematik: Eine serverseitige Umverschlüsselung.
https://www.heise.de/news/Anwaltspostfach-beA-Bundesregierung-findet-Entschluesselungsrisiko-akzeptabel-5033927.html

2. DeMail "Bullshit Made in Germany":

Das ist schon so stark durchgekaut, das muss man nicht mehr erklären.
https://www.ccc.de/de/updates/2013/bullshit-made-in-germany


Beim ersten Mal könnte man es noch mit "Dummheit" ODER "Vorsatz" erklären. Beim wiederholten Mal eigentlich nur noch mit "Vorsatz".

Benutzer Tzupa schrieb:


Sicherlich nicht, doch natürlich wird sich diese ganze Geschichte ohnehin auf die "üblichen Verdächtigen" und damit bekannten Messenger beschränken und in der Anzahl nominell gegen unendlich tendierende Alternativen außer Acht lassen, was bereits die gesamte Argumentation, man müsse Einblicke in die Kommunikation via Whatsapp & Co. haben, ad absurdum führt - als ob man nicht stets sein eigenes Ding machen könnte, um A und B zu verbinden.

Dann könnte es eben einen Hinweis geben, dass die Kommunikation über die Grenzen des eigenen Messengers hinweg unverschlüsselt erfolgt. Die Entscheidung liegt bei jedem Einzelnen, ob man "komme später" oder "bring Brötchen mit!" unverschlüsselt sendet. Der jüngeren Generation scheint Datenschutz eh nicht vorrangig zu sein.

Benutzer Tzupa schrieb:

Naja die beiden Projekte waren halt Versuche der öffentlichen Hand, direkt die digitale Infrastruktur zu finanzieren. Das war beides schon sehr peinlich, keine Frage - aber einerseits würde ich da mal behaupten dass es nicht peinlicher war als typische analoge Projekte der öffentlichen Hand (da fallen dir auch gleich 10 Beispiele ein, Maut, BER, und so weiter), und andererseits ist die Gesetzesregelung der EU halt was völlig anderes, da geht es ja um das Setzen von Vorschriften und Rahmenbedingungen, nicht um das Finanzieren eines EU-Messengers.

Am Ende ist natürlich schon gut möglich dass da nix bei rauskommt, keine Frage. Aber dass es da um die Erzwingung einer Backdoor geht, glaube ich nicht. Schlimmstenfalls, um jetzt mal Beispiel Threema zu nehmen, tauchen da eine Menge "Sicherheit Rot" Verbindungen auf, und dann gibt es ein Default An Blockfeature.