Online Safety Bill soll Verschlüsselung weltweit abschaffen

Zitat

In Großbritannien steht das Parlament kurz vor der Verabschiedung des Online Safety Bill. Dies ist ein umfassendes Gesetz zur Regulierung des Internets. Der Gesetzentwurf ist nämlich dazu in der Lage, die Privatsphäre der Menschen auf der ganzen Welt aushöhlen.

Das Gesetz über die Online-Sicherheit, das sich nun in der letzten Phase vor der Verabschiedung im Oberhaus befindet, gibt den Geheimdiensten obligatorische Hintertüren an die Hand, die jegliche Ende-zu-Ende-Verschlüsselung brechen. Somit wäre online keine Wahrung der Privatsphäre mehr möglich.

Online Safety Bill soll Verschlüsselung weltweit abschaffen

Das ist wohl der Anfang vom Ende der Privatsphäre. Es dauert nicht lange und wir bekommen dasselbe in der EU.

Verstehe das Problem nicht. Das betrifft nur Software, die in GB nutzbar sein soll.
Dann Brexiten wir die Britten halt auch aus dem Inet. Mal sehen wie lange das Volk sich mit Brithernet zufrieden gibt.

In der EU würde das auch klappen. Die Firmen müssten einfach mit dem Rückzug aus dem EU-Raum drohen und dann wäre das Gesetz vom Tisch.

Zitat

Ende-zu-Ende-Verschlüsselung sei die stärkste mögliche Verteidigungsmaßnahme um Unternehmen, Privatpersonen und Regierungen vor Online-Betrug, Betrug, Datendiebstahl und vor böswilligen Akteuren und feindlichen Staaten zu schützen. In seiner jetzigen Fassung würde der „Gesetzentwurf die Ende-zu-Ende-Verschlüsselung aufbrechen und damit der routinemäßigen, allgemeinen und wahllosen Überwachung persönlicher Nachrichten von Freunden, Familienmitgliedern, Angestellten, Führungskräften, Journalisten, Menschenrechtsaktivisten und sogar Politikern selbst Tür und Tor öffnen“, heißt es weiter. Das würde die Fähigkeit eines jeden, sicher zu kommunizieren, grundlegend untergraben.

Netzpolitk.org

Es war ja klar, dass es irgendwann mal dazu kommen musste. Es wurde ja oft genug angesagt. Aber es gibt Alternativen. Seit 2 Jahren verschlüssele ich meine Daten, Keys und Dokumente mit OTP (Einmalverschlüsselung). 2019 habe ich damit begonnen, mich damit zu beschäftigen. 2020 schrieb ich ein erstes Python Script fertig, das Daten mit OTP verschlüsselt. Ich finde, man sollte langsam aktiv werden, um weiterhin seine Privatsphäre wahren zu können. Wer weiß schon, wie es in 1-2 Jahren aussehen wird? Das ist aber nicht alles ... die Kombination von 'Quantentechnologie & Künstliche Intelligenz' ist jetzt schon teilweise in der Lage, RSA-2048 und AES-128 Bit zu brechen. Auch AES-256 Bit mit schwachen Passwörtern kann in naher Zukunft gebrochen werden. Man sollte darüber nachdenken. Aber nicht zu lange.

One-Time-Pad (Einmalverschlüsselung)

Zitat von Nahtmer

Verstehe das Problem nicht. Das betrifft nur Software, die in GB nutzbar sein soll.
Dann Brexiten wir die Britten halt auch aus dem Inet. Mal sehen wie lange das Volk sich mit Brithernet zufrieden gibt.

Das heißt also, wenn ich mich mit meinen Freunden aus England unterhalte, bleibt es geheim, weil ich aus Deutschland schreibe? Ja, dann kann ich jetzt beruhigt sein. Oder?

Zitat von trebble.fm

Das heißt also, wenn ich mich mit meinen Freunden aus England unterhalte, bleibt es geheim, weil ich aus Deutschland schreibe? Ja, dann kann ich jetzt beruhigt sein. Oder?

Nein. Wenn die Anbieter sagen, sie wollen diese Backdoors nicht einbauen, darf der Dienst in GB nicht mehr genutzt werden. Würde jeder Anbieter mitziehen, würde GB sich komplett isolieren - de facto also Internet zu Ethernet umwandeln. Das würden die Leute nicht lange mitmachen und das Gesetz wäre rasch wieder vom Tisch.

Zitat von Nahtmer

Nein. Wenn die Anbieter sagen, sie wollen diese Backdoors nicht einbauen, darf der Dienst in GB nicht mehr genutzt werden. Würde jeder Anbieter mitziehen, würde GB sich komplett isolieren - de facto also Internet zu Ethernet umwandeln. Das würden die Leute nicht lange mitmachen und das Gesetz wäre rasch wieder vom Tisch.

Nun ja, dann sollen sich Threema, Telegram, Signal usw. zurückziehen. WhatsApp wird es nicht tun, schließlich wird ja auch das Business-Klientel bedient. Dann wird es eben eine kurze Info geben wie: "Die englische Regierung hat die E2E-Verschlüsselung nicht verboten, aber aus Gründen der Sicherheit behält sich König Charles das Recht vor, böse Buben jederzeit überprüfen zu dürfen. Selbstverständlich sind brave Briten nicht davon betroffen." Fertig, daran wird sich die Welt gewöhnen müssen. Und schwups haben wir es in der EU auch. Frankreich hat es gezeigt, ein paar Tage Krisenstimmung, aber die Rentenreform ist durch.

Wenn Menschen die entsprechenden Dienste weiter nutzen, haben sie es nicht anders verdient. Jeder der weiterhin E2E haben will, wird diese Dienste dann schlicht meiden.

Frankreich ist ein schlechtes Beispiel. Hier brodelt es noch ganz schön und keinen den ich kenne, würde je wieder Macron oder seine Partei wählen.

Was machen wir denn, wenn es auch bei uns so wird? Welchen Messenger nutzen wir, wenn alle Messenger-Hersteller u.a. auf Google Play sich an die neue Richtlinie halten müssen? Ich tippe darauf, dass wir in den nächsten 2 Jahren dasselbe bekommen werden.

Ich denke nicht, dass es deswegen in der EU zu einer Frankreichkrise kommen wird. Den jungen Menschen wird es egal sein, denn sie interessieren sich nicht so sehr für Datenschutz. Früher oder später werden alle wieder WhatsApp nutzen.

Kaum ein Anbieter ist in der EU.

Telegram sch. jetzt schon auf alle Art von Gesetzen. Und hier reden wir von StGB Abschnitt 13, u.w.
Da gehts dann per VPN in ein nicht GB/EU Land und man zieht sich die App dort, ohne die entsprechenden Backdoors.

Würden die Anbieter es umsetzen wie ich es schrieb, stimmt, würde es nicht so ablaufen wie in Frankreich. Es wäre um ein vielfaches schlimmer. Im Grunde wäre auf einen Schlag die gesamte Fernkommunikation von Mrd. weg.
Wenn ich sehe, wie viele Betriebe WA o.ä. fest in ihren Arbeitsablauf eingebaut haben, würde dort auch nichts mehr funktionieren. Das Problem: "wenn".

Mit "der Jugend" liegst du denke ich völlig falsch. Es fallen überwiegend Menschen der Generationen negativ mit Datenschutz auf, die nicht mit dem Internet aufgewachsen sind. Es ist eben eher Onkel Udo, der auf FB seinen gesamten Wochenablauf, mit Ortstracking, völlig öffentlich in den Äther posaunt, als Marie-Sofie-Chantal.

Ich nutze seit Jahren

alternativen gibt es doch genug

Ich bin den ganz sicheren Weg gegangen und hab gar kein Mobiles Gerät mehr. Eine Entscheidung die ich bisher nicht bereut habe.
Wenn der Schleppi zu klappt, hab ich meine absolute Ruhe.

Zitat von Riley

Ich nutze seit Jahren

https://threema.ch/de

alternativen gibt es doch genug

Sollte die EU das britische Vorhaben übernehmen, wäre Google in der Pflicht, nur noch Messenger zu erlauben, die offiziell eine Hintertür haben. Davon wäre auch Threema betroffen. Sicherlich würden dann Messenger entwickelt werden, die von irgendeinem Studenten oder einem Hobby-Programmierer stammen. Doch sollten wir solchen Hinterhof-Apps wirklich vertrauen? Was nützt schon Open-Source, wenn die meisten den Code nicht analysieren können? Was bringt es, wenn z.B. ich den Code prüfe und verkünde, "alles bestens, die App ist sauber"? Wer kennt mich schon, und wieso sollte man mir vertrauen? Man sollte so etwas nicht auf die zu leichte Schulter nehmen. Es reicht doch schon, wenn der Gesprächspartner, ohne zu ahnen, ein Ganove ist. Dann landet man selbst ganz schnell mindestens nur auf einer Grauliste der Ermittler.

Zitat von Nahtmer

Ich bin den ganz sicheren Weg gegangen und hab gar kein Mobiles Gerät mehr. Eine Entscheidung die ich bisher nicht bereut habe.
Wenn der Schleppi zu klappt, hab ich meine absolute Ruhe.

Wenn es mir zu gefährlich wird, werde ich sämtliche Messenger löschen und mich zukünftig nur noch über andere Wege verschlüsselt unterhalten. Eine Möglichkeit habe ich ja schon erwähnt.

Zitat von Kater

Selbst wenn der Quellcode sauber ist heißt das noch lange nicht das ein fertiges Paket, das zum Download angeboten wird auch aus dieses Quellcode gebaut wurde.

Man müsste also jemandem vertrauen der das prüft und dann das Paket selbst kompilieren. Aber wer macht das schon?

Ken Thompson hat bewiesen das man einen Backdoor auch in einen Compiler einbauen kann. (Interessierte suchen nach Ken Thompson Hack oder schauen dieses Englische Video)

Das Video ist gut. So etwas Ähnliches hatte ich vor vielen Jahren schon einmal gesehen. Backdoors können tatsächlich überall eingebaut sein. Baut Intel nicht CPUs für das US-Militär? Wenn es Backdoors geben sollte, dann wohl primär in Intel Hardware. Eigentlich könnte man überall eine Hintertür einbauen. Compiler denke ich aber nicht mehr. Das war in den 80ern. Heutzutage ist es äußerst schwierig, Compiler zu manipulieren. Durch Open-Source-Projekte können viele Entwickler den Quellcode überprüfen, was die Chancen erhöht, Hintertüren zu entdecken. Um auf Nummer sicher zu gehen, sollte man mehrere unabhängige Compiler nutzen, um eine Manipulation zu minimieren bzw. zu entdecken und zu melden. Ich habe zum ersten Mal davon auf linuxquestions.org gehört.

So, wie ich es verstanden habe, könnte Intel AMT aufgrund des Fernzugriffs problematisch sein, vor allem, weil es Zugriff auf das Netzwerk hat. Obwohl ich nicht die Möglichkeit habe, AMT über das BIOS abzuschalten, zeigt der 'mei-amt-checker', dass AMT auf meiner Skylake CPU von Anfang an nicht aktiviert sein sollte. Ich habe auch alle BIOS-Versionen der letzten Jahre überprüft. Die einzige Ausnahme ist CVE-2020-8753 aus BIOS v1.38, bei der AMT eine neue ME Firmware erhalten hat. Leider kann ich Intel ME ebenfalls nicht abschalten. Es scheint, als müsste ich mein Laptop der 6. Generation stilllegen und ausschließlich mein Lifebook von 2021 verwenden, da ich dort AMT und auch gleich die Intel ME Engine deaktivieren kann. Ich werde es morgen ausprobieren und schauen, wie es reagiert.

Und was Minix genau anstellt, wird man wohl nie erfahren. Ich denke, dass ich früher oder später auf ARM umsteigen werde. Ein Zustand, den ich nicht akzeptieren kann und auch nicht möchte. Danke für die Info. Ich finde sie sehr wertvoll.

Die Pools, die die erzeugten Zufallszahlen (8 GB) enthalten, habe ich auf 2 USB-Sticks mit SLC-Speicher. Der zweite Stick ist identisch und dient nur als Backup. Beide Sticks sind mit Truecrypt verschlüsselt. Die Entschlüsselung/Verschlüsselung erfolgt in einem Truecrypt-Container, um Spuren zu verhindern bzw. zu minimieren. Das Ganze ist nicht so kompliziert, wie es sich anhört. Entsprechende Skripte machen das Verfahren sehr benutzerfreundlich.