Vereinfachte krüpplografie des tages

Seit den 90ern lassen sich E-Mails mit GPG verschlüsseln, doch nur wenige nutzen das System täglich. Zu kompliziert sagen Kritiker

Mit verlaub: bei leuten, die zu doof sind, sich klicki-klicki ein addon für ihre mäjhlsoftwäjhr zu installieren und es ebenso klicki-klicki schnell zu konfigurieren, und die dermaßen entschlossen sind, für immer doof zu bleiben, dass sie nichtmal dieses internetz durchsuchen und vielleicht mal fünf minuten lesen wollen, fehlt mir jedes mitleid. Viel spaß im kommenden faschismus, ihr hirnlosen idjoten! Der ist auch viel „benutzerfreundlicher“ als diese freiheit und selbstverantwortung und vielfalt!

Und für genau diese schul- und medienopfer gibt es jetzt also voll die vereinfachung. Und, wie viel einfacher macht die vereinfachung das eh schon einfache?

Als ich vor einigen Monaten das erste Mal eine verschlüsselte Mail von einem Freund bekam, in deren Betreff schlicht „p≡p“ stand, schwante mir bereits Böses. Der Freund hatte seinen Computer platt gemacht, dabei Thunderbird und Enigmail neu installiert und seine GPG-Schlüssel händisch über Enigmail wieder eingespielt. Da war es allerdings bereits zu spät: Enigmail lief im Junior-Modus und übernahm mit Pep die Kontrolle. Für die eingerichteten E-Mail-Konten wurden völlig automatisiert und ohne jegliche Nachfrage GPG-Schlüssel generiert – ohne Passwort, ohne Ablaufdatum, ohne alles. Nach dem Import des ursprünglichen und selbstgenerierten Schlüssels verwendete Enigmail einfach weiter den Pep-Schlüssel – und brachte den genannten Freund pretty easy zur Verzweiflung

Weia!

Und, ist es wenigstens sicherer?

Pep übernimmt auch das komplette Schlüsselmanagement. In einem Test konnte ich Pep beliebige Schlüssel unterjubeln […] Ich generiere GPG-Schlüssel für verschiedene E-Mail-Adressen mit unterschiedlichen Domainendungen und sende sie als E-Mail-Anhang an eine Thunderbird-Installation mit Enigmail im Junior-Modus. Dort öffne ich die E-Mails und sehe – nichts. Thunderbird zeigt mir ungewöhnlicherweise nicht einmal an, dass die E-Mails einen Anhang enthalten. Die Schlüssel werden förmlich vor dem Nutzer versteckt, tauchen aber anschließend – vollautomatisch – in der Schlüsselverwaltung von Enigmail und im Schlüsselspeicher von GPG auf

Also sicherer wird die trivialisierte sicherheit für vollidjoten auch nicht.

Tja, wie schon gesagt: das mitleid fehlt mir da einfach. Schade für euch, dass es gehirn nicht bei guhgell pläjh gibt, aber das kann man auch nicht ändern. Wenn euch verschlüsselte und vertrauenswürdige mäjhl zu kompliziert ist, solltet ihr mal etwas einfacheres machen. Bierdeckel sammeln zum beispiel. Oder wixen.

Security des tages

Wisst ihr noch, wie die EFF vor drei tagen alarmschrie, PGP sei kaputt und man möge doch lieber „signal“ statt mäjhl nehmen und wie dieser alarmschrei von allen kwalitätsjornalisten unreflektiert wiedergegeben wurde? Nun, das von der EFF empfohlene „signal“ hatte einen kleinen fehler, der ein viel größeres sicherheitsloch war, dieses fehler wurde schnell repariert, aber er wurde nicht gründlich genug repariert und ist immer noch drin.

Aber die EFF hat ihre missjon erfüllt: für die meisten menschen ohne tiefere kenntnisse ist die wirksame verschlüsselung von mäjhl nachhaltig diskreditiert. Wer dafür wohl bezahlt hat?

Ist die EFF auf die dunkle seite der macht gewexelt?

Einen tag nach der jornalistisch breit und in gewohnter inkompetenz wiedergegebenen sache „verschlüsselte e-mäjhl ist ein sicherheitsrisiko“ ist folgendes klar:

  • Kein privater schlüssel fließt ab.
  • Wenn die verschlüsselte mäjhl digital signiert ist (und das ist sie eigentlich immer, weil es keine andere möglichkeit gibt, den absender jenseits jedes vernünftigen zweifels sicherzustellen), dann muss die digitale signatur entfernt werden, weil sonst die erforderliche manipulazjon des mäjhlinhaltes an der ungültig gewordenen signatur auffällt.
  • Der häck funkzjoniert nur, wenn extern referenzierte inhalte in einer mäjhl nachgeladen werden, aber zumindest im „thunderbird“ ist es standardeinstellung, dass sie nicht nachgeladen werden.
  • Es handelt sich nicht um einen fehler in gnupg, sondern um einen fehler in der mäjhlsoftwäjhr. Dieser fehler tritt auf, weil klartext und verschlüsselte anteile beliebig gemischt werden können, und dabei verschlüsselte inhalte auch dann noch entschlüsselt werden, wenn sie etwa teil einer extern referenzierten URI sind, die von der mäjhlsoftwäjhr bei der ansicht der mäjhl nachgeladen wird. Vermutlich lässt sich das gleiche problem auch noch auf andere weise ausnutzen. Dem anwender wird nicht einmal eine warnung präsentiert, wenn unverschlüsselte und verschlüsselte inhalte gleichzeitig dargestellt werden.
  • Das zurzeit bekannte und dokumentierte angriffsszenario lässt sich vollständig vermeiden, indem man mäjhls nicht als HTML darstellen lässt. Dies lässt sich in jeder gegenwärtigen mäjhlsoftwäjhr einstellen. Die von der EFF empfohlene deinstallazjon von enigmail oder gnupg ist nicht erforderlich, der von der EFF empfohlene verzicht auf wirksame verschlüsselung der mäjhl natürlich erst recht nicht.
  • Die von der EFF empfohlene „alternative“, doch einfach nicht mehr zu mäjhlen, sondern stattdessen „signal“ zu nutzen, ist angesichts eines aktuellen, viel größeren sicherheitsproblemes in „signal“ sehr peinlich. Auf die tatsache, dass „signal“ unter ändräut so mies geproggt ist, dass der akku rasendschnell leergenuckelt wird und deshalb in der praxis nicht benutzbar ist, gehe ich dabei gar nicht weiter ein.

Da stellt sich nur noch eine frage: warum um alles in der welt rotzt die EFF über ihre pressevermeldungsinfrastruktur so einen gell schreienden alarmartikel raus, dessen nunmehr erkennbare hauptfunkzjon darin zu bestehen scheint, die verwendung verschlüsselter mäjhl mit gezieltem streuen von angst, unsicherheit und zweifel in misskredit zu bringen.

Und je länger ich darüber nachdenke, desto klarer wird mir, dass der EFF überhaupt nicht mehr zu trauen ist. Genau das werde ich mir für alle zukunft merken, und ich lege jedem anderen menschen — auch jedem anderen jornalisten — nahe, sich das ebenfalls zu merken. Die von der EFF verbreitete, völlig haltlose alarmstimmung nützt nur jenen, die alle kommunikazjon überwachen und deshalb die verwendung wirksamer kryptografie zurückdrängen wollen, und sie nützt niemandem, der aus guten (oder bösen) gründen nicht mitgelesen werden will.

Versteht mich nicht falsch: das problem in der mäjhlsoftwäjhr besteht, es ist nicht harmlos, es ist also ernstzunehmen, und es muss repariert werden. Ich bin mir sicher, dass es genau in diesem moment repariert wird und dass ich in kürze meine sicherheitsaktualisierungen habe. Aber die meldung, die von der EFF dazu verbreitet wurde, war reiner und völlig klar erkennbarer FUD. Die einzig interessanten fragen, die dazu verbleiben, sind folgende: warum verbreitet die EFF solche propaganda gegen wirksame verschlüsselung? Wessen interessen wurden dabei vertreten, und wessen interessen wurden mit füßen getreten? (Letzteres ist deutlicher zu sehen: meine und deine.) Warum wurde das getan? Wer ist dafür verantwortlich? Wer hat für diese vorsätzliche desinformazjon bezahlt? Und: welche folgen wird das in den kommenden tagen innerhalb der EFF haben?

Für mich ist die EFF jedenfalls erledigt. (Und das kann durchaus der zweck einer staatlich gesteuerten sabotahscheakzjon durch einen eingeschleusten geheimdienstschergen am presseerklärungsknopf gewesen sein.) Der schaden ist nahezu irreparabel.

Zurzeit kann die EFF nur als feind des freien internetzes und des menschenrechtes auf privatsfäre betrachtet werden.

Security des tages

Schwerwiegende sicherheitslücke in GnuPG

Es wird sogar empfohlen, auf die Kommunikation via PGP/GPG vorerst zu verzichten und Plugins in Thunderbird und Co. zu deaktivieren

Ich werde einen teufel tun! Ach ja, es gibt auch schon ein paar hinweise, wie man bis zum kommenden pätsch mit der sicherheitslücke halbwegs gefahrenfrei leben kann:

Don’t use HTML mails. Or if you really need to read them use a proper MIME parser and disallow any access to external links

Nun, HTML-mäjhl ist aus so vielen gründen keine gute idee (und deshalb bei verbrechern, werbern und anderen menschenfeinden hochbeliebt), dass ich mir die aufzählung hier einmal spare. Im thunderbird-menü auf ansicht ▷ nachrichteninhalt ▷ reiner text! Das macht die tägliche mäjhl auch viel angenehmer lesbar. Und es schützt die privatsfäre vor träcking-pixeln in HTML-mäjhls. Die idjoten, die auf die idee gekommen sind, dass man mäjhl in HTML formatieren könne und solle (und das beinahe überall zum standard gemacht haben, bei dem verdammt viele leute gar nicht mehr wissen, wie man die kackscheiße abschaltet), die hätte man auf die erste bemannte pluto-missjon der menschheit schicken sollen. Ohne rückfahrkarte. Wenn ich ein formatiertes dokument mit einer mäjhl versenden will, dann hänge ich das an.

Nachtrag: Die kompjuterbild mit schlips aus der karl-wiechert-allee in hannover schreibt den kwatsch mit „mäjhlverschlüsselung ist zurzeit ein sicherheitsrisiko“ ohne die geringste relativierung ab.

Nachtrag zwei: FUD?

Nachtrag drei: Die alarmschlagzeile des tages geht an die aktuelle kamera des BRD-parteienstaatsfernsehens ARD.

Digitale Kommunikation
Forscher knacken E-Mail-Verschlüsselung

Krüpplografie des tages

Mailverschlüsselung […] in der Cloud

Wer sich eine mäjhlverschlüsselung auf den kompjutern anderer leute andrehen lässt und kein problem damit hat, dass diese anderen leute seinen privaten schlüssel haben, der hat den sinn eines privaten schlüssels nicht verstanden. Der heißt so, weil er privat bleibt. Die gesamte sicherheit, die man sich von der verschlüsselung verspricht, hängt davon ab. Wenn man irgendwelchen versprechungen irgendwelcher unternehmungen vertrauen muss, die eine kopie des schlüssels rumliegen haben, ist der schlüssel nicht mehr privat, und der durch solches krüpplografie-schlangenöl erreichte sicherheitsgewinn ist null.

Scheißt auf mäjhl im webbrauser (das ist eh nicht so eine tolle idee) und nehmt euch eine anständige mäjhlsoftwäjhr, leute! Und lasst euch keine krüpplografie andrehen.

Mal eben unterwegs diese PGP-verschlüsselte Mail checken? Das geht meist nur, wenn man seinen Rechner dabeihat oder seinem Smartphone den privaten PGP-Schlüssel anvertrauen möchte

Genau, leute die ihren privaten schlüssel nicht ihrem wischofon anvertrauen würden (was eine ganz gute idee ist), haben nicht das geringste problem damit, ihren privaten schlüssel irgendeiner unternehmung anzuvertrauen. Golem, die IT-njuhs für profis mal wieder! :mrgreen:

Und hej, mal ein paar wochen urlaub ohne mäjhl, das klingt doch auch gar nicht so schlecht. Ihr fliegt ja auch nicht jeden tag von malle nach hause zurück und wieder hin, um euren sackpost-briefkasten zu tschecken, und das, was da drinsteckt, kann viel wichtiger und teurer werden. Immer wieder toll, wie leuten irgendwelche lösungen ohne problem angedreht werden sollen.

Prof. dr. Offensichtlich

Prof. dr. Offensichtlich hat zum baffen erstaunen der restwelt rausgekriegt, dass ein verschlüsselungsprogramm wie PGP kein anonymisierungsprogramm ist. Den assistenten, der ihm während seiner forschen forschungen gesagt hat, dass man das doch allein schon daran bemerken könnte, dass absender und empfänger weiterhin für das gesamte internetz lesbar in den kopfdaten der mäjhl stehen, hat er leider zum haschischnachschubkaufen nach draußen geschickt, als er seine erkenntnisse in angemessener sprache formuliert hat:

Die Geheimdienste lieben PGP. Es ist geschwätzig, es gibt dir jede Menge Metadaten an die Hand, deine gesamten Kommunikationsaufzeichnungen. PGP ist ein Freund der NSA

Die welt wird nach diesen enthüllungen nicht mehr die gleiche sein!

Wer anonyme kommunikazjon haben will oder gar aus irgendeinem grund haben muss, hat deutlich mehr aufwand als jemand, der „nur“ die inhalte der kommunikazjon für dritte unlesbar machen will, da auch noch der kommunikazjonskanal verschleiert werden muss. Das problem ist aber nicht unlösbar. PGP hat „nur“ niemals versucht, dieses problem zu lösen, sondern ganz im gegenteil sogar von anfang danach gestrebt, die identität des absenders über eine verteilte vertrauenskette sicherzustellen, was für einige anwendungen recht wichtig sein kann. Das kann man übrigens der PGP-spezifikazjon entnehmen, wenn man nicht gerade so ein vollid… ähm… „sicherheitsforscher“ wie Nicolas Weaver ist oder ein angebliche „technologie-webseit“ wie zdnet ist, die sich nach eigenem motto genau da hinstellt, „wo technologie geschäft bedeutet“.

FUD des tages

Heise onlein übt sich in der ausbreitung von angst, unsicherheit und zweifel, indem dort in scheinbar neutralem ton von einer lücke in PGP geschrieben wird. Dabei wird selbst vor blödsinnigsten vergleichen im stile der bildzeitung nicht zurückgeschreckt:

Was also Unterstützung aktueller Krypto-Verfahren angeht, hat somit TLS dem Konkurrenten OpenPGP einmal mehr den Rang abgelaufen

Da kommste dir vor wie im „jornalismus“ zu autos! :mrgreen:

Nur, um es für laien einmal ganz deutlich, aber trotzdem kurz zu sagen:

TLS und das hier vom autor aus unfähigkeit des ausdrucks oder des verständnisses nicht genannte, aber im kontext gemeinte S/MIME hängen davon ab, dass alle nutzer (im regelfall „automatisch“ und ohne selbst entwickeltes bewusstsein, weil es in die softwäjhr eingebaut wird) einer handvoll zentraler stellen „vertrauen“. Was davon zu halten ist, beantwortet ein kleiner blick in die enthüllungen von Edward Snowden oder in die vielen nachrichten, die jede für sich bereits belegen, dass TLS unheilbar kaputt ist: hier, hier, hier, hier, hier, hier, hier oder hier. (TLS ist übrigens auch das, was euch das kleine schlösschen im brauser macht, von dem euch jeder jornalist und polizist erzählt, dass ihr daran „sicherheit“ erkennt.)

PGP basiert darauf, dass sich die menschen untereinander vertrauen. Die für viele menschen einzig wichtige grundfunkzjon der (auch für heutige weltüberwachungsdienste hoffnungslos schwierig zu brechenden) verschlüsselung ist sogar ohne jegliches vertrauen möglich, wenn man einen öffentlichen schlüssel desjenigen menschen zur verfügung hat, dem man etwas mitteilen will, das niemanden anders etwas angeht. Der öffentliche schlüssel könnte im telefonbuch veröffentlicht werden. Oder auf einer webseite. Wer eine ausführlichere einführung lesen möchte, hier lang!

Dezentrale sicherheitsarchitekturen sind für überwacher ein albtraum. Deshalb gibt es diese mutmaßlich wie werbeplätze bezahlten (man spricht dabei vom „content marketing“) FUD-artikel, um möglichst viele leute von der zurzeit besten metode fernzuhalten, ihre persönliche kommunikazjon zu verschlüsseln. Darauf reinzufallen, ist keine gute idee. Oder noch genauer: es ist eine so schlechte idee, dass man das mit dem verschlüsseln auch gleich bleiben lassen kann. Eine nur gefühlte sicherheit ist ein schlangenöl, und wenn man sich man darauf verlässt oder gar verlassen muss, ist sie ein gefährliches schlangenöl. Es ist in deutschland noch nicht einmal hundert jahre her, dass menschen für nicht mehr als einen öffentlich geäußerten defätistischen witz der „zersetzung durch arbeit“ zugeführt und in mörderische lager gesteckt wurden. Niemand kann wissen, wie gewaltsam der staat in nur fünf jahren ist und was bis dahin passiert. Und deshalb kann niemand wissen, wie gefährlich heutige kommunikazjonsakte einmal sein werden, die von geheimdiensten und wirtschaftsunternehmen angesammelt und in fünf jahren möglicherweise völlig anders als heute bewertet werden.

Edward Snowden, der beachtliche inseider-kenntnisse über die möglichkeiten monströser geheimdienste hat, verließ sich für seine gesamte kommunikazjon im vorfeld seiner veröffentlichungen auf PGP.

Ich betrachte das als kwalitätssiegel.

Und den FUD-bullschitt, der da bei heise onlein zu einem seit jahren bekannten PGP-problem steht (kombiniert mit der subtil verabreichten empfehlung, doch einfach etwas schlechteres, überwachbareres und dümmeres zu nehmen) ist FUD-bullschitt. Mutmaßlich von einem dritten bezahlter FUD-bullschitt, denn ich will nicht glauben, dass jemand in der karl-wiechert-allee so doof ist. Und leserverachtender FUD-bullschitt ist es…

Und es ist auch nicht das erste mal, dass bei heise onlein gezielter FUD zu einem sicheren kryptoprodukt transportiert wird. (Hier direkt die monatelang auf der startseite sichtbare fehlinformazjon der leser.)

So traurig ich dieses urteil finde, aber in sachen kryptografie und kompjutersicherheit muss ich heise onlein wegen solcher offensichtlich bezahlten FUD-kampanjen mittlerweile als völlig ungeeignete, ja, gefährliche und mutmaßlich von geheimdiensten bezahlte kwelle bewerten. Ja, ich höre das gras waxen…

Lacherchen des tages

GMX und Web.de bieten jetzt DE-mäjhl an, für alle, die schon immer das porto bei der mäjhl vermisst haben, und sie bieten jetzt „richtige“ verschlüsselung an. Mit javascript im brauser implementiert… na ja… aber immerhin: PGP.

Kleiner tipp für alle, die vom kryptokram gehirnt sind und das beurteilen wollen: es kommt drauf an, wo der private schlüssel liegt. Liegt er auf dem eigenen rechner, ist es gut, liegt er woanders, ist es schlecht. Egal, welches verfahren angewendet wird. Und wenn er im brauser liegt, ist zumindest aus meiner sicht nicht transparent, wo der private schlüssel liegt und ob er auch in zukunft dort liegenbleibt oder „nach hause gefunkt“ wird und wo der private schlüssel nebst dafür erforderlicher kryptografisch sicherer zufallszahlen generiert wird — einmal ganz davon abgesehen, dass ich so einem aufgeplusterten brauser niemals vollständig trauen könnte, da erscheint es mir zu leicht, dass jemand die daten wegen eines kleinen fehlers (oder einer kleinen hintertür oder eines irgendwann einmal untergejubelten trojanischen brauser-addons oder eines typischen programmierfehlers einer webmäjhl-datenschleuder aus der BRD) mitnimmt. Und mäjhls, die mit meinem schlüssel kryptografisch signiert wurden, aber von jemanden anders verfasst wurden, will ich nicht, denn ich signiere die mäjhls, damit immer klar ist, dass sie von mir sind und dass ihr inhalt unverändert ist. Ich hatte da mal einen häcker, der sich meinen bekannten und freunden gegenüber als Elias ausgeben wollte, um ein paar weitere infos abzuphishen¹… 😉

Habt ihr ja alle mitbekommen, dass diese zuvor von niemanden vermisste pocket-scheiße, die mozilla in den feierfox gekackt hat, von jedem häckkind zum datenspähen auf dem speicher-sörver genutzt werden kann. Tja, so ist das eben mit der „cloud“! Aber hej, freut euch, dafür ist jetzt alles sicherer, denn ihr könnt eure addons nicht mehr einfach selbst schreiben, sondern die müssen digital signiert sein. Hach, das waren noch zeiten, als man eine addon-schnittstelle gemacht hat, um das grundsystem so klein und überschaubar wie möglich (und damit mittelbar auch so fehlerfrei und sicher wie möglich) zu gestalten. Die feierfox-entwickler denken da leider völlig anders

Wer seine fünf sinne beisammenhat, wird eh gern auf mäjhl im brauser verzichten. Es geht nämlich besser und bekwemer, und das beste daran, das kostet noch nicht einmal geld.

¹Gar nicht auszudenken, wie leicht diese masche funkzjoniert, wenn jemand sein ganzes leben über S/M-seits entblößt und sämtliche kontakte eines menschen kinderleicht rescherschierbar sind, auch für kriminelle.

DE-mäjhl des tages

Wenn man will, kann man dank eines berges von javascript ab jetzt seine DE-mäjhl auch PGP-verschlüsseln, so dass sie nicht mehr auf dem sörver zentral mitgelesen werden kann.

Wir alle wissen ja, dass webbrauser der inbegriff der kompjutersicherheit sind! Warum man das im webbrauser macht? Na…

Bisher sei der Einsatz von PGP „so komplex gewesen, dass lediglich Internet-Experten davon Gebrauch machten.“

…weil die benutzung einer mäjhlsoftwäjhr mit einem addon so irre komplex ist, dass es wenigstens vier semester informatik-studium braucht, um das zum laufen zu kriegen. Sagen jedenfalls die werbetexter der deutschen drosselkom. Aber jetzt ists gaaaanz einfach! Läuft ja im webbrauser!

(Ich habe es einer vierzigjährigen frau mit ernsthaften problemen in der technischen auffassungsgabe¹ mal binnen einer stunde erklärt, wie man mäjhl verschlüsselt. Das macht sie seitdem, ohne ein problem damit zu haben, wie ich immer wieder mal sehe, wenn sie mich anmäjhlt. Gut, wenn sie ihren rechner irgendwann einmal neu installiert oder sich einen neuen zulegt, wird man ihr vermutlich sagen müssen, wie sie schlüssel exportiert und hinterher wieder importiert… aber das ist auch das einzige problem.)

Und hej, endlich könnt ihr DE-mäjhl-deppen — so eine mäjhl ist ja nur was wert, wenn sie auch porto kostet — genau so gut verschlüsseln wie ich! Das ist doch mal ein fortschritt! Jetzt müsst ihr nur noch eines können können: mir eine ganz normale mäjhl mit eurem DE-mäjhl-parallelsystem auf den sörvern von NSA, BKA, GCHQ, MAD, BND und verfassungsschutz an meine mäjhladresse schicken. Dann könnten wir sogar kommunizieren. Ach, das geht nicht aus eurer virtuellen parallelgesellschaft? Na, dann bleibt mal schön unter euch; im deppennetz für mäjhlporto und unerfreuliche verpflichtungen, der geschlossenen anstalt fürs internetz der BRD, dieser datenautobahn mit langstreckendauerbaustelle mitten durch neuland.

¹Für die gendermäßige korrektheit: das problem ist (leider) nicht nur unter frauen verbreitet, aber unter frauen ist es irgendwie verbreiteter, sich auch mal helfen zu lassen…

DE-mäjhl des tages

Demnächst soll es die per gesetz als sicher erklärte „DE-mäjhl“ auch mit sicherer verschlüsselung geben. Und zwar, indem es der brauser über javascript erledigt. Weil… ähm… müsst ihr wissen: so ein moppeliges universalprogramm wie ein webbrauser ist viel sicherer und besserer als eine eigens dafür geschriebene anwendung. Das merkt man ja daran, dass es niemals irgendwelche kompjutersicherheitsmeldungen zu brausern gibt. Und das verschlüsseln selbst ist ebenfalls echt gefährlich:

Die Prüfung auf Viren ist dann nicht mehr möglich. Verschlüsselt ist verschlüsselt

Toller FUD! Verschlüsselung macht alles unsicher!!ölf!!!1! :mrgreen:

Aber glaubt mal nicht, dass das nicht heißt, dass auf das auspacken und temporäre entschlüsseln der DE-mäjhl auf den sörvern der anbieter verzichtet wird. Stattdessen wird lieber dafür gesorgt, dass die PGP-nutzung in DE-mäjhl umständlich ist, zum beispiel auch dadurch, dass man nicht gleich einen keysörver mit integriert, der dann das abfragen des public key und die verschlüsselung zur klicki-klicki-kleinigkeit machen würde. Das wäre ja auch echt scheiße für die horch- und morddienste der BRD, wenn sie in vielen fällen gar nicht mehr mitlesen könnten.

Was bleibt, ist die tatsache, dass DE-mäjhl für jeden nutzer eigentlich nur nachteile (kosten, lesepflicht durch juristische verbindlichkeit einer zustellung) hat und zudem zur internetz-mäjhl inkompatibel ist, so dass man weder eine mäjhl an DE-mäjhl noch über DE-mäjhl eine mäjhl verschicken kann. Das tote pferd wird also auch nicht reiten, wenn man auf die „mäjhl mit briefporto“ etwas in unlesbarer zaubertinte schreiben kann — aber nur mit einem kugelschreiber, der zum träjning eines schweratleten geeignet ist.

Ich frage mich ja gerade, was wohl eher geschehen wird: der abriss des berliner flughafens oder die einstellung des DE-mäjhl-projektes…

Ach, übrigens habe ich jetzt mehr als einmal gehört, dass die telekomiker seit einem vierteljahr ihre 40-øre-gutscheine für amazon, die man für die teilnahme an DE-mäjhl versprochen bekommen hat, nicht rausrückt. Nicht, dass es die am ende gar nicht gibt. Das wäre doch echt scheiße für die gierigen idjoten, wenn sie sich wegen eines von einem reklamelügner versprochenen tinnef-gutscheins ein lebenslanges problem (mit regelmäßig benutzungspflicht wegen rechtverbindlichkeit der zustellung, auch wenn sie nicht gelesen wurde) mit dieser DE-mäjhl-scheiße ans bein binden. Kann man diesen dreck überhaupt wieder kündigen? Und wenn das nicht so einfach geht oder auch einfach nur aus bekwemlichkeit oft nicht gemacht wird… was wäre das für ein tolles betrügerisches geschäftsmodell für die nahe zukunft: den ganzen leuten, die sich für ein paar billige reklameplundergeschenke eine DE-mäjhl-adresse besorgt haben und sie nicht nutzen, darüber rechtsverbindlich etwas zustellen, das ihnen kosten erzeugt, die man hinterher im gerichtlichen mahnverfahren durchsetzt. Da wird den ganzen halbseidenen anvergewälten schon was praktizierbares einfallen, jetzt, wo das geschäft mit der abmahnung wegen kinderraubfickmordkopieren immer schwieriger wird, weil man mit einer IP-adresse als „beweismittel“ nicht mehr durchkommt. Oder erwartet jemand, dass ein derartiges geschmeiß mit jurastudiumshintergrund plötzlich so etwas wie anstand entwickelt?

Brüller-nachtrag von 17:50 uhr:

Was passiert, wenn eine verschlüsselte amtliche Nachricht bei einem De-Mail-Nutzer eintrifft, dieser sie aber aus technischen Gründen nicht öffnen kann, weil er sein PGP-Passwort vergessen hat?

Oh bitte! Ich kriege kaum noch luft vor lachen!

Auch wenns eine reklame ist…

Auch, wenn dieses video, das mal kurz und recht anschaulich asymmetrische kryptografie für anwender erklärt, natürlich eine reklame für mailbox (punkt) org ist, gefällt mir sehr, dass die geheimdienstler in einem atemzug zusammen mit spämmern und kriminellen genannt werden — denn genau da gehören sie von metodik und karakter auch hin.

Übrigens von mir noch ein kleiner hinweis zu den recht unkritisch dargestellten keysörvern: Wer seinen public key auf einen keysörver hochlädt, veröffentlicht damit auch seine mäjhladresse im frei zugänglichen internetz. Ich finde es auch scheiße, aber ich kanns nicht ändern: keysörver werden von spämmern abgegrast, um adressmaterial zu bekommen. Das ist sicherlich in vielen fällen nicht erwünscht, vor allem, wenn es sich um eine vorwiegend privat genutzte adresse handelt, und deshalb ists in solchen fällen einfach besser, die schlüssel auf anderem wege auszutauschen. Bei öffentlichen kontaktadressen, die man sowieso irgendwo in eine webseit reinschreibt, kommt es allerdings nicht so sehr drauf an, und da ist der keysörver bekwem… 😉