WMR66 – Rootzertifikate von Gott

Willkommen auf der WMR-Kryptoparty! Wir bringen uns selbst bei, unsere Mails zu verschlüsseln und ihr könnt dabei sein. Auch: wir arbeiten das immer umfangreicher werdende Prism/NSA-Thema ab, diskutieren Strategien dagegen und natürlich Post-Privacy. Das alles völlig ohne Streit. Hach!

Danke für die Shaownotes an: @vale, @blumenkraft

Kyptoparty!

mspro hat jetzt auch mit E-Mail Verschlüsselung angefangen
Howto Zertifikate selbst generieren mit OSX
Howto S/MIME unter Max OSX
Howto PGP unter Max OSX
StartSSL.com
E-Mail Signatur wird zusätzlich möglich
Rootzertifikate können nur von Gott vergeben werden und von der Deutschen Telekomm. Und von eigentlich jedem&#8220 (mspro)
Die Postbank hat mehr Informationen in ihrem Zertifikat als mspro in seinem Mail Zertifikat
Wunsch: CCC sollte Rootzertifikate ausstellen denen MS Pro vertrauen würde
CAcert
Treema
* Treema Appstore Link
S/MINE
GNU PGP
Verisign
Edward Snowden
Padeluun
Fusion Festival
Bitcoin
FPGA
Moors Law

Prism/NSA

Wirtschaftsspionage bei der NSA
Boing Skandal
Artikel in der FAZ von Konstanze Kurz
Teufelsberg
Trabbi
Mohammed Atta
Spotify
TheGuardian
‘Five Eyes’
States Spy on Each Other
Big Data
Das Internet ist kaputt
Popkulturjunkies
Urteil des Supreme Court zur Homoehe
Dancing guy Video

Gegenkulturen und gesellschaftlicher Wandel

The Whole Eath – Ausstellung in Berlin
Schwul/lesbisches Stadtfest Berlin
Hans Hütt bei Twitter

Ultras

Bengalische Feuer
1.FCK
Berlin Ultras
Link zum TAZ Artikel

Post-Privacy

Julia Schramm
Stephan Urbach
Hoaxilla Folge Kabelklang
* mit Ralf Stockmann
* und dem Hoaxmaster

Link aus dem Chat

Zurück aufs Land?

Stirbt Brandenburg aus?
Clemens Schrimpe
Marissa Mayer
Google Ballone

Behördenirrsinn

eMails from a dead man
Franz Kafka
This American Live
Ende

21 Gedanken zu „WMR66 – Rootzertifikate von Gott

  1. Mit “StartSSL verfified” lassen sich problemlos Wildcard-Zertifikate (*.domain.xy) für beliebig viele Domains erstellen. Für die jährliche Verifizierung sind momentan USD 59 fällig.

  2. Pingback: Vorhersage Freitag, 05.07.2013 | die Hörsuppe

  3. Auch wenn’s in Zeiten von Prism etc. sicherlich nebensächlich erscheint, wer was zum Thema “Ultras” erfahren will, kann sich einerseits die SKY Doku:
    http://www.youtube.com/watch?v=02nfsZANEyc
    ansehen. (Die ersten drei Minuten Werbung skippen!)
    Andererseits sei der Podcast Erfolgsfans Nr. 22 empfohlen:
    http://fcblog.in/erfolgsfans/2012/11/15/ef22-martin-vom-club-nr-12/

    DIe Szene ist sicher nicht unkritisch zu betrachten, aber Max hat richtiger Weise auch eine andere Seite angesprochen.

  4. WMR gehört bei mir schon lange zu den Podcasts welche ich immer wieder gerne höre. Zu 90% bin ich zwar nicht eurer Meinung, finde es aber sehr angenehm so meine eigene zu hinterfragen. Weiter so!

  5. Man merkt deutlich, dass wenn Ihr keine Gäste habt, der Podcast wirklich nur aus Halbwissengelaber besteht. Nur weil unter den Fußballfans ein Streetworker ist und deine Freundin, die ne Fahne gemacht hat, heißt nicht, dass es die Mehrheit wiederspiegelt. Wenn ihr schon über Fußballfans redet, dann sagt nicht “ultras”, denn das ist eine vollkommen andere Sorte von Fans, die zB den Fanbus der Mannschaft des Gegners angreifen und die Leute da verprügeln.

    • Ich denke die Aussage “Alle Fußballfans sind Ultras.” ist genauso wahr wie die Aussage “Alle Ultras sind gewalttätig.”. Pauschalisierenden und plumpe Verallgemeinerungen sind denke ich in beiden Fällen nicht angebracht.

  6. Man was war das wieder eine Achterbahnfahrt. Wie so oft, wenn Ihr zu zweit seid, habe ich beim hören kräftig (und doch leise – Ihr wisst schon NSA) mit diskutiert. Finde es immer wieder erstaunlich wie ich beim hören mal Max verteufel während Michi das ausspricht was ich gerade denke und ich im nächsten Moment Max für seinen unermüdlichen Einsatz feiere Michis synaptischen Fehlzündungen als solche zu enttarnen.
    Jungs, ganz ehrlich, dafür liebe ich Euren Podcast. Danke!

    Podperlentauglich:
    “Max, wir leben in einer filter bubble”
    “Ja, es ist auch gut das wir in einer Filterblase leben.” – dann leise: “Du musst jetzt aber das Fenster zumachen, sonst kommen die ganzen Mücken rein.”

  7. So langsam wird mir klarer, was mspro mit seinem Kontrollverlust meint. Ja, ich finde seine Analyse zutreffend – er ist eine Tatsache der Gegenwart. Aber, ich finde nicht dass daraus sofort “Post-Privacy” folgt.

    Ein paar Punkte, die mir beim hören so durch den Kopf gegangen sind.
    (1) Ich habe nichts zu verbergen und auch wenn alle über mich alles wissen, habe ich nichts zu befürchten und trotzdem möchte/brauche ich meine Privatheit. Nur, weil die Daten keine Konsequenzen haben, verschwindet für mich nicht das Bedürfnis nach Privatssphäre. Ich denke Max war da auf der richtige Spur. Privatheit ist ein Wert an sich.

    (2) Ausserdem, es gibt Dinge, die nicht öffentlich sein dürfen. Mein Kreditkartennummer mit SecurityCode z.B. oder meine Banking-PIN/TAN. Alles Dinge, die privat bleiben müssen.

    (3) Natürlich ist es illusorisch, dass alles konsequenzenlos bleibt. Deshalb wird unser Handeln in der Post-Privacy-Gesellschaft (PPG) immer von “Was hat das für Konsequenzen” Gedanken durchzogen. Eine PPG hat weniger Freiheit. Ich werde mich weniger frei bewegen, wenn ständig alles öffentlich ist. Unachtsamkeiten können schlimme Konsequenzen haben. Das ganze wird durch den Kontrollverslust noch verschäft, da man die Konsequenzen gar nicht mehr abschätzen kann.

    (4) Es hilft nicht wirklich weiter, wenn nun alle ebenfalls an die Datensammlungen herankommen. Zum einen wird man am Ende nicht die Resourcen und das Wissen haben, in all den Daten auch die entlastenden Aspekte zu finden. Die “Gegenseite” ist immer besser ausgerüstet. Außerdem: Man kann eine Existenz zerstören obwohl man selbst die Anschuldigungen widerlegen konnte. (Bsp.: Ein Vergewaltigungvorwurf wird aus den Daten konstruiert. Die Person wird festgenommen, aus seiner sozialen Umgebung gerissen und kann seiner Arbeit nicht mehr nachgehen. Dann kann er seine Unschuld mit Hilfe der Daten beweisen. Aber ich zweifle stark, dass dann wieder alles so ist wie vorher.)

    (5) mspro legte nahe, dass wir keine Privatheit mehr bräuchten, wenn wir nur alle Benachteiligungen abgebaut hätten (es also ein rein geschellschaftliches Problem ist). Da möchte ich widersprechen. Sicher sind Vorurteile, Rassismen, … Grund, dafür z.B. seine Herkunft, Hautfarbe, Religion, … zu verbergen. Aber vielleicht möchte man auch in einer toleranten Gesellschaft ohne Vorteile nicht jedem offenbart wissen, dass man schwul, Christ, Jude, … ist. Außerdem erscheint es mir illusorisch in absehbarer Zeit, die Gesellschaft so zu prägen, dass sie keine Vorurteile mehr hat. Des weiteren gibt es Gründe für Privatssphäre, die nicht durch Vorurteilsabbau wegfallen, s. z.B. Punkt (2).

    (6) Der Kontrollverlust macht sich gerade schaurig schön sichtbar. Es ist ja nicht so, dass hier Kriterien aufgestellt werden, nach denen gefiltert wird und dann fallen am Ende Verdächtige heraus. Es ist doch viel mehr so, dass Algorithmen am Werke sind, die “selbständig” nach Abweichungen von der Mitte suchen. Dadurch fallen am Ende Verdächtige heraus, von denen man gar nicht so richtig weiß, warum sie verdächtig sind. Es gibt keine wirkliche Theorie was einen Verdächtigen ausmacht.Weiter gesponnen könnte aus den Daten Vorhersagen getroffen werden. Wie will man sich gegen soetwas verteidigen? (Da fällt mir auch gleich noch die Verknüpfung der Analysedaten mit Drohnentötunsgbefehlen ein.)

    Am Ende denke ich, kann die Konsequenz aus PRISM et. al nicht sein, das OK zu finden, wenn nur die Daten allen öffentlich zugänglich sind, sondern eher das Verbot solcher Sammelei. (Wenn ich in einem Verfahren illegal beschaften Daten konfrontiert werde, kann ich zumindest theoretisch dagegen argumentieren. Wurden aber die entlastenden Tatsachen gut aus den öffentlichen Daten entfernt, habe ich keine Chance mehr.)

      • Wollte gerade mit hochrotem Kopf zugeben, dass ich die entsprechende Stelle jetzt erst höre. Das S/MIME-Zertifikat könntest Du zwar auch irgendwo ablegen, aber wenn ich es richtig sehe, gibt es nicht so etwas wie öffentliche Keyserver für S/MIME.

  8. Hier sah, dass CAs sich bei Missbrauchsfällen lediglich als eine andere Person ausgeben können, aber nicht lernen Nachrichten entschlüsseln können. Sie haben schließlich lediglich den öffentlichen Schlüssel signiert und den privaten Schlüssel nie gesehen. Das ist so auch prinzipiell richtig.

    Nun ist es leider die großen CAs Kunden bei der Schlüsselerstellung nicht trauen. Wenn man nämlich die falschen Primzahlen wählt, lässt sich der private Schlüssel schnell errechnen. Deshalb sind viele CAs darauf übergegangen, den privaten sowie öffentlichen Schlüssel für den Kunden zu erstellen. Anscheinend ist es zu oft passiert, dass sich die Kunden nicht an die Regeln gehalten haben und alte private Schlüssel von anderen abgelaufenen Zertifikaten wieder verwendet haben.

    Die Zertifikat Aussteller sind somit eigentlich zu allem in der Lage.

  9. Natürlich kann jeder öffentliche Schlüssel auf PGP Keyserver hochladen.
    Auch mit falschem Namen und falscher Emailadresse. Es ist also völlig egal, ob die Büchsen geknackt werden oder nicht. Die Sicherheit entsteht entweder durch die direkte Weitergabe mittels Offlinemedium oder (nicht so sicher) dem Vergleich des Fingerprints per ANDEREM Medium oder über das sog. Web of Trust. Man kann öffentliche Schlüssel anderer , nach Prüfung, signieren und wieder hochladen. Wenn nun jemand meinem Schlüssel traut, traut er auch dem von mir signierten Schlüssel.
    Die Sicherheit von PGP hängt NICHT vom öffentlichen Schlüssel ab.

    • Wenn man all das weiß, hängt die Sicherheit nicht vom Öffentlichen Schlüssel ab. Das Problem ist aber, dass sich Normalmenschen dort erst reindenken müssen, was sie äußerst ungern tun. Und wenn sie das nicht tun und leitfertig irgendwelchen Schlüsseln auf irgendwelchen Servern trauen, hängt davon sehr wohl die Sicherheit ab. Die ist dann nämlich einfach mal im Arsch.

  10. Pingback: WMR75 – Deutschland, jetzt noch abgeschaffter | Wir. Müssen Reden

Kommentar verfassen