Kommentare zu: De-Mail oder WBürgermail http://www.keentech.de/blog/2008/10/de-mail-oder-wburgermail/ Fakten, Erlebnisse, Gedanken und Erkenntnisse Sat, 11 Feb 2012 00:06:03 +0000 hourly 1 http://wordpress.org/?v=3.3.1 Von: De-Menz http://www.keentech.de/blog/2008/10/de-mail-oder-wburgermail/#comment-1504 De-Menz Wed, 04 Feb 2009 18:48:44 +0000 http://www.keentech.de/blog/?p=616#comment-1504 [...] würde mal wirklich interessieren, wie die Befürworter aus behördlicher Sicht von “damals” jetzt darüber denken. Ist das immer noch eine tolle Sache und verhilft zu weniger [...] [...] würde mal wirklich interessieren, wie die Befürworter aus behördlicher Sicht von “damals” jetzt darüber denken. Ist das immer noch eine tolle Sache und verhilft zu weniger [...]

]]> Von: FireFox http://www.keentech.de/blog/2008/10/de-mail-oder-wburgermail/#comment-1009 FireFox Fri, 10 Oct 2008 08:42:26 +0000 http://www.keentech.de/blog/?p=616#comment-1009 @Artanis: Das ist mehr oder weniger das, was ich meine. Dadruch, dass nichts öffentlich gemacht wird, kann niemand urteilen, ob das Ganze sicher ist. Ergo für mich gibt es da kein Vertrauen. So schön das Ganze vlt. auch sein mag, ich habe für mich dadruch keine Garantie wer, wann, was, wie und warum die Möglichkeit hat auf diese Daten - welche zum Teil ja auch mehr als sensibel sind, abhängig was ich da drauf packen will bzw. muss - zuzugreifen. Es wird immer einen MasterKey geben, bzw. wenn mir mein Privater Schlüssel vom Staat erstellt wird *lach*, wer sagt mir, dass der Staat diesen nicht als Kopie behält? Nur wenn ich diesen privaten Schlüssel, wie bei GnuPG oder PGP oder OpenPGP, selbst erstellen kann, kann ich davon mehr oder weniger ausgehen, dass kein anderer diesen jemals in seine Finger bekommt - abhängig von meinen eigenen Sicherungsvorkehrungen .... Ergo: So schön es klingt - es sind einfach viel zu viele unsichere und kritische Fragen offen - und werden es auch bleiben, denn die Institutionen werden mit Sicherheit nichts veröffentlichen ... und somit kann es kein Vertrauen geben in eine derartige "Technik". @Artanis: Das ist mehr oder weniger das, was ich meine. Dadruch, dass nichts öffentlich gemacht wird, kann niemand urteilen, ob das Ganze sicher ist. Ergo für mich gibt es da kein Vertrauen. So schön das Ganze vlt. auch sein mag, ich habe für mich dadruch keine Garantie wer, wann, was, wie und warum die Möglichkeit hat auf diese Daten – welche zum Teil ja auch mehr als sensibel sind, abhängig was ich da drauf packen will bzw. muss – zuzugreifen.

Es wird immer einen MasterKey geben, bzw. wenn mir mein Privater Schlüssel vom Staat erstellt wird *lach*, wer sagt mir, dass der Staat diesen nicht als Kopie behält? Nur wenn ich diesen privaten Schlüssel, wie bei GnuPG oder PGP oder OpenPGP, selbst erstellen kann, kann ich davon mehr oder weniger ausgehen, dass kein anderer diesen jemals in seine Finger bekommt – abhängig von meinen eigenen Sicherungsvorkehrungen ….

Ergo: So schön es klingt – es sind einfach viel zu viele unsichere und kritische Fragen offen – und werden es auch bleiben, denn die Institutionen werden mit Sicherheit nichts veröffentlichen … und somit kann es kein Vertrauen geben in eine derartige “Technik”.

]]> Von: Artanis http://www.keentech.de/blog/2008/10/de-mail-oder-wburgermail/#comment-1008 Artanis Fri, 10 Oct 2008 07:28:30 +0000 http://www.keentech.de/blog/?p=616#comment-1008 Sehr interessant im Hinblick auf die technische Umsetzung ist ja das jedwede Fehlen von Information, *wie* das passieren soll. Du sagst ja selbst, PGP und alles andere Standardisierte könne man dafür problemlos verwenden. Sehe ich ebenso, nur muß man sicherstellen, eine korrekte Identifizierung durchzuführen. Sowas gibt es ja derzeit schon für "offizielle" Zertifikate: VeriSign beispielsweise. Das sind Infrastrukturen, die durchaus verwendet werden können. Ich bin mir jedoch sicher, daß Vater Staat sich da wieder was Eigenes ausdenken wird (irgendwohin müssen unsere Steuergelder ja umgeleitet werden) und das dies nicht transparent sein wird. Und wie wir ja alle aus der Security-Vorlesung wissen, ist Algorithmen-Transparenz das A und O bei Verschlüsselung. Ergo: Es wird einen proprietären Algorithmus geben, der genau so sicher ist, daß der Bundestrojaner ihn ohne Probleme knacken können wird. Dazu diese "Datensafes" bei den Providern, die sicher auch einige mikroskopische Löcher aufweisen dürften. Sehr interessant im Hinblick auf die technische Umsetzung ist ja das jedwede Fehlen von Information, *wie* das passieren soll. Du sagst ja selbst, PGP und alles andere Standardisierte könne man dafür problemlos verwenden. Sehe ich ebenso, nur muß man sicherstellen, eine korrekte Identifizierung durchzuführen. Sowas gibt es ja derzeit schon für “offizielle” Zertifikate: VeriSign beispielsweise. Das sind Infrastrukturen, die durchaus verwendet werden können. Ich bin mir jedoch sicher, daß Vater Staat sich da wieder was Eigenes ausdenken wird (irgendwohin müssen unsere Steuergelder ja umgeleitet werden) und das dies nicht transparent sein wird. Und wie wir ja alle aus der Security-Vorlesung wissen, ist Algorithmen-Transparenz das A und O bei Verschlüsselung. Ergo: Es wird einen proprietären Algorithmus geben, der genau so sicher ist, daß der Bundestrojaner ihn ohne Probleme knacken können wird. Dazu diese “Datensafes” bei den Providern, die sicher auch einige mikroskopische Löcher aufweisen dürften.

]]> Von: FireFox http://www.keentech.de/blog/2008/10/de-mail-oder-wburgermail/#comment-1007 FireFox Fri, 10 Oct 2008 06:50:00 +0000 http://www.keentech.de/blog/?p=616#comment-1007 Ich würde gern den Behörden Vertrauen entgegenbringen. Wieso muss aber die ganze Speicherung und Austellung mit neuen Dingen und in staatlicher Hand passieren? Wieso kann man nicht die bereits mehr als sicheren Verfahren nutzen, die es heute bereits gibt (Signatur/PGP)? Wieso bzw. mit welchen Gründen versehen sollte ich meine Daten und Dokumente in dieses digitale Postfach packen? Wie ich bereits bei dir als Kommentar schrieb: Wer hat Zugriff auf die Daten? Es reicht einfach eine Signatur aus, sodass auf die Dokumente und Daten mehrere, vielleicht auch nicht berechtigte, Leute darauf zugreifen können. Wer kontrolliert dieses? Sicherlich - Papier sparen ist eine feine Sache, und vlt. via eMail mit Bearbeitern kommunizieren ebenso, um Nachfragen stellen zu können. Dennoch gehe ich mit meinem Anliegen, auch wenn es mir persönlich stressig ist, lieber zu einem Sachbearbeiter. Das ist erstens persönlicher und eigentlich auch im Vollzug gesehen erfolgreicher. Dinge die also im Raum stehen: Wie sicher ist die Verschlüsselung/Signatur? Das muss öffentlich gemacht werden. Wer darf womit wie zugreifen? Dafür wünsche ich mir ein Whitepaper oder was auch immer. Wie funktioniert der Datetresor (und wohlbemerkt - es gibt keinen sicheren Datentresor)? Wenn das Ganze als Ident- und Signaturverfahren genutzt werden soll - <strong>wie sicher ist das Ganze vor Identitätsdieben, für die eine zentrale Identifikation wie die De-Mail ein gefundenes Fressen ist?</strong> Fragen über Fragen, die mit Sicherheit nie beantwortet werden und somit das Ganze nicht transparent nach außen getragen wird. Das Schlimmste in meinen Augen ist das Fettgedruckte. Dieses, einmal mittels Trojaner oder sonstigem Schädling am PC abgegriffen, wird definitiv nach hinten losgehen und weitaus mehr Identitätsdiebstähle inkl. daraus resultierende Geld-, Sachdiebstähle verursachen, als es einem lieb war/ist. Ein Ausweissystem, welches verbreitet genutzt werden soll/muss, und Einkäufe und private/wichtige Dokument-, Antragsabfragen ermöglicht, wird bei Einführung in naher Zukunft geknackt. Es ist halt nur Hard- und Software und es gibt kein sicheres System. Unter diesem Gesichtspunkt sollte man das immer betrachten, wem ich welche, wie und wieso an Daten und Informationen gebe - egal wie schön die propagierte Welt werden soll. Oder? Ich würde gern den Behörden Vertrauen entgegenbringen. Wieso muss aber die ganze Speicherung und Austellung mit neuen Dingen und in staatlicher Hand passieren? Wieso kann man nicht die bereits mehr als sicheren Verfahren nutzen, die es heute bereits gibt (Signatur/PGP)? Wieso bzw. mit welchen Gründen versehen sollte ich meine Daten und Dokumente in dieses digitale Postfach packen?
Wie ich bereits bei dir als Kommentar schrieb: Wer hat Zugriff auf die Daten? Es reicht einfach eine Signatur aus, sodass auf die Dokumente und Daten mehrere, vielleicht auch nicht berechtigte, Leute darauf zugreifen können. Wer kontrolliert dieses?
Sicherlich – Papier sparen ist eine feine Sache, und vlt. via eMail mit Bearbeitern kommunizieren ebenso, um Nachfragen stellen zu können. Dennoch gehe ich mit meinem Anliegen, auch wenn es mir persönlich stressig ist, lieber zu einem Sachbearbeiter. Das ist erstens persönlicher und eigentlich auch im Vollzug gesehen erfolgreicher.
Dinge die also im Raum stehen: Wie sicher ist die Verschlüsselung/Signatur? Das muss öffentlich gemacht werden. Wer darf womit wie zugreifen? Dafür wünsche ich mir ein Whitepaper oder was auch immer. Wie funktioniert der Datetresor (und wohlbemerkt – es gibt keinen sicheren Datentresor)? Wenn das Ganze als Ident- und Signaturverfahren genutzt werden soll – wie sicher ist das Ganze vor Identitätsdieben, für die eine zentrale Identifikation wie die De-Mail ein gefundenes Fressen ist?
Fragen über Fragen, die mit Sicherheit nie beantwortet werden und somit das Ganze nicht transparent nach außen getragen wird. Das Schlimmste in meinen Augen ist das Fettgedruckte. Dieses, einmal mittels Trojaner oder sonstigem Schädling am PC abgegriffen, wird definitiv nach hinten losgehen und weitaus mehr Identitätsdiebstähle inkl. daraus resultierende Geld-, Sachdiebstähle verursachen, als es einem lieb war/ist. Ein Ausweissystem, welches verbreitet genutzt werden soll/muss, und Einkäufe und private/wichtige Dokument-, Antragsabfragen ermöglicht, wird bei Einführung in naher Zukunft geknackt.
Es ist halt nur Hard- und Software und es gibt kein sicheres System. Unter diesem Gesichtspunkt sollte man das immer betrachten, wem ich welche, wie und wieso an Daten und Informationen gebe – egal wie schön die propagierte Welt werden soll.
Oder?

]]> Von: krecki http://www.keentech.de/blog/2008/10/de-mail-oder-wburgermail/#comment-1006 krecki Fri, 10 Oct 2008 06:02:08 +0000 http://www.keentech.de/blog/?p=616#comment-1006 Ich sehe die De-Mail von 2 Seiten. Einerseits als Mitarbeiter im ÖD und als Privatmensch. Als Mitarbeiter kann ich elektronische Post nur befürworten, weg mit dem ganzen Paierzeugs! Als Privatmensch teile ich zum Teil deine Meinung bzw. deine Ängste. Aber man sollte auch ein wenig Vertrauen in die ganze Sache haben. Mal schauen was draus wird! Ich sehe die De-Mail von 2 Seiten. Einerseits als Mitarbeiter im ÖD und als Privatmensch. Als Mitarbeiter kann ich elektronische Post nur befürworten, weg mit dem ganzen Paierzeugs! Als Privatmensch teile ich zum Teil deine Meinung bzw. deine Ängste. Aber man sollte auch ein wenig Vertrauen in die ganze Sache haben. Mal schauen was draus wird!

]]>