Pleroma Microblog

Pleroma Microblog

Aktuell kommen viele Nachrichten über das überwachen von Messenger bei mir rein und da hab ich mir Mal Gedanken gemacht. Der Knackpunkt ist ja immer die App. Selbst wenn ich auf asymmetrische Crypto setze kann ich verpflichtet werden den Traffic vor dem verschlüsseln an Behörden auszuleiten. Die einzig sichere Variante die mir einfällt ist wirklich Email + PGP oder s/mime...

@koopa
XMPP und Omemo.
Da kann keiner ausser den Gesprächspartnern dran rumlesen.

@wuffel
Mit XMPP und Omemo kenne ich mich nicht aus, aber gibt es dort nicht auch einen Punkt in der Kette wo die Behörden die Überwachung durchsetzen können (Ausleiten bei Apps, Serverbetreiber etc.)?

@koopa
Die könnten mit wüsten Drohungen nen Serverbetreiber zum Datenabliefern zwingen, nur nützt das nix, weil die Verschlüsselung real Ende zu Ende ist. Kein Dreischlüsselscheiss oder sowas. Und das Omemovermurmelungsverfahren hat noch Tricks eingebaut gegen Sniffing. Was sie absammeln können, sind Metadaten (IP, Uhrzeit..) vom Verbindungsaufbau. Ich seh auch keine Option, das wegzukriegen, ohne das Prinzip der strikten Ende-Ende Vermurmelung zu verletzen.
Da wissen andere sicher mehr.

@wuffel man könnte in die Apps einen OMEMO-Key der Behörde einbauen, der fix verdrahtet und ausblendbar ist...

Aber das kann ich bei Opensource, wenn ichhs kann, vor dem selberkompillieren ja wieder ausbauen... sowas geht halt bei Signal, Watt-Sepp & Co deutlich einfacher.

Ich frag mich echt, wie sie sowas unterbinden wollen.

Das kann nur mit Verbot und Netzwerküberwachung auf verschlüsselte Streams gehen... und drasstische Strafen. Dann ist aber Openssl bei Websites auch Geschichte...

China lässt grüßenn.

@koopa

@jakob
@wuffel
Genau das meinte ich mit den Knackpunkt App: sobald ich eine App bereitstelle, kann ich zum ausleiten über einen Key für Behörden gezwungen werden. Das einzige was mir als sicher erscheint, ist Email mit PGP oder S/Mime

@koopa @jakob
Genau das mit dem Key "ausleiten" geht meines Wissens nach nicht bei Omemo.
Wo nix ist, kannste auch nix ausleiten.

@wuffel Das würde ich anders verstanden wissen...

Bei OMEMO kannst du beliebig viele Devices zu einem Account hinzufügen. Und die App/Andwendung verschlüsselt die Nachricht für alle diese Keys und der Server versendet sie an alle Accounts in einer Unterhaltung.

Wenn ich die App habe, wird "einfach" ein zusätzlicher Account mit zusätzlichem Key eingefügt und von der App verborgen. Also nicht angezeigt. Oder es wird ein zusätzlicher Key automatisch zu den Keys hinzugefügt, mit denen eine Nachricht verschlüsselt wird. Wenn dann die Behörde eine Konversation per Gerichtsbeschluss vom Serverbetreiber mitschneiden lässt, dann können sie diese mit dem automatisch eingefügten Key auch entschlüsseln...

Die Frage ist halt, wenn ich mit Conversations selbst kompilliere und die Entsprechende Code-Passage entferne (so denn mal eine eingebaut werden *muss*), mach ich mich strafbar? Mach ich mich strafbar, wenn ich die behördlich angeordnete Ausleite-funktion einer Open-Source-Applikation in einem eigenen Fork ausbaue?

Nimmt die EU damit in Kauf, dass dies auch das Ende von Opensource in diesem Bereich sein könnte?

@koopa
replies
1
announces
0
likes
1

@jakob @koopa
Die zusätzlichen Keys liegen auf dem Server? Hab ich dich da rchtig verstanden?

Ob jetzt die Regierung oder sonstige Schwachmaten meinen, mir verbieten können, meinen Computer zu bedienen, in dem ich z.B. was programmiere,
ist logistisch eine Nullnummer, aber ein politisches Ärgernis erster Güte.

@wuffel nein. die zusätzlichen Keys sind in der App einkompilliert. Also in Conversations, Gajim, Dino und wie sie alle heißen. Da wird dann bei der e2ee eben für ein device mehr verschlüsselt.

Das meine ich.

Und wenn die Gesetzgeber nur ein klein wenig von Opensource verstehen, dann wüssten sie auch, dass ich als versierter Nutzer genau diesen Code wieder entfernen und mir meine App selbst kompillieren kann.

Also muss der Gesetzgeber auch das verbieten... Wirklich Kontrolle über seine Bürger kriegt der Staat nur, wenn er OpenSource verbietet... generell. Und das Internet kontrolliert, sodass auch Downloads nicht mehr möglich sind...


@koopa

@jakob @koopa
Deshalb find ich es auch erheblich wichtig, da Strategien zu enwickeln, dran vorbei zurouten. Kleines Problem: Die Carrier und Bigplayer. Spielen die mit? Und wenn ja, auf wessen Seite?
Wenn sie anfangen, Compiler zu verbieten, wirds wunderlich.

@wuffel genau darauf zielt ja meine Frage ab... Wenn ich heute als Gesetzgeber e2ee verbiete, dann geht das sehr einfach, wenn es nur Signal, Whatsapp & Co gibt. Aber wie verbiete ich verteilte und opensource-Messaging-Systemen die e2ee?
Und wie überwache ich es?

Und nein... TOR ist keine Lösung. Wenn dir ungefähr die Hälfte der Tor-Knoten gehören, kannst du schon relativ gut nachvollziehen, wer da mit wem kommuniziert... Und die NSA wie auch die Chinesen trachten danach, möglichst viele Tor-Knoten zu besitzen...

Benutzt du Briar, kannst du zwar immer noch e2ee und p2p kommunizieren... aber mittels Tor können die Amis garantiert schon teilweise nachvollziehen, wer mit wem kommuniziert. Über Paketanalyse lässt sich dann schon auch rausfinden, DASS e2ee kommuniziert wird. Und wenn es verboten ist, habens dich.

Schau nach China. Dort gehst du ins Gefängnis, oder gerätst zumindest unter stärkere Überwachung, wenn du allein VPN nutzt... Und mit dem social credit system kannst du dann halt keine Fahrkarten mehr kaufen. Bargeld gibts ja dann auch nicht mehr (wirklich)... 3x bei Rot über die Kreuzung gehen, und du wirst deines Lebens nicht mehr froh...

Bei uns in Österreich wurde schon ganz konkret ein System getestet und es wäre fast in Betrieb gegangen, wo du beim Zigarettenkauf mittels Ausweis im Innenministerium gecheckt wurdest, ob du alt genug dafür bist. Jeder einzelne Zigarettenkauf wäre so überwacht gewesen. Und wenn die Daten schon mal da sind... dann kann man sie ja auch für die Forschung nutzen. Und wenn sie schon für die Forschung genutzt werden, kann man sie ja auch für die Sozialversicherung nutzen... und wenn man sie schon für die Sozialversicherung nutzt, warum nicht gleich Rauchern eine höhere Krankenversicherung aufbrummen... und bei der Miete Zuschläge von vornherein verrechnen... weil Raucher halten sich ja nicht ans Rauchverbot... usw.

Ich finde die Entwicklung wirklich erschreckend. Und das obowhl ich Technik- und IT-affin bin... Ich finds geil, was gemacht werden kann und ich verabscheue was gemacht wird.

So gehts mir auch mit dem Fediverse. Cool, dass es das gibt, und ich bin ich glücklich, es heuer entdeckt zu haben... wenn ich mir aber vorstelle (und ein bisser auf Peertube-Instanzen zu stöbern macht die Vorstellung zur Realität), dass Rechte, Wissenschaftsverweigerer, Qanon, Hildmann, Ken Jebsen und Co dieses tolle Medium für sich entdeckt haben.... und es da KEINE Kontrolle über das Verbreiten von diesem Scheißdreck gibt... wird mir ganz übel... Ich bin sicher, Trumps ankündigung über eine eigene Plattform wird in einer Fediverse-Instanz münden... Und die Linken sind wieder einmal zu träge, zu faul, zu wenig experimentierfreudig, zu feige, zu bequem, diese Plattform für sich zu erobern... Zumindest jene in meinem Umfeld... Auch die Grünen lassen im Fediverse aus. Auch der Wandel... Alle auf der Suche nach Aufmerksamkeit ähm... Reichweite wollt ich schreiben, bleiben dort hängen, wo zensiert und überwacht wird...

Und ich fürchte, DAS ist der Tod des Fediverse... Mit der Begründung, "rechte Gewalt zu verhindern" und "Fake-News zu unterbinden" wird es wohl auch auf ein Verbot solcher Plattformen hinauslaufen.... und das wird genauso gut durchsetzbar sein wie das Verbot von e2ee... also eh Nebelgranaten und Generalverdacht für beliebige Festsetzungen missliebiger Bürger...
@koopa

@jakob @koopa
ui, da ist aber einer sauer. (Völlig zu recht...)
Hoffen wir, dass das nur eine Hättewärewenn-Geschichte bleibt.
Ich bin allerdings, was Bösartigkeit und Hintertriebenheit unserer "Verantwortlichen" angeht, kein bischen naiv. Wir haben noch einiges zu tun.

@wuffel hab die Zigarettengeschichte live mitgekriegt... und hatte Gelegenheit nachzufragen... ja. ich BIN sauer.

@koopa

@jakob @wuffel
Schöne Diskussion, danke für das Feedback und weitere Szenarien auf die wir uns zumindest vorbereiten sollten. Wenn ich eins gelernt habe, was die Regierung und Digitales angeht, so ist keine Idee dumm genug um sie nicht in die Tat umzusetzen. traurig aber wahr...