Der UN-Berichterstatter für die freie Meinungsäußerung (freedom of expression), David Kaye, hat heute den Report on encryption, anonymity, and the human rights framework veröffentlicht. In dem Bericht geht es um zwei Fragen:
- Wird verschlüsselte und/oder anonymisierte Onlinekommunikation durch das Recht auf Privatsphäre und die Redefreiheit geschützt?
- Wie können Regierungen diese Rechte gegebenenfalls einschränken.
Das Dokument ist im DOC-Format auf der Seite zu finden. Ich habe auch eine Variante als PDF auf meiner Seite abgelegt.
Das Dokument beginnt mit ein paar einleitenden Worten und diskutiert dann Sicherheit sowie Privatsphäre in digitalen Medien. Die Kapitel 3 (Encryption, anonymity and the rights to freedom of opinion and expression and privacy
) und 4 (Evaluating restrictions on encryption and anonymity
) beschäftigen sich dann detaillierter mit den obigen Fragen. Das fünfte Kapitel hat dann Schlussfolgerungen und Empfehlungen an Staaten sowie verschiedene Organisationen.
Vom ersten Überfliegen bietet der Report einige wichtige Aussagen. So wird anerkannt, dass Verschlüsselung wie auch Anonymisierung wichtige Werkzeuge sind, um das Recht auf freie Meinungsäußerung ausüben zu können. Staaten wird nahegelegt, entsprechende Gesetze auf den Weg zu bringen und die Diskussion nicht immer nur im Hinblick auf möglichen Missbrauch (Stichwort: Terrorgefahr) zu führen. So steht in Absatz 59:
States should promote strong encryption and anonymity. National laws should recognize that individuals are free to protect the privacy of their digital communications by using encryption technology and tools that allow anonymity online. Legislation and regulations protecting human rights defenders and journalists should also include provisions enabling access and providing support to use the technologies to secure their communications.
Aber auch Firmen und private Unternehmen sollen Verschlüsselung und sichere Kommunikation fördern!
Nach dem ersten Überfliegen habe ich den Eindruck, dass das ein sehr interessantes Dokument ist. Wir sollten es inbesondere diversen Politikern als Bettlektüre mitgeben.
Der macht eine Meldung über die LogJam-Schwachstelle die Runde. Ein Besuch der Webseite WeakDH.org offenbarte auch bei meinen Browser-Einstellungen Schwächen. Doch wie sichere ich den gegen die Attacke?
Im Firefox ist das recht einfach: In die Adresszeile einfach about:config eingeben und dann in den Konfigurationseinstellungen nach dem Wert .dhe suchen. Der Punkt vor dhe ist wichtig, dass nur die relevanten Algorithmen gefunden werden. Alle Werte (je nach Version sind das zwei oder mehr) werden auf false gesetzt. WeakDH.org sollte nun keine Warnung mehr anzeigen.
Im Chrome oder Chromium gibt es keine Möglichkeit, die Einstellung über ein Menü zu machen. Der beste Weg, den ich fand, ist, zunächst die Cipher-Suite-Detail-Seite zu besuchen. Dort findet ihr eine Tabelle mit Algorithmen, die euer Browser unterstützt. In der Spalte Spec stehen Zahlen-/Buchstaben-Kombinationen. So findet sich bei mir beispielsweise der Eintrag: (00,0a). Sucht nun nach allen Einträgen, bei denen der Cipher-Suite-Name mit DHE (nicht ECHDE) beginnt und entfernt die Klammern und das Komma von der Spec. Nun fügt ihr noch ein 0x an den Anfang. Im obigen Beispiel wird also aus (00,0a) ein 0x000a. Diese unerwünschten
Algorithmen werden als Option dem Chrome oder Chromium übergeben: google-chrome --cipher-suite-blacklist=0x009e,0x0033,0x0032,0x0039,0x0004,0x0005 ist das bei meinem Browser.
Wie sieht es bei anderen Browsern aus? Meines Wissens kann man den Internet Explorer nicht so detailliert steuern. Ich freue mich über Hinweise und nehme die gern mit in den Beitrag auf. Schließlich sollte das Ergebnis der Webseite dann wie unten aussehen. 
Update: Das Projekt scheint nicht mehr zu existieren. Github hat noch den Quellcode.
Ich plane gerade eine Reise nach Spanien. Diese fällt in die Zeit des Fallas-Fests. Neben imposanten Figuren sind in der Stadt auch viele Taschendiebe zu finden. Doch mit welchen Bildern könnte ein Bericht zu den Dieben unterlegt werden? Ich vermute, vielen von euch fällt gleich etwas dazu ein. Ein Hand in der Tasche, eine leere Tasche mit entsprechendem Gesicht des Besitzers und vieles andere sind so Motive. Doch was ist, wenn jemand eure Daten »klaut« bzw. wenn ihr die weitergebt ohne es zu wollen? Dann wird es mit einer ansprechenden Darstellung schon schwieriger.
Bei Wired ist gerade wieder ein Versuch zu bewundern: die Datenblumen. Ihr könnt auf der Webseite eine URL eingeben. Dann wird die Webseite analysiert und eine Grafik ausgegeben. Je kleiner die Blume ist, desto besser ist es. Außerdem sollten alle aufgerufenden Dateien in einem Kreis liegen. Das bedeutet, dass alles vom selben Webserver kommt. Die Datenblume von kubieziel.de ist so ein Beispiel.
Bei den Datenblumen von Jenapolis und der Jena-Ausgabe der OTZ sieht das Bild schon ganz anders aus. Dort eröffnen sich weitere kleine Kreise. Das bedeutet, dass andere Inhalte geladen werden und eure Daten, die der Browser übermittelt, auch an die Drittseiten gehen.
Die Webseite erklärt die Struktur der Blumen. Probiert es einfach selbst aus.
Einen ähnlichen Ansatz gibt es auch als Plugin für den Firefox. Lightbeam zeigt über den Verlauf einer Sitzung an, wo Daten hingeschickt werden. Gerade weil dort auch der Verlauf abgebildet wird, finde ich den Ansatz noch interessanter. Meist ist es recht schockierend zu sehen, wie mit wenigen Seitenaufrufen eine große Menge an unerwünschten Drittseiten aufgerufen wird.
Überwachung ist überall. Mittlerweile gibt es verschiedene Initiativen, die sowohl politisch wie auch technisch etwas dagegen tun wollen. Eines dieser Projekte startet demnächst in Dresden. Unter dem Projekttitel »Echt Dezentrales Netz (EDN)« findet am 16. und und 17. Januar (folgendes Wochenende) ein Geekend statt. Am Freitag abend werden einige existierende Lösungen, wie Freenet, AN.ON und andere vorgestellt. Samstags geht es mit Vorstellungen weiter. Der Nachmittag ist dann für Workshops reserviert.
Falls ihr teilnehmen wollt, tragt euch im Dudle. Für Leute, die nicht nach Dresden kommen können, gibt es einen Mumble-Raum.
Beim Deutschlandfunk erschien kürzlich ein Essay von Friedemann Karig mit dem Titel »Befallen vom Überwachungsvirus«. Er stellte sich vor, dass Überwachung ein Virus wäre und malte dann aus, was in Folge passiert.
Die Überwachungen durch staatliche Organe im Internet machen krank, meint Friedemann Karig in Essay und Diskurs. Sie wirken genauso wie ein Virus, gegen den sich die Bürger schützen müssen - und können. Es komme darauf an, die Wunder des Netzes zu nutzen, um seine Rettung voranzutreiben.
In seinem Blog findet sich interessante Leserpost und die Antwort dazu.
Kürzlich führte ich einen Workshop zum technischen Datenschutz und Verschlüsselung durch. Während Workshops zeigte ich den Teilnehmern verschiedene Werkzeuge, unter anderem auch den Tor Browser. Dabei meinte ein Teilnehmer, dass er ZenMate einsetzt und dies genauso sicher wie der Tor Browser ist.
Was ist ZenMate? Auf der Webseite verspricht die Anwendung Verschlüsselung sowie anonymes Browsen. Der Internetverkehr wird durch virtuelle private Netze (VPNs) geleitet. Das Plugin lässt sich einfach installieren und fragt anschliessend nach einer E-Mail-Adresse. Nachdem eine E-Mail-Adresse eingegeben wurde, wird das Plugin nach einer kleinen Wartezeit aktiv. In der Browserleiste im Firefox erscheint ein grünes Schild und nach einem Klick lässt sich rechts unten der Ort wechseln (Change Location). Auf Empfehlung des Teilnehmers wählten wir im Kurs Hong-Kong aus und fühlten uns geschützt. Doch wie sieht die Realität aus?
Ich nutze für Tests auf Anonymisierung meist die Seite IP-Check. Nach dem Start des Tests und einer kurzen Wartezeit ergab sich folgendes Bild:
Das Plugin leitet zwar die Verbindungen über das VPN weiter und nutzt einen Server in Hong-Kong (oder auch anderen Städten). Weitere Browsereinstellungen bleiben jedoch unangetastet. Im Beispiel oben war es das Flash-Plugin, was in vielen Browsern standardmäßig aktiv ist, das sogar die reale, gerade verwendete IP-Adresse preisgegeben hat. Mit der manuellen Deaktivierung von Flash wird die eigene IP-Adresse nicht mehr unmittelbar erkannt. Allerdings bleiben noch genügend andere Möglichkeiten übrig das Onlineverhalten der Benutzer zu verfolgen.
Letztlich stecken die Entwickler des Tor Browsers sehr viel Zeit und Energie, Lücken im Firefox zu schließen. Daher wäre es schon sehr verwunderlich, wenn sich gleiches Ziel, nämlich anonymes Browsen, mit einem einfachen Plugin erreichen ließe.
Wer also ZenMate einsetzen will, sollte sich der Risiken im Klaren sein und ggf. selbst weitere Anpassungen im Browser vornehmen. Eventuell funktioniert die Kombination des JondoFox-Profils mit ZenMate besser. Diesen Versuch überlasse ich euch. Ihr könnt gern einen Kommentar hinterlassen.
Anfang September soll der Datenschutz etwas greifbarer gemacht werden. Ich werde zusammen mit
Dirk Adams einen
Datenschutzspaziergang machen. Wir wollen einige Stationen in Jenas Innenstadt ansteuern und über die Sicherheit oder Unsicherheit unserer personenbezogenen Daten reden.
Wir starten am Dienstag, den 2. September 2014 um 18 Uhr am Ernst-Abbe-Platz in Jena und wollen folgende Stationen ansteuern.
- Ernst-Abbe-Platz
- Telekomladen in der Goethegalerie
- dm am Teichgraben
- Rathaus am Markt
- Paradiesbahnhof
Falls jemand noch weitere Hinweise hat, kann es natürlich sein, dass sich die Route geringfügig verschiebt. Die Orte bieten viel Gelegenheit, um über Probleme und Lösungen beim Datenschutz zu reden. Kommt vorbei und spaziert mit.
