Warum E-Mails nicht vor staatlicher Überwachung geschützt werden können
“Wenn Sie wüssten, was ich über E-Mail weiß, können Sie es auch nicht verwenden,” sagte der Besitzer des sicheren E-Mail-Dienstes Lavabit, als er ihn kürzlich heruntergefahren hatte. “Es gibt keine Möglichkeit, verschlüsselte E-Mails zu versenden, wenn der Inhalt geschützt ist,” sagte Phil Zimmermann, als er plötzlich den sicheren E-Mail-Dienst von Silent Circle stoppte. Die Realität ist, dass E-Mails grundsätzlich unsicher sind und niemals auf die gleiche Art und Weise wie andere Kommunikationen vor staatlicher Überwachung geschützt werden können.
Sicherlich verwenden Sie möglicherweise ein anderes verschlüsseltes und “sichern” E-Mail-Dienst, der noch nicht heruntergefahren ist. Sie sind jedoch anfällig für den Druck der US-Regierung, mit dem auch Lavabit konfrontiert ist. Deshalb wurde Silent Circle geschlossen, bevor er von der Regierung kontaktiert wurde. Einige weniger prinzipienorientierte Dienste werden sich eher für die Zusammenarbeit mit den Regierungen entscheiden als schließen. Wir wissen nicht genau, welche Anforderungen Lavabit stellen muss, da es ihnen verboten ist, alles offen zu legen, was sie aufgrund von Hintertürbefehlen des geheimen US-Überwachungsgerichts erfahren haben, das PRISM und andere Überwachungsprogramme der NSA aktiviert. Was ist PRISM? Alles was Sie wissen müssen, was PRISM ist? Alles, was Sie wissen müssen Die National Security Agency in den USA hat Zugriff auf alle Daten, die Sie bei US-amerikanischen Dienstanbietern wie Google Microsoft, Yahoo und Facebook speichern. Sie überwachen wahrscheinlich auch den Großteil des Verkehrs, der über die… Read More .
Lassen Sie uns nun herausfinden, warum E-Mail eine schlechte Wahl für sichere Kommunikation ist und wie es ein einfaches Ziel für das Schnuppern von Regierungen ist.
Metadaten können nicht verschlüsselt werden und XKEYSCORE kann sie abfangen
Eine E-Mail ist nicht wirklich ein einziges Datenelement. Es handelt sich um mehrere Datenelemente: Es gibt den Nachrichtentext, die Betreffzeile, das Feld Von, die Felder An / CC / BCC und andere Metadaten, die den Ort enthalten, von dem aus Sie die E-Mail senden.
Selbst wenn Sie die bestmögliche E-Mail-Verschlüsselungstechnologie verwenden, können Sie nur den Nachrichtentext der E-Mail verschlüsseln. Jeder, der die von Ihnen verwendete Verbindung überwacht, kann den Betreff der E-Mail anzeigen, mit wem Sie kommunizieren und von wo aus Sie E-Mails senden. Im Rahmen des XKEYSCORE-Programms, mit dem die US-Regierung im Wesentlichen den über das Internet fließenden Datenverkehr abfangen kann, indem sie an großen Backbone-Routern und Gateways abgefangen wird, kann die Regierung ein Bild darüber gewinnen, mit wem Sie kommunizieren, wenn Sie gerade sind Kommunizieren Sie mit ihnen, von wo aus Sie kommunizieren und wie die Betreffzeilen Ihrer E-Mails aussehen. Dadurch erhalten Sie eine Vorstellung davon, worüber Sie sprechen. Sie finden möglicherweise die Tatsache, dass Sie den Inhalt Ihrer E-Mails verdächtig verschlüsseln, und richten Sie an Sie, um alles, was Sie sonst noch tun, eingehender überwachen zu können.
Die US-Regierung hat US-amerikanische E-Mail-Datensätze in großen Mengen bis 2011 gesammelt. Laut NSA wurde dieses Programm eingestellt, weil es nicht effektiv war. Unter XKEYSCORE werden jedoch immer noch Metadaten gesammelt, sodass sie wahrscheinlich alle möglichen E-Mail-Metadaten abfangen Holen Sie sich ihre Hände auf. Sie erhalten viele Informationen von Ihnen, auch wenn Sie Ihre E-Mails verschlüsseln.
Für weitere Informationen lesen Sie, was Sie aus einer E-Mail erfahren können “Header”, oder Metadaten Was können Sie aus einem E-Mail-Header (Metadaten) lernen? Was können Sie aus einem E-Mail-Header (Metadaten) lernen? Haben Sie jemals eine E-Mail erhalten und sich wirklich gefragt, woher sie kommt? Wer hat es geschickt? Wie konnten sie wissen, wer du bist? Überraschenderweise können viele dieser Informationen von den… Weiterlesen .
Viele “Sichern” E-Mail-Anbieter haben die Verschlüsselungsschlüssel zur Vereinfachung
Das Ver- und Entschlüsseln von E-Mails ist kompliziert. Theoretisch würden Sie etwas wie PGP oder GPG auf Ihrem lokalen Computer verwenden, um E-Mails zu entschlüsseln. So senden Sie signierte und verschlüsselte E-Mails mit Evolution [Linux] So senden Sie signierte & verschlüsselte E-Mails mit Evolution [Linux] In der heutigen technologischen Welt ist das verschlüsselte Senden von E-Mails der Fall Botschaften zwischen Menschen sind zu einem wachsenden Standard geworden. Um Ihre E-Mail-Kommunikation abzusichern, müssen Sie Ihre E-Mails signieren und / oder verschlüsseln. In Linux ist dies ein einfaches… Lesen Sie mehr. In der Praxis kann das Setup auch für technisch versierte Benutzer kompliziert und verwirrend sein. Dies macht es auch unmöglich, auf die verschlüsselten E-Mails über einen Browser oder einen leichten mobilen Client zuzugreifen.
In der Praxis haben sich viele sichere E-Mail-Anbieter damit befasst, indem sie die Verschlüsselungsschlüssel an ihrem Ende halten und die E-Mails beim Zugriff entschlüsseln. So funktioniert der sichere E-Mail-Dienst von Silent Circle - er hat die Verschlüsselungsschlüssel, damit er E-Mails leicht entschlüsseln und eine gute Benutzererfahrung bieten kann. In der Praxis bedeutet dies, dass die Regierung alle oder auch nur die von ihnen benötigten Verschlüsselungsschlüssel anfordern und alle gewünschten E-Mails entschlüsseln kann. Wenn der Anbieter die Schlüssel hat, kann er sie übergeben. Die einzige Möglichkeit, E-Mail-Körper sicher zu verschlüsseln und zu entschlüsseln, ist die Verwendung komplizierter Desktopsoftware. Selbst diese Anstrengung lässt die Metadaten offen.
Die Regierung kann Hintertüren verlangen: Siehe Hushmail
Hushmail in Kanada ist einer der beliebtesten und bekanntesten verschlüsselten E-Mail-Dienste. Im Jahr 2007 zwangen kanadische Gerichte Hushmail, die E-Mails eines Benutzers zu übergeben. Die E-Mails wurden dann im Rahmen eines Rechtshilfeabkommens zwischen Kanada und den USA an US-Gerichte weitergeleitet.
Hushmail konnte das theoretisch nicht tun. Sie belassen die Verschlüsselungsschlüssel der Benutzer nicht auf ihren Servern. Den Benutzern wurde empfohlen, PGP oder eine ähnliche Software zu verwenden, um die E-Mails auf ihren Computern zu entschlüsseln, um maximale Privatsphäre zu gewährleisten. Viele Leute hielten das jedoch für zu unbequem, weshalb Hushmail auch ein Java-Applet zum Herunterladen anbot, das sich auf einer Webseite befindet, auf der Sie auf Ihre E-Mail zugreifen können. Wenn Sie auf die Webseite zugreifen, wird die neueste Version des Java-Applets auf Ihren Computer heruntergeladen, Sie geben den Verschlüsselungsschlüssel ein und das Applet würde Ihre E-Mail herunterladen und lokal entschlüsseln, ohne dass Hushmail Zugriff auf Ihren Verschlüsselungsschlüssel erhält.
Hushmail wurde gezwungen, eine Version von Java bereitzustellen. Ist Java unsicher und sollten Sie es deaktivieren? Ist Java unsicher und sollten Sie es deaktivieren? Das Java-Plug-in von Oracle ist im Web immer weniger verbreitet, in den Nachrichten jedoch immer häufiger. Ob Java die Infizierung von über 600.000 Macs oder Oracle ermöglicht, ist für den jeweiligen Benutzer ein integriertes Backlet. Das modifizierte Java-Applet hat den Verschlüsselungsschlüssel des Benutzers nach der Eingabe an Hushmail gesendet, und Hushmail hat Zugriff auf die E-Mails des Benutzers erhalten, die er den Gerichten übergeben hat.
Wenn Sie sichere E-Mails verwenden, kann der Anbieter gezwungen werden, Ihren Schlüssel auf jede mögliche Weise zu erhalten. Selbst wenn der Zugriff auf Ihren Schlüssel nicht möglich ist, kann der Anbieter Ihre verschlüsselten E-Mails selbst übergeben. Dies würde der Regierung zeigen, mit wem Sie wann kommunizieren und mit wem (über die E-Mail-Betreffzeile)..
E-Mail-Nachrichten werden auf einem Server gespeichert, Sofortnachrichten nicht
Selbst wenn die Regierung den Verschlüsselungsschlüssel nicht abrufen oder abfangen kann, kann er Ihre E-Mails trotzdem entschlüsseln. Ihre verschlüsselten E-Mail-Nachrichten werden auf einem Server gespeichert. So funktioniert E-Mail. Sollte die Regierung diese Daten verlangen, müsste der Hosting-Provider diese verschlüsselt übergeben. Die Regierung könnte dann versuchen, die Verschlüsselung zu brechen - neue Hardware macht die derzeitigen Verschlüsselungsmechanismen regelmäßig schwächer, und die US-Regierung speichert möglicherweise solche verschlüsselten Kommunikationen in der Hoffnung, sie zukünftig zu brechen.
Im Gegensatz dazu ist die Kommunikation mit Sofortnachrichten schwieriger zu archivieren. Eine verschlüsselte Nachricht kann direkt an den Empfänger gesendet und nicht auf einem Server gespeichert werden, auf den später zugegriffen werden kann. Die Regierung müsste ein Überwachungsgerät installieren und alle Kommunikationen in Echtzeit erfassen. Wenn sie dies nicht tun und nicht über alle verschlüsselten Daten verfügen, werden sie es später nicht mehr hinbekommen - aber sie können dies oft mit E-Mail tun.
Andere Arten der Kommunikation können gesichert werden
E-Mail wurde nicht für Verschlüsselung konzipiert. Es wurde nachträglich festgeschraubt und das zeigt es. Selbst der vorsichtigste E-Mail-Service-Benutzer kann nicht verbergen, mit wem er wann kommuniziert. Wenn Sie die staatliche Überwachung wirklich vermeiden möchten, sollten Sie lieber andere sichere Messaging-Dienste verwenden, anstatt sich auf E-Mails zu verlassen.
Aus diesem Grund bietet Silent Circle noch einen sicheren Messaging-Dienst an. 3 Möglichkeiten, die Kommunikation mit Ihrem Smartphone sicherer zu gestalten 3 Möglichkeiten, um die Kommunikation mit Ihrem Smartphone sicherer zu machen Absolute Privatsphäre! Oder so denken wir, als unsere Worte und Informationen durch die Luft flogen. Nicht so: Zuerst ist es das Wort des garantierten Abhörens, dann das Wort von Zeitungen, Anwälten, Versicherern und mehr, die Ihren… hacken, dass sie sich auf die Sicherheit ihres Unternehmens verlassen. Es ist auch nicht die einzige Option - Cryptocat ist eine andere. Cryptocat hatte eine kürzlich veröffentlichte Sicherheitslücke, und andere Dienste haben möglicherweise ihre eigenen Probleme, von denen wir in der Zukunft erfahren werden. Diese Dienste sind jedoch auf dem richtigen Weg - sie sind nicht grundsätzlich unsicher, wie E-Mails aussehen.
Natürlich sind verschlüsselte E-Mails nicht unbedingt wertlos. Wenn Sie beispielsweise wichtige geschäftliche Kommunikation vor Abhören schützen möchten, kann dies nützlich sein. Aber verschlüsselte E-Mails werden die Regierung nicht sehr verlangsamen - sie sind kein ideales Kommunikationsmittel, wenn Sie versuchen, ohne Anhörung der NSA zu sprechen.
Stimmen Sie den Grundsätzen von Lavabit und Silent Circle zu? Verwenden Sie einen sicheren Messaging-Dienst, um zu kommunizieren, ohne dass Ihre Unterhaltungen in einer umfangreichen Regierungsdatenbank gespeichert werden? Hinterlassen Sie einen Kommentar und teilen Sie uns mit, welche E-Mail-Alternative Sie bevorzugen.
Bildnachweise: Metalldetektor über Shutterstock
Erfahren Sie mehr über: E-Mail-Tipps, Verschlüsselung, Online-Datenschutz, Online-Sicherheit, Überwachung.