Vor ein paar Wochen habe ich mir einen neuen Key für GnuPG/PGP (im Folgenden einfach “GPG” genannt) zugelegt, weil mein bisheriger abgelaufen ist. Das habe ich zum Anlass genommen mal meine Vorgehensweise zu überarbeiten. Die Erkenntnisse will ich hier festhalten, vielleicht bringt es ja jemandem etwas . Ziel war:

• Fein granulare Schlüsselhierarchie: Eine GPG-Aufgabe → Ein Schlüssel.
• Die verschiedenen Schlüssel sollen den jeweils passendsten Algorithmus für die Aufgabe verwenden und bei Bedarf nach relativ kurzer Zeitspanne verfallen dürfen.
• Der Austausch eines Schlüssels soll NICHT zur Folge haben, dass das eigene Web-of-Trust zerhauen wird.

Dabei ist der letzte Punkt IMHO der Wichtigste. Das erspart einem, dass man wieder mühsam Signaturen für die neue Schlüssel einsammeln muss (den neuen Key vor Ablauf des alten Key mit selbigen zu signieren ist IMHO nur eine Notlösung, aber besser als nix). Die Vorteile liegen auf der Hand:

• Geeignetere Algorithmen und Schlüsselstärken für die jeweilige Aufgabe
  Beispiel: RSA erzeugt irrsinnig lange Signaturen, ist aber gut für Verschlüsselung geeignet. Wenn man dennoch zur Verschlüsselung auf RSA setzen will, kann man seinen Signierschlüssel über DSA realisieren. Zudem kann man die nötige Schlüssellänge (Bit) besser zwischen Aufgabe und Performance abwägen.
• Mehr Sicherheit
  Selbst wenn mal ein Schlüssel mit brachialer Großrechnerpower über Jahre geknackt werden könnte, so hat der Angreifer bei regelmäßig wechselnden Schlüsseln dann immer nur einen Teil der Daten und muss für weiteren Zugang zu älteren/neueren Daten erneut genausoviel Aufwand in Kauf nehmen. Dies gilt natürlich auch, wenn ein Schlüssel anderweitig kompromittiert wird (was wahrscheinlicher ist als Brute-Force). Es ist ein deutlicher Unterschied, ob jemand ein einziges Jahr oder z.B. fünfzehn Jahre Kommunikation nachvollziehen kann . Oder ob nur ein Webserver-Login ermöglicht wird oder gleich alle jemals verschickten Daten entschlüsselt werden können.

Wie jeder weiß, sammelt Google eine Menge Daten. Ich habe prinzipiell nichts gegen das sammeln von Daten als Solches, nur gefällt mir nicht, wenn intransparent geschieht oder man keine Wahl hat. Ein durchschnittlicher Google-Nutzer ahnt kaum, was er auf die Dauer alles von sich Preis gibt und Google hängt es auch nicht gerade an die große Glocke – IMHO alles ein wenig grenzwertig für eine Firma mit dem Slogan “don't be evil”.

Wer auf Google nicht verzichten mag, auf deren Logging und die Vermischung der Suchergebnisse mit Werbung gerne verzichtet, sollte sich einmal Scroogle.org anschauen. Denn dieser Screen-Scaper-Dienst ermöglicht einem genau dies. Ein Scroogle-Firefox-Plugin existiert natürlich auch. Sogar der Quelltext des Programms hinter Scroogle liegt offen und ist Public Domain – was will man mehr?

Immer wenn man denkt, es geht nicht noch schlimmer, kommt unser Innenminister daher und legt noch einen drauf – Der Tagesspiegel: Anwälte und Pfarrer sollen verwanzt werden.

(via)

Heute las ich im heise-Forum eine Witzelei über “Röntgenkameras”. Das hat mir wieder in den Sinn gerufen, dass fast niemand um Terahertz-Strahlungsquellen weiß, die im Grunde genau dieses “röntgen” (im Sinne von “durchleuchten”) leisten, ohne Menschen dabei krebserregender Röntgenstrahlung auszusetzen.

In der Medizin hat diese Technik sicherlich großes, nützliches Potential, im Überwachungssektor macht mir so etwas hingegen Angst, wird einem doch die letzte Privatheit geraubt (z.B. zeichnen sich die Genitalien deutlich ab). Daher sollte die Technik zwar nicht verteufelt, aber politisch genau beobachtet werden. In Großbritannien wollte man diese “Röntgenkameras” bereits zur öffentlichen Überwachung einsetzten, bei uns wurde die Verwendung an Flughäfen diskutiert.¹⁾ Schon erstaunlich, wie bitter ernst so mancher Witz wird…

Noch ein kleiner, grober Hinweis zum Unterschied der Strahlung Röntgen liegen in etwa zwischen 2,5×10¹⁷Hz bis 6×10¹⁹ und sind ionisierend, daher krebserregend. Als Terahertzstrahlung versteht man normalerweise Strahlungsfrequenzen zwischen 3×10⁹Hz bis 10¹³ Hz. Sie wirkt aufgrund der geringen Photonenenergie nicht ionisierend, weswegen sie nicht als krebserregend gilt. Zwischen Terahertz und Röntgen liegt also noch Infrarot, das sichtbare Licht und Ultraviolett.

• SPON -- Britische Überwachungspläne: Diese Kamera zieht Sie aus
• Kompakte Strahlungsquellen erschließen Marktpotenzial: Terahertz-Strahlung entgeht nichts
• Terahertzstrahlung
• photonIQ

Langsam reicht es. In den letzten Tagen wurde mehrfach über die neuste Planung berichtet, den Rundfunkgebührenstaatsvertrag (RGebStV) anzupassen, um die Datenerhebungsbefugnisse der Gebühreneinzugszentrale (GEZ) massiv auszuweiten.

Im dem Änderungsentwurf ist eine Datenerhebung ohne Kenntnis des Betroffenen bei nichtöffentlichen Stellen beschrieben, sofern die Daten Rückschlüsse auf die Gebührenpflicht zuzulassen. Im Klartext bedeutet dies IMHO, dass die GEZ beim Arbeitgeber, bei einer TV-Zeitschrift, einem Internetprovider, dem Kabelanbieter oder Ähnlichem in Zukunft Daten über eine Person abrufen können soll – ohne deren wissen.

Um recht sensible Dinge. Es ist dabei nicht darauf beschränkt, das beispielsweise TV-Spielfilm auf Nachfrage bestätigt, das Max Mustermann ein Abo hat, die geplanten Befugnisse gehen viel weiter. Folgende Daten sollen an die GEZ übermittelt werden:

• Name (Vor- und Nachname, inkl. Titel)
• Adresse/Anschrift
• Geburtsdatum
• Berufs-, Branchen- bzw. Geschäftsbezeichnungen (z.B. “Entwicklungsleiter”)
• Zugehörigkeit zu einer bestimmten Personengruppe (z.B. “Student” etc.)

Wenn also ein Mitarbeiter der GEZ will, könnte er ohne meine Kenntnis sofort wissen, wo ich arbeite, ob ich arbeite und dank etwaiger akademischer Titel, der Bezeichnung der Arbeitsstelle und des Arbeitgebers ziemlich gut einschätzen, was ich verdiene. Oder eben, ob ich eher ein tolles Opfer abgebe sozial schwach bin. So interpretieren jedenfalls mehrere Landesbeauftragte für Datenschutz die Planung und so verstehe auch ich das bisher.

Gegenüber heise.de bringt es Bitkom-Hauptgeschäftsführer Bernhard Rohlede auf den Punkt:

Das ist ein Schritt in die falsche Richtung. […] Die Ermächtigung ist bewusst wolkig formuliert.

Es ist zu befürchten, dass die GEZ neben seriösen Firmen auch auf zwielichtige Adresshändler zurückgreifen oder diese gar mit Daten versorgt, um im Gegenzug wiederum benötigte Daten zu bekommen. Bei allem ist auch noch zu bedenken, dass die GEZ keine Behörde ist, sondern lediglich eine ÖR-Verwaltungsgemeinschaft! Und als Sahnehäubchen mache man sich anschließend bewusst, für welch' “wichtiges” Gut man wildfremden sensible Daten im Geheimen abrufen lassen soll: ein bisschen Fernseh-, Radioprogramm und ein paar Websites!¹⁾

Alles in allem ist höchste Vorsicht gefordert. Jetzt ist zwar der Medienaufschrei da, doch sowas wird gut und gerne irgendwann mal durchgewunken. Und jetzt kommt mir hoffentlich keiner mit “wir brauchen unabhängige Medien”-Bla bla – Bei Zeitungen funktioniert es ja auch. Und selbst wenn: rund 17EUR (wenn man Pech hat auch mehrfach, für ein und dieselben Gerätschaften – Gewerbetreibende können ein Lied davon singen) “Zwangsgebühr”, unabhängig von der Nutzung, sind krass. Solange beim ÖR das Geld mit vollen Händen aus dem Fenster geworfen wird und jeder Regionalpapst seinen eigenen Sender hat ist das so nicht in Ordnung. Die BBC macht es vor – IMHO besseres Programm bei viel weniger Kosten. Und mit der Unabhängigkeit ist das auch so eine Sache. Vielleicht unabhängig von der Industrie, aber sicher nicht von der Politik. Dafür werden viel zu viele alte Parteisoldaten mit schönen Posten beim ÖR “belohnt”.

…die zeigen, wie unverschämt die GEZ in Einzelfällen ist, wie ziviler Ungehorsam gegenüber der GEZ aussehen kann (natürlich rein humoristisch, ich will hier ja niemanden zu irgendetwas anstiften ) und ein paar interessante Gedanken enthalten:

• heise-Forum: Das ist Hans...
• heise-Forum: Neulich an der Tür
• heise-Forum: Re: Und was wollen die da für Informationen ermitteln?
• heise-Forum: Re: Premiere und die GEZ
• FAZ.NET: GEZ-Methoden (1) -- Grauzonen des Rechts
• FAZ.NET: GEZ-Methoden (4) -- Die Provision erhöhen
• FAZ.NET: GEZ-Methoden (5) -- "O wie schön ist Kanada"
• heise.de: GEZ mahnt Bildungsportal wegen falscher Wortwahl ab
• heise.de: Hier kommt die Sonne -- und die GEZ
• heise.de: GEZ will Freiberufler und Selbstständige stärker kontrollieren

Zwar schon ein älterer Text, aber trotz der geringen Länge inhaltlich hochaktuell: Privatsphäre ist wie Sauerstoff -- Wie die Überwachung immer weiter fortschreitet.

Kürzer und dennoch gut kann man Überwachungsdruck anhand von Beispielen fast nicht beschreiben. Das Buch des Herrn Pär Ström werde ich mir bei Zeiten mal zu Gemüte führen. Ganz sicher.