"Wenn du wüsstest, was ich über E-Mail weiß, kannst du es auch nicht verwenden", sagte der Besitzer des sicheren E-Mail-Dienstes Lavabit, als er es kürzlich heruntergefahren hat. "Es gibt keine Möglichkeit, verschlüsselte E-Mails zu versenden, bei denen der Inhalt geschützt ist", sagte Phil Zimmermann, als er plötzlich den sicheren E-Mail-Dienst von Silent Circle einstellte. Die Realität ist, dass E-Mails grundsätzlich unsicher sind und niemals vor einer staatlichen Überwachung geschützt werden können, wie dies bei anderen Kommunikationsformen der Fall ist.
Sicher, Sie verwenden möglicherweise einen anderen verschlüsselten und "sicheren" E-Mail-Dienst, der noch nicht heruntergefahren wurde. Aber sie sind anfällig für denselben Druck der US-Regierung wie Lavabit - deshalb hat Silent Circle geschlossen, bevor es von der Regierung kontaktiert wurde. Einige weniger prinzipientreue Dienste werden sich dafür entscheiden, mit den Regierungen zu kooperieren, anstatt abzuschalten. Wir wissen nicht genau, welchen Anforderungen Lavabit ausgesetzt war, da ihnen verboten ist, etwas zu enthüllen, das sie aufgrund von Hintertürbestellungen des geheimen US-Überwachungsgerichts erfahren haben, das PRISM und andere NSA-Überwachungsprogramme ermöglicht. Was ist PRISM? Alles, was Sie wissen müssen Was ist PRISM? Alles, was Sie wissen müssen Die National Security Agency in den USA hat Zugriff auf alle Daten, die Sie bei US-Dienstleistern wie Google, Microsoft, Yahoo und Facebook speichern. Sie überwachen wahrscheinlich auch den größten Teil des Verkehrs, der über die ... Read More.
Schauen wir uns jetzt an, warum E-Mail eine schlechte Wahl für sichere Kommunikation ist und wie es ein einfaches Ziel für das Snooping von Regierungen ist.
Metadaten können nicht verschlüsselt werden und XKEYSCORE kann sie abfangen
Eine E-Mail ist nicht wirklich ein einziges Stück Daten. Es sind mehrere Datenelemente: Es gibt den Nachrichtentext, die Betreffzeile, das Von-Feld, die An / CC / BCC-Felder und andere Metadaten, die den Standort enthalten, an den Sie die E-Mail senden.
Auch wenn Sie die beste Verschlüsselungstechnologie verwenden, können Sie nur den Nachrichtentext der E-Mail verschlüsseln. Jeder, der die von Ihnen verwendete Verbindung überwacht, kann den Betreff der E-Mail anzeigen, mit wem Sie kommunizieren und von wo aus Sie eine E-Mail senden. Im Rahmen des XKEYSCORE-Programms, mit dem die US-Regierung den Großteil des über das Internet fließenden Datenverkehrs abfangen kann, indem sie es an großen Backbone-Routern und Gateways abfängt, kann sich die Regierung ein recht gutes Bild davon machen, mit wem Sie kommunizieren Kommunikation mit ihnen, wo Sie kommunizieren, und was die Betreffzeilen Ihrer E-Mails sind, was ihnen eine Vorstellung davon gibt, worüber Sie sprechen. Sie finden möglicherweise die Tatsache, dass Sie den Inhalt Ihrer E-Mails verdächtig verschlüsseln und auf Sie zielen, für eine weitere, detailliertere Überwachung von allem, was Sie tun.
Die US-Regierung hat US-E-Mails bis 2011 in großen Mengen gesammelt. Laut NSA wurde dieses Programm eingestellt, weil es nicht effektiv war - aber sie sammeln immer noch Metadaten unter XKEYSCORE, sodass sie wahrscheinlich alle E-Mail-Metadaten abfangen können in die Finger bekommen. Sie erhalten viele Informationen von Ihnen, selbst wenn Sie Ihre E-Mails verschlüsseln.
Für weitere Informationen lesen Sie, was Sie aus dem "Header" einer E-Mail lernen können oder welche Metadaten Sie aus einem E-Mail-Header (Metadaten) lernen können. Was können Sie von einem E-Mail-Header (Metadaten) lernen? Haben Sie jemals eine E-Mail erhalten und sich wirklich gefragt, woher sie kommt? Wer hat es geschickt? Wie konnten sie wissen, wer du bist? Überraschenderweise kann eine Menge dieser Informationen von der ... Lesen Sie weiter.
![xkeyscore-metadata-slide](img/internet/342/why-email-can-t-be-protected-from-government-surveillance.png" "xkeyscore-Metadaten-Folie")
Viele "sichere" E-Mail-Anbieter haben die Verschlüsselungsschlüssel aus praktischen Gründen
Das Verschlüsseln und Entschlüsseln von E-Mails ist kompliziert. Theoretisch würden Sie etwas wie PGP oder GPG auf Ihrem lokalen Computer verwenden, um E-Mails zu entschlüsseln. Wie man signierte und verschlüsselte E-Mails mit Evolution sendet [Linux] In der heutigen technologischen Welt senden Sie verschlüsselt Nachrichten zwischen Menschen sind zu einem zunehmenden Standard geworden. Um Ihre E-Mail-Kommunikation zu sichern, müssen Sie Ihre E-Mails signieren und / oder verschlüsseln. In Linux ist dies ein einfacher ... Read More. In der Praxis kann das Setup selbst für technisch versiertere Benutzer kompliziert und verwirrend sein. Dies macht es auch unmöglich, über einen Browser oder einen leichten mobilen Client auf die verschlüsselten E-Mails zuzugreifen.
In der Praxis haben sich viele sichere E-Mail-Anbieter damit beschäftigt, die Verschlüsselungsschlüssel an ihrem Ende zu halten und E-Mails zu entschlüsseln, wenn Sie darauf zugreifen. So funktionierte der sichere E-Mail-Dienst von Silent Circle - sie verfügten über die Verschlüsselungsschlüssel, damit sie E-Mails problemlos entschlüsseln und eine gute Nutzererfahrung bieten konnten. In der Praxis bedeutet dies, dass die Regierung alle Verschlüsselungsschlüssel - oder nur diejenigen, die sie benötigen - anfordern und alle gewünschten E-Mails entschlüsseln kann. Wenn der Anbieter die Schlüssel hat, könnten sie diese übergeben. Die einzige Möglichkeit, E-Mail-Körper sicher zu verschlüsseln und zu entschlüsseln, ist die komplizierte Desktop-Software. Selbst bei all diesen Bemühungen bleiben die Metadaten offen.
Die Regierung kann Backdoors verlangen: Siehe Hushmail
Hushmail mit Sitz in Kanada ist einer der beliebtesten und bekanntesten verschlüsselten E-Mail-Dienste. Im Jahr 2007 zwangen kanadische Gerichte Hushmail dazu, die E-Mails eines seiner Nutzer zu übergeben. Die E-Mails wurden dann im Rahmen eines Rechtshilfeabkommens zwischen Kanada und den USA an US-Gerichte weitergeleitet.
Hushmail konnte dies theoretisch nicht tun. Sie haben die Verschlüsselungsschlüssel der Benutzer nicht auf ihren Servern gespeichert. Sie empfahlen Benutzern, PGP oder eine ähnliche Software zu verwenden, um die E-Mails auf ihren Computern für maximale Privatsphäre zu entschlüsseln. Viele hielten dies jedoch für zu umständlich. Daher bot Hushmail auch ein herunterladbares Java-Applet auf einer Webseite an, mit dem Sie auf Ihre E-Mails zugreifen konnten. Wenn Sie auf die Webseite zugreifen, wird die neueste Version des Java-Applets auf Ihren Computer heruntergeladen, Sie geben Ihren Verschlüsselungsschlüssel ein und das Applet lädt Ihre E-Mails herunter und entschlüsselt diese lokal, ohne dass Hushmail Zugriff auf Ihren Verschlüsselungsschlüssel erhält.
Hushmail war gezwungen, eine Version von Java zu liefern ist Java unsicher und sollte Sie es deaktivieren? Ist Java unsicher und sollten Sie es deaktivieren? Das Java-Plug-in von Oracle ist im Web immer seltener anzutreffen, wird aber in den Nachrichten immer häufiger verwendet. Ob Java mehr als 600.000 Macs infiziert oder Oracle ist ... Lesen Sie mehr Applet mit einer eingebauten Hintertür für den betreffenden Benutzer. Das modifizierte Java-Applet hat den Verschlüsselungsschlüssel des Benutzers nach der Eingabe an Hushmail gesendet, und Hushmail erhielt Zugriff auf die E-Mails des Benutzers, die sie den Gerichten übergaben.
Wenn Sie eine sichere E-Mail verwenden, kann der Anbieter gezwungen sein, Ihren Schlüssel in jeder möglichen Weise zu erwerben. Selbst wenn sie keinen Zugang zu Ihrem Schlüssel erhalten könnten, könnte der Anbieter Ihre verschlüsselten E-Mails selbst übergeben, was der Regierung mitteilt, mit wem Sie wann und über was kommunizieren (über die Betreffzeile der E-Mail).
![hushmail-legal-warning](img/internet/342/why-email-can-t-be-protected-from-government-surveillance-2.png" "Hushmail-Legal-Warnung")
E-Mail-Nachrichten werden auf einem Server gespeichert, Instant-Nachrichten nicht
Selbst wenn die Regierung den Verschlüsselungsschlüssel nicht erhalten oder abfangen kann, kann er Ihre E-Mails trotzdem entschlüsseln. Ihre verschlüsselten E-Mails werden auf einem Server gespeichert - so funktioniert E-Mail. Wenn die Regierung diese Daten verlangen würde, müsste der Hostinganbieter sie in verschlüsselter Form übergeben. Die Regierung könnte dann versuchen, die Verschlüsselung zu durchbrechen - neue Hardware macht die aktuellen Verschlüsselungsmechanismen regelmäßig schwächer und die US-Regierung könnte solche verschlüsselten Kommunikationen in der Hoffnung speichern, sie in der Zukunft zu brechen.
Im Gegensatz dazu ist Instant Messaging-Kommunikation schwieriger zu archivieren. Eine verschlüsselte Nachricht kann direkt an den Empfänger gesendet und nicht auf einem Server gespeichert werden, auf den in Zukunft zugegriffen werden kann. Die Regierung müsste ein Überwachungsgerät installieren und die gesamte Kommunikation in Echtzeit erfassen. Wenn sie dies nicht tun würden und nicht alle verschlüsselten Daten hätten, könnten sie es Jahre später nicht mehr bekommen - aber sie können dies oft mit E-Mail tun.
Andere Arten der Kommunikation können gesichert werden
E-Mail wurde nicht im Hinblick auf die Verschlüsselung entwickelt. Es wurde nach der Tat zugeschraubt und es zeigt sich. Selbst die vorsichtigsten Benutzer von E-Mail-Diensten können nicht verbergen, mit wem sie kommunizieren. Wenn Sie die staatliche Überwachung wirklich vermeiden möchten, sollten Sie lieber verschiedene sichere Messaging-Dienste verwenden, statt sich auf E-Mails zu verlassen.
Deshalb bietet Silent Circle immer noch einen sicheren Messaging-Service an. 3 Möglichkeiten, Ihre Smartphone-Kommunikation sicherer zu machen 3 Möglichkeiten, Ihre Smartphone-Kommunikation sicherer zu machen Absolute Privatsphäre! So denken wir, als unsere Worte und Informationen durch die Luft flogen. Nicht so: Zuerst ist es das Wort des Ermächtigungslosen Abhakens, dann ist es Wort der Zeitungen, der Rechtsanwälte, der Versicherer und mehr, die Ihre ... hacken, dass sie in der Sicherheit von sicher sind. Es ist auch nicht die einzige Option - Cryptocat ist eine andere. Cryptocat hatte eine kürzlich gemeldete Sicherheitslücke und andere Dienste könnten ihre eigenen Probleme haben, von denen wir in Zukunft hören werden, aber diese Dienste sind auf dem richtigen Weg - sie sind nicht grundsätzlich unsicher durch die Gestaltung der E-Mail.
Verschlüsselte E-Mails sind natürlich nicht unbedingt wertlos. Wenn Sie beispielsweise wichtige geschäftliche Kommunikation gegen Abhören schützen möchten, kann dies hilfreich sein. Aber verschlüsselte E-Mails werden die Regierung nicht sehr bremsen - es ist nicht das ideale Kommunikationsmittel, wenn Sie versuchen, ohne die NSA-Anhörung zu sprechen.
![Verschlüsseln Sie Ihre Daten](img/internet/342/why-email-can-t-be-protected-from-government-surveillance-3.png")
Sind Sie mit den Prinzipien der Stilllegung von Lavabit und Silent Circle einverstanden? Verwenden Sie einen sicheren Messaging-Dienst, um zu kommunizieren, ohne dass Ihre Unterhaltungen in einer riesigen Regierungsdatenbank gespeichert werden? Hinterlasse einen Kommentar und lass uns wissen, welche E-Mail-Alternative du bevorzugst.
Bildnachweis: Metalldetektor Via Shutterstock