this post was submitted on 17 Apr 2024
89 points (100.0% liked)

DACH - jetzt auf feddit.org

8713 readers
1 users here now

Diese Community wird zum 01.07 auf read-only gestellt. Durch die anhäufenden IT-Probleme und der fehlende Support wechseln wir als Community auf www.feddit.org/c/dach - Ihr seid herzlich eingeladen auch dort weiter zu diskutieren!

Das Sammelbecken auf feddit für alle Deutschsprechenden aus Deutschland, Österreich, Schweiz, Liechtenstein, Luxemburg und die zwei Belgier. Außerdem natürlich alle anderen deutschprechenden Länderteile der Welt.

Für länderspezifische Themen könnt ihr euch in folgenden Communities austauschen:

Eine ausführliche Sidebar findet ihr hier: Infothread: Regeln, Feedback & sonstige Infos

Auch hier gelten die Serverregeln von https://feddit.de !

Banner: SirSamuelVimes

founded 1 year ago
MODERATORS
all 32 comments
sorted by: hot top controversial new old
[–] cows_are_underrated@feddit.de 53 points 6 months ago (2 children)

Das ist wieder so ein Musterbeispiel von Politikern die Demokratie nicht verstanden haben. Hier will man nicht "Kinder schützen", sondern Herrschen wie ein Kaiser. Das ganze ist unverhältnismäßig, alle Organisationen und die meisten Privatpersonen lehnen das ab und höchst wahrscheinlich verstößt es gegen EU-Recht, aber Mann will es trotzdem machen. Versteht es doch endlich, nein heißt nein.

[–] trollercoaster@sh.itjust.works 13 points 6 months ago

Das ist wieder so ein Musterbeispiel von Politikern die Demokratie nicht verstanden haben.

Diese Politiker haben repräsentative Demokratie sehr gut verstanden und nutzen sie geschickt, um ihre Machtphantasien auszuleben. Sagst Du ja selbst.

Hier will man nicht “Kinder schützen”, sondern Herrschen wie ein Kaiser.

"Kinder schützen" ist hier nur ein Totschlagargument, das es sehr einfach macht, Alle zu delegitimieren, die das durchschauen und kritisieren.

[–] Klingenrenner@feddit.de 5 points 6 months ago

Aber wenn man oft genug fragt, dann wird aus dem nein vielleicht ein ja... creepy_face.png

[–] cron@feddit.de 45 points 6 months ago (1 children)

Was ist denn das für ein Vorschlag? Alle Ende-zu-Ende Verschlüsselten Dienste sollen Client-Side-Scanning machen?

Je nach Kategorisierung ergeben sich verschiedene Maßnahmen, Aufdeckungsanordnungen und Überwachungspflichten. In der Präsentation wird dies als ein Ansatz verkauft, der „gezielter“ sein soll als die vorherigen Versionen der Verordnung.

Inwiefern ist das bitte "gezielt"? Das ist doch wie mit Kanonen auf einem Spatzen zu schießen, wobei nicht sicher ist, welcher Spatz eigentlich genau getroffen werden soll. Einfach mal auf alles, wo " Verschlüsselung " drauf steht.

(Bitte korrigiert mich, falls ich falsch liege. Ich bin zugegeben etwas genervt, dass diese und ähnliche Überwachungsmaßnahmen seit 15 Jahren permanent diskutiert werden.)

[–] aaaaaaaaargh@feddit.de 14 points 6 months ago* (last edited 6 months ago) (1 children)

Du liegst nicht falsch, das ist einfach komplett unmöglich und extrem dumm. Dann lasst uns doch gleich einfach auch TLS rauswerfen und einfach wieder alles unverschlüsselt rumsenden - beim Fax klappt es ja auch seit 40 Jahren.

edit: SSL zu TLS korrigiert

[–] trollercoaster@sh.itjust.works 1 points 6 months ago (2 children)

TLS, wie es hauptsächlich praktiziert wird, ist eh nur Sicherheitstheater. Musst Dir nur mal anschauen, welchen Zertifizierern Dein Betriebssystem und Dein Browser standardmäßig so vertraut.

[–] aaaaaaaaargh@feddit.de 2 points 6 months ago (1 children)

Also das sehe ich schon sehr anders, allein, wenn ich an SSH denke. Und ungesichertes HTTP möchte ich - Zertifikatsstelle hin oder her - ganz sicher nicht. Es liegt doch am Nutzer selbst, man kann in den meisten Browsern und Systemen auch die CAs entfernen, die man selbst nicht will.

[–] trollercoaster@sh.itjust.works 3 points 6 months ago (1 children)

SSH macht es halt richtig, aber SSH ist keine wirkliche Mainstream-Anwendung.

Der durchschnittliche Nutzer ist bestenfalls gerade mal in der Lage, sein Gerät ohne fremde Hilfe einzuschalten. Irgendwelche CAs zu beurteilen und zu entfernen dürfte deren Fähigkeiten leicht übersteigen.

[–] aaaaaaaaargh@feddit.de 2 points 6 months ago (1 children)

Das ist korrekt, aber dann zeichnest du für meinen Geschmack das Problem am falschen Ort. TLS kann ja nichts dafür, wenn CAs zu freizügig vertraut wird.

Davon abgesehen, das würde mich wirklich interessieren: welche fragwürdigen CAs meinst du denn, denen vertraut wird?

[–] trollercoaster@sh.itjust.works 1 points 6 months ago (1 children)

welche fragwürdigen CAs meinst du denn, denen vertraut wird?

Alle staatlichen zum Beispiel.

[–] aaaaaaaaargh@feddit.de 2 points 6 months ago* (last edited 6 months ago) (1 children)

Welche sind das? Will dich nicht mit der Frage hinters Licht führen, aber ich brauche mal nen Anhaltspunkt, damit ich mir das gleich mal ansehen kann anstatt zu arbeiten.

update: also bund.de nutzt z.B. D-Trust, was der Bundesdruckerei gehört. Das halte ich schon für vertrauenswürdig. Ich dachte jetzt eigentlich eher, dass du zwielichtige Privatunternehmen meinst.

[–] trollercoaster@sh.itjust.works 2 points 6 months ago* (last edited 6 months ago) (1 children)

Hab da gerade mal in nen Firefox reingeschaut, bin aber nicht mehr zu 100% sicher, ob ich den nicht schon mal ausgemistet hatte, denn da waren nur noch wenige eindeutig staatlichen Zertifizierer drin:

  • TunTrust Root CA ausgestellt von der Agence Nationale de Certification Electronique in Tunesien
  • Staat der Nederlanden Root CA - G3 ausgestellt vom Niederländischen Staat

Leider haben auch die kommerziellen Zertifizierer gerne Namen, die irgendwie "offiziell" klingen, ist also teilweise schwierig zu unterscheiden.

Außerdem gibt es ja auch noch staatsnahe gewerbliche Dienstleister, z.B. T-Systems in Deutschland. Bei denen würde es mich sehr wundern, wenn sie nicht auf Zuruf Fake-Zertifikate für diverse Dienste und Polizeien austellen würden.

Update:

Das halte ich schon für vertrauenswürdig

Staatliche Zertifizierer sind insofern vertrauenswürdig, dass sie Zertifikate für staatliche Stellen ausstellen. Ob das jetzt für irgendein normales staatliches Angebot ist, oder für irgendeinen Geheimdienst oder sonstige Ermittlungsbehörden,ist aber eine ganz andere Frage.

[–] Backslash@feddit.de 1 points 6 months ago* (last edited 6 months ago) (1 children)

Naja es gibt ja schon einen Unterschied zwischen der Verschlüsselung und der Authentifizierung bei TLS.

Die Zertifikate sind für die Prüfung der Authentizität notwendig (also dass der Server tatsächlich der ist, der er behauptet zu sein) und da kann man durchaus berechtigt diskutieren, dass nicht alle Organisationen, die solche Zertifikate ausstellen, auch vertrauenswürdig sind.

Die Verschlüsselung, um die es hier geht, ist aber trotzdem eine gute Sache und hat nichts mit Sicherheitstheater zu tun. Die sorgt nämlich dafür, dass niemand mitlesen kann, was zwischen dir und dem Server am anderen Ende hin und her geschickt wird. Ist zwar nur begrenzt sinnvoll, wenn man besagtem Server ohne o.g. Authentifizierung nicht immer trauen kann, aber das tut der Nützlichkeit der Verschlüsselung selbst keinen Abbruch.

[–] trollercoaster@sh.itjust.works 3 points 6 months ago

Die Verschlüsselung ist aber nur sicher, wenn die Authentifizierung vertrauenswürdig ist, denn sonst kann jeder, der an ein "vertrauenswürdiges" Zertifikat kommt, Dir einfach sein eigenes unterschieben und den verschlüsselten Traffic mitlesen. Eine Verschlüsselung, bei der keine vertrauenswürdige Authentifizierung stattfindet, ist damit selbst nicht vertrauenswürdig und nur sehr begrenzt nützlich.

[–] Flipper@feddit.de 25 points 6 months ago (3 children)

Vor allem wie stellen die sich das vor. Wollen sie alle großen Hersteller verpflichten? Klar bei WhatsApp geht das. Signal und Threema stellen wahrscheinlich eher den Betrieb ein als das sie da mitmachen.

Aber was ist mit dem Matrix Protokoll. Wollen die wirklich versuchen die 20 Clients und 4 Server Implementierungen dazu zu zwingen, wo genug von den Entwicklern im Ausland sitzen.

[–] DarkThoughts@fedia.io 12 points 6 months ago (1 children)

Zumal du damit nur dafür sorgst, dass die Entwicklung dann in die Hände von irgendwelchen zwielichtigen Gestalten fällt, welche einen Dreck auf die Rechtsprechung hier geben. Was hindert irgendwelche etablierten Terrorstaaten daran ihren eigenen Client zu entwickeln?

[–] cows_are_underrated@feddit.de 5 points 6 months ago (2 children)

Bei Matrix ist es halt einfach so, dass die einfach geforked werden und dann hast du das einfach nicht.

[–] Killing_Spark@feddit.de 6 points 6 months ago (1 children)

Die Frage ist halt wer das forked und ob du dem noch vertrauen willst

[–] cows_are_underrated@feddit.de 3 points 6 months ago

Das ist leider so.

[–] RalfWausE@discuss.tchncs.de 4 points 6 months ago (1 children)

Die staatliche Lösung hierfür ist dann eben eine Zertifizierung für Messengertools, alles andere ist dann eben ein böses "Hackerwerkzeug" und stellt einen Straftatbestand dar.

[–] cows_are_underrated@feddit.de 2 points 6 months ago (1 children)

Wenn es so weit kommt wird es Zeit auszuwandern. Jedoch kann ich mir nicht vorstellen, dass so etwasVerfassungskonform wäre.

[–] RalfWausE@discuss.tchncs.de 1 points 6 months ago (1 children)

Warum sollte das nicht Verfassungskonform sein? Die Wehrpflicht gab es quasi seit Gründung der Bundesrepublik und derzeit ist sie auch nicht abgeschafft sondern nur ausgesetzt. Eine Reaktivierung dürfte somit nicht solch hohe Hürden wie eine Wiedereinführung haben.

[–] cows_are_underrated@feddit.de 2 points 6 months ago (1 children)

Alles außer zertifizierte Software illegal machen? Alles was Legal ist wird überwacht. Ich Zweifel da ein bisschen an der Rechtmäßigkeit.

[–] RalfWausE@discuss.tchncs.de 1 points 6 months ago (1 children)

Naja, es gäbe ja mit dem "Hackerparagrafen" (§ 202 StGB) durchaus einen Präzendenzfall... wenn man nicht sogar diesen direkt darauf anwenden könnte.

Aber vielleicht denke ich auch einfach nur zu negativ...

[–] cows_are_underrated@feddit.de 1 points 6 months ago

Kannst du mir einen Link für den Präzedenzfall schicken? Ich könnte mir nämlich nicht vorstellen, wie der Hackerparagraph dafür relevant sein könnte. Der dreht sich ja um das unerlaubte Zugreifen und nicht um das verschleiern.

[–] WallEx@feddit.de 5 points 6 months ago

Das ist der trick bei matrix ;)

Kann mir nicht vorstellen, dass das bei der Struktur funktioniert.

[–] trollercoaster@sh.itjust.works 1 points 6 months ago

Die verbieten einfach die Clients ohne Backdoor. Und als Benutzer kassierst Du dann ne Anzeige, wenn Du damit erwischt wirst.

[–] aaaaaaaaargh@feddit.de 23 points 6 months ago (1 children)

Ich könnte jetzt hier 100 Gründe auflisten, warum das technisch, politisch, wirtschaftlich und gesellschaftlich absolut unfassbar und unrealistisch ist, aber ich glaube, das muss gar nicht mehr erwähnt werden.

Terrorabwehr, Kindesmissbrauch, bin mal gespannt, was als nächstes kommt.

[–] windpunch@feddit.de 6 points 6 months ago* (last edited 6 months ago) (1 children)

Eine neue "Begründung"? Da hast du hohe Ansprüche, ich hab innerhalb von etwa 10 Jahren nur diese beiden abwechselnd gesehen.

[–] aaaaaaaaargh@feddit.de 2 points 6 months ago

Es gibt in der Mode ja das Gesetz der drei Generationen. Die erste, die es tut, die zweite, die sich dafür schämt und die dritte, die es retro findet. Könnte also gut sein, dass wir bald wieder zurück pendeln.

[–] leave_it_blank@lemmy.world 4 points 6 months ago

Oh, da wird sich die nächste faschistische Regierung aber freuen. Bekommen sie doch damit alle benötigten Tools schon in die Wiege gelegt.

Unrealistisch? Wenn man sich den Rechtsruck in Europa und dem Rest der Welt so anschaut, nein.

Ein schwacher Trost dass sich die Macher dieser Monstrosität damit ebenfalls ihr eigenes Grab schaufeln.