Krypto-Fails

Es schreien ja in letzter Zeit so viele „Krypto, Krypto“. Und auch wenn es nur das Aspirin gegen den Kopfschmerz des Hirntumors ist, versuche ich Krypto zu benutzen. Und dann kommen immer wieder diese Fails von gerade den Leuten, bei denen man erwartet, dass es klappen sollte. Und ich frage mich: Wenn ihr schon die ganze Zeit davon erzählt und es selbst nicht auf die Reihe bekommt, wie sollen es normale Menschen auf die Reihe bekommen?

Drei Beispiele, die mir spontan in den Kopf kommen:

  • Das SSL-Zertifikat von wiki.chaosradio.ccc.de war vor einiger Zeit abgelaufen. So richtig aufgefallen ist es, weil iOS sich dann geweigert hat die Seite zu besuchen. Es hat gefühlt Ewigkeiten gedauert bis ein neues eingespielt wurde.
  • Der Sub-Key von Netzpolitik.org für submit@netzpolitik.org ist abgelaufen. Mal abgesehen davon, dass ich ne Weile gebraucht habe, bis ich gerafft habe, was das Problem ist, weil der Haupt-Key eben nicht abgelaufen ist, ist das schon ein wenig peinlich. Auf die Frage an @netzpolitik gab es nur folgende Antwort: „ja, steht auf der To-Do-Liste. Bis dahin kannst Du mir direkt auch eine verschlüsselte Mail schicken.“
  • Ich habe heute eine Mail an ein eher öffentlich stehendes CCC-Mitglied, das den Eindruck eines Aluhuts hinterlässt und bittet, dass sein PGP-Key verwendet wird, geschrieben. Also Key importiert, verschlüsselte Mail geschrieben (und es ging auch erstmal was schief, weil die angegebene Kontaktadresse nicht im Key ist). Und was bekomme ich als Antwort? Eine signierte aber unverschlüsselte E-Mail, die den kompletten Inhalt der ursprünglichen Mail enthält. War nichts weltbewegendes, aber ernsthaft?

Jetzt mal Butter bei de Fische: Wenn es der CCC mit SSL ewig nicht hinbekommt, Netzpolitik seine Keys nicht aktuell halten kann und bekanntere Aluhut-CCC-Mitglieder auf verschlüsselte Mails mit unverschlüsselten antworten, warum sollte man dann auch nur ansatzweise annehmen, dass Otto-Normal auch nur den Hauch einer Chance hat Mittel zur Kryptographie zu verwenden und zu verstehen? Warum sollte man es überhaupt benutzen, wenn gerade die zumindest gefühlten Verfechter sich nicht mal wirklich die Mühe machen?

5 Gedanken zu „Krypto-Fails

  1. Menschen machen Fehler, manche wollen Sie auch nicht zu geben.

    „warum sollte man dann auch nur ansatzweise annehmen, dass Otto-Normal auch nur den Hauch einer Chance hat Mittel zur Kryptographie zu verwenden und zu verstehen?“

    Weil die Entwickler das Problem begriffen haben und immer mehr einfach zu nutzende Software erscheint, z.B. TextSecure

    „Warum sollte man es überhaupt benutzen, wenn gerade die zumindest gefühlten Verfechter sich nicht mal wirklich die Mühe machen?“
    Sind wohl eher Flüchtigkeitsfehler und Zeitmangel.
    Die Mühe sollte man sich machen, weil man selbst was davon hat.

  2. Aus dem Versagen Einzelner abzuleiten, dass die Idee Crypto zu machen nicht sinnvoll ist, ist ein böser Trugschluß. Der Grundtenor ist im übrigen etwas feiner als du dastellst: Crypto soll zum Default werden, das man nicht mehr extra „oben drauf“ setzen muss, sondern überall schon mit drin ist und so leicht zu bedienen ist, dass es nicht mehr dauernd failt.

  3. Wir sind ja schon zufrieden, wenn du nicht jammerst, dass dir Krypto zu teuer ist oder dein 20 Jahre alter Atari irgendwas nicht unterstützt.

    • Hm, ja. GPG ist Open Source und für SSL hab ich glaub ich auch noch nie gezahlt. Macht man ja eigentlich eh nur, wenn man sich sein Zert von ner entsprechenden CA ausstellen lässt. Und GPG lief auch schon damals auf meinem Libretto L1 mit nem Crusoe 600 bzw. meinem Thinkpad T20. Meine Bank hat damals glaub ich auch schon SSL für’s Online Banking verwendet. Ich denke auf diesem Core i5 sollte das auch problemlos laufen. Aber was war nochmal dein Argument?

Kommentar verfassen