PGP-Server der FSFE

[Robert Kehl]

Am 28.05.2011 11:03, schrieb Volker Grabsch:
>>> Wer GPG bewusst benutzt, zählt für mich eindeutig zum Kreis der Nerds,
>>
>> Einmal einrichten und dann immer benutzen finde ich nicht nerdy.
> 
> Darum ging es doch gar nicht.

Klar ist das nicht der Kern der Diskussion, aber falsch wird es dadurch
nicht, denke ich.

> Es geht um die Frage, wer heutzutage überhaupt weiß, was GPG
> ist, und dieses dann auch noch bewusst nutzen will, sodass er es
> sich einrichtet. Muss man diese Leute tatsächlich noch mit der
> FSFE bekannt machen?

Ja. GPG zu benutzen muss ja nicht heißen, das Konzept Freier Software zu
verstehen.

> Ich persönlich denke nicht, dass die FSFE auf diese Weise merkbar
> größere Bekanntheit erzielen würde.

Wenn bei einer Internetsuche nach "GPG Server" (oder "PGP Server")
demnächst vielleicht auch die FSFE auftauchte, fände ich das toll.

> Ja, es geht hier nur um Ausfallsicherheit,
> denn mit Vertrauenswürdigkeit hat das nichts zu tun! (s.u.)

Das ist nicht richtig. Ich glaube, ich habe auch bereits dargelegt, wo
die Problemstellungen der Vertrauenswürdigkeit zu finden sind.

>> Beide Thesen sind m. E. n. aber falsch: Nicht alle Fellows der FSFE sind
>> Nerds. Viele sicher, aber nicht alle. Und wir sind Multiplikatoren.
>> Gerade heute habe ich wieder jemandem ein Linux Mint installiert - ok,
>> neben sein Wind0ze 6.99~, aber immerhin: kleine Schritte. Auf Linux ist
>> es so irrsinnig einfach GPG zu nutzen, weil die großen Distros es alle
>> einbauen (cmiiw), dass die erste These nur falsch sein kann.
> 
> Das geht aber völlig an der eigentlichen Frage vorbei. Denn jetzt
> argumentierst du schon damit, dass die FSFE Linux-Nutzer erreichen
> soll. Also Leuten, die sich bereits _für_ Freie Software entschieden
> haben.

Wie oben bereits erwähnt, stimmt das nicht immer. Linux ist neben "frei"
auch "sicher(er)", "cool", "kostenfrei" und "spannend".

Davon ab argumentiere ich gar nicht damit, dass die FSFE Linux-Nutzer
(alleine) erreichen soll. Das war ein Beispiel dafür, dass wir
FSFElerinnen und FSFEler Multiplikatoren sind, und erklären können und
wollen, warum ein Wechsel auf ein Betriebssystem basierend auf Freier
Software gewinnbringend ist. Zum Beispiel, weil die Nutzung von
Signatur-/Verschlüsselungssoftware so irrsinnig einfach ist.

> Gut, vielleicht kennen die noch nicht alle die FSFE. Aber _wenn_ die
> FSFE neue Leute erreichen möchte, dann doch eher diejenigen, die bisher
> noch nicht so viel mit Freier Software zu tun hatten, und zu diesen
> Themen eben _keinen_ Ansprechpartner haben, der sie bei Problemen
> unterstützt und ihnen die Zusammenhänge erklärt.

Eben. Such' mal mit normalen Internetkenntnissen (1-2 Worte, 1-2 Suchen,
immer nur G--gle) nach Key-Servern. Du findest pgp.mit.edu und den Pool
von sks-keyservers.net. Letzterer ist feiner als ersterer, aber wenn da
nun noch die FSFE auftauchte, wär' das doch klasse, oder?

>> "Think global, act local" - das ist denjenigen, die jetzt Linux
>> (erstmalig versuchen zu) nutzen einfach nahe zu bringen, und da spielt
>> ein in Europa stehender Server schnell eine Rolle. In meinem
>> Bekanntenkreis zumindest ist dem so.
> 
> Gibt es nicht schon genug Keyserver in Europa? Obwohl einer mehr
> sicher auch nicht schadet.

"Gibt's nicht schon genug xyz" ist immer ein Totschlagargument: nicht
verkehrt, aber nie richtig. s/xyz/{Liste wichtiger Dinge}/ ;-)

> Aber: Die Sicherheitskonzept der öffentlichen PKI, also des Web-Of-Trust,
> basiert gerade _nicht_ darauf, dass man den Keyserver trauen muss. Im
> Gegenteil, man sollte den Keyservern sogar stets _misstrauen_ bei der
> Frage, ob ein PublicKey korrekt ist. Stattdessen sollte man sich
> ausschließlich auf die Signaturen bzw. auf die dahinter stehenden
> Menschen konzentrieren.

Ich gehe nicht davon aus, dass Keys gefälscht werden, das wäre too
blunt. Betreiber eines Keyservers können aber sehr wohl Auswertungen
fahren, die Profilierung erleichtert oder unterstützt. Ist ein bisschen
so wie "Was soll G--gle schon mit meinen kleinen Suchanfragen anfangen"
- eine ganze Menge. "Ich kauf' eh' alles bei Amazon, was brauchen die
noch ein Profil von mir zu erstellen" - tun sie. "Klar bin ich bei
Fatzebook, aber die tracken mich doch nicht außerhalb deren Seite" - tun
sie doch. Drei Beispiele, die für sich allein genommen unerheblich
erscheinen mögen, aber zusammengenommen schon viel zu viel aussagen
können. Jetzt kommt jemand auf die Idee und wertet Logfiles der (oder
des meistgenutzten) GPG-Server(s) aus, rein um festzustellen, wer da so
mit wem verschlüsselt kommuniziert. Ich suche wenn möglich nicht mit
G--gle, kaufe nicht bei Amazon und habe kein Gesichtsbuch, aber möchte
sowas trotzdem nicht.

> _Das_ ist die Idee des Web-Of-Trust! Das Vertrauen erreichen wir
> untereinander und eben _nicht_ durch Vertrauen zu irgendeinem
> bestimmten Server.

s/_nicht_/_nicht nur_/ - dann bin ich bei Dir. Nein, ich traue nicht
jedem Server und jeder Dienstleistung, nur weil mir dadurch ermöglicht
wird, mit jemandem zu kommunizieren.

> Wenn ein FSFE-Keyserver die Leute dazu bringen
> würde, auch nur einem einzigen PublicKey blind zu vertrauen, dann
> hätte das mehr Schaden als Nutzen gebracht.

Fully ack - das ist nicht das Ziel.

> Wem es wirklich um Sicherheit geht, der sollte das genaue Gegenteil tun:
> ständig den Keyserver wechseln, statt sich permanent auf einen einzigen
> zu verlassen (selbst wenn dieser von der FSFE gepflegt wird).

Was verstehst Du hier unter Sicherheit? Die Deiner persönlichen Daten?
Oder die Deiner Kommunikation, also Deiner E-Mails und Daten? Im
letzteren Fall würde ein Wechsel rein gar nichts bringen, im ersten auch
nicht wirklich, es sei denn, Du suchst dir 20-30, 50, 100 Server, denen
Du vertraust. Oder einen Pool.

>> Mit einer Begründung, warum dieser und jene Schlüssel vom Keyserver der
>> FSFE nicht mehr bezogen werden kann, etwa weil nachgewiesen wurde, dass
>> Hans MüllerMeierSchultze seit Jahrzehnten im zweifelsfreien Besitz der
>> Domain muellermeierschultze-example.com und der E-Mail-Adresse
>> hans-example at muellermeierschultze-example.com ist, und den Key dafür
>> nicht repliziert haben möchte, ist die Reputation der FSFE gesteigert,
>> nicht herabgesetzt. Dito gilt das für Schlüssel, die maliziösen
>> Charakter haben, Beispiele sind genügend gefallen.
> 
> Du willst allen ernstes die Existenz eines Schlüssels auf dem FSFE-
> Keyserver als Indiz für dessen Vertrauenswürdigkeit verwenden? Das
> erscheint mir aus oben genannten Gründen äußerst fragwürdig.

Nein, will ich nicht. Ich finde nur Bernhards Idee sehr prickelnd, die
Software dahingehend zu verändern, dass sie gesetzgeberischen
Anforderungen genügen kann. Wenn zum rechtlich einwandfreien Betrieb
eines Schlüssel-Servers gehört, dass bestimmte Daten schlichtweg nicht
mehr gespeichert werden dürfen, dann finde ich, sollten wir das machen.
Am besten als erste, für die Schlagzeile auf heise.de: "FSFE betreibt
ersten rechtlich haltbaren Schlüsselserver Europas".

> Dennoch ist die Grundidee ganz interessant: Sollte die FSFE Teil des
> Web-Of-Trust werden?
[...]
> Will sagen, bevor es keine regelmäßigen Keysigning-Parties in der FSFE
> gibt, hilft da ein eigener Keyserver auch nicht viel.

Das stimmt nur dann, wenn Du annimmst, dass wir Schlüsseln vertrauen
wollen. Darum geht es mir nicht, wie dargelegt. Ich verstehe aber Deinen
Ansatz.

>> Gesetzgebung angepassten Software den Leuten zeigen: "Schaut her, wir
>> bieten die passende Infrastruktur an: Sie überwacht Euch nicht, stimmt
>> mit Euren Datenschutzgesetzen überein und sie wird betrieben von
>> integeren Menschen, die das sehr gut machen und die wenig anderes machen
>> lieber machen als Server zu administrieren und coole Dienste anzubieten."
> 
> Was genau soll das bringen? Okay, dann überwacht dich der Keyserver nicht,
> wenn du den PubliyKey der Person XY herunterlädst. Aber der Keyserver weiß
> doch eh nicht, wer du bist.

Wenn es stimmen würde, dass Aktionen im Internet nicht zusammenführbar
sind und zusammengeführt werden, gäbe ich Dir Recht. Die Realität sieht
aber anders aus.

> Und sobald du dieser Person XY eine verschlüsselte E-Mail schreibst, fallen
> ja doch wieder Verkehrsdaten an, und die sind nicht mehr so leicht zu
> verschleiern. (hier bräuchte man schon anonyme Remailer u.ä.)

Das ist richtig. Aber der Teil der Verkehrsdaten, den ich meine, ist
dann nicht unbedingt im direkten Zugriff der (sagen wir mal) Personen,
denen ich keinen direkten Zugriff geben will.

> Daher bleibe ich dabei: Wenn ein FSFE-Keyserver auch nur eine einzige Person
> zu blindem Vertrauen verleitet, die anderen falls vorsichtiger gewesen wäre,
> dann hat dieser Server Schaden angerichtet.

Auch das ist richtig, aber blindes Vertrauen ist nicht intendiert.

Noch mal kurz zusammengefasst: Wir geben Karten mit Schlüsseln aus, und
dazu passt ein eigener Schlüssel-Server wie Faust auf Auge oder Topf auf
Deckel, insbesondere bei einer Organisation wie die FSFE eine ist. Gehör
finden wir nicht nur im Linux-Magazin, der c't o. ä., sondern auch in
der Infrastruktur, die benutzt werden will und soll, und da gehört
GPG/PGP meiner Meinung nach dazu.

Mit fröhlichem Gruß

Robert Kehl