Sunday, June 21, 2015

VDS vs Messenger: Deep Packet Clusterfuck

Im Kontext Freifunk beschäftige ich mich gerade mit möglichen VDS Auswirkungen auf Community Netze. Dabei kam ich auch an Messaging Diensten und Internet Telefonie vorbei:

(TKG Änderung: §113b) "im Fall von Internet-Telefondiensten auch die Internetprotokoll-Adressen des anrufenden und des angerufenen Anschlusses und zugewiesene Benutzerkennungen" sowie "bei der Übermittlung einer Kurz-, Multimedia- oder ähnlichen Nachricht; hierbei treten an die Stelle der Angaben nach Satz 1 Nummer 2 die Zeitpunkte der Versendung und des Empfangs der Nachricht;" 

Wenn man an eine "Kurznachricht ähnliche Nachricht" denkt und kurz überlegt was heutzutage benutzt wird, dann kommt man sofort aus Messengerdienste, also WhatsApp, Skype, BBM, Threema etc. Ist das eine Kurznachricht ähnliche Nachricht? Ja. Wird das vom Entwurf erfasst? Mir persönlich unklar, auch weil ich über Abrenzung TKG/TMG stolpere. ECO meint Messaging Dienste werden nicht erfasst.

2015 SMS Kommunikationsmetadaten zu speichern und Messenger zu ignorieren klingt irgendwie sinnlos.
Hallo Schwerstkriminelle, Pro Tip: WhatsApp nutzen. Das WhatsApp mal "Privacy" versprechen würde hätte mir 2013 auch keiner geglaubt.

Also warten wir mal bis jemand aus dem Busch springt und auch Speicherung von "Messenger" Dienste fordert.  3...2...

Wie würde das den aussehen? Man muss in den Datenstrom reinschauen. Deep Packet Inspection nennt sich das. Ziemlich teure Technik. Aber würde das überhaupt helfen?

Halbwegs moderne Kurznachrichtendienste verschlüsseln ihre Kommunikation. Selbst Facebook/WhatsApp hat das mittlerweile begriffen. Zumindest die Verbindung zwischen Messenger und Server, die übliche Technik dazu heisst TLS (früher mal SSL genannt). "Bessere" machen dann noch Ende-Zu-Ende Verschlüsselung darauf. Nehmen wir mal threeema.ch als Beispiel, die machen das so. 
Das Problem dabei ist das moderne Kryptographie doch recht gut funktioniert. Eine gute TLS Implementation "macht man nicht mal eben so auf". Und Unternehmen haben begriffen das "schwer abhörbar" heute ein Verkaufsargument ist. TLS ist auch noch nicht das Maximum, da geht noch was. Und Kryptographie ist billig.

Da hilft auch Deep Packet Inspection nicht. Was nun? Der Provider kann speichern das vermutlich eine Nachricht versendet wurde. Nicht wohin. Und nicht mit welcher "Nutzerkennung". Das dürfte aber bei einer Strafverfolgung nur sehr unbefriedigende Erkenntnisse liefern.

Die nächste Stufe wäre dann die Verschlüsselung so zu gestalten, das ein Provider doch reinschauen kann. Sprich sie per Gesetz kaputtzumachen.
David Cameron hat sowas schonmal pauschal in die Welt gesetzt.
"But the question is are we going to allow a means of communications which it simply isn’t possible to read. My answer to that question is: no, we must not" (Source)

Was dann kommt hatten wir schon, siehe Crypto Wars.
Für die jüngeren Leser: Dies bedeutet das man den Zugriff auf starke Verschlüsselung reguliert.
D.h. zum Beispiel bestimmte Apps zu verbieten. Bestimmten Programm-Code zu verbieten. Gedruckten Programm-Code verbieten.  Ein Buch zu verbieten.

Und kein Szenario das ich für wahrscheinlich halte.
Für Internet-Telefonie gilt ähnliches.

tl;dr

  • VDS erfasst nur SMS & Friends. 
  • Heutzutage genutzte Messenger werden nicht erfasst. 
  • Es ist nicht möglich diese sinnvoll zu erfassen. Ein Rüstungswettlauf gegen Messenger Krypto kann selbst für "State Level Actors" schwierig sein. 
  • Crypto Wars anyone?

Also können wir bitte von dem VDS Knochen ablassen und die Sicherheitsbedürfnisse mit einem anderen Placebo befriedigen?

No comments:

Post a Comment