Volksverschlüsselung wird eingestellt: Fraunhofer-Institut beendet Projekt

HWL News Bot

HWL News Bot

News
Thread Starter
Mitglied seit
06.03.2017
Beiträge
113.635
Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) wird seine sogenannte Volksverschlüsselung zum 31. Januar 2026 einstellen. Nach rund zehn Jahren soll das Projekt beendet werden, um die freiwerdenden Ressourcen künftig auf neue, zukunftsorientierte Sicherheitslösungen zu konzentrieren. Damit endet eine Initiative, die Verschlüsselungstechnologie einem breiten Publikum zugänglich machen und auch technisch weniger versierten Anwendern sichere Kommunikation ermöglichen wollte.
... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Für die Identifizierung diente die Online-Ausweisfunktion des elektronischen Personalausweises.
Zum Vergrößern anklicken....
Damit ich das richtig verstehe: Die Kommunikation war zwar end-to-end-verschlüsselt, lief aber über Telekom-Server, der Quellcode war geheim, damit auch nicht auf BND/BKA/NSA-Hintertüren überprüfbar, und aufgrund der eindeutigen Identifikation der Nutzer mittels Perso war in den Metadaten immer ersichtlich, wer wann mit wem wo kommunizierte....? Und zwar mit echter Identität und nicht mit Pseudonymen.

Gut, daß wir über Sicherheit gesprochen haben!
 
Rudi Ratlos schrieb:
Die Kommunikation war zwar end-to-end-verschlüsselt, lief aber über Telekom-Server,
Zum Vergrößern anklicken....
Wenn etwas end-to-end-verschlüsselt ist, dann verschlüsselt der Sender die Daten und erst der Empfänger entschlüsselt sie wieder. Der Server dazwischen, völlig egal welcher, von wem und mit welcher Software, sieht nur verschlüsselten Datenmüll. Der kann es auch nicht entschlüsseln, denn das passiert mit public- und private Keys und der Server kennt die private Keys nicht. Wenn der Server entschlüsseln könnte, wäre die Verschlüsselung prinzipbedingt eben NICHT end-to-end.

Die Onlineausweißfunktion diente ausserdem nur der Identifizierung und ist ein ganz anderer Dienst. Das war quasi nur der "Login"... und wie das wiederrum funktioniert und wie das abgesichert ist ist entsprechend nochmal ein ganz anderes Thema.
 
Liesel Weppen schrieb:
Wenn der Server entschlüsseln könnte, wäre die Verschlüsselung prinzipbedingt eben NICHT end-to-end.
Zum Vergrößern anklicken....
Exakt! Wobei Whatsapp sich ja auch "end to end" schimpft, und die Schlüssel aber auf dem Server sind. ;)

Aber ja, das Fraunhofer-Projekt klingt sicherer, nur wenn dann eben die Quellcodes trotz Ankündigung nicht veröffentlicht werden, sind Zweifel angebracht. Etwa ob da im Algorithmus nicht doch eine Art "Generalschlüssel" eingebaut ist.

Spätestens seit Snowden wissen wir ja auch, daß die westlichen IT-Geheimdienste den gesamten Internetverkehr überwachen und für Tage zwischenspeichern können. Damit könnte man also auch die zu einem Login passende Kommunikation kopieren, die über andere Wege gegangen ist. Im Zweifelsfall hat man ja die IPs von Sender und Empfänger. Und grundsätzlich ist jede verschlüsselte Nachricht zu entschlüsseln - sonst könnte sie der Empfänger ja nicht lesen. Das heißt, Sender und Empfänger müssen sich über diese Codes austauschen, sonst klappt es nicht. Wenn man diese dann abfängt... Womit die Frage bleibt, über welchen Weg diese Codes gehen? Über die Telekom-Server?

Wir leben in einem Staat, in dem der Geheimdienst BND den Internetverkehr im Auftrag der NSA überwacht und nach "Selektoren" filtert. Und schon diese Selektorenlisten sind geheim.
Und in den USA klagten vor Jahren (war, glaube ich, noch unter Dabbelju) die großen IT-Konzerne Google, Microsoft und Apple gegen die Regierung, um wenigstens die Erlaubnis zu bekommen, ihren Kunden auf Nachfrage mitteilen zu dürfen, welche ihrer Daten sie laut Gesetz (Patriot Act etc.) routinemäßig an die Behörden übermitteln müßten. Auch das ist geheim...
 
Zuletzt bearbeitet:
Rudi Ratlos schrieb:
Aber ja, das Fraunhofer-Projekt klingt sicherer, nur wenn dann eben die Quellcodes trotz Ankündigung nicht veröffentlicht werden, sind Zweifel angebracht.
Zum Vergrößern anklicken....

Und wieviel Software nutzt du, bei der der Quellcode offen ist? Und überprüfst du den auch? Oder vertraust du auch nur auf Hören-Sagen aus dem Internet?
Meine Erfahrung ist: Die Leute interessieren sich nicht für ihren Datenschutz. Ich hab vor 10 Jahren versucht, zumindest den Mailverkehr routinemäßig zu verschlüsseln = keine Chance. Die drei Mausklicks sind den Leuten schon zu viel. Insofern gut, dass das Fraunhofer so einen Mumpitz abstellt und die Ressourcen sinnvoller einsetzen will.
 
Also
King Loui schrieb:
Die drei Mausklicks sind den Leuten schon zu viel. Insofern gut, dass das Fraunhofer so einen Mumpitz abstellt und die Ressourcen sinnvoller einsetzen will.
Zum Vergrößern anklicken....
Wieso Mumpitz? Der Ansatz ist doch nicht schlecht und ermöglichte tatsächlich die einfache Beantragung und Installation von Zertifikaten. Gerade für Laien war die Lösung super einfach.
Mit ein paar Klicks wurden Browser und Mail Client konfiguriert.

Rudi Ratlos schrieb:
Die Kommunikation war zwar end-to-end-verschlüsselt, lief aber über Telekom-Server,
Zum Vergrößern anklicken....
Da läuft nur etwas über Telekom-Server wenn deine Mail dort hin muss.....Du hast ein Zertifikat bekommen und dieses wird genutzt um deine Mail zu signieren und / oder zu verschlüsseln. Dein Gegenüber prüft ganz normal die Zertifikatskette bzw. kommuniziert mittels Public und Private Key mit dir.

Angenommen es gäbe eine Hintertür in der Software und es würden die lokal erzeugten Keys an BND und Co. übermittelt werden so hättest du immer noch einen Sicherheitsgewinn gegenüber sämtlichen anderen Akteuren. ;)
Ein Geheimdienst dürfte den meisten Privatleuten doch deutlich überlegen sein....
Dagegen kann man mittels signierter Mails den Absender einwandfrei zuordnen und den Inhalt als auf dem Transportweg unverändert verifizieren. Damit gewinnt der Nutzer doch schonmal, selbst wenn nicht direkt verschlüsselt wird.

Also das Projekt war in meinen Augen tatsächlich sinnvoll aber schlicht zu unbekannt gewesen.
Habt ihr es gekannt und genutzt?
Welche Alternative war benutzerfreundlicher?

Ich habe das Projekt sehr gerne genutzt und tatsächlich im Familien- und Bekanntenkreis empfohlen.
Ein technisch wenig bewanderter User konnte via dem Projekt ein Zertifikat anfragen und das automatisch in gängige Browser und Mail Clients importieren lassen.
Einfacher geht es schlicht nicht.
Das Menü ist simpel gehalten und richtet sich klar an Laien.
Dazu war es kostenfrei.
Wie viele Privatleute würden auf SSL verzichten wenn die Zertifikate nicht kostenfrei via Let's Encrypt zu haben wären? Wieso also sollten diese Menschen für die Absicherung ihrer Kommunikation plötzlich Geld in die Hand nehmen wollen?
 
@RcTomcat

Ich stimme dir absolut zu. Sicherheit darf nichts kosten. Wer sich zusätzlich verschlüsseln will, der kann das ja gern tun, und dafür Geld ausgeben. Aber grundsätzlich sollte sichere Kommunikation als Grundrecht vom Staat garantiert werden. Das heißt, der Staat müßte Infrastrukturen schaffen, über die eine komplett abhörsichere Kommunikation im Netz möglich ist. Also nicht nur vor Hackern, fremden Mächten und Firmen, sondern auch und vor allem sicher vor dem Zugriff des Staates. Das wäre eine digitale 1:1-Umsetzung des Geistes des Post- und Fernmeldegeheimnisses aus dem Grundgesetz.

Ist leider illusorisch, denn auch dieses Grundrecht wurde ja in der Vergangenheit immer wieder routiniert gebrochen. Nicht nur in der DDR, sondern auch in der BRD, wo bspw. Briefe und Pakete aus der DDR im großen Stil geöffnet wurden, ohne daß das jemand wissen sollte. Und diese Art "Gewohnheitsrecht" setzen Geheimdienste nun eben auch in der digitalen Kommunikation fort...


Das Fraunhofer-Telekom-Projekt mag vom Ansatz her gut geeignet gewesen sien, ein wenig Sicherheit auch dem nicht-computeraffinen Bürger nahezubringen. Aber es gab offenbar kein Interesse daran. Und zwar nicht nur von Bürgern, sondern vor allem vom Staat und Unternehmen. Sonst hätte man es ja lautstark beworben, nicht? Tatsächlich lese ich heute udn hier das erst Mal davon. Und ich bin ja nun nicht gerade "Neuland"-Bürger! Es war offenbar nicht gewollt.

Apropos Post- und Fernmeldegeheimnis: Das ist ja auch so ein netter Gummi-Paragraf im Grundgesetz.

Absatz 1 liest sich ja noch klar und deutlich:

(1) Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich.

Aber dann kommts:

(2) Beschränkungen dürfen nur auf Grund eines Gesetzes angeordnet werden. Dient die Beschränkung dem Schutze der freiheitlichen demokratischen Grundordnung oder des Bestandes oder der Sicherung des Bundes oder eines Landes, so kann das Gesetz bestimmen, daß sie dem Betroffenen nicht mitgeteilt wird und daß an die Stelle des Rechtsweges die Nachprüfung durch von der Volksvertretung bestellte Organe und Hilfsorgane tritt.

Mit anderen Worten: Der Staat darf in alles reinschauen, und der Bürger muß es nicht mal wissen. Der Rechtsweg ist ausgeschlossen. Klage zwecklos.
Wirksame Verschlüsselungen stehen also im Widerspruch zum Artikel 10 (2) GG, obwohl Art. 10 (1) das Grundrecht eigentlich garantiert...
 
Da das Projekt jetzt eingestellt wird, könnte die Telekom und das Fraunhofer-Institut den Quellcode veröffentlichen,

also daraus eine Open-Source-Lösung machen. Aber wie ich die Beiden oben genannten kenne, werden die es nicht machen.

Weshalb wohl? :unsure: Darüber kann man spekulieren?! :unsure:
 
Dieser Kommentar bei Heise trifft es mMn voll:
Darauf hat Niemand gewartet

Ich habe jetzt das erste Mal von dieser Software gehört. Da ich mich beruflich mit Security beschäftige, Frage ich mich gerade, ob das mir peinlich sein sollte…

Ist es nicht.
Denn mal ganz ehrlich.
Wenn man schon solche Ambitionen im Namen trägt, warum:
- wurde es nicht stark beworben?
- gibt es nur eine Windows Software?
- keine Apps für Smartphones?
- keinen Linux Client?
- ist die Schlüsselverwaltung genauso kompliziert, wie bei allen bisher gescheiterten Versuchen a la PGP?

Für und ITler ist das schon okay.
Aber Laien sind damit völlig überfordert.

Schade!
Zum Vergrößern anklicken....
www.heise.de

heise online

News und Foren zu Computer, IT, Wissenschaft, Medien und Politik. Preisvergleich von Hardware und Software sowie Downloads bei Heise Medien.
www.heise.de www.heise.de
 
Ergänzen muss ich noch sagen, dass zum Beispiel Thunderbird die Open-PGP-Verschlüsselung mittlerweile integriert hat,

es ist jetzt wesentlich besser, als davor. Und es handelt sich um eine Open-Source-Lösung.☝️
 
@Techlogi
PGP ist in meinen Augen deutlich komplizierter als die Volksverschlüsselung.
Auf den Reiter Zertifikatsverwaltung klicken und dort Zertifikate importieren, exportieren oder sperren. Kein Hexenwerk, machbar mit wenigen Klicks. Beim Import fragt die Software ob auch Browser und erkannten Mail-Client konfiguriert werden sollen.
Generell hast du eine sehr übersichtliche Oberfläche mit wenig Auswahl. Vermutlich da die Zielgruppe eben nicht der Fachmann war.

Ich habe ein halbes Dutzend Laien in meinem Umfeld welche das Projekt problemlos nutzen konnten. Zu kompliziert dürfte es also nicht sein.

Ein Zertifikat beantragt man indem man sich mittels bestehendem Zertifikat, Ausweisfunktion oder einer dritten Option (hab ich nicht mehr in Kopf) authentifiziert. Dann wählst du die Mail Adresse aus um die es geht (Liste mit aus deinem Mail Client erkannten Adressen, Option manuell einzugeben) und klickst weiter. Daraufhin wird das Zertifikat beantragt. Im Anschluss kannst du noch Mail Client und Browser konfigurieren lassen und das Zertifikat exportieren.
Das haben schon Menschen Ü70 ohne Hilfe hinbekommen ;)

Das Problem war die Bekanntheit. Warum dafür nicht geworben wurde erschließt sich mir nicht

@Rudi Ratlos du hast absolut Recht. Leider ist von unserer Politik nichts dergleichen zu erwarten. Die setzen jetzt erstmal zum X. Mal mit der Vorratsdatenspeicherung an. Wir haben doch nichts zu verbergen und müssen uns daher keine Sorgen machen. Es gibt ja genug Gründe warum unsere Behörden dieses Instrument unbedingt brauchen ;)
Das Projekt Volksverschlüsselung mag Schwächen gehabt haben, mir ist jedoch keine einfach zugängliche Alternative bekannt.
Die Beschränkung auf Windows mag unklug gewesen sein, in meinen Augen setzen aber viele Laien auf genau dieses OS. Wer aus meinem Umfeld Linux nutzt ist grundlegend technisch versierter. Natürlich ist das nicht allgemeingültig. Ich finde es einfach schade hier ein an sich gutes Projekt einzustellen ohne eine Alternative bieten zu können. Wenigstens laufen die Zertifikate noch ein paar Jahre.


Edit2:
Einmal die Oberfläche. Neues Zertifikat, Computer einrichten und Zertifikatsverwaltung. Links in der Leiste die gleichen Optionen plus Hilfe, Update und Über.
Kompliziert ist da wirklich nichts, es gibt keinerlei Einstellungsmöglichkeit abseits der "Sollen wir das Zertifikat in Client und Browser importieren?"
Screenshot 2025-09-09 232056 (Large).png
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh