Die Situation im Jahr 2014 – und das wird sich über die nächsten Jahre kaum ändern – ist dadurch gekennzeichnet, dass
die weitaus meisten Internet-Nutzer Kryptografie nicht aktiv (mit eigenen Schlüsseln) verwenden
die weitaus meisten Internet-Nutzer (die Kryptografie-Nutzer eingeschlossen) wenig Ahnung von IT-Sicherheit im allgemeinen haben
auch die meisten Kryptografie-Nutzer kaum Ahnung von Kryptografie haben (das bezieht sich auf die organisatorischen und einfachen technischen Aspekte, nicht etwa auf die Mathematik)
die Aneignung / Vermittlung der nötigen Kenntnisse noch nicht gut organisiert ist (kaum gute Informationsquellen; nur wenige wirklich kompetente Leute auf z.B. Cryptopartys)
Das sollte man im Hinterkopf haben, wenn man das Ziel hat, dass möglichst viele Leute Kryptografie sinnvoll nutzen. Um die Erreichung dieses Ziels zu unterstützen, sollte eine Krypto-Kommunikations-Kultur geschaffen werden, die viele Nutzer zu einem konstruktiven Verhalten anleitet. Dafür braucht die Community einen Konsens über einen Satz von (unterschiedlich wichtigen) organisatorischen Empfehlungen – um technische Details soll es hier nicht gehen. Diese Seite soll die Herausbildung eines solchen Konsens fördern.
Da zum Zeitpunkt des Erstellens dieser Seite völlig unklar ist, wie viele Leute ein Interesse daran haben, sich daran zu beteiligen, stelle ich erst mal keine "Diskussionstechnik" zur Verfügung. Anmerkungen erst mal an mich. Sobald es sich lohnt, gibt es dann eine Mailingliste, ein Forum oder Termine in einem Chatraum.
Werden Sie sich der eigenen Grenzen bewusst (V1, 29.07.2014)
Die (selbstbestimmte) Teilnahme an geschützter elektronischer Kommunikation erfordert ein hohes Maß an Sachkenntnis und Disziplin, wenn ein hohes Schutzniveau erreicht werden soll. Es ist für einen systematischen Schutz unverzichtbar, die Schutzbedürftigkeit der einzelnen Daten im Auge zu haben und sich bei hohen Anforderungen gut zu überlegen, ob man überhaupt über die nötigen Kenntnisse verfügt. Vorsicht ist besser als Nachsicht: Im Zweifelsfall muss man sich Hilfe holen, bevor man etwas macht – z.B. Daten verschickt –, das nicht rückgängig gemacht werden kann.
Das spricht nicht dagegen, auch mal in völliger Unkenntnis irgendwas Neues auszuprobieren. Sie müssen sich aber klar darüber sein, dass das dann nur Spielkram ist, und entsprechend handeln.
Rechnen Sie mit Fehlern und Unkenntnis der anderen (V1, 29.07.2014)
Geschützte Kommunikation funktioniert nur dann, wenn alle Kommunikationspartner alles richtig machen. Es reicht nicht aus, dass die anderen die fragliche Technik benutzen; für ein hohes Schutzniveau muss man sich auch davon überzeugen, dass die anderen ausreichend qualifiziert sind, um die Technik korrekt zu nutzen.
Bei Äußerungen über die Verwendung von Kryptografie sollte man sehr konservativ abschätzen, welches Wissen man bei den anderen voraussetzen kann, und deshalb lieber einen Satz mehr schreiben. Beispiel: Nicht einfach Fingerprints auf Webseiten setzen, sondern darauf hinweisen, dass man sich die aus einer sicheren Quelle beschaffen muss. Die meisten neuen Nutzer müssen mit solchen Hinweisen mehrfach konfrontiert werden, bis sie das richtige Verhalten verinnerlicht haben.
Machen Sie es den anderen leicht (V1, 29.07.2014)
Für die ernsthafte Nutzung von Schlüsseln muss man einerseits sicher sein, dass ein Schlüssel der richtige ist, und andererseits wissen, was von dem Schlüssel zu halten ist (Wie sicher ist er, wofür wird er genutzt?). Sie sollten deshalb immer ein paar Zettel dabei haben, auf denen Ihr Name, die E-Mail-Adresse, der Fingerprint und das Sicherheitsniveau des Schlüssels genannt werden. Wenn Sie solche Zettel von anderen bekommen, bewahren Sie sie gut auf. Wenn Sie jemanden nur selten treffen, mag es sinnvoll sein, demjenigen einen Zettel zu geben, auch wenn der Kryptografie noch gar nicht nutzt (aber das wohl irgendwann tun wird).
Nicht alle Ihre Kontakte können Sie (rechtzeitig) persönlich treffen. Lassen Sie Ihren Schlüssel von vertrauenswürdigen, allgemein anerkannten Instanzen zertifizieren, etwa der c’t-Kryptokampagne oder CAcert.
Wenn Sie unterschiedliche Techniken und damit auch unterschiedliche Schlüssel verwenden – beispielsweise OpenPGP für E-Mail und OTR für Chats – dann unterschreiben Sie mit dem sichersten, langlebigsten und am leichtesten verifizierbaren Schlüssel (idealerweise ist das für alle Kategorien derselbe) die Fingerprints der anderen und veröffentlichen die in geeigneter Weise (etwa auf einer Webseite).
Verbreiten Sie nur gesicherte Informationen (V1, 29.07.2014)
Einer der Gründe dafür, dass so wenige Leute Kryptografie richtig nutzen (können), ist die bescheidene Qualität der Informationsquellen. Die meisten Artikel und Anleitungen werden nicht von Experten geschrieben und enthalten Fehler; auch gravierende Fehler sind nicht selten. Es ist für Nicht-Experten natürlich schwer einzuschätzen, aber versuchen Sie sich einen Eindruck davon zu verschaffen, welches Niveau Ihre bevorzugte Informationsquelle (Website / Person) hat. Dass jemand mehr weiß als Sie, macht ihn typischerweise noch nicht zum Experten.
Dass Sie sich nicht ganz sicher sind, wie etwas funktioniert, soll Sie nicht davon abhalten, anderen etwas über die Technik zu erzählen oder sie vorzuführen, vielleicht auch bei der Einrichtung zu helfen, wenn niemand mit mehr Sachkenntnis verfügbar ist. Aber machen Sie deutlich, was Sie genau wissen und was nicht und dass derjenige sich selber um gute Informationen bemühen muss. Auf eine bekanntermaßen gute Informationsquelle (oder gar mehrere) verweisen zu können, ist sehr hilfreich.
Fördern Sie die Verbreitung von Kryptografie (V1, 29.07.2014)
Ein ganz entscheidender Aspekt für die (nur langfristig mögliche) Überzeugung der Bevölkerungsmehrheit, dass sie (u.a.) Kryptografie braucht, ist die Präsenz der Technik im Alltag. Wenn die Internetnutzer Kryptografie nirgendwo sehen (ohne danach zu suchen oder in der Presse), dann fällt es den meisten sehr schwer zu glauben, dass das für sie persönlich wichtig sei.
Jeder, der Kryptografie nutzt, hat eine Reihe von Möglichkeiten, die Verbreitung von Kryptografie zu fördern, davon mehrere mit nahezu null Aufwand. Rechnen Sie nicht damit, dass "die anderen" sich schon irgendwie darum kümmern werden, wenn Sie es nicht tun.
Denken Sie langfristig (V1, 29.07.2014)
Dass man Schlüssel sehr schnell und kostenlos erzeugen kann, sollte nicht zu der Einschätzung verleiten, dass es sich dabei um Wegwerfartikel handelt. Neue Schlüssel einzuführen ist mit Aufwand verbunden und verringert möglicherweise (falls es nur ein neuer und nicht auch ein besserer Schlüssel ist) das Vertrauen in Ihren Umgang mit Schlüsseln.
Manche Schlüssel kann man problemlos häufig wechseln, aber Sie sollten wenigstens einen sicheren, dauerhaft genutzten Schlüssel besitzen, um eine verlässliche digitale Identität aufzubauen (das ist typischerweise ein OpenPGP-Offline-Hauptschlüssel).
Sehen Sie nicht nur Ihre (wichtigen) Schlüssel langfristig, sondern auch Ihre eigene Entwicklung. Wenn das Lernen der Technik nicht in Arbeit ausarten soll, dauert es Monate oder Jahre, bis man sie auf hohem Niveau versteht und sicher beherrscht. Erwarten Sie also nicht zu viel von sich, geben Sie sich Zeit. Wichtig ist, dass Sie damit anfangen und irgendwann ein gutes Niveau erreicht haben. Ob das ein Jahr früher oder später passiert, ist weitgehend egal.
Seien Sie auch geduldig mit Leuten, die Sie für die Technik gewinnen wollen; überfordern Sie die nicht, sonst ist das Risiko hoch, dass die irgendwann genervt abspringen. Es ist auch nicht automatisch eine gute Idee, jemandem die Technik so früh wie möglich beizubringen. Es ist oftmals besser, damit zu warten, wenn es dadurch möglich wird, nicht nur den Einzelnen, sondern auch weitere Kontakte von ihm zu qualifizieren. Die Technik hat einen schweren Stand, wenn man nicht genügend Kontakte hat, mit denen man sie (ausreichend oft) nutzen kann.
Legen Sie sich eine eigene Domain zu. Sie brauchen keine Website aufzusetzen.
Nutzen Sie nicht nur Nischentechnik (V2, 08.08.2014)
Es ist in hohem Maß kritisch für die Allgemeinheit, sich alternativlos auf ein geschlossenes System einzulassen. Wenn Sie unbedingt WhatsApp, Threema oder TextSecure nutzen müssen, dann machen Sie das. Aber werden Sie nicht zu einem Teil des Problems statt der Lösung, indem Sie andere "zwingen", diese Dienste zu nutzen, weil Sie nur darüber erreichbar sind. Seien Sie immer auch über ein sicheres offenes und verbreitetes System erreichbar. In der Welt der Instant-Messenger heißt das XMPP, derzeit mit OTR als Kryptolayer.
öffentliche Zertifizierungen (V1, 08.08.2014)
Wenn soll man anderer Leute Schlüssel für die Öffentlichkeit signiert, sollte man zwei Punkte beachten: Man sollte erstens keine Schlüssel signieren, die man nicht ordentlich überprüft hat, weil solche Signaturen anderen nicht nützen, sondern sie eher in die Irre führen (wenn möglich, sollte man die Information, was man wie geprüft hat, in sicherer Weise zur Verfügung stellen). Zweitens sollte man keine Zertifizierungen ohne die Zustimmung des Schlüsselinhabers veröffentlichen, weil es sein kann, dass derjenige nicht möchte, dass der Kontakt zum Zertifizierer öffentlich wird. Auch wenn der Kontakt als reine Zertifizierung nicht automatisch etwas bedeutet, muss man das respektieren. Man sollte deshalb die eigene Signatur nur verschlüsselt an den Schlüsselbesitzer schicken.
Backup (V1, 08.08.2014)
Um nicht sich selber und womöglich auch anderen große Probleme zu bereiten, ist es von großer Bedeutung, dass man ein Backup seiner Schlüssel hat. Das gilt insbesondere für langlebige Schlüssel, aber auch für ganz normale Schlüssel. Seine eigenen Daten nicht mehr lesen zu können ist etwas, das man nicht erleben möchte.
Version 1.1, 08.08.2014 (diese Version, Permanentlink)