 Ja, herzlich willkommen zum Talk von SWA, lasst uns Massenverschlüsselung ausrollen. SWA hat Ethnologie und Informatik studiert und ist Schreinerin. Sie ist langjähriges Mitglied im CCC, war bei CryptoParty aktiv, Hackers Without Borders, Hillhacks und so weiter. Da kann man auch gleich noch ein Festival ankündigen vom 18. bis 31. 5. in Indien, wo man SWA auch treffen kann. Zum Talk, der erste Talk ist eher so für Beginner, also was für mich und der zweite Teil, da geht es dann eher in die Tiefe. Viel Spaß mit SWA. Hallo. Also ja genau, ich werde jetzt mit absoluten Basics anfangen in was für eine Welt wir leben und so. Also nicht wundern, das ist vielleicht für den ein oder anderen langweilig für euch, aber ich gehe dann später ein bisschen mehr in die technischen Details auch schauen wir mal, wie weit wir kommen. Also es geht um Massenverschlüsselung. Und der Grund, warum wir das brauchen, ist ganz einfach in den Menschenrechten festgelegt. Da gibt es den Artikel 12, den ich jetzt hier mal vorlese. Niemand darf willkürlichen Eingriffen in sein Privatleben, seine Familie, seine Wohnung und seinen Schriftverkehr oder Beeinträchtigungen seiner Ehre und seines Rufes ausgesetzt werden. Jeder hat Anspruch auf rechtlichen Schutz gegen solche Eingriffe oder Beeinträchtigungen. Das steht so im Grundgesetz. Viele von euch werden wissen, dass es nicht mehr so richtig der Fall ist und wir eigentlich ja auch wieder dahin zurückkommen müssen. Und hier wird jetzt vom Privatleben gesprochen und wir sprechen ja auch im Aktivismus immer sehr viel vom Privacy, aber auf der anderen Seite geht es ja auch immer mit Security. Und da gibt es im Cypherpunk Manifesto von 1993 eine ganz schöne Erklärung, was der Unterschied eigentlich ist zwischen Privacy und Secrecy. Also Privacy und Security. Ich habe das hier mal übersetzt. Unten drunter ist immer das englische Original. Privatheit ist notwendig für eine offene Gesellschaft im elektronischen Zeitalter. Privatheit ist nicht Geheimheit. Privat ist etwas, das nicht die ganze Welt wissen sollte. Geheim ist etwas, was gar niemand wissen sollte. Privatheit ist die Macht, sich der Welt selektiv zu öffnen. Also das ist im Englischen hier Privacy und Secrecy. A private matter and a secret matter. Und das finde ich ganz schön, weil das wird ganz oft vergessen, wenn man immer über Security spricht, wenn man immer über Privacy spricht. Es geht also wirklich bei Privacy darum, dass man einfach nur nicht will, dass das alle wissen. Und wenn das wirklich Secrecy ist, dann geht es darum, dass es halt gar niemand weiß. So, und jetzt geht es ja hier nicht nur darum, wie wir uns eben unsere Macht, uns der Welt selektiv zu öffnen. Die haben wir natürlich immer in der Hand. Wenn wir in eine Kneipe gehen, wenn wir auf die Straße gehen, können wir immer entscheiden, was wir von uns preisgeben. Aber jetzt haben wir ja nicht mehr nur die Kneipe und die Straße, sondern wir haben auch dieses Internet. Ich habe das hier mal visualisiert. Das Internet, eine große Wolke. Hier wird ein bisschen reingesumt und gehen wir mal ganz weiter rein. Das Internet ist ja das Zwischennetz. Das Netz zwischen den Netzen. Und hier haben wir jetzt so Netz. Ich habe hier, glaube ich, auch die Maus. Genau. Hier ist jetzt der Mittelpunkt von so einem Zwischennetz. Der ist verbunden zum restlichen Netz und da sind jetzt die ganzen Geräte dran. Also wenn ihr jetzt ein Handy in der Tasche habt und ein Laptop angestöpselt, habt ans Netz, dann ist das einmal hier und einmal hier zum Beispiel. Und was ich hier eben zeigen möchte ist, dass wenn du mit dem Internet verbunden bist, bedeutet das, dass auch das Internet mit dir verbunden ist. Du steckst da mittendrin. Aber jetzt auch nochmal. Was ist das Internet so? Das gab jetzt diese Wolke. Das sieht dann eigentlich faktisch so aus. Das sind Daten, die auf Computern irgendwo hin und her geschoben werden. Und so sieht das dann aus. Das sind hier so offizielle Bilder von einem großen Datenhoster, einem, der nicht guten. Da wird auch ganz viel, braucht es ganz viel Klimaanlage. Da wird ganz viel Strom verbraucht. Auf ihren offiziellen Bildern haben sie das hier auch ganz hübsch mit den Bambis, die da rumstehen. Und alle sind ganz glücklich. Und in der Nacht leuchtet das dann auch alles ganz hell. Und eben das braucht Strom, das braucht Platz. Da müssen Leute Häuser bauen, damit da dieses Internet sich da rein setzen kann. Und dann ist es damit aber auch nicht getan. Wenn das Zeug erst mal rumsteht, dann müssen da auch noch Leute Dinge tun, damit das am Laufen gehalten wird. Das kostet ja auch alles Geld, wenn da Leute arbeiten. Und das ist auch etwas, was man sich immer wieder ins Gedächtnis rufen sollte. Alle diese Services, die wir da benutzen, die kosten Geld. Das kommt nicht einfach so vom Himmel geflogen. Und da gibt es ja dieses schöne kleine Comic, das ihr vielleicht schon kennt, wo diese zwei Schweinchen sitzen und das eine zum anderen sagt, boah, ist das nicht cool, wir bezahlen überhaupt nichts für den Stall. Und dann sagt das andere, ja, und wir kriegen sogar kostenlos zu essen. Naja, das Resultat ist eben, wenn du nicht dafür bezahlst, dann bist du nicht der Kunde, sondern du bist das Produkt, das verkauft wird. Und ja, das sollte man sich also immer wieder bewusst machen und daraus auch sich immer wieder die Frage stellen, wovon lebt der Service, den man nutzt. Weil wieder, wenn du für einen Service kein Geld bezahlst, dann ist die Wahrscheinlichkeit hoch, dass du mit deinen Daten bezahlst. Die Daten, das Öl des 21. Jahrhunderts, wie es ja immer wieder gesagt wird, sind eine Währung, mit der wir bezahlen. Und das kann man auch bewusst tun. Man kann auch sagen, okay, ich finde das völlig in Ordnung, ich bezahl gerne mit meinen Daten anstatt mit meinem Geld, weil Geld habe ich eh keins, Daten habe ich genug. Und das tut mir auch nicht weh. Und dann kann man das auch machen. Ich finde es aber wichtig, dass man das zumindest dann auch bewusst tut. Und ich glaube, dass sehr viele Leute das eben nicht bewusst tun, weswegen ich das hier auch noch mal versuche zu erklären. Das, was ich jetzt gerade beschrieben habe, sind kommerzielle Interessen. Also Leute, die aus deinen Daten eben wieder Geld machen, weil das jetzt das Öl des 21. Jahrhunderts ist, mit dem sich viel Geld verdienen lässt. Es gibt da aber auch noch andere Interessen, müsste man vielleicht mal updaten, aber es vor fünf Jahren entstanden, als es damals diese Welle gab, da hat auch einer gesagt, ich mag nicht in einer Welt leben, in der ich alles, was ich sage, alles, was ich tue, jeder zu dem ich spreche und jeder Ausdruck von Kreativität, Liebe oder Freundschaft gespeichert wird. Das war Mr. Edward Snowden, der vor ziemlich genau fünf Jahren ganz, ganz viele Dokumente geliegt hat, wo wir relativ viel gelernt haben, was eigentlich so passiert in unserer Welt. Wir als Techies haben auch Sachen gelernt haben, aber an vielen Stellen Bestätigungen dafür bekommen, für die Befürchtungen, die wir schon hatten. Das war nicht so schön. Hier ist so ein Beispiel von wirklich Millionen von Files und Slides, steht hier oben auch eine Top Secret, die Prism Collection Details. Das sind so Firmen wie Microsoft, Google, Yahoo, Facebook, Paltalk, YouTube, Skype, AOL und Apple, die liefern alles, was man sich wünscht, also zum Beispiel E-Mail, Chat, also Video und Voice, Fotos, auch die gespeicherten Daten, Sprachübertragungen, Voice over IP, auch welche Files von wo nach wo geliefert werden, Videoconferencing, Notifications of Target Activity, heißt, dass man immer eine Notifikation kriegt, wenn eben, also wenn du jetzt überwacht wirst, was du per Default wirst überall, dann gibt es aber jetzt noch mal so ein Sonderstatus hast, dann gibt es halt immer eine Notifikation, ah, jetzt hat er sich wieder eingeloggt, jetzt hat er sich ausgeloggt, jetzt hat er was versendet und so, wenn man eben gerade wissen will, was die Person macht und das kann eigentlich jeder auch so abrufen mit ein bisschen bis, wenn man sich lang genug damit beschäftigt, kann man das auch einfach alles ablesen, was du da so online alles machst. Ja, als das vor fünf Jahren passiert ist, sind dann auch ziemlich viele Initiativen passiert, wie zum Beispiel Prism-Break.org, kann ich nur empfehlen, tu es, es ist eine schöne Webseite, wo aufgeschlüsselt ist, mit welchem System man unterwegs ist, kann man klicken und dann halt gucken, okay, was benutze ich jetzt und was könnte ich alternativ verwenden, also zum Beispiel E-Mail-Provider oder auch am Ende sogar Betriebssysteme zu wechseln. Gibt es auch in ganz, ganz vielen Sprachen übersetzt, das ist in GitHub, kann man auch mitarbeiten und da macht, also das hat halt einer angefangen damals und dann haben da Rückzug irgendwie sick Menschen mitgearbeitet und einfach ihre Freizeit aufgewendet, um da so Listen zu erstellen und da kann man jetzt schön alles nachschlagen und was sind das eigentlich für Leute so, die solche Sachen machen? Ich habe ja vorher schon aus dem Cypherpunk manifesto zitiert und tu das auch jetzt nochmal, Cypherpunk ist eben 1993 mal so niedergeschrieben, geschrieben worden dieses manifesto, das sind Leute, die sich aktiv damit beschäftigen, die Netzwerke sicherer zu machen, Leute, die sich für die weite Verbreitung von starker Kryptografie einsetzen und die das als Weg zu einem sozialen und politischen Wandel sehen. Außerdem Leute, die darauf hinderbeiten, Privatheit und Sicherheit durch proaktive Nutzung von Kryptografie zu erlangen, drunter auch wieder das englische Original und hier jetzt nochmal der Kernteil, wir können nicht erwarten, dass unsere Regierungen, Unternehmen oder andere große gesichtslose Organisationen Privatheit gewähren. Wir müssen unsere Privatheit selbst verteidigen, falls wir irgend eine erwarten. Wir wissen, dass irgendwer Software schreiben muss, um die Privatheit zu verteidigen und wir werden sie schreiben. Das ist etwas, was wir als PEP Projekt auch richtig doll unterschrieben haben, das ist genau das, was wir tun. Wir wissen, dass irgendwer Software schreiben muss, also werden wir sie schreiben bzw. wir haben sie zu Teilen schon geschrieben sind, aber auch immer noch mittendrin. Dazu aber dann später mehr im Tech-Teil. Ich finde aber hier insbesondere den ersten Satz auch nochmal wichtig, gerade zu dem, was ich vorher so erzählt habe. Wir können nicht von Regierungen, Unternehmen oder großen gesichtslosen Organisationen erwarten, dass sie uns Privatheit gewähren. Das haben sie 1993 geschrieben. Heute, fünf Jahre nach Snowden, können wir sagen, wir wissen, dass sie es nicht tun. Also wir können das nicht mal mehr erwarten, sondern es ist das Gegenteil bewiesen. Ja, nochmal kurz zu dem Begriff Seifer. Ihr habt ja bestimmt hier Cyber, Cyber, Cyber im Kopf. Das ist es nicht. Cyber ist die Kübernetik, die Wissenschaft der Steuerung und Regelung und Kontrolle. Es geht hier um Seifer. Seifer, Seifer, Seifer, eine Variante der schreibweise Seifer. Das bedeutet Ziffer auf Deutsch. Und es geht hier um Schiffere. Schiffrieren ist so ein Wort. Wir kennen das vielleicht noch so aus den alten Zeitungen mit den kleinen Anzeigen. Das war dann immer so eine Schiffrenummer, die man angeben konnte, wenn man kontaktiert. Schiffere, Schiffrieren, De-Schiffrieren ist eben nichts anderes als Verschlüsseln. Und was eigentlich dieses Verschlüsseln ist, das versuche ich jetzt auch mal zu erklären. Es geht hier um eben Schiffrieren oder Encodieren. Was bedeutet, dass man dann, wenn man das tut, ein Schlüssel oder eben ein Schiffere oder ein Code hat? Wie bei den kleinen Anzeigen hat man dann die Schiffrenummer. Das ist ein Code, mit dem dann wieder zugeordnet wird, wer jetzt da das Auto verkauft. Und ich habe hier einfach mal so ein Beispiel für eine ganz, ganz einfache Verschlüsselung. Das ist das Wort Hallo, verschlüsselt. Ich denke, ihr könnt erkennen jetzt, was da die Verschlüsselung ist. Die ist nämlich einfach nur Dreh, dass ihr in eine Machesspiegel verkehrt. Also es steht jetzt Ola da. Das ist jetzt das Wort Hallo, verschlüsselt. So, wir wissen jetzt alle, okay, der Schlüssel ist, ich muss die Buchstaben alle umdrehen. Also den ersten an die letzte Stelle und so weiter. Das ist natürlich relativ simpel, aber wenn man das mit Software macht, sieht das halt so aus. Das ist auch nichts anderes. Das Wort Hallo wird jetzt einfach übersetzt in diese Zeichenfolge. Und was beim Verschlüsseln auch immer ganz, ganz wichtig ist, ist, dass es eben Ende zu Ende ist. Was bedeutet, nur du und ich haben den Schlüssel und niemand anderes kann mitlesen. Und das da unten ist auch wirklich original dieser obere Satz in die BtG verschlüsselt. So sieht das dann halt aus, wenn das verschlüsselt ist. So, und jetzt unterteilt man Verschlüsselung in symmetrische und asymetrische Verschlüsselung. Für uns interessant ist die asymetrische, aber um die zu verstehen, muss ich erstmal die Symmetrische erklären. Die geht auch ganz einfach. Ich habe hier wieder so ein Beispiel an der Seite mit Hallo. Das ist was, was Julius Caesar oder auch der indische Kamasutra vor 2000 Jahren schon genutzt hat. Sie haben einfach das Alphabet genommen und einzelne Buchstaben verschoben. In dem Fall ist also der Kot oder der Schlüssel oder Alphabet 3 nach links. Und damit wird jetzt aus Hallo ein Exil. Und das bedeutet eben, dass aber beide Seiten den Schlüssel kennen müssen. Das war damals bei Caesar so. Der hat dann Nachrichten verschickt mit dem einen Boten und den Schlüssel mit dem anderen Boten. Und jetzt kann es aber natürlich sein, dass dieser Bote unterwegs, also der mit der Nachricht, wird abgefangen. Ja, können Sie nichts machen, ist ja verschlüsselt. Wenn jetzt aber der Bote mit dem Schlüssel abgefangen wird und der dann auch noch bestochen wird oder aus irgendwelchen Gründen erpresst, dass er das nicht weitererzählt, dass er unterwegs abgefangen wurde, dann können Sie ja jetzt alle Nachrichten lesen. Ohne dass die Caesar-Truppen das wissen und die denken dann immer noch, ja lustig, wir sind hier total geheim, aber sind das eigentlich gar nicht mehr. Das heißt, bei dieser symmetrischen Verschlüsselung haben wir immer das Problem, dass der Schlüssel ja auch übertragen werden muss und bei dieser Übertragung der Schlüssel eben bekannt werden kann, dem wem auch immer der Gegner ist. Deswegen hat sich mal jemand diese asymmetrische Verschlüsselung ausgedacht. Oh, mit einem S entschuldigt. Die wird auch Public Private Key Encryption genannt, also Encryption Verschlüsselung eben offener und privater Schlüssel, weil jeder hat ein Schlüsselpaar. Man hat einen öffentlichen Schlüssel, der ist überall verfügbar, der ist hier links und man hat einen privaten Schlüssel, der muss geheim gehalten werden. Zur Visualisierung habe ich hier ein offenes Schloss mit einem Schlüssel gewählt, also der öffentliche Schlüssel ist quasi wie ein offenes Schloss, weil wenn jetzt jemand etwas verschlüsseln möchte, da haben wir Bob und Alice, die sich etwas schreiben möchten, Bob nutzt jetzt also den öffentlichen Schlüssel von Alice, um die Nachricht abzuschließen, also zu verschlüsseln. Das heißt, der hat also ein Brief und tut dann dieses offene Schloss nehmen und schließt damit den Brief ab und jetzt ist der zu. Jetzt einmal geschlossen, kann Bob diese Nachricht nicht mehr öffnen, also es ist jetzt zu, dieses offene Schloss hast du zugemacht, du hast keinen Schlüssel dafür, da ist jetzt nichts geht mehr. Jetzt wird dieser Brief versendet und dann hat Alice nämlich den privaten Schlüssel, um diese Nachricht von Bob aufzuschließen und Alice ist die einzige, die das kann. Das ist das Prinzip von Public and Private Key Encryption, die wir eben hier anwenden wollen, um E-Mails zu verschlüsseln. Es gibt noch sehr, sehr viele andere Verschlüsselungsverfahren, das ist nur eines von vielen Beispielen und in unserem tollen Langzeitplan, den wir entwickelt haben, um eben Massenverschlüsselung durchzusetzen, werden wir auch all diese Verschlüsselungsmethoden unterstützen, zumindest alle, die jetzt weit verbreitet sind und wir haben jetzt eben mit der mal angefangen, weil das ist schon die, ich sage mal, am weitesten verbreitete und auch schon mit am längsten Daseiende. Was das lange Dasein angeht, ist das nämlich auch relativ wichtig. Es gibt so vier Daumenregeln, wenn es um Verschlüsselung geht. Eine ist ganz wichtig, etwas das nicht Open Source ist unbenutzbar. Also wenn dir jemand erzählt, dass die Technik toll ist, aber sie dir nicht zeigt, dann ist da wahrscheinlich was faul dran. Das heißt, nur wenn der Source, also der Programmiercode hinter dieser Software offengelegt wird, kann es so sicher sein, dass die Leute auch wirklich das Ernst meinen und da was Ordentliches implementiert haben, weil genau das hält ja dann jeder Prüfung stand. Also jeder kann das prüfen und sagen, okay, das ist in Ordnung. Deswegen, wenn es nicht Open Source ist, dann kann man es nicht benutzen. Dann eben je älter etwas ist, dass so wahrscheinlicher ist, dass es sicher ist. Wenn was ganz neu ist, kann es 100 mal in Open Source darlegen, aber es hat vielleicht noch keiner gelesen und es hat noch keiner gesehen, dass da Fehler drin sind. Wenn das schon richtig lange da ist, dann kann man davon ausgehen, dass das schon ziemlich viele Leute gelesen haben und keiner ein Fehler gefunden hat und es deswegen relativ sicher ist. Aber kommt natürlich dazu, halte die neuesten Nachrichten dazu im Auge. Das kann immer mal passieren, dass einer sich das nochmal ganz genauer anschaut und plötzlich einen Fehler findet und das veröffentlicht und sagt, hier ist alles kaputt. Und dann auch ganz wichtig, wer hat es erfunden, wer entwickelt es weiter? Also was für Interessen stehen hinter den Leuten, die sich das ausgedacht haben? Warum machen die das? Was ist der Beweggrund? Auch da kann man, wenn man das irgendwie schädig findet, sollte man sich wieder lieber wegdrehen und das von jemand anderem nehmen. Ich will das jetzt mal hier an PGP-GPG anwenden. Das ist eben diese Verschlüsselung mit dieser asymmetrische Verschlüsselung, der auf die PEP jetzt erstmal aufbaut. Die heißt eben Pretty Good Privacy und wir machen ja Pretty Easy Privacy daraus. Denn Pretty Good Privacy ist zwar schon schön, aber es ist halt leider nicht einfach zu benutzen, sondern immer noch sehr kompliziert und genau daran arbeiten wir, dass das jetzt eben auch einfach zu benutzen ist. Das wurde gebaut von Phil Zimmermann in 1991. Zimmermann war ein Anti-Atom-Aktivist, der eben PGP erfunden hat, um anderen Aktivisten zur möglichen sicheren Nachrichten auszutauschen und zu speichern. Also super, haben wir ja gleich unseren guten Beweggrund. Das wurde dann als Open PGP zu einem Standard und später als GPG von Werner Koch 1999 in eine Implementierung geführt, die heute eigentlich hauptsächlich verwendet wird. Das war 1999 und dieser Werner Koch wurde damals von der Free Software Foundation bezahlt. Also das ist auch eine Stiftung, das ist ja immer sowas ganz Gutes. Also wenn wir nochmal zurück auf unsere Daumenregeln gehen, es ist Open Source, es ist ziemlich alt, es ist ungebrochen und es war ein Aktivist und eine Stiftung, die das entwickelt haben. Also alles gut. So nochmal zurück zum Internet, so da sitzen wir jetzt hier mitten in der Wolke, völlig ungeschützt und haben ja eben dieses Problem, dass unsere Kommunikation online wie eine Postkarte ist und dass unsere Welt eben Massenüberwachung hat. Und was wir jetzt versuchen hier ist eben Massenverschlüsselung, das ist der erste Schritt, den wir jetzt auch schon beschreiten. Also man kann sich Software installieren und kann sich zumindest schon mal so viel wie möglich verschlüsseln. Das sollten jetzt auch so langsam mal wirklich alle tun. Das Noten ist jetzt fünf Jahre her. Damals haben wir alle gedacht, oh mein Gott, ich muss was machen und dann hat man gedacht, ja alles ein bisschen doof, ich mach dann doch nichts. Jetzt ist es dann auch wirklich an der Zeit was zu machen. Und danach wollen wir noch Massenanonymisierung machen. Das ist nochmal so ein anderes Konzept. Da gehe ich auch später nochmal ein bisschen drauf ein und werde im Anschluss auch noch ein Lightning Talk zu den Details, also zu den technischen Details halten. Hier geht es darum, wirklich das Internet nochmal komplett umzubauen. Das Internet kommt ja aus den 70er Jahren und das wird bis heute so genutzt, wie das deine 70er Jahren sich mal ausgedacht wurde und gibt also überhaupt keine Anonymisierung. Im Gegenteil, man ist total gläsern. Das ist ja das Problem und das Problem wollen wir jetzt mal von der Wurzel angehen bzw. es gibt eine Projektgruppe, die das seit 2002 im akademischen Raum tut. Da gibt es Forschungsgruppen, da gibt es PhDs, so Doktorarbeiten und alles Mögliche und die sind jetzt auch langsam so weit, dass man das langsam mal benutzen kann und das werden wir tun. Also Pep macht, was die Nutzerinnen eigentlich machen wollen, würden oder hätten machen sollen. Ich weiß nicht, wer hier drinnen PGP nutzt, mal kurz Hände hoch, so vielleicht die Hälfte, wer nutzt das dann täglich? Ja genau, das ist nämlich schon wieder fast keiner, weil das ist nämlich nicht so, also es ist schon relativ umständlich und man muss irgendwie ziemlich viele Schritte händisch machen und wir haben uns einfach irgendwann mal gesagt, also er hat es ja eben gesagt, ich komme da auch aus dieser Kryptoparty Bewegung und auch andere von uns, wo wir immer das alles erklärt haben stundenlang, haben wir einfach gesagt, okay, lass uns aufhören, es zu erklären, lass uns aufhören Anleitung zu schreiben, wir schreiben das jetzt einfach in Software und Standards. Und so sieht sowas aus. Wir haben einen RFC geschrieben, also das heißt nicht RFC, das heißt Internet Draft im ersten Schritt, das wird dann später zu einem RFC, gibt es online, kann man sich anschauen, haben da einfach mal jetzt einen neuen Standard entwickelt oder sind mittendrin, also das RFC bedeutet Request for Comments, das ist wie die ganze Internettechnologie, worauf die basiert. Ich habe hier mal das Abstract irgendwie größer gemacht und lese das mal auf Deutsch vor, was ich unterschrieben, unterstrichen habe, aufbauend auf existierende Sicherheitsformate und Nachrichtentransporte sowie PGP MIME für E-Mail, beschreib Pretty Easy Privacy Protokolle, die Operation automatisieren, die bisher als Hürden für sicheren Ende zu Ende Nachrichtenversand galten. Ja, das ist es, was wir da versuchen. Also PEP macht, was die Nutzer eigentlich hätten machen sollen und was machen die Nutzer, die schreiben Nachrichten, so nichts anderes, also es verändert sich nichts. Wir haben das so weit jetzt auch schon irgendwie zum Beispiel in Outlook implementiert, Outlook kennt ihr vielleicht so ein E-Mail-Programm von Windows, da verändert sich wirklich nichts, außer dass die Farbe der E-Mail sich verändert, also das wird dann halt gelb und grün, wenn das verschlüsselt ist und wenn das nicht verschlüsselt ist, bleibt das halt grau. Das heißt die Leute schreiben einfach nur Nachrichten. Wie funktioniert das? Da habe ich hier so ein kleines Diagramm, wo ist meine Maus hier, also das erste, zweite, dritte. Wir haben jetzt hier zwei PEP-User, es könnte jetzt auch ein PEP-User und ein normaler GPG-User sein, weil wir sind ja kompatibel mit allem, was da existiert schon. Also wir haben hier nicht irgendwie jetzt nochmal eine neue Technologie und so, sondern wir machen einfach nur Pretty Easy auf Existieren das. Aber für die Einfachheit ist das jetzt hier zwei PEP-User, die installieren sich PEP hier im ersten Bild und im zweiten Bild sendet der eine User zum anderen User eine Nachricht. Die ist jetzt grau, also die ist unverschlüsselt, das ist die erste Nachricht, die von A nach B geht. Jetzt ist die angekommen und hier der zweite schreibt zurück und auf dem Rückweg ist sie jetzt schon verschlüsselt, gelb. Es bedeutet dies verschlüsselt, aber noch nicht verifiziert. Ich erkläre gleich, was das im Genauen bedeutet. Aber jetzt für die Technis unter euch, was hier passiert ist, beim Installieren wird der Key generiert und beim Verschicken wird der Key automatisch angehängt. Wenn ich die Mail Empfange als PEP-User sehe, wie der Key da dran hängt und Reply damit automatisch verschlüsselt, wie so ein OTR Handshake. Man macht einmal hin und her und dann ist man verschlüsselt. Was man jetzt noch tun kann, also hier kann man jetzt auch glücklich weiter schreiben und man ist verschlüsselt und alles ist gut in Anführungsstrichen, was man aber eben noch nicht gemacht hat, ist man hat noch nicht verifiziert, ob hier nicht in person in the middle Angriff dazwischen sitzt. Das heißt, was man jetzt tun muss, die Technis unter euch kennen das auch Fingerprints, also die Fingerabdrücke vergleichen, ob der Schlüssel wirklich der Schlüssel ist. Dazu haben wir die Fingerprints in sogenannte Trustwords übersetzt, dass man da nicht mehr so blöd Zahlen und Nummern vorlesen muss und stattdessen eben Worte vorlesen kann. Das heißt, was man jetzt tun kann, wenn man möchte, ist man ruft sich an oder man trifft sich und liest sich gegenseitig diese Trustwords vor. Und dann kann man sagen, okay, stimmt und ab jetzt ist man im grünen Modus. Jetzt ist man verschlüsselt und verifiziert. Ich habe das hier nochmal auf einem hier Diagramm. Also hier erste E-Mail geht von A nach B, ist unverschlüsselt, der Key hängt dran. Nächste E-Mail geht von B nach A, die ist jetzt schon verschlüsselt. Jetzt macht man die Trustword Verification zwischen den beiden über eine andere Leitung, also idealerweise ein Telefonanruf und danach kann man hin und her verschlüsselt und verifiziert schreiben. Das heißt, für den User ist da jetzt nichts mehr übrig. Ja, und dann nochmal zurück zu unseren Grundregeln, die ihr vorher gelernt habt. Also wer ist PEP, müsste ich jetzt auch, muss ich auch mal hier beantworten. Wir sehen uns eben als Cypherpunks und möchten Massenverschlüsselung ausrollen, um die Kosten der Massenüberwachung zu optimieren. Wir wollen die Nutzung von Crypto-Predi-Easy machen. Einerseits für Entwickler. Das ist auch ganz wichtig. Also es geht uns auch darum, dass das andere nehmen und einstöpseln in ihre Anwendungen und Benutzer können das eben einfach so benutzen. Und das sollte dann eigentlich bei Default bei allen sein. Das wird noch einige Zeit dauern, aber wir fangen ja gerade erst an. Wichtig an der Stelle ist auch nochmal kurz zu erwähnen, was PEP nicht ist. Wir sind hier nicht jetzt noch ein Crypto-Tool mit geschlossener Nutzergruppe. Habe ich ja gerade schon erwähnt. Wir bauen nur auf existierende Standards auf. Wir denken uns da nichts Neues aus. Wir sind kein Provider einer Plattform oder irgendwas auch nichts Dezentrales, sondern es gibt überhaupt nichts. Wir benutzen einfach nur vorhandene Protokolle. Wir implementieren keine neue Crypto und wir ersetzen auch kein existierendes Crypto-Tool per See. Also die Techies unter euch, die jetzt die Hände im Kopf zusammenschlagen und denken Gott, oh Gott, ich kann an meinen alten Scheiß nicht mehr benutzen. Doch könnt ihr alles. Ihr seid dann halt kompatibel. Ihr müsst dann halt so Kleinigkeiten lernen, wie zum Beispiel euren Schlüssel immer anzuhängen. Damit ein PEP-User, der gar nicht weiß, was ein Schlüssel ist, den automatisch bekommt. Aber das ist ja jetzt in E-Mail-Kleins auch zum Teil schon implementiert und man muss sich dann halt so ein paar Änderungen dann da vielleicht gefallen lassen, aber man kann grundsätzlich seinen ganzen Kram weiter verwenden. Auch wichtig zu sagen ist, dass es hier nicht um ein E-Mail-Verschlüsselungstool geht. Auch wenn es im Moment der Fall ist, das ist nur der Anfang. Wir wollen ja Massenverschlüsselung. Das heißt, es geht am Ende auch um SMS, es geht um alle Messenger, es geht um alle textbasierte Online-Kommunikationen. Ja, und was dann auch nochmal ganz wichtig ist, ist hier unsere Organisationsform. Es ist eben sehr breit und langfristig aufgestellt. Wir haben einerseits eine Stiftung, die halt Support von freier Software macht, politische Arbeit, aber eben ganz wichtig, der Code gehört der Stiftung. Das heißt, alles, was passiert, irgendwie mit, darunter steht ja, es gibt auch noch eine Firma, die hat dann Investorengeld und so und falls das irgendwie in die Hose geht oder so geht, das Projekt halt nicht in die Hose, sondern der Code bleibt, bei der Stiftung wird immer freie Software sein und bleibt somit allgemein gut. Die Stiftung sitzt in der Schweiz, weil das Schweizer sind, die das gemacht haben. Die Firma sitzt in Luxemburg, weil wir eben auch einen Luxemburger haben und der ist der Head-of-Firma und deswegen ist das in Luxemburg. Das sieht vielleicht ein bisschen fishy aus, so Schweiz und Luxemburg, liegt aber einfach daran, weil das halt Schweizer und Luxemburger sind. Die Firma verkauft die Anwendungssoftware, wie zum Beispiel Outlook und eben die Professional Services dazu. Also das übliche, was man halt so macht. Und dann gibt es jetzt noch ganz frisch aus der Taufe gehoben, die Genossenschaft. Da geht es darum, die Leute zusammenzubringen, Kooperationen zu machen und vor allen Dingen auch diese Webplugins zu schreiben. Das Ganze läuft unter dem Motto Basta. Es reicht uns und man kann da Mitglied werden. Hier ist auch so ein Flyer mit dem Manifest, das Sibylle Berg für uns geschrieben hat. Die ganze Aktion der Genossenschaft ist Meinhard Sterostik und Sibylle Berg sind also die treibenden Kräfte. Meinhard Sterostik ist der Anwalt, der damals die Verfassungsklage mit uns, die Vorratsdatenspeicherungsklage mit uns durchgezogen hat. Der ein oder andere mag sich vielleicht noch daran erinnern. Da haben wir alle einen Brieflein unterschrieben und das an den, an das Büro von Meinhard Sterostik geschickt. Und Sibylle Berg ist eine Autorin und Schriftstellerin, Journalistin und dann haben wir noch so ein paar andere Semi-Celebrities damit on-board und eben man kann da eben Mitglied werden bei der Genossenschaft und damit das Projekt unterstützen oder halt eben auch einfach mitmachen. Weil ich jetzt hier auch immer die URL habe, habe ich jetzt noch kurz hier noch die weiteren Webseiten gelistet. Wir haben die PEP.Software. Da kriegt man einfach die Software als Binary oder als Sourcecode. Also man kann sich die dann runterladen und installieren, aber man kann eben dann auch anfangen, im Source zu stöbern und so. Es gibt auch den ersten Ansatz for reproducible builds dafür zu haben. Auch die Code Audits sind dort verlinkt. Ist alles noch nicht so ganz fertig, aber ist schon jetzt in den ersten Schritten. Dann gibt es die PEP Community. Da ist im Moment auch nur ein Forum, aber da werden jetzt noch Mailing-Listen und Chat und solche Sachen entstehen. Und dann gibt es PEP.News. Das ist noch nicht online. Das sind dann eben die News aggregiert wie so ein Planet von all diesen PEP-Entitäten. Ja, jetzt mal hier ein bisschen konkreter. Die Anwendung, die wir bereits haben, ist eben dieses Outlook-Plugin, das ich bereits erwähnt habe. Dann gibt es einen Android-Client. Das ist ein K9-Fork. Kann man sich runterladen im Google Store auf asteroid oder auch die APK direkt von uns auf PEP.Software kriegen. Und dann gibt es noch Thunderbird mit Enigmail. Das ist eine Beta-Version, die jetzt vor ein paar Wochen rausgekommen ist. Der ein oder andere wird das vielleicht schon gekriegt haben, das Update. Allerdings, wenn man vorher schon Enigmail benutzt hat, dann ändert sich erst mal nichts. Dann bleibt das quasi im alten Modus und man muss dann PEP auch aktiv anschalten. Nur wenn man das neu installiert, dann kriegt man direkt den PEP-Modus untergejubelt. Und dann eben noch PEP4IOS. Da schreiben wir einen komplett neuen Mail-Client, der ist noch in Alpha-Testing, noch nicht veröffentlicht, wird dann aber wahrscheinlich im Laufe des Sommers mal als Beta rauskommen. Und grundsätzlich wird da mehr kommen. Wir haben gerade erst angefangen, eben erwähnte Browser-Plugins für sowas wie Gmail und so, ist jetzt in der Line und dann aber auch SMS, Java, Facebook, Twitter, was auch immer. Alles halt, wissen schon, Massenverschlüsselung. Darum geht es uns ja. Und diese Implementierung, wie sie jetzt darlegt, macht eben PGP, GPG und S-MIME ohne den Nutzer zu stören. Das bedeutet, sie verschlüsselt automatisch, sie verschlüsselt den Betreff inline, da kann man allerdings auch sagen, man will das nicht. Es ist kein Key-Management mehr nötig, es gibt keine Key-Server oder andere zentrale Infrastruktur, die Fingerprints werden in Trustword zu übersetzt, es gibt keine Passphrase mehr für die Schlüssel, kann man sich aber einstellen, aber die ist erst mal per Default aus. Und jetzt in der nächsten Version wird der Header verschlüsselt und verschleiert, so weit wie es geht. Und es gibt ein Sync-Protokoll. Das ist das sogenannte Message 2.0-Format und wir verschicken Mails da, so wie wenn man die als Attachment verschickt. Das heißt, die sind einmal nochmal eingepackt, um eben den Header frei zu kriegen. Jo, damit wäre ich jetzt mit diesem ersten Teil so weit durch. Ich habe jetzt noch zwei Kapitel, das eine wäre jetzt eben nochmal ein Überblick über das Konzept hier, diese sechs Punkte, was wir uns da so ausgedacht haben. Da würde ich mich auch sehr um Feedback freuen, ob wir da noch irgendwas vergessen haben und der zweite Teil wäre dann noch so ein bisschen die Technik. Also wie wir das genau aufbauen mit diesem Engine und Adapter und so weiter. Schauen wir mal, wie weit wir kommen. Ich mache das jetzt ein bisschen schneller. Da wiederholt sich jetzt auch manche Sachen. Genau das hier haben wir schon gehört. Wichtig ist hier nochmal dieses, die Kryptonites sollen aus der Perspektive der Nutzer verschwinden, so wie bei HTTPS das ja schon passiert ist. Früher war überall HTTPS. Nachs Noten ist überall HTTPS gekommen. Der Nutzer merkt davon nichts. Der kriegt davon überhaupt nichts mit. Das heißt, der macht, die Kryptonites sind für den Nutzer nicht mehr sichtbar. Das ist eben der Teil, dass es bei Default einfach mit kommt. Dann eben Easy. Easy ist der andere Teil. Einfach zu installieren, einfach zu verstehen, einfach zu benutzen, kein Training, kein Rumgenärfe und eben auch wie schon erwähnt Easy für App Developer, dass sie das einfach einstöpseln können. Ein Subteil von Easy ist eben auch das mit den Trustwords. Ich hatte es ja schon erklärt, so wir haben halt Wörter anstatt dieser Zahlen folgen. Also einfach hexadecimal basierte Fingerprinz werden eben in diese Trustwords übersetzt. Dann der Sync-Protokoll. Ich habe es ganz kurz erwähnt. Da haben wir uns was ausgedacht und zwar über iMap Schlüssel über mehrere Geräte hinweg zu verwenden. Das funktioniert über Gerätegruppen. Also ein ganz einfaches, ich mach das mal hier mit dem Bild. So ein neues Gerät kommt in die Gruppe. Das heißt das neue Gerät pingt an die alten Geräte. Hallo, ich bin neu. Dann sagen die alten Geräte gemeinsam mit dem Nutzer, ja okay, du bist erlaubt, die Gruppe zu joinen. Dann gibt es eben auch wieder hier Trustwords checken und Handshakes und ab jetzt gehört dieses Gerät eben auch zur Gruppe. Und jetzt kann man Schlüssel, Kontakte und auch Kalender und solche Sachen darüber schünken. Damit hat sich auch endlich mal das Beckerproblem erledigt und auch ganz wichtig, man synkt jetzt eben nicht über die Cloud, sondern die Clouds sind ja nur andere Leute's Computer, sondern ich synke jetzt über meine eigenen Computer. Und wenn ich jetzt, er hat ja erzählt, ich bin da auch immer wieder mal in Indien in den Bergen unterwegs und so, dann kann ich auch irgendein altes Android-Telefon nehmen, das bei meiner Mama auf dem Dachboden legen, in den Strom stöpseln und schauen, dass es mit dem Wi-Fi verbunden ist. Und wenn ich jetzt ausgeraubt werde oder in die Felsspalte, nicht ich in die Felsspalte falle, sondern meinen Rucksack, dann habe ich alle meine Geräte verloren, weil die habe ich als ordentlicher Nerd natürlich auch auf 3000 Metern dabei. Und dann habe ich aber zu Hause halt dann noch dieses Telefon, das sich da hübsch gesünkt hat und habe damit nicht mal einen Schlüssel verloren und so was. Dann natürlich Ende zu Ende Verschlüsselung peer-to-peer transport, keine zentrale Infrastruktur der geschlossenen Services. Also wir versuchen natürlich irgendwie jetzt alles richtig zu machen. Wenn wir das jetzt schon so wirklich mal von der Basis aufrollen, freie Software, natürlich ist PEP-freie Software. Wir veröffentlichen regelmäßig unabhängige externe Code Audits, regelmäßig erst in, das ist jetzt einmal passiert, aber also wir haben einen Plan, dass das immer bei jedem Release dann auch passiert, womit wir auch wieder dem Cypherpunk Manifesto entsprechen, nämlich dass wir unseren Code publizieren, so dass sie sich das anschauen können und damit rumspielen können und dass der Code eben frei ist für weltweite Benutzungen. Dann eben die bereits oftmals angesprochene Kompatibilität, möglichst viele Plattformen, möglichst viele Sprachen, möglichst viele Verschlüsselungstechnologien, möglichst viele Nachrichten, Übermittlungsprotokolle. Das ist bei Krypto im Moment eben OpenPGP, GNU-PG, NetPG, SMIME und dann kommt eben als nächstes UTR, OMEMO, Signal Protocol und was sonst noch so da ist. Wenn man da Mitglied in der Genossenschaft wird, kann man dann bei sowas auch gerne mitreden. Also dazu muss man auch nicht zwingend Mitglied in der Genossenschaft werden, aber die Genossenschaft wird zum Teil auch Entscheidungen treffen in ihren Mitgliedsversammlungen und natürlich im Forum kann man da auch irgendwie mitreden. Was die Transportprotokolle angeht, sind wir jetzt eben im Moment noch auf E-Mail beschränkt. Das bedeutet wir können SMTP, im App Pop3 Exchange, wollen aber eben dann auch XMPP können. Das ist der Strummerprotokoll und dann vor allen Dingen auch nicht offene Standards unterstützen, wie eben zum Beispiel Twitter Direct Messages. Also das ist ja auch da draußen irgendwie, sorgt ja immer wieder für Aufschrei. Da gab es ja in Twitter von einem halben Jahr mal so eine Saudi durchs Dorf getrieben wurde, dass es plötzlich die Leute gemerkt haben, dass ihre Direct Messages, die ja auch nur Direct Message heißen und nicht Private Messages von den Story Administratoren mitgelesen werden können. Wo wir als Techies natürlich so natürlich, also wenn du das Haus verlässt, kann dein Nachbar sehen, wie du über die Straße läufst. So, das ist so logisch wie das, wenn es regnet, ist die Straße nass. Und das ist aber eben für nicht Techies nicht so logisch. Wenn Sie Direct Message lesen, denken Sie halt, das ist privat und sind da also auf Twitter alle aus dem Häuschen gefallen und haben da sich total essu- essu- essu- essu- fiert, dass die Administratoren ja ihre Nachrichten lesen können. Naja und da müssen wir eben auch ansetzen. Und dann haben wir eben noch den bereits erwähnten Metadatenschutz. Verschlüsselung ist eben nicht alles. Wenn ich jetzt eine E- mail verschlüsselt, bedeutet das, dass das Metadaten trotzdem sichtbar bleiben. Also zum Beispiel, wie groß ist die E- mail? Was habe ich als Betreff geschrieben? Gut, Pep tut den jetzt Inline verschlüsseln, aber auch an wen geht es, von wem das kann man nicht verstecken, weil man will ja schließlich, dass die E- mail auch ankommt. Also es ist ja wie bei einem Briefumschlag, wenn man da jetzt nicht die Adresse drauf schreibt, dann funktioniert das nicht. Und das Problem ist halt eben, also diese Metadaten sind wirklich immer noch ein sehr, sehr großes Problem. Wir haben seit, insbesondere seit's Noten, extrem viele Projekte, die sich um Verschlüsselung kümmern und da sind wir auch alle sehr, sehr froh drum und ihr habt hoffentlich auch alle hübsch euch allmöglichen Kram installiert, aber alle arbeiten eben nur an der Verschlüsselung. Das ist nämlich noch ein, ich sag mal, relativ einfach zu lösen, das Problem. Und das mit diesen Metadaten-Schutz ist leider nicht mehr so einfach zu lösen, weil wir haben da ein Problem mit unserem Internet. Das weiß viel zu viel. Es gibt viel zu unsichere Defaults und hohe Komplexität. Es gibt zentralisierte Komponenten und am Ende können eben Administratoren auch immer ein Angriffstil sein. Administratoren haben eben die Macht über alles. Das bedeutet, was wir hier brauchen, ist ein Internet 2.0. Das versuche ich hier mal so ein bisschen zu erklären und das kommt dann eben nachher in einem Lightning Talk nochmal ganz genau um was es hier geht. Es geht hier um das GNU-Net. Das GNU-Net mit der Tagline, you broke the Internet, let's make a GNU-One. Wir haben hier ne 70er, 80er Jahre ist das Internet irgendwie erfunden worden, Internet-Version 1.0. Da waren alle so total aus dem Häuschen, boah, ich kann auf deinen Computer und du auf meinen. Das ist ja der absolute Wahnsinn. Wir können hier irgendwie Files scheren und uns Nachrichten schicken und das geht eben nur, wie ich gesagt habe, wenn du mit dem Internet verbunden bist, ist das Internet eben auch mit dir verbunden. Das heißt, du kannst dich eben auch mit dem Computer von deinem Freund verbinden und da dann eben Daten austauschen. Das ist das Konzept, auf das das Internet basiert bis heute. Jetzt haben wir irgendwie 30, 40 Jahre später das Internet 1.1, nenne ich das mal, wo alle sind. Natürlich kann ich auf andere Computer zugreifen, auf Server, ich kann irgendwie Dienste abrufen und so, aber so was, die können auch auf meinen. Das ist den meisten Leuten ja nicht bewusst. Und was wir eben brauchen ist ne neue Version des Internets. Das habe ich jetzt hier eben Internet 2.0 genannt, wo wir Ende zu Ende Verschlüsselung und Anonymisierung aller Datenwege haben, also zum Beispiel wir Self-Organizing, peer-to-peer Systems. Und dieses GNU-Net, wie ich schon erzählt habe, ist das schon relativ weit und mache ich nach einem Lightning Talk, weil ich komme jetzt eh schon beinahe nicht rum. Die Zusammenfassung des Konzepts ist also, dass Nutzer nicht über die Verschlüsselung nachdenken müssen, sondern dass sie sie einfach nutzen können. Da hat mal ein Journalist so einen schönen Satz geschrieben, es ist also ein kleiner Hacker da drin, der entscheidet, welche Verschlüsselung dem Empfänger der Nachricht am besten passt. Im Moment ist es ja natürlich nur E-Mail, da gibt es nicht viel zu entscheiden, aber in der Zukunft soll das halt schon so sein, wie wir Techis halt sagen, oh, ich gehe gerade aus dem Haus, hast sie hier, das sind das auf deinem Mobile-System, dann lass uns mal auf irgendwas einigen, so wir treffen da irgendwie alle halbe Stunde irgendeine Entscheidung, welche Verschlüsselung wir jetzt verwenden. Ich hoffe zumindest, dass ihr das tut. Und das können wir aber nicht von den Leuten da draußen erwarten. Also und das müssen wir auch aufhören, das von denen zu erwarten, sondern wir müssen es ihnen einfach mal unterschieben. Wir müssen ihnen einfach unterjubeln, dass sie das einfach benutzen bei default, ohne dass sie das überhaupt mitkriegen. So wie hatte TPS. Ja, ich hätte hier jetzt schon mal ein Fragen-Slide, würde jetzt aber allerdings wirklich ganz kurz durch die Tech noch hoppen. Wir haben ja jetzt auch nicht direkt im Anschluss, geht ja nicht sofort weiter. Dann würde ich jetzt noch durch das Kapitel Technologie springen und dann können wir in die Fragerunde gehen. Also wir haben hier nochmal, ach der sechste Punkt, Organisationsform, hatte ich jetzt dann vorher schon nochmal fünf Punkte, nie sechs Punkte, weil ich damit null anfange. Also hier erstmal der grobe Überblick über die Architektur. Wir haben also Anwendung Adapter und Engine. Das sind drei Teile. Die Anwendungen sind natürlich irgendwie alles Mögliche, habe ich ja vorher gelistet, irgendwie Outlook Android, sonst irgendwas für Android gibt es ja noch mehr Mail Clients, die können das dann auch benutzen und so. Also die Anwendungen sind eben eine App oder eben Plugins, Add-ons oder sonst irgendwas. Dann gibt es eben die Adapter, die gibt es in verschiedenen Sprachen für verschiedene Entwicklungsumgebungen, komme ich gleich noch im Detail darauf und dann den Engine. Den erklär ich auch noch im Detail. Der Engine wiederum ist jetzt der Teil, der wirklich über die Krypto bescheid weiß und der die Transportprotokolle kennt. Und der Adapter, das sind eigentlich nur Bindings, die den Ende Engine ansprechen und das eben nach oben in der Programmiersprache abgeben, die jetzt die App so braucht. Ich habe hier noch eine weitere Beispiele, also das ist jetzt für Outlook, für Android und IOS gibt es jetzt eben jeweils diesen Adapter darunter und dann wird eben jedes mal die Engine eingebunden. Da habe ich jetzt nochmal die Liste der Anwendung, das hatten wir ja schon und jetzt hier der Adapter. Was ist der Adapter? Eben ein Sprachen umgebungsspezifisches Interface zwischen dieser Engine API und der Anwendungsentwicklungsumgebung. Also das kann eine Sprache sein, eine IDE oder sonst irgendwas. Ich habe hier mal ein paar gelistet, also Com Server Adapter ist für C-Hash zum Beispiel, es gibt eben ein Java Adapter, es gibt ein JSON Adapter, Object C für Apple Zeug Python, der immer noch nicht benutzt wird. Also wenn jemand irgendwie eine Python App hat, würden wir uns total freuen, wenn jemand mal Bock hat den benutzt zu benutzen. Der wurde eigentlich fast als aller erstes geschrieben, weil unser Main Tech hat das eigentlich unbedingt in Mut rein haben wollte, was natürlich jetzt nicht geschafft hat und das ja also Python gibt es dann eben noch C++ QT, also so sind jetzt glaube ich auch nicht alle, also so wir haben versucht mal alles abzudecken. Dieser Adapter ist eben dafür da, um eben Anwendungen und Engine zu verknüpfen, das heißt die Anwendung macht Calls zum Adapter für die Funktionen die es braucht, also zum Beispiel Verschlüsselung, Entschlüsselung, MyMemcoding oder irgendwie Trustwords zu kriegen, Identität zu prüfen oder sonst irgendwas. Und der Adapter konvertiert das dann in eine für die Engine, normalisierte, standardisierte Form für Nachrichten und macht an diesen C Library Call, Engine Magic Happens und der Adapter gibt das Resultat zurück an die Anwendung. Engine macht eben genau das Messaging Functions, ist eben so eine Krypto API, kümmert sich um die Key Management Services, Trust Rating, solche Sachen und weiß eben über diese Message Transport, also weiß wie man das dann verschicken muss und in der Zukunft kommt dann eben noch diese Anonymisierung dazu. Hier nochmal so eine Liste eben nochmal weiter aufgedrüsselt was diese Engine alles macht, aber ich gehe jetzt lieber ein bisschen schneller. Wichtig ist für den Entwickler, dass die Engine Plug and Play ist, dass man die auch einfach einstöpseln kann, ohne sich mit der Krypto auseinanderzusetzen. Also hier auch nochmal das Konzept Easy, ich muss dazugestehen, das ist im Moment noch nicht so der Fall, weil unsere Dokumentation noch nicht so toll ist, aber es ist theoretisch der Fall. Die Engine hat eben diese verschiedenen Krypto Standards, ist die 909 geschrieben, hat knapp 10.000 Lines of Code und eben diese regelmäßigen Code Audits und sollte nicht in der Applikation direkt verwendet werden, sondern eben nur über diese Adapter. Hier sind links zum Code Audit, wobei man das jetzt auch alles auf Peptor Software findet. Hier nochmal so eine Liste von den Repositories, aber kann man sich dann auch mal klicken. Eben auf Peptor Software findet man jetzt eigentlich alles, ist noch nicht ganz perfekt verlinkt und so, aber ist ein ganz guter Startpunkt. Ansonsten auch Peptor Foundation Slash Peptor Software hat auch nochmal so ein Text mit so Listen. Und dann hier noch die Entwicklungsplattformen, also wir versuchen das irgendwie gleichzeitig auf allem, ist im Entwicklungsteam auch immer sehr lustig, kulturelle Differenzen zwischen den einzelnen Entwicklungs Kulturen und jetzt würde ich dann sagen, damit bin ich fertig. Ja, vielen Dank zwar. Habt ihr Fragen, dann wartet bitte den Moment bis ich mit dem Mikro bei euch bin. Also ich habe ja so mehrere Geräte. Manchen vertraue ich mehr, manchen weniger. Also dem Telefon jetzt weniger als dem Laptop. Da landen dieselben E-Mails drauf. Hier habe ich kein GPT-Tschlüssel drauf auf dem Rechner schon. Habt ihr euch da Gedanken dazu gemacht, was man da tun könnte, um diese Use Cases zu unterstützen? Also diese Use Cases haben nichts mit Pretty Easy zu tun, sondern das ist dann sozusagen, ja, natürlich, du installierst halt irgendwie dann Pepno auf den Geräten, den du vertraust sozusagen, aber wir wir entwickeln ja nicht für dich, also Entschuldige, aber eben für die Leute, denen das überhaupt nicht bewusst ist, dass ihr Rechner unsicher ist als Android-Phone und für die das wahrscheinlich auch nicht der Fall ist, dass ihr Rechner sicherer ist als Android-Phone, sondern entwickeln für die, die das eben gar nicht wissen, sondern die sollen das dann einfach installieren und benutzen und das möglichst auf allen Devices und du wiederum kannst mal hübsch irgendwie GPT so verwenden, wie du das vorher hattest oder halt dir den Pep-Mode da holen auf die Geräte, denen du vertraust. Also ich persönlich mache es so, dass ich halt einen Schlüssel habe, den ich nur auf dem Rechner benutze, also zum Beispiel der, was das ich, Vorstand ACCC Schlüssel geht jetzt nicht, irgendwie der verlässt mein Rechner nicht, aber ich habe halt einen Schlüssel, den, wo ich auch dazu schreibe, so den benutze ich auch auf mobilen Geräten und wenn ich jetzt irgendeine E-Mail kriege, die halt mit einem anderen Schlüssel verschlüsselt ist, wie vielleicht dann auch mal, ja hier hast du einen anderen Schlüssel, wenn es jetzt nicht ganz so wild ist, kannst du den mal nehmen. Also das ist jetzt so meine persönliche Lösung für das Problem. Eine andere Lösung wäre noch mit Subkeys zu arbeiten, das haben wir jetzt aber bei Pep auch nicht wirklich noch mit drin, also dass man bestimmt das Subkeys dann eine niedrigere Sicherheitsstufe gibt und sagt, okay dieser Subkey ist jetzt auf meinem Android und wird irgendwie jeden Monat erneuert oder so. Was kann man machen, wenn man denkt, dass der Schlüssel kompromethetisch? Neuen machen, also neu installieren in dem Fall, also beim Deinstall wird glaube ich auch alles weggeworfen und neu installieren, also als Pep-User weißt du ja gar nicht, was ein Schlüssel ist sozusagen. Du installierst Pep und im Hintergrund wird der Schlüssel generiert, das kriegst du ja gar nicht mit und wenn du jetzt neuen willst, schmeißt es halt irgendwie alles einmal runter und wieder neu drauf, dann wird halt ein neuer Schlüssel generiert. Schwieriger ist es dann mit dem Broadcast des neuen Schlüssel, also da sind wir uns noch nicht so ganz einig, wie man das am besten macht, weil ja es gibt keine Key-Server mehr, wo man sich Updates holen kann, sondern der Schlüssel wird ja immer verteilt einfach mit jeder E-Mail, die ich verschicke. So und wenn du jetzt sprichst mit jemandem, der benutzt ein Schlüssel 1, dein ersten Schlüssel und dann habt ihr irgendwie wochenlang keinen Kontakt und jetzt hast du oder von mir ist auch, kann ja auch gestern gewesen sein und jetzt sagst du, okay ich habe hier einen neuen Schlüssel, warum auch immer, weil meine Geräte kompromettiert sind oder weil ich vielleicht auch, was das ich, mir ist das Haus abgebrannt und ich habe einfach jetzt neue Geräte, ich habe neuen Schlüssel und jetzt schreibe ich der gleichen Person, mit der ich Schlüssel 1 schon kommuniziert habe, dann macht das bei der Person natürlich Alarm, Achtung, Achtung, das ist nicht mehr der gleiche Schlüssel und da muss man dann halt auch einfach dazu sagen, Achtung, ne neuer Schlüssel, nimm mal den und so und dass man vielleicht auch sowas macht, wie dass man automatisiert an die Leute schickt, mit denen man hoch frequent kommuniziert zum Beispiel und alle irgendwie laufenden Gespräche, dass es da dann irgendwie eine Nachricht auch wieder nur zwischen den Clients gibt, wir machen das ja sehr stark, dass die Clients miteinander Dinge aushandeln und nicht die Menschen und dass da dann eben der Schlüssel irgendwie auch nochmal verschickt und verteilt wird. Gibt es weitere Fragen? Wie gut spielt das Ganze mit einem existierenden System zusammen, also mit einem existierenden System zusammen angenommen, man hat schon ein Schlüssel und man deinstalliert das dann, schnappt sich das Ding an den Schlüssel und verschwindet mit dem, denn zum Beispiel ich verwende auch nebenbei GPG für andere Sachen und quasi in einem diskreten Fall und ich möchte jetzt und ich habe das schon und ich will den Schlüssel damit weiter nutzen, aber wenn ich das irgendwann mal deinstalliere, weil es mir nicht gefällt, nimmt es mir den Witt, gibt es da Konfigurationsmethoden, denn das wird mir jetzt so ein bisschen... Ist eine gute Frage, habe ich mir so noch nicht überlegt, also was ich weiß ist, dass wenn du PEP installierst und du hast bereits einen GPG Schlüssel, dann erkennt ihr das und nimmt den sozusagen, wie das dann in so einem Falle von deinstallationen genau passiert, wenn das dann den genommen hat, ist eine gute Frage, werde ich auf jeden Fall mal weitergeben, weil ich kann mir vorstellen, dass sich da jemand schon Gedanken gemacht hat, vielleicht wird der PEP Schlüssel dann irgendwie, also vielleicht kannst du dann eher sowas sagen, wie okay ich will hier doch einen neuen Schlüssel generieren, jetzt nur für PEP und meinen anderen Schlüssel weiterhin für meine Code Commits oder so benutzen und das dann auch nur der wieder mitgenommen wird. Was ist mit dem Thema, wenn die Nachrichten ja noch verschlüsselt vorliegen, der Schlüssel aber weg ist, kann ich es ja nicht mehr lesen, also dauerhafte Entschlüsselung gibt es eine Option für, wird das automatisch gemacht und werden ja wann? Es gibt die Option Trusted Server, also dass man sagt, ich vertraue in meinem in dem Fall Mail Server und dass man dann auf dem Mail Server unverschlüsselt speichert, was man aber halt nicht tun sollte, wenn man jetzt ein Gmail-User ist oder so, aber dann hat man die unverschlüssel vorliegen. Hier vorne war noch eine Frage, oder? Ich habe K9 auf meinem Android, kann ich das jetzt einfach benutzen PEP oder muss ich ein anderes K9 installieren? Das ist ein K9 Fork, den wir haben, also das PEP basiert auf K9, ist jetzt aber schon relativ weit auseinander gefordert, das ist halt, also das heißt PEP für Android. Die K9 Leute wollten auch nicht, dass wir sie, also am Anfang haben wir es halt immer gemenschend, das wollten die aber auch irgendwann mal nicht mehr und mit K9 kannst du über, wie ist das APG, also die haben so verschiedene Optionen da noch was reinzustöpseln. Ich glaube, das ist jetzt inzwischen auch live, also dass man mit K9 auch Verschlüsselung noch mit dran klatschen kann, aber dann kriegst du halt nicht den Easy Mode und also ich habe jetzt auch, ich habe auch K9 benutze ich schon seit Jahrzehnten ja noch nicht, solange gibt es Android noch nicht, aber fast, ich habe es im Prinzip im Moment parallel und habe halt bestimmte Accounts dann im PEP und bestimmte Accounts noch in K9. Und wo kriege ich dir den Fork her, den K9 Fork? Auf Google Store, also einfach nach PEP suchen. Aber nicht im F2. Doch im F2 auch. Okay, musst du mal gucken. Danke. Es kann sein, dass es immer ein bisschen blöd mit dem PEP, weil wegen dem Equal To, Identical To zeichnen, also besser immer nach Pretty Easy Privacy suchen. Und ich bin mir nicht sicher, ich glaube Aftroid dauert das ja immer ein bisschen länger, bis sie die neuen Versionen haben, weil die dir selbst kompilen, was ich auch toll finde. Ich glaube, die haben gerade nicht die aktuellste Version, aber wir haben auf PEP.Software die APK zum Download verlinkt. Also kann man sich auch einfach direkt runterziehen, was natürlich immer nicht so empfehlenswert ist, weil man dann keine Updates kriegt. Aber ich glaube, es gibt auch einen Aftroid-Report von uns wiederum. Ja. Als Sie jetzt gerade das Ergebnis ne, PEP hat er einfach gefunden. Ja, okay, super. Keine weiteren Fragen, dann einen Applaus fürs zwar. Vielen Dank und vielen Dank auch fürs Zuhören.