Kryptographie?

Summary: #Kryptographie verdient den Namen erst dann, wenn alle ihre Nutzer den Vorgang informiert kontrollieren. Meine Bankkarte bietet zwar formal, technologisch Verschlüsselung, aber eben nur formal. #Cryptography deserves its name only when all their informed users control the process. My bank card offers formal, technological encryption, but just: formal.

Cryptography?: English version see below this German text. N.B.: I know the tags with umlauts are broken. I can't help, it's most likely a matter of the software an blog hoster being out-versioned.


Wenn Nicht-Nerds die Grundzüge der asymmetrischen #Verschlüsselung begriffen, ihr erstes Schlüsselpaar mit freier, quelloffener, auditierter Software erzeugt und ihre erste verschlüsselte, signierte Mail erzeugt haben, dann lernen sie nicht nur, Programmfunktionen zu nutzen. Sie lernen auch, ohne Worte, dass ihnen von interessierter Seite völlig realitätsfern Angst vor der angeblich so komplexen nicht-kommerziellen IT-Welt gemacht wurde, und, wie wichtig #Transparenz für das erhabene Gefühl der eigenen #Wirkmächtigkeit ist.

Gespürte #Autonomie ist psychologisches Grundbedürfnis.

Wie anders dagegen läuft es mit den Signatur-, Krypto- und Ausweiskarten, die wir von Ämtern, Krankenversicherungen, Banken u.a. Unternehmen bekommen. Die Dokumentation sagt: Wir machen alles für dich. Manche behaupten, meinen privaten Schlüssel nicht zu speichern. Überprüfen kann ich das nicht. Zum Vergleich: Bei #cacert.org kann ich meinen Zertifikatsantrag zur Unterschrift (#CSR) nebst neuem Schlüssel lokal erzeugen und speichern, nur mein CSR geht an den Server, ich erhalte meine Unterschrift drunter, füge das Paar lokal zusammen, und habe so von vorn bis hinten die volle Kontrolle über Vorgang und privaten #Key.

Ich behaupte: #Kryptographie verdient den Namen erst dann, wenn alle ihre Nutzer den Vorgang informiert kontrollieren. Meine Bankkarte bietet zwar formal, technologisch Verschlüsselung, aber eben nur formal. Theoretisch können beliebig viele Bank-Mitarbeiter.innen meine Identität annehmen und Aufträge ans System signieren, weil ich nicht kontrollieren kann, ob mein Schlüssel nicht außer auf meiner Karte in der Bank in einer Datenbank schlummert.

Ich behaupte noch weiter: Wir spüren alle, dass wir diesem ausgehöhlten Datenschutz ausgeliefert und zum Vertrauen in Unternehmen und Behörden gezwungen sind, die nicht im wünschenswerten Maß gesellschaftlich kontrolliert werden. Wir spüren das, auch, wenn wir das nicht in Worte fassen können. Wir hätten weniger Rechte, Rechtsoffene und Faschisten und weniger Sozialdarwinisten und Verschwörungsfantasten, wenn wir in allen Lebensbereichen mehr echte Autonomie erlebten.

Ich freue mich über Diskussion im Fediverse / Mastodon: @mupan@digitalcourage.social

Wer Fragen zur Kryptographie aus Usersicht, auch zu cacert.org hat: wiki.cacert.org ist ein guter Anlaufpunkt, viele Fragen kann ich vielleicht auch beantworten. Ich bin cacert-Assurer. Meine hier vertretene Meinung ist meine private Meinung.


Cryptography?

When non-nerds understand the basic concepts of asymmetrical #encryption, create their first pair of encryption certificates using free, #opensource, audited software, and send their first encrypted, signed mail, they have not just learned to use a program function. They learn more, without being verbally taught: That their #fear of non-commercial IT supposedly being too complex has just been learned and fired by people wanting them to be feared. And, how important #transparency is to make their act feel like a proof of their own power to control their own data. Power, such a noble and important feeling.

A sense of #autonomy psychologically is a basic need.

A completely different experience is handling of signature, crypto and ID cards we get to use more or less deliberately from authorities, health insurance associations, banks, and other companies. Their documentation states to do everything for me. Some assert they don't store my private key. I cannot verify. For the reader to compare: At #cacert.org, you can create and store your certificate signing request (#CSR) together with your private key locally, only transfer the CSR to the server, the certificate gets signed, I match the pair locally. So, I thoroughly control the whole procedure and my private #key from start til end.

I say: cryptography deserves its name only when all their informed users control the process. My bank card offers formal, technological encryption, but just: formal. In theory, several bank staff can use my identity and sign orders to the system because I can't control whether my key doesn't sleep in the bank in a database, as a backup for my bank card.

I say even more: we all sense that we are committed to this hollowed protection and are forced to trust in companies and authorities that are not controlled by the democratic society in the desirable extent. We feel that, even if we can't express it verbally. We would have fewer right-wing people, fewer people tolerating right-wing positions, and fewer fascists, and fewer social-darwinists and conspiracy fantasts if we were to experience more real autonomy in all areas of life.

I am looking forward to discussing in Fediverse / Mastodon: @mupan@digitalcourage.social

If you have questions about cryptography as a user, also about cacert.org: wiki.cacert.org is a good starting point, I might also be capable of answering some of your questions. I am a cacert assurer. My opinion I plead here for is my private opinion.

Please bear with any idiomatic mistakes, English is not my first language. Respectfully correcting me is always welcome.