Internet-Dienste, die Anonymität und Verschlüsselung anbieten, sollen als erste eine Chatkontrolle durchführen. Das geht aus Dokumenten der belgischen Ratspräsidentschaft hervor, die wir veröffentlichen. Bürgerrechtsorganisationen aus ganz Europa fordern die Ablehnung des Vorschlags.
Du liegst nicht falsch, das ist einfach komplett unmöglich und extrem dumm. Dann lasst uns doch gleich einfach auch TLS rauswerfen und einfach wieder alles unverschlüsselt rumsenden - beim Fax klappt es ja auch seit 40 Jahren.
edit: SSL zu TLS korrigiert
TLS, wie es hauptsächlich praktiziert wird, ist eh nur Sicherheitstheater. Musst Dir nur mal anschauen, welchen Zertifizierern Dein Betriebssystem und Dein Browser standardmäßig so vertraut.
Naja es gibt ja schon einen Unterschied zwischen der Verschlüsselung und der Authentifizierung bei TLS.
Die Zertifikate sind für die Prüfung der Authentizität notwendig (also dass der Server tatsächlich der ist, der er behauptet zu sein) und da kann man durchaus berechtigt diskutieren, dass nicht alle Organisationen, die solche Zertifikate ausstellen, auch vertrauenswürdig sind.
Die Verschlüsselung, um die es hier geht, ist aber trotzdem eine gute Sache und hat nichts mit Sicherheitstheater zu tun. Die sorgt nämlich dafür, dass niemand mitlesen kann, was zwischen dir und dem Server am anderen Ende hin und her geschickt wird. Ist zwar nur begrenzt sinnvoll, wenn man besagtem Server ohne o.g. Authentifizierung nicht immer trauen kann, aber das tut der Nützlichkeit der Verschlüsselung selbst keinen Abbruch.
Also das sehe ich schon sehr anders, allein, wenn ich an SSH denke. Und ungesichertes HTTP möchte ich - Zertifikatsstelle hin oder her - ganz sicher nicht. Es liegt doch am Nutzer selbst, man kann in den meisten Browsern und Systemen auch die CAs entfernen, die man selbst nicht will.
SSH macht es halt richtig, aber SSH ist keine wirkliche Mainstream-Anwendung.
Der durchschnittliche Nutzer ist bestenfalls gerade mal in der Lage, sein Gerät ohne fremde Hilfe einzuschalten. Irgendwelche CAs zu beurteilen und zu entfernen dürfte deren Fähigkeiten leicht übersteigen.
Das ist korrekt, aber dann zeichnest du für meinen Geschmack das Problem am falschen Ort. TLS kann ja nichts dafür, wenn CAs zu freizügig vertraut wird.
Davon abgesehen, das würde mich wirklich interessieren: welche fragwürdigen CAs meinst du denn, denen vertraut wird?
Alle staatlichen zum Beispiel.
Welche sind das? Will dich nicht mit der Frage hinters Licht führen, aber ich brauche mal nen Anhaltspunkt, damit ich mir das gleich mal ansehen kann anstatt zu arbeiten.
update: also bund.de nutzt z.B. D-Trust, was der Bundesdruckerei gehört. Das halte ich schon für vertrauenswürdig. Ich dachte jetzt eigentlich eher, dass du zwielichtige Privatunternehmen meinst.