lalelu schrieb:
Schon die irr*sin*nig Verschlüsselung, öffentlich zugänglicher Websites, hat genau welchen Nutzen?
1. „Grundrauschen“ wird erhöht, wenn selbst triviale Inhalte verschlüsselt werden, können wertvolle Daten nicht allein anhand der Tatsache, dass sie verschlüsselt werden, erkannt werden.
2. Skaleneffekte - je öfter und vielseitiger Verschlüsselungstechnologien zum Einsatz kommen, desto widerstandsfähiger werden sie, weil sich Forschung und Entwicklung für beide Seiten (Angreifer und Verteidiger) lohnt. Dass sieht man an der gefühlten Lawine an bekannt gewordenen Sicherheitsproblemen in weit verbreiteten Bibliotheken und Protokollen, zuletzt WPA2. Das Resultat: Verschlüsselung wird zuverlässiger und effizienter. Durch die schnellere Entwicklung werden neue Angriffstechniken schneller bekannt und die durchschnittliche Nützlichkeitsdauer von Angriffen reduziert. Sensible Anwendungen sind plötzlich nicht mehr über ein Jahrzehnt lang einem bestimmten Angriffen ausgesetzt, sondern nur noch wenige Jahre, weil auch die Adaptionsrate steigt. Man sehe sich nur die Entwicklung von SSL3 über TLS1 zu TLS1.2 und zukünftig TLS1.3 an. Vor POODLE dachte ich, wir werden das beschissene und mit 15 Jahren hoffnungslos veraltete Protokoll dank des Widerstands unserer *Geschäftskunden* nie mehr los. Mittlerweile gibt’s genügend Projekte, die TLS1.2 zwingend vorschreiben und nach Erscheinen von TLS1.3 (das besser TLS2 heißen sollte) wohl schnell dorthin migrieren werden.
3. Software und Administratoren beherrschen den Umgang mit Verschlüsselung besser. Vorgänge werden automatisiert (Let’s Encrypt), was Fehlerquellen reduziert und die Verbreitung weiter erhöht. Sensible Daten haben ein viel geringeres Risiko, versehentlich exponiert zu werden, einfach, weil selbst „unwichtige“ Verbindungen verschlüsselt sind.
Apropos, nur weil DU keine sensiblen Daten über einen Messenger schickst, gilt das nicht für andere. Z.B. habe ich schon selbst gesehen, dass Firmen anbieten, mit ihren Kunden über Whatsapp zu kommunizieren. Und da gehen dann sehr schnell sensible Daten wie z.B. Ausweisnummern, Kontodaten, etc. über die Leitung.
Der Nachteil? Eine etwas aufwändigere Administration, die durch die besseren Werkzeuge und einhergehende Automatisierung immer vernachlässigbarer wird (siehe 3.) und eine irrelevante Mehrbelastung der Server (<1%), die durch Protokolloptimierungen (siehe 2.) noch weiter minimiert wird.
Kurzum: Es gibt gute Gründe, Verschlüsselung immer und überall einzusetzen und keinen (guten) Grund, das *nicht* zu tun.
