Die wichtigste Möglichkeit hast Du gar nicht genannt, das grundsätzliche "Mithören" direkt beim Provider… Der GCHQ etwa hat die Belgacom "gekapert" sprich Schnüffelsoftware in einem aufwändigen mehrstufigen Verfahren, ohne Zutun und Wissen der Belgacom installiert (dazu wurden mehrere Mitarbeiter elektronisch kompromitiert). Die Belgier wurden erst aufmerksam, als sie eine englische Spezialistentruppe ihre Server durchforsten ließ (sie mussten also einen Verdacht haben…), die dann auch verdächtige Software fand. Die Server selbst durften sie nicht direkt untersuchen, dass gestattete der Hersteller nicht. Cisco / USA, Hersteller, Lieferant und "Installateur" wollte der Sache selbst auf den Grund gehen, sehr wahrscheinlich sind sogar die Server mit einer weiteren Backdoor versehen - diese Server sind versiegelt.
Was soll das Ganze? Hält man sich vor Augen, das die Server der Belgacom zu den großen global playern im Datenverkehr und hier im speziellen im europäischen Datenverkehr gehören wird das Ziel deutlich: der innereuropäische Datenverkehr läuft eben nicht innerhalb der Landesgrenzen ab sondern in über 80% der Fälle durch verschiedene Europäische Server… Damit kommt man an nahezu alle "Rohdaten" (GCHQ gibt selbst an, dass sie in der Lage sind etwa 100 000 Verschlüsselungen parallel in Echtzeit dekodieren zu können, allerdings nicht alle Verschlüsselungstypen).
Die Frage lautet: Wie wichtig sind deine Daten? (die Entschlüsselung kostet schließlich Geld…) Wer ist daran interessiert? (gegen die Staatsschnüffler gibt es nicht viele Möglichkeiten, weil man auf die Wege der Übertragung nahezu keinen Einfluss hat) Mit wem kommunizierst Du via VPN? (Auch die Empfänger fließen als Faktoren in die Bedeutung ein)
Fakt ist, wenn die "Sucher" hartnäckig genug sind, kommen sie fast immer zum Ziel, private Schnüffler haben es aber deutlich schwerer (Keine Hoheitsrechte, keine Schweigeverpflichtungen, keine offiziellen Methoden der Untersuchung). Fakt ist auch, das insbesondere einige Open-Source-Verschlüsselungen auch den allerbestens ausgerüsteten Geheimdiensten enorme Probleme bereiten, bzw. sie können sie gar nicht entschlüsseln (Zeitfaktor liegt auch im günstigsten Fall und Glück, bei über 16 Jahren). Ein weiterer Fakt ist natürlich, dass verschlüsselte Übermittlungen besonderes Interesse wecken, der GCHQ hat intern Mitarbeiter umbesetzt, die den "ganzen privaten Porno-Schmuddelkram einer 8 Stundenschicht" nicht mehr ertrugen
(Anhörung im englischen Unterhaus, aus den öffentlichen Teilen!).
Fazit: gegen private Schnüffler kann man sich recht gut absichern, gegen Organisationen die die Netze selbst kontrollieren (Infrastruktur, Provider, aber auch die großen Hersteller), ist es schwierig. Inhalte lassen sich mittels der richtigen Verschlüsselung sehr stark verbergen - die Kontaktdaten, Wege, Zeiten, Häufigkeit etc. allerdings nicht. Es wird zum Beispiel aus bestimmten Mustern des Versteckens, ein Szenario entwickelt, welches das besondere Interesse an bestimmten Übermittlungen erhöht. (Auch Botschaften bestimmter Staaten, internationale Konzerne etc. arbeiten über "ganz normale Leitungen" - dazu zählt auch die Satellitenkommunikation!)
Zur Verschlüsselung selbst noch: Da MUSS man sich ein wenig einarbeiten, es gibt kein Patentrezept, das hängt von verschiedenen Faktoren ab (Übermittlungstechnik, Empfänger, Standorte!, Providern etc.).