GPG Verschlsselung -
Sicheres emailen
OPEN PGP
CC BY-SA 4.0:Kilian Brogli
GNU / GPG Mail = sichere verschlsslung Ihrer email
kommunikation
Rechte und Freiheiten, die in anderen Kommunikationsformen lngst selbstverstndlich sind, mssen wir uns in den neuen Technologien erst sichern
Eine normale E-Mail ist immer offen wie eine Postkarte, und der elektronische Brieftrger - und andere - knnen sie immer lesen. Die Computertechnik bietet nicht nur die Mglichkeiten, die vielen Millionen E-Mails tglich zu befrdern und zu verteilen, sondern auch, sie zu kontrollieren.
Bsp.:Skype
Windows Live Messenger
XMPP = Extensible Messaging and Presence Protocoll (frher: Jabber; wird auch als Grundlage fr WhatsApp, Google Talk und iMessage genutzt)
Agenda
Installation von Thunderbird
Installation von Gpg4win
Installation Enigmail
Basis-Einstellungen mit dem Assistenten
Schlsselerzeugung
Der Widerruf und eigene Schlssel hochladen
Eine Email versenden
WhatsApp am schnellsten wachsender Internet-Dienst der Geschichte2009: WhatsApp Inc. KalifornienSMS-Ablsung
Instalation von Thunderbird
Als E-Mail Client (Programm) verwenden wir Thunderbird-Mail, den wir auf dessen deutscher Homepage herunterladen und Installieren, falls noch nicht geschehen. (sonst einfach die heruntergeladene Datei vom Memory Stick ausfhren.)
Das Einrichten eines E-Mail-Kontos wird im Folgenden ebenfalls als bereits vollendet vorausgesetzt.
WhatsApp war nie fr Datenschutz und sichere Kommunikation bekannt:Lange Zeit Verschlsselung mit unsicherem RC4
Angebotene Backup-Optionen speicherten Daten im Klartext
Andere Android-Apps konnten und knnen WhatsApp-Nachrichten komplett auslesen. http://bas.bosschert.nl/steal-whatsapp-database/#comment-83
Sicherheitsberater / Sysadmin / Unternehmer Bas Bosschert: Facebook htte WhatsApp gar nicht kaufen mssen, um an die Chats der Nutzer zu kommen. (Eingangszitat)
Installation von Gpg4win
Gpg4win beinhaltet die GnuPG (GPG) Kryptokomponenten. Diese erzeugen und verwalten Schlssel und ver- und entschlsseln Emails und Dateien. Im Prinzip kann man die Installation durchklicken, optional kann man jedoch die Outlook Erweiterung abwhlen.
WhatsApp war nie fr Datenschutz und sichere Kommunikation bekannt:Lange Zeit Verschlsselung mit unsicherem RC4
Angebotene Backup-Optionen speicherten Daten im Klartext
Andere Android-Apps konnten und knnen WhatsApp-Nachrichten komplett auslesen. http://bas.bosschert.nl/steal-whatsapp-database/#comment-83
Sicherheitsberater / Sysadmin / Unternehmer Bas Bosschert: Facebook htte WhatsApp gar nicht kaufen mssen, um an die Chats der Nutzer zu kommen. (Eingangszitat)
Installation Enigmail
Um Enigmail als Plugin fr Thunderbird installieren zu knnen, muss Thunderbird gestartet werden
Im Thunderbird Men whlt man Add-on aus um Enigmail suchen und finden zu knnen.
Was heit berhaupt sicher?
Dass die Nachricht, die ich versende, nur denjenigen erreicht, fr den sie gedacht ist.
Dass niemand mit meiner Identitt Nachrichten versendet.
Dass die Nachrichten auch von der Person stammen, von der sie kommen scheinen (Authentifizierung).
Installation Enigmail
Im Suchfeld enigmail eingeben, suchen und installieren
Security-Audit: Anerkannte Experten berprfen Quellcode mit Verschwiegenheitsvereinbarung. Birgt Restrisiko.
Exernes IT-Sicherheitsaudit muss fr jede neue Version neu durchgefhrt werden Verzgerung! Wirtschaftlichkeit?
Wer prft? TV Sd, ADAC oder Bruce Schneier? :)
Grenzen Open Source: Befrchtung, dass bei Verffentlichung des Quellcodes Drittanbieter den Messenger kostenlos anbieten und so die Finanzierung des Dienstes nicht mehr gewhrleistet ist.
Installation Enigmail
Thunderbird muss nun neu gestartet werden.
Thunderbird hat nach dem Neustart enigmail als Plugin und startet automatisch den Assistenten zur Schlsselerstellung.
Einrichten
Basis-Einstellungen mit dem Assistenten
Wir gehen davon aus, dass Sie noch keine PGP-Schlssel haben um Emails verschlsseln zu knnen. Daher benutzen wir den OpenPGP Assistenten um ein paar Optionen setzen zu lassen und ein Schlsselpaar zu erstellen. Der Assistent sollte automatisch starten.
Authentifizierung:Erkennung von Man-in-the-Middle-Attacken
Abstreitbarkeit:
Im Augenblick des Nachrichtenempfangs ist jedoch die Authentifizierung gewhrleistet.
Einrichten
Unterschreibt man alle Mails, erkennen Empfnger schneller, dass man auch verschlsselte Emails empfangen kann. Auerdem kann der Empfnger sich den passenden public key vom Keyserver laden (Enigmail kann das auch automatisch).
PFS = Folgenlosigkeit
OTR ( Off-the-Record) bietet Authentifizierung, Abstreitbarkeit und PFS
Achtung: Voraussetzung ist immer ein sicheres Endgert!
Einrichten
Die allermeisten Empfnger werden (leider noch) keine Email-Verschlsslung mit PGP benutzen, daher sollten Emails nur dann automatisch verschlsselt werden, wenn man einen Schlssel fr den Empfnger hat. Genau dies wird im folgenden Dialog eingestellt.
1 PlattformenAndroid und iOS hatten 2013 zusammen 94% Marktanteil
3.+4.: Gruppenchats + asynchrone KommunikationUnterscheidung verschlsselt (wie?) und unverschlsselt
Einrichten
Dringend sollte im Folgenden die automatische Anpassung der Optionen gestattet werden, damit knnen viele Fehler vermieden werden.
5. bertragung TelefonbuchOptional = gut und praktisch = grn
Automatisch = schlecht = rot
6. Leichte BedienbarkeitIntuitiv
So leicht wie WhatsApp (schlielich wird Alternative hierzu gesucht ;))
Verschlsselung soll keinen zustzlichen Aufwand machen
Kein Risiko, doch unverschlsselt zu kommunizieren
Benutzeroberflche auf deutsch
Verstndliche Infoseite mit FAQ etc. auf Deutsch verfgbar
Keine Verbindungsabbrche, verzgerte Nachrichtenbermittlung,...
Authentifizierung praktikabel mit klarer Anzeige der sicheren Kontakte und verschlsselten Nachrichten
Schlsselerzeugung
Nun soll endlich ein Schlsselpaar erzeugt werden. Ein Paar? Ja, denn bei der assymetrischen Kryptografie gibt es einen ffentlichen Schlssel den jeder kennen darf und einen privaten Schlssel. Letzteren sollte der Besitzer gut schtzen. In der Regel wird dieser durch eine Passphrase also einen Passwort-Satz geschtzt. Letztlich hilft ein guter Schlssel nur, wenn dieser durch ein gutes Passwort geschtzt wird. Um dies zu verdeutlichen, heit dass Passwort hier auch Passphrase und sollte lang (> 20 Zeiten) und komplex sein, sprich Sonderzeichen, Gro- und Kleinschreibung und Zahlen enthalten.
Schlsselerzeugung
Allgemein:Produkt der Firma Kasper Systems GmbH aus der Schweiz
Server in der Schweiz
Zu 1:Universitt Amsterdam hat 12 / 2013 Threema einer grundlegenden Sicherheitsanalyse unterzogen. Dafr wurde der Binrcode dekompiliert, die Datenverwaltung analysiert, sowie die Kommunikation per Man-In-The-Middle attackiert. Dabei kamen keine Lcken zum Vorschein, die Autoren der Studie halten Threema daher fr gut umgesetzt und sicher.
Zu 3:ffentlicher Schlssel kann per QR-Code persnlich ausgetauscht / berprft werden. Anhand Ampelsystem ist erkennbar, wie vertrauenswrdig ein Kontakt ist. Bedienbarkeit
Schlsselerzeugung
Zu 6:Sehr verstndliche Website des Herstellers mit umfangreichem FAQ.
Intuitive Bedienung.
Schlsselerzeugung
Zu 2:Experten halten Verschlsselung bereinstimmend fr schlecht
Everyone that I respect hates it Joshua Lund, Entwickler
Sonstiges:Telegram-Grnder Nikolai und Pawel Durow haben zuvor das grte soziale Netzwerk Russlands vk.com aufgebaut.
Reagieren auf sachliche Nachfragen gerne etwas bockig und aggressiv. ;(
Schlsselerzeugung
Zu 6:+: Sehr groe hnlichkeit zu WhatsApp.
-: Nur auf Englisch verfgbar.
-: Verschlsselte Kommunikation muss erst ber die Funktion Secret-Chats eingestellt werden, erfolgt nicht automatisch. Nachrichten werden im Quelltext auf dem Server gespeichert.
Widerruf
Falls man seinen Schlssel auf einen Keyserver hochldt oder sonstwie verteilt, ist es sinnvoll, ein Widerrufszertifikat zu erzeugen. Damit wrde ein auf einen Keyserver geladener Public Key ungltig gemacht werden und andere knnten damit keine Emails mehr versenden.Der Widerruf ist sinnvoll, wenn man davon ausgehen muss, dass der eigenen Secret Key (und ggf die Passphrase) Dritten bekannt geworden ist. Dieser Dritte kann dann nmlich alle verschlsselten Emails mitlesen.
Zu 1:Keine Infos darber gefunden, ob schon komplette berprfung durchgefhrt wurde.
Widerrufs zertifikat erstellen
Zu 6:Schlechte bersetzung.
Es werden immer nur die 1000 neuesten Nachrichten gespeichert. Keine Backup-Mglichkeit.
Nicht sehr intuitiv.
Kein unabhngiges Abgleichen der ffentlichen Schlssel mglich (wie z.B. bei Threema)
Widerrufs Zertifikat
Passphrase-Abfrage
Widderrufszertifikat Abschliessen
Fertig und mit OK besttigen. An einem sicheren Ort speichern.
Wir empfehlen, diese auf dem Stick mit TryCrypt abzuspeichern
Zu1:Auch Clients fr PC verfgbar.
Zu 6: Keine eigene Infrastruktur, nutzt XMPP-Server anderer Chat-Dienste. Dadurch hufige Unterbrechungen wegen XMPP-Nutzung insbesondere bei iOS.
Verschlsselung muss optional zugeschaltet werden, funktioniert nicht immer zuverlssig.
Nur auf Englisch verfgbar.
Letzte Einstellung
Sinnvoll ist die folgende Einstellung im OpenPGP. Gehe dazu in Thunderbird im Men auf OpenPGP, Einstellungen
Zudem kann auch ein separater Pfad auf den Memory Stick eingerichtet werden
Absolute Sicherheit: die Mails im offline Modus schreiben und verschlsseln, dann online gehen und versenden
Produkt von OpenWhisperSystems, welche mit RedPhone auch eine End-to-End-verschlsselte Telefonapp anbietet. Geplant: Verschmelzung von TextSecure und RedPhone zu einer App = Whisper)
Verschlsselung nutzt als Unterbau TextSecureV2, den OTR-Abkmmling des renommierten Sicherheits- und Crypto-Experten Moxi Marlinspike.
Protokolle sind gut dokumentiert und vielseitig analysiert worden bislang keine Sicherheitsdefizite entdeckt.
Prdikat: Von Edward Snowden empfohlen (via Videokonferenz auf Technologie-Festival South by Southwest (SXSW) im texanischen Austin Mrz 2014)
Letzte Einstellungen
Die Einrichtung des automatischen Schlssel-Downloads zur Signaturberprfung erleichtert die Schlsselhandhabung. Dadurch kann Thunderbird beim Erhalt einer signierten Nachricht den Public Key vom Keyserver besorgen, insofern dieser hochgeladen wurde.
Zu 6.Intuitiv
Grne Sprechblasen = SMS-basierte Kommunikation, blaue Sprechblasen = Kommunikation ber einen Datenkanal
Authentifizierung ber QR-Code mglich (vgl. Threema), jedoch keine Anzeige, welche Kontakte als sicher eingestuft werden
Zu 7: Beteiligte Programmierer untersttzen das Projekt in ihrer Freizeit
Open Technology Fund (Stiftung, welche Projekte gegen Menschenrechtsverletzungen untersttzt, hat 450.000 US$ gespendet.
Eigenen Schlssel hochladen
Da wir nun einen Schlssel haben, sollten wir ihn bekannt machen.Dazu whlt man im OpenPGP Men:Schlssel verwalten,
Aktiviert Standardmig alle Schlssel anzeigen,
whlt den eigenen Schlssel aus
Rechtsklick
Auf Schlssel-Server hochladen
Weiter, fertigHinweis: Die Kommunikation mit Schlsselservern funktioniert in der Regel nicht hinter Firmen-Firewalls.
Eine Email versenden
Nun ist es fast geschafft, endlich versenden wir die erste Email verschlsselt. Ich schlage vor, an mich. Schreiben der Email. Unten rechts beim Verfassen den Schlssel und den Stift aktivieren (gelb)!
Email verschlsselt versenden
Die Qual der Wahl. Tipp: der zuletzt erstellte Schlssel ist eine gute Wahl.
Da der Empfnger-schlssel noch nicht bekannt ist, muss man ihn vom Keyserver herunterladen
Dieser kann auch vorgngig im Menu OpenPGP/Schlssel verwalten/Key suchen gefunden werden
Email verschlsselt versenden
Email verschlsselt versenden
Schlssel erfolgreich importiert
Email verschlsselt versenden
Nun noch einmal die Auswahl besttigen und die erste verschlsselte Email wird versendet.
Die Rand-/Metadaten (Sender/Empfnger sowie Betreff Zeile) sind unverschlsselt
Klicken Sie, um das Format des Titeltextes zu bearbeiten