Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

July 24 2013

US-Strafverfolgungsbehörden fordern Master-Keys für SSL von Unternehmen

SSL ist eine beliebte Verschlüsselungstechnik im Internet, wenn es darum geht verschlüsselte Verbindungen aufzubauen. Einsatz findet SSL deshalb zum Beispiel im Online-Banking aber auch beim Versand von E-Mails. Bisher galt die Verschlüsselung mittels SSL als sicher. Möglichweise ist damit ab sofort Schluss. Wie CNET berichtet, setzen amerikanische Strafverfolgungsbehörden wie die NSA, CIA oder das FBI Unternehmen unter Druck, ihnen die Master-Keys für die SSL-Verschlüsselungen ihrer Verbindungen auszuhändigen. Mit diesem Master-Keys hätten die Behörden die Möglichkeit den kompletten Datenverkehr zu entsprechenden Diensten und Webseiten der Unternehmen zu entschlüsseln.

Solch ein Master-Key kann mit einem Generalschlüssel verglichen werden. Jeder Anbieter eines Dienstes im Internet besitzt solch einen Schlüssel, mit dem jegliche Kommunikation zu seinen Diensten gesichert wird. Gerät dieser Schlüssel in falsche Hände, ist demnach die gesamte Kommunikation gefährdet. Die großen Internetkonzerne hätten die Herausgabe ihrer Schlüssel bisher mit der Begründung fehlender rechtlicher Grundlagen verweigert, doch eine Person die angeblich von der Regierung nach einem SSL Master-Key gefragt wurde, sagt gegenüber CNET, dass es die Regierung auf kleinere Unternehmen abgesehen hätte, die nicht die Kraft hätten sich zu wehren:

“The government is definitely demanding SSL keys from providers” [...]. The person said that large Internet companies have resisted the requests on the grounds that they go beyond what the law permits, but voiced concern that smaller companies without well-staffed legal departments might be less willing to put up a fight. “I believe the government is beating up on the little guys,” the person said. “The government’s view is that anything we can think of, we can compel you to do.”


Ein ehemaliger Mitarbeiter des amerikanischen Justizministeriums sagte, dass dieser Schritt notwendig sei, da immer mehr Kommunikation im Internet über verschlüsselte Verbindungen ablaufe:

“The requests are coming because the Internet is very rapidly changing to an encrypted model,” a former Justice Department official said. “SSL has really impacted the capability of U.S. law enforcement. They’re now going to the ultimate application layer provider.”

Ein Mitarbeiter des FBI wollte sich zu diesen Vorwürfen nicht äußern, da das FBI keine genauen “Strategien, Techniken und Anwendungen seiner Arbeit” nennen könne.

Die großen amerikanischen Internetkonzerne Google und Microsoft sagten auf Anfrage von CNET, dass sie keine Master-Keys an Strafverfolgungsbehörden weitergereicht hätten. Sie wollten jedoch nicht beantworten, ob es jemals Anfragen von Seiten der Behörden gab. Anderer Unternehmen, darunter Facebook, Apple, Yahoo, AOL, Verizon und AT&T wollten sich überhaupt nicht äußern. Ob bisher andere Unternehmen tatsächlich ihre Master-Keys für die SSL-Verschlüsselung an Strafverfolgungsbehörden ausgehändigt haben kann nicht mit Sicherheit gesagt werden. Doch alleine, die Anfrage amerikanischer Unternehmen lässt nichts Gutes vermuten.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Verschlüsselung: Lücken bei der Übertragung von E-Mails

Beim Versenden einer E-Mail sollte man darauf achten, dass der Versand über eine verschlüsselte Verbindung erfolgt. Insbesondere in einem offenen WLAN hat sonst jeder weitere Nutzer des WLANs die Möglichkeit, den Inhalt der Nachricht zu lesen. Um das zu verhindern, sollte man die verschlüsselten Protokolle TLS oder SSL nutzen, um die E-Mail an den Server des Providers zu schicken. Wie Michael Kliewe nun aber herausgefunden hat und auf Golem berichtet, wird die Nachricht unter Umständen im weiteren Verlauf seines Weges dennoch unverschlüsselt zwischen den Servern der E-Mailprovider gesendet.

Beim Einsatz von TLS oder SSL wird die gesamte Verbindung, also die gesamte E-Mail, verschlüsselt an den Server des Mailanbieters geschickt. Die Verschlüsselung wird dort aufgehoben und die Nachricht wird per SMTP an den Zielserver weiter geschickt. Wie Michael Kliewe nun in einem Test heraus fand, verzichten allerdings eine Reihe von E-Mailanbieter auf eine Verschlüsselung der Verbindung untereinander.

Denn nur wenn beide beteiligten Mailserver TLS unterstützen und dies mittels StartTLS beim Verbindungsaufbau signalisieren, wird auf eine verschlüsselte Verbindung umgeschwenkt. Andernfalls werden E-Mails ohne TLS von einem Mailserver zum anderen weitergereicht.


Bei einem Test von 15, sowohl internationalen wie deutschen, E-Mailanbietern war bei rund der Hälfte keine verschlüsselte Verbindung untereinander möglich.

verschluesselung_mail

Die Untersuchung der Anbieter fand mit dem Online-Tool Check-TLS vorgenommen. Das Tool steht jedermann offen, sodass auch noch weitere Anbieter einer Untersuchung unterzogen werden können. Das Ergebnis zeigt, dass ein Großteil der E-Mailanbieter keine Verschlüsselung der Verbindung per TLS unterstützt. Das Problem daran ist, dass Verbindungen nur verschlüsselt werden können, wenn beide Teilnehmer TLS unterstützen. Wer also von einem Anbieter mit möglicher Verschlüsselung wie Freenet eine Nachricht einen Anbieter ohne Verschlüsselung sendet, kann davon ausgehen, dass seine Mail zwischen den Anbietern unverschlüsselt übertragen wird. Kliewe sagt treffend, dass dieses Problem zwar schon länger bekannt sei, im Zuge der weltweiten Abhöraktionen des Internetverkehrs aber eine neue Betrachtung verdiene.

Egal ob ein Server nun TLS unterstützt oder nicht, es wird nur die Verbindung verschlüsselt, nicht die Nachricht an sich. In jedem Fall wird diese Verbindung auf dem Server entschlüsselt und der Inhalt der E-Mail wird lesbar. Um sicherzustellen, dass wirklich nur der Empfänger den Inhalt der Nachricht lesen kann, muss die Nachricht mit einer Ende-zu-Ende-Verschlüsselung wie PGP gesichert werden. In diesem Fall ist der Inhalt einer E-Mail auch dann nicht lesbar, wenn die Verbindung, auf der die Nachricht übertragen wird, unverschlüsselt ist. Das Nutzen unverschlüsselter Verbindung ist dennoch nicht ratsam.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 16 2013

Jung & Naiv – Folge 72: The Architecture of Big Brother – Jacob Appelbaum

Nachdem mir Jacob Appelbaum in Folge 71 erklärt hat, warum der Überwachungsstaat dann doch keine so tolle Idee ist, wollte ich nun mehr von ihm wissen:

Was hat ein gewisser Edward Snowden da nun eigentlich ans Licht gebracht? Muss ich ihm dankbar sein, dass ich unseren Regierungen nun noch weniger trauen kann? Wie sieht die Architektur hinter “Big Brother” aus? Warum ist es wichtig, sowas zu wissen? Wieso vergleichen sehr viele die heutige Zeit mit der Stasi? Und sollten wir unsere Politiker nicht verstehen, wenn sie bei diesen Problemen einfach nix machen können?

Ich habe mich für diese offenen, naiven Fragen mit Jacob Appelbaum erneut eine halbe Stunde hingesetzt. Jacob ist Kryptographie-Experte und hat letztens gerade einen gewissen Edward Snowden interviewt. Er schien also Ahnung zu haben.

Kernaussagen von Jacob:

“The Foreign Intelligence Surveillance Court actually redefined the word ‘relevant’, such, that it does not mean anything that is a common understanding of the word relevant.”

“When someone says, ‘it’s not like the Stasi’, but then they basically support drone operations that killed women and children, innocent people, people who don’t even have a trial, who are killed because of a data trail [..] And when they shoot them twice, so-called ‘double-tap’, that’s a war crime. And the surveillance data ties into those actions. There is a direct connection between them, because the surveillance data is used for targeting, and targeting is the first step in identification for murder, which is a war crime in this case, especially with double-tapped drone
strikes. It’s especially a war crime when it’s women and children, who are completely innocent in a sovereign nation, being killed by another sovereign nation.”

“The things that we have questions about are not, whether or not it’s happening – that’s undeniable. Now the question is, how is it legal, lawful and proportionate to spy on Germany. Germany is the most spyed-upon nation in Europe.”

“When your [Interior] Minister just was in the U.S., I guess most of the oppositional parties were not very pleased with what he said, which was effectively nothing [...] The point is, that if he did say something, it would be relevant, because it is not the German government that decides about the people’s data, it is the American government who decides, because they have the data, and they do whatever they want with it.”

“As a person with last name of Appelbaum, in Germany I’m very sensitive to this notion that I want to choose when someone learns about my background, and about my history. And I am robbed of that choice when these systems record everything about me, all of my associations, and someone else gets to ask the database and not me about my history.”

“There exists a concept that’s called ‘The data doubleganger’, and this is essentially the data shadow you leave behind. And the thing is, at some point it becomes more you than you. Someone looks at you and they say – oh you’re very radical politically. But, you’re not. You just happen to read very broadly across many different spectrums.”

“When it is [done in] secret, then it is not consensual, because we cannot have a democracy without a well-informed people. Therefore it is clear, that when it is secret, it is not as consensual as it would be, would it be done in the open.”

“So, part of what Snowden has revealed to us, is exactly that huge problem that there is a disconnect between what we believe is happening, and what is possible, and what is actually taking place, and why its is taking place, and who is doing it.”

“What Snowden has shown us, Manning has shown us as well. Manning has shown us the data that has been set, while Snowden has shown us the architecture. The result has always been open for us to see, and so, now the important part is that we have the information to change these things.”

“Fundamentally, we can make it so that dragnet surveillance is worthless by using strong cryptography and mathematics. We can change the political ramifications, so that we can say ‘no’ to torture, we can say ‘no’ to targeted assassinations, we can say ‘no’ to drone strikes, we can say ‘no’ to ‘Zersetzung’-like techniques, infiltration, secret police, intelligence agencies that are massively overfunded.”

“Instead of playing the spying game, like everyone seems to be doing, we should actually secure our communications. This is a radical concept.”

“So, when you hear about things like CISPA, SOPA, PIPA and ACTA – what you hear is people trying to expand authoritarian control, where they can watch, where they can monitor, where they can interfere.”

“But if we want to actually secure the internet, we should make it, so that when you make a phone call, no one can monitor it without you detecting it, and when you detect it, you should have a trail that allows you to understand, who has ordered this, where has it occurred, and what the consequences are. This ensures a kind of accountability.”

“It would be preposterous to hear German politicians saying, there is nothing to be done about atomic weapons, or landmines, or cluster bombs. That’s ridiculous. Adults are talking.”

“When politicians say there’s no solution, we have to push back, and say: ‘No, no – let’s actually secure our communications, let’s secure our communications metadata, let’s make sure that if you want to wiretap a terrorist, you use exceptional means through a judicial process. Not, for example, everyone being kept insecure so that anybody can do this.”

“I think Germany should not tolerate, in an election cycle, this kind of dialogue. It’s a preposterous thing to say, there’s nothing to be done. And in fact, Germany knows exactly what is to be done. It’s election time, right? So, when people say, they don’t want to talk about these things, kick them out.”

“And when someone says, ‘it’s not like the Stasi’, but then they basically support drone operations that killed women and children, innocent people, people who don’t even have a trial, who are killed because of a data trail [..] And when they shoot them twice, so-called ‘double-tap’, that’s a war crime. And the surveillance data ties into those actions. There is a direct connection between them, because the surveillance data is used for targeting, and targeting is the first step in identification for murder, which is a war crime in this case, especially with double-tapped drone strikes. It’s especially a war crime when it’s women and children, who are completely innocent in a sovereign nation, being killed by another sovereign nation.”

“The German people have, I think, the opportunity now to ask Merkel and other people reasonable questions, that will show their true character about these topics which range from spying on the German people, and national sovereignty to political assassination and murder. Those are all completely unreasonable things to be engaged in, especially at planetary scale.”

Morgen dann Teil 3 mit Euren Fragen.

“Jung & Naiv” steckt in der Beta-Phase. Der erste Anteil vom Crowdfunding ist investiert und wir probieren uns ab sofort aus: Wie und welche Technik muss und kann sein? Gefallen euch die ersten Neuerungen, das Intro, der Theme Song? Feedback? Sharing? Abonnieren? Yes, please!
www.jungundnaiv.de

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 12 2013

Neuer Snowden-Leak: Wer Microsoft seine Daten anvertraut, handelt fahrlässig

Wie bereits berichtet, kooperiert Microsoft aktiv mit der NSA. Microsoft bietet der NSA weitreichenden Zugriff auf die Kommunikationsdaten der Microsoft-Dienste Hotmail, Live.com, Outlook.com, SkyDrive und Skype. Was können wir daraus lernen?

1. Wer seine Daten Microsoft anvertraut, handelt fahrlässig. Wie FSFEs Präsident Karsten Gerloff schrieb: “Diese Enthüllungen machen deutlich: Wer seine Daten bei Microsoft lagert, handelt fahrlässig. Die Verantwortlichen für IT-Sicherheit und Datenschutz, sowohl im öffentlichen als auch im privaten Sektor, müssen jetzt dringend tätig werden und Maßnahmen zum Schutz ihrer eigenen Organisationen, ihrer Kunden und Klienten treffen.” Dies gilt natürlich nicht nur für Microsoft, sondern auch für andere “Klaut”-Dienste.

2. Bezüglich des Staatstrojaners: Entweder lügt das BMI, oder es lässt sich erfolgreich von Microsoft täuschen. Das Bundesministerium des Inneren (BMI) stritt ab, dass Microsofts “Voice-over-IP-Anbieter Skype bereits von sich aus die technische Möglichkeit biete, Gespräche auf Anforderung von Sicherheitsbehörden mitzuschneiden und einen Trojanereinsatz so unnötig zu machen.” (siehe Heise). Benötigen wir den Staatstrojaner jetzt eigentlich noch? Oder genügt die Kooperation der Nachrichtendienste, um an alle “relevanten” Daten zu kommen?

3. Unsere Daten streuen und dort speichern, wo wir den Menschen hinter den Diensten vertrauen! Wir sollten usere Daten enger bei uns behalten und nur mit Anbietern arbeiten, denen wir vertrauen. Wir sollten Anbieter wählen, die starke Verschlüsselung nutzen und die Daten, die gespeichert werden, minimieren (z.B. Konzepte wie “Wir Speichern Nicht!”). Große Anbieter wie Google Mail oder DE-Mail werden uns hier nicht weiterhelfen. Wir benötigen eine Vielzahl unterschiedlicher Anbieter, denen wir persönlich vertrauen können. Je höher die Anzahl der Anbieter, desto schwerer wird es für die NSA, direkten Zugriff auf die Daten aller Nutzer und die jedes und jeder Einzelnen zu kommen.

4. Wir können nur Freien-Software-Lösungen trauen. Wir benötigen Freie-Software-Lösungen für Groupware, Büroanwendungen und Betriebssysteme, welche von vielen Menschen öffentlich eingesehen und überprüft werden können. Wir dürfen uns nicht darauf verlassen, dass ein Unternehmen “schon das Richtige für uns machen” wird. Wir benötigen Ende-zu-Ende-Verschlüsselung auf Basis Freier Software, wie zum Beispiel GnuPG und Off-The-Record-Messaging (OTR). Des Weiteren erlauben jetzt schon Lösungen wie beispielsweise Jitsi sicherere Audio-, Video-, und Chat-Kommunikation als Skype.

5. Wir müssen auch bereit sein, für die Dienstleistungen zu bezahlen, die wir in Anspruch nehmen. Privatsphäre hat zwar ihren Preis, ist aber unbezahlbar für die Integrität unseres Lebens und unserer Gesellschaft. Wie bereits berichtet, hatte das Europäische Parlament nach den Enthüllungen zu Echelon die EU-Kommission zu konkretem Handeln aufgefordert. Was auch immer nach den aktuellen Enthüllungen als Handlungsempfehlungen herauskommt: Wollen wir weitere zwölf Jahre vergeblich warten? Oder besser die Entwicklung der Werkzeuge selbst fördern und fordern?

Wenn ja, müssen wir diejenigen Menschen und Unternehmen finanziell unterstützen, die freie Verschlüsselungssoftware für uns entwickeln. Genau jetzt ist der ideale Zeitpunkt, Programmierer freier Verschlüsselungssoftware wie z.B. die freie PGP-Implementation GnuPG mit einer Spende zu unterstützen!

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted bylydschi02mydafsoup-01

July 11 2013

Lernt verschlüsseln: Heute und morgen CryptoParty in Berlin

cryptopartySeit einem knappen Jahr finden unter dem Namen CryptoParty Veranstaltungen statt, die “grundlegende Verschlüsselungs- und Verschleierungstechniken der breiten Masse näher bringen” wollen (Wikipedia). Auch in Deutschland finden diese Events statt, seit den Enthüllungen über NSA-Überwachung noch prominenter. Heute und morgen gibt es CryptoPartys in Berlin.

Auf der Seite CryptoParty.in werden Howtos und Termine gesammelt. Auf der Seite für Berlin steht:

Im Juli finden zwei Parties statt. Eine kleinere am Donnerstag den 11. Juli in den Räumlichkeiten des IN-Berlin und eine größere am Freitag den 12. Juli in der Braunschweiger Straße 53/55.

Weitere Partys sind bisher angekündigt für Kaiserslautern, Bonn, Köln, Stuttgart, Düsseldorf, Heidelberg, Frankfurt, München, Wien und Weimar.

Und: It’s a Wiki. Also veranstaltet selbst eine CryptoParty und tragt sie ein.

Party like it’s December 31st, 1983

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 10 2013

Heml.is: Peter Sunde will abhörsicheren Messenger für Smartphones entwickeln

Der Schwede Peter Sunde, einer der Mitgründer von The Pirate Bay, hat angekündigt einen abhörsicheren Messenger für Smartphones entwickeln zu wollen. Der Messenger soll auf den Namen heml.is hören – hemlig bedeutet auf schwedisch so viel wie “geheim” – und soll eine Anwendung für “Jedermann” werden und der “nutzerfreundlichste Messenger aller Zeiten”. Zusammen mit Leif Högberg und Linus Olsson hat Sunde bereits eine Webseite erstellt und bittet dort um Spenden um das Projekt verwirklichen zu können.

Heml.is baut nach eigenen Angaben auf bereits vorhanden Technologien auf, darunter XMPP und PGP. Die Bedienung von heml.is soll dabei so einfach und intuitiv wie möglich gestaltet werden, um auch Nutzer ohne technisches Hintergrundwissen anzusprechen und ihnen verschlüsselte Kommunikation über das Smartphone zu ermöglichen. Um heml.is zu finanzieren hat Peter Sunde zu einer Crowdsourcingkampagne aufgerufen, mit dem Ziel 100.000 Dollar einzunehmen. Zum jetzigen Zeitpunkt ist mit rund 30.000 Dollar bereits ein Drittel der Summe eingenommen worden. Sollte die Endsumme nicht erreicht werden, erhalten alle Spender ihr Geld zurück.

In einer ersten Version soll heml.is für Android und iOS erscheinen. Die Entwickler halten es sich offen, später weitere Betriebssysteme zu unterstützen. Angedacht ist eine kostenlose Version, welche einzig das Versenden von Textnachrichten erlaubt, sowie eine Pro-Version, welche Zusatzfunktionen wie das Versenden von Bildern erlauben soll.

Heml.is ist aber keineswegs der einzige Messenger für Smartphones, der verschlüsselte Kommunikation ermöglicht. Ein Messenger mit einem ähnlichen Fokus auf Benutzerfreundlichkeit ist Threema. Der aus der Schweiz stammende Messenger ist ebenfalls für Android und iOS erhältlich, ist allerdings keine Open-Source Software. Daher lässt sich nichts über die Qualität der Verschlüsselung im Code sagen. Eine weitere Alternative für Android ist TextSecure, welches Open-Source-Software ist und ebenfalls eine verschlüsselte Kommunikation über das Smartphone ermöglicht.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 02 2013

Anleitung: so verschlüsselt ihr eure E-Mails mit PGP

Das gesamte Ausmaß des US-Datenschutzskandals ist längst noch nicht ersichtlich. Doch eine Sache scheint klar: auch in Deutschaland ist der NSA sehr aktiv und überwacht den Internetverkehr so massiv wie in kaum einem anderen Land. Sich in Gänze vor der Überwachung zu schützen ist sicherlich nicht möglich, doch es gibt Wege wenigstens bestimmte Bereich seiner Kommunikation im Internet vor der Spionage der Geheimdienste zu schützen. Beispielsweise durch die Verschlüsselung seiner E-Mails mittels PGP. Auch wenn PGP mittlerweile mehr als 15 Jahre alt ist, bietet es immer noch ausgezeichneten Schutz – selbst vor Geheimdiensten wie der NSA, wie auch Edward Snowden im Q&A mit dem Guardian noch einmal bestätigte:

Is encrypting my email any good at defeating the NSA survelielance? Id my data protected by standard encryption?

Snowden: “Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it.”

Einen ausführlichen Artikel zum Thema E-Mailverschlüsselung hat daMax auf seinem Blog veröffentlicht, den wir an dieser Stelle mit freundlicher Genehmigung ebenfalls veröffentlichen:

PGP jetzt!

Ein PGP-Key

Ein PGP-Key

Ihr wollt nicht, dass jeder Staatsbüttel eure Mails mitliest? Dann wäre jetzt ein guter Zeitpunkt, endlich mal PGP zu benutzen. Damit könnt ihr schon seit achwasweißichwievielen Jahren eure Mails so verschlüsseln, dass kein Schlapphut mitlesen kann. Der Haken: ihr müsst ca. 15 Minuten eures Lebens investieren, um euch mit dem Prinzip vertraut zu machen und noch einmal ein paar Minuten, um das auf eurem Rechner zu installieren.

Da in den letzten Tagen wenigstens einige der mir bekannten Blogger anfangen, PGP einzusetzen, dachte ich mir, ich klopp’ jetzt noch mal eine Anleitung heraus, wie PGP funktioniert und wie ihr das selbst einsetzen könnt.

Die Voraussetzungen:

  • Ihr habt eine Mailadresse, an die ihr per POP3 oder IMAP heran kommt. Das geht auf jeden Fall bei GMX, Web.de, T-online und anderen Anbietern; wer eine eigene Domain á la www.huhuichbins.de hast, weiß wahrscheinlich eh Bescheid.
  • Ihr wisst, wie ihr eure Mails in einem eigenen Mailprogramm (Apple Mail, Outlook, Thunderbird o.ä.) lesen könnt. Wenn ihr eure Mails lest, indem ihr z.B. da oben www.gmx.de oder www.web.de eingebt, kann euch vielleicht mit Mailvelope geholfen werden.

Die Funktionsweise:

Verschlüsselung mit öffentlichem Schlüssel und Entschlüsselung mit privatem Schlüssel (Wikipedia)

Verschlüsselung mit öffentlichem Schlüssel und Entschlüsselung mit privatem Schlüssel (Wikipedia)

Das Prinzip der Mailverschlüsselung ist schnell erklärt. Jeder Teilnehmer hat 2 Schlüssel: einen privaten und einen öffentlichen. Der öffentliche wird an alle Leute gegeben, mit denen ihr komminuzieren wollt. Den privaten behaltet ihr immer nur für euch. Nie rausgeben. Klar?

Nehmen wir an, ihr wollt mit Berta verschlüsselt kommunizieren. Ihr gebt Berta euren öffentlichen Schlüssel, Berta gibt euch ihren öffentlichen Schlüssel. Nun könnt ihr Berta eine Mail schicken, die ihr mit Bertas öffentlichem Schlüssel abschließt.

Der Clou: Mails, die mit Bertas öffentlichem Schlüssel verschlüsselt wurden, können nur mit Bertas privatem Schlüssel wieder lesbar gemacht werden. Will Berta antworten, so verschlüsselt sie mit eurem öffentlichen Schlüssel, diese Mail ist nur mit eurem privaten Schlüssel zu öffnen. Das Ganze nennt sich Asymmetrische Kryptographie und wird bei Wikipedia nochmal mit anderen Worten erklärt.

Das Prinzip der öffentlichen und privaten Schlüssel setzt voraus, dass jeder Teilnehmer seinen privaten sowie die öffentlichen Schlüssel aller anderen Teilnehmer hat. Solche Schlüssel sind reine Textdateien und können prinzipiell per Mail verschickt werden. Komfortabler ist es jedoch, seinen öffentlichen Schlüssel auf einen sogenannten Keyserver hochzuladen, wo sich dann jeder andere den Schlüssel “abholen” kann. ACHTUNG: bevor ihr den letzten Schritt geht, möchte ich euch dringend raten, ein “Widerrufszertifikat” (revocation certificate) für euren Schlüssel zu erstellen, denn nur damit könnt ihr einmal auf Keyservern veröffentlichte Schlüssel wieder “aus dem Verkehr ziehen”.

Der praktische Einsatz:

Thunderbird mit EnigMail

Thunderbird mit EnigMail

Wie ihr nun PGP auf eurem Rechner installiert, euch einen (oder mehrere) private und öffentliche Schlüssel generiert und diese dann einsetzt, haben andere schon besser beschrieben als ich das könnte.

  • Anwender, die ihre Mails mit Thunderbird lesen und schreiben, klicken hier.
  • Update: Für Android-User gibt es hier eine offenbar ganz gute Anleitung, leider auf englisch. Allerdings ist zur Schlüsselerstellung wohl trotzdem Thunderbird mit EnigMail nötig. Wenn ihr etwas besseres wisst: her damit.
  • Update: es gibt noch einen PGP-Nachbau für Android.
  • Leute, die ihre Mails nur im Browser bei einem Webmailanbieter wie z.B. web.de oder gmx.de lesen, probieren es vielleicht mal mit Mailvelope, damit habe ich aber keine Erfahrung. Für diese Menschen wäre es sowieso dringend an der Zeit, sich Thunderbird herunterzuladen und sich an die Arbeit mit diesem großartigen Mailprogramm zu gewöhnen. Ganz im Ernst: ihr werdet es lieben, wenn ihr euch nur einmal darauf einlasst.

Nur Mut. Macht es! Wenn ihr noch niemanden zum Testen habt, hinterlasst hier einen Kommentar mit Mailadresse, ich helfe euch gerne bei den ersten Schritten ind die kryptographische Welt. Natürlich ist Mailverschlüsselung nur ein kleiner Teil des Bildes, ein sicheres Passwort gehört z.B. zwingend dazu. Wie ihr euch ein solches erstellt und es euch trotzdem merken könnt und viele weitere Tipps für den Digitalen Survivalist findet ihr hier.

In diesem Sinne:

mQENBE8Lc4MBDADA/TMcFWnNu5i7OtxxmJA3fxdVjYjwRjqJsSuzI7pSYfAMLbWNeLGo/dHW
WCGO1RZT3bupUo8qfa8bL0wjjoH+q0CGMNZQMXyxH1cMILFMiWsL7eqCbHxfb68VGDgYhkgP
BhmEBxesMr5C2YVPjLkP4hAizi4/Uavn0yWUy0WDn7TN8wiSqV666nTMjdAuHPzT3gTNDd+v ;)

PS: dieser Text darf so oft kopiert, angepasst, zensiert, restauriert, ausgedruckt, geschreddert, wiedereingescannt, verschickt, verfaxt und verbloggt werden bis das Internet platzt.

Update: Matze weist mich darauf hin, dass ich das wichtigste Vergessen habe: Fingerprints, gegenseitiges Unterschreiben der Schlüssel etc.

Dieses Video erklärt das Prinzip der asymmetrischen Verschlüsselung noch einmal auf anschauliche Art und Weise:

Der digitale Briefumschlag (deutsch) from Linuzifer on Vimeo.

Weitere Hinweise wie man sich als Nutzer im Internet schützen kann lieferte heute auch der Bundesdatenschutzbeauftragte Peter Schaar in einem Interview mit der Welt.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted by02mydafsoup-01kaddimofocartoffledesizideshowbobppoelydschiinteressiert-mich-netvauteepsykecremera-tm-annorahbalut2kroessixaren

June 27 2013

Metronaut: Anleitung zur Mailverschlüsselung

daMax hat beim Metronaut eine ausführliche Anleitung zur Mailverschlüsselung mit PGP zusammengestellt.

Ihr wollt nicht, dass jeder Staatsbüttel eure Mails mitliest? Dann wäre jetzt ein guter Zeitpunkt, endlich mal PGP zu benutzen. Damit könnt ihr schon seit achwasweißichwievielen Jahren eure Mails so verschlüsseln, dass kein Schlapphut mitlesen kann. Der Haken: ihr müsst ca. 15 Minuten eures Lebens investieren, um euch mit dem Prinzip vertraut zu machen und noch einmal ein paar Minuten, um das auf eurem Rechner zu installieren.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 25 2012

Europa und die Cloud: Standard zur Überwachung und Kritik von Datenschützern

Die Auslagerung von Daten in die Cloud bereitet den Behörden Sorge. Um weiterhin Abhören zu können, werden europaweite Standards zur Überwachung von Cloud-Diensten erarbeitet. Falls Verschlüsselung eingesetzt wird, soll die umgangen werden. Datenschützer hingegen kritisieren die Cloud, da nie klar ist in welcher Jurisdiktion die Daten liegen.

Das von der Europäischen Kommission gegründete Europäische Institut für Telekommunikationsnormen (ETSI) arbeitet derzeit an einem Standard zur Überwachung von Cloud-Diensten. Laut dem Entwurf sollen die Cloud-Anbieter Schnittstellen zur Verfügung stellen, mit denen Behörden die Daten und Aktivitäten der Nutzerinnen abhören können – in Echtzeit.

Erich Moechel berichtet auf ORF.at:

Wegen des “nomadischen Zugangs zu Diensten in der Cloud” sei es unwahrscheinlich, dass ein Internet-Zugangsprovider alle Überwachungsanfragen bedienen könne. Um dennoch “die Überwachbarkeit zu gewährleisten, muss der Cloud-Anbieter eine Überwachungsfunktion einbauen”, heißt es einen Abschnitt weiter (4.3)

Mit “nomadischem Zugang” ist gemeint, dass Facebookbenutzer über alle möglichen Wege daherkommen können, ob es das eigene DSL ist, drahtlose Breitbanddienste oder ein offenes WLAN-Netz. Man müsste also die Daten eines Facebook-Benutzers nicht nur bei mehreren Zugangsprovidern einsammeln, was nahe an der Echtzeit unmöglich ist. Zudem würde das nur einen Teil der Informationen bringen, die an einer Schnittstelle direkt bei Facebook abgegriffen werden könnten.

Dazu soll auch die SSL-Verschlüsselung angegriffen werden. Und zwar wollen Behörden mit “Deep Packet Inspection”-Systemen (DPI) “Man-in-the-Middle”-Attacken gegen die Verschlüsselung durchführen. Aus dem Entwurf:

Erich Moechel weiter:

“Deep Packet Inspection wird wahrscheinlich ein konstituierendes Element dieses Systems sein”, heißt es denn auch unter 4.3 im ETSI-Dokument unter den “Herausforderungen der Anforderungen” “(“Requirement Challenges”). Darüber wird als nächstes ebenso berichtet werden, wie über die Szenarien der staatlich sanktionierten Angriffe auf Skype, VoIP und Tauschbörsen, denen sämtlich sogenannte Peer-To-Peer-Protokolle zu Grunde liegen.

Skype hat übrigens gerade wieder auf die Frage, ob sie Gespräche abhören können, geantwortet: Kein Kommentar.

Eine andere EU-Institution sieht das mit dem Cloud-Computing kritischer. Die Artikel 29 Datenschutzgruppe veröffentlichte Anfang des Monats eine Stellungnahme mit ihrer Einschätzung der Cloud.

Die Datenschützer sehen “eine Reihe von Datenschutz-Risiken, vor allem einen Mangel an Kontrolle über persönliche Daten sowie unzureichende Informationen über die Fragen, wie, wo und von wem die Daten (weiter-)verarbeitet werden.” Da in der Cloud nie klar ist, wo die Daten physisch liegen ist auch die Jurisdiktion darüber unklar. Die europäische Datenschutzrichtlinie verbietet es jedoch, personenbezogene Daten in Staaten mit schwächerem Datenschutz auszulagern.

Dass dürfte jedoch bei Cloud-Diensten eher die Regel als die Ausnahme sein. Die existierenden Safe Harbor-Vereinbarung zwischen EU und USA sind daher unzureichend. Hier sehen die Datenschützer dringenden Klärungsbedarf.

Bis dahin sollten europäische Firmen ihre Cloud-Dienstleister ganz genau evaluieren und gegebenenfalls schriftlich versichern lassen, wohin die eigenen Daten übermittelt werden.

flattr this!

January 04 2012

TextSecure: SMS verschlüsseln mit Android

Dass E-Mails meist in Klartext durch das Internet wandern und damit für jeden unterwegs lesbar sind, sollte der geneigten Leserin bekannt sein. Deswegen verschlüsseln wir sie ja mit PGP. Spätestens seit 2010 müssen Telefon-Anrufe und SMS über GSM als genauso unsicher eingeschätzt werden. Und auch dafür gibt es endlich Abhilfe.

Bereits in der Vergangenheit gab es Techniken, Mobiltelefonie zu verschlüsseln. Diese waren jedoch entweder kompliziert oder teuer. Kostenlos und einfach ist die Android-App TextSecure. Dieses Programm kann SMS verschlüsselt über das Netz verschicken und speichert alle Nachrichten verschlüsselt auf dem Gerät.

Entwickelt wurde TextSecure von der Firma Whisper Systems, die mit dem Hacker Moxie Marlinspike Netz-Credibility aufweisen kann. Ende November wurden sie von Twitter gekauft, kurz danach wurde der Code von TextSecure unter der freien GPL-Lizenz veröffentlicht.

Um die Reichweite des Projekts zu vergrößern, gibt es jetzt eine Initiative zum kollektiven Übersetzen der App, mitmachen erwünscht!

Auch zur Verschlüsselung von Telefonie hat Whisper Systems eine App entwickelt: RedPhone. Seit der Übernahme durch Twitter ist diese leider (wie vorher TextSecure) erstmal nicht mehr verfügbar. Bleibt zu hoffen, dass auch davon der Code veröffentlicht wird. Und jemand die Programme auf andere Plattformen wie iOS portiert.

Reposted bymondkroetephintechsofiasshallowfinkreghshallowSpinNE555madgyver

December 17 2010

CC-Video erklärt Ende-zu-Ende-Verschlüsselung

Jetzt, wo die Bundesregierung sich offiziell dagegen wendet, sollte man der Ende-zu-Ende-Verschlüsselung mehr Aufmerksamkeit widmen. Nur bei Ende-zu-Ende-Verschlüsselung wie GPG oder OTR liegt die Verschlüsselung in den eigenen Händen, ohne dass irgendein Anbieter per se den Hauptschlüssel hat, gell, deMail? Darüber, wie wir Drittanbietern vertrauen können, wurde hier schon öfter berichtet (oder hier).

John F. Nebel und ich haben uns ohne jegliche filmerische Erfahrung daran begeben, ein kleines Lehrvideo zu basteln, das das Prinzip von Email-Verschlüsselung erklären soll. Wir hoffen, damit unseren Beitrag zur Verbreitung von GPG leisten zu können.

Das Video ist unter CC-BY-Lizenz und wir würden uns freuen, wenn ihr helfen würdet, es zu verbessern und zu verbreiten. Große Freude würde es uns auch bereiten, wenn ihr durch eine Übersetzung für die gute Sache der Krypto eintreten wollt. Dazu findet ihr hier die IT-Version. Wir haben zum Beispiel schon einmal eine alemannische Version eingesprochen:

Reposted bykrekkginsengreturn13

Bundesregierung: Ende-zu-Ende-Verschlüsselung gefährdet das Ziel von De-Mail

Nein, das ist keiner meiner blöden Witze. Das ist die offizielle Position der Bundesregierung, mit der eine entsprechende Forderung des Bundesrats gekontert wird. Ausserdem ist heute ja Freitag:

”Eine Ende-zu-Ende-Verschlüsselung gefährdet das gesamte Ziel von De-Mail, die einfache – und ohne spezielle Softwareinstallation mögliche – Nutzbarkeit durch die Bürgerinnen und Bürger“, argumentiert sie in der Vorlage. Damit sich eine sichere E-Mail-Kommunikation möglichst schnell verbreitet, solle De-Mail für den Anwender möglichst einfach zu nutzen sein.

Reposted bykrekk krekk

August 13 2010

Blackberry und die nationalen Sicherheiten

Schon 2007 fing man in der Vereinigten Arabischen Emirate (VAE) an, sich über Blackberry-Mobiltelefone als nationales Sicherheitsrisiko zu beschweren, weil deren Emails direkt auf ausländische Server übertragen und dort verwaltet werden. Dies habe Konsequenzen für die rechtliche, soziale und nationale Sicherheit, weil einige dieser Dienste missbraucht werden könnten. Der Verdacht, dass es der VAE nicht um die Speicherung im Ausland, sondern um die verschlüsselte Übertragung dorthin ging, lag nahe. Er erhärtete sich, als der Telefon-Provider Etisalat ein ‘Update’ für Blackberry-Geräte anbot, das Spyware-Zugriff auf die Email-Funktion mit einschleuste. Der Hersteller RIM bot umgehend einen Fix an, und die VAE kündigte die Sperrung des verschlüsselten Blackberry Email-Services ab 11. Oktober diesen Jahres an.

Etwas zackiger ging Saudi-Arabien vor: Kurzfristig wurde angekündigt, dass in ein paar Tagen gesperrt würde, RIM reagierte laut Associated Press (AP) mit der Verlegung der Server nach Saudi-Arabien, und schwieg zu dem Thema, das plötzlich einfach vom Tisch war.

Zeitgleich fing Indien an, sich zu melden, und verlangte von RIM, indischen Behörden ab dem 31. August 2010 Zugriff auf die verschlüsselten Emails einzuräumen. Andernfalls werde man sperren. Und RIM reagierte angeblich mit der Ankündigung von Zugeständnissen: Indische Behörden sollten Zugriff auf die letzten 15 Tage bekommen. Bisher ist dies jedoch anscheinend noch nicht geschehen, und RIM dementiert die Ankündigung.

Ähnliche Vorgänge zeichnen sich in Russland und China ab.

Rebellengruppe mit Blackberries - Foto von Toufeeq Hussain, Lizenz CC-BY-SA

Rebellengruppe mit Blackberries - Foto von Toufeeq Hussain, Lizenz CC-BY-SA

Aber was soll das eigentlich?

Wie der Sicherheitsexperte Bruce Schneider betont, kann so gut wie jedes internetfähige Gerät verschlüsselt mit Email-Servern im Ausland kommunizieren – Zum Beispiel mit GMAIL über SSL (dabei ist die Nachricht selbst aber längst nicht ‘verschlüsselt’, genau so wenig wie beim Blackberry!). Solche Dienste sind aber nicht an Hardware-Anbieter gebunden, die gerne ihre Geräte verkaufen wollen. Die Regierungen fordern also zum Staring Contest heraus: Sie wollen natürlich nicht die bösen Blackberry-Blocker werden, und RIM möchte auch gerne weiter am Markt bleiben.

Der nahe liegende – nennen wir es Kompromiss – ist es dann natürlich, die Angst des Staates vor “Rebellengruppen” mit Blackberries zu mindern. Dafür kann man die relevanten Server ins jeweilige Land holen, wo sie dann “nachsichtigeren” Gesetzen unterliegen, oder vielleicht auch eine kostengünstigere Methode finden, indem man Direktzugriff auf bestehende Infrastruktur gewährt.

Der falsche Schluss aus dieser Geschichte wäre es aber nun RIM als “die Guten” zu sehen. Verschlüsselung ist Vertrauenssache, und gute Krypto lässt einen die Schlüssel selber machen, wie es zum Beispiel bei GPG für Email und OTR für Instant Messaging der Fall ist. Im Übrigen findet beim Blackberry ja auch nur die Kommunikation mit dem Server verschlüsselt statt, nicht etwa die Übertragung der gesamten Nachricht von Absender zu Empfänger. Für ‘Terroristen’ ist sowas gänzlich ungeeignet. Nicht zuletzt Innenminister Thomas de Maizière warnt Mitglieder der Regierung vor der Nutzung von proprietären Verschlüsselungssystemen, bei denen der Zugangsstandard nicht selbst bestimmt wird. Eine guten Überblick zu Überwachung und Verschlüsselung bietet dieses Interview mit Sunil Abraham vom Bangalore Centre for Internet and Society.

Reposted bymondkroetevervic

April 26 2010

Massachusetts verbietet unverschlüsselte Übertragung & Speicherung persönlicher Daten

Im US-Bundesstaat Massachusetts dürfen persönliche Informationen nur noch verschlüsselt übertragen werden, sofern die Übermittlung über öffentliche zugängliche Netzwerke (wie das Internet) oder drahtlos erfolgt. Andernfalls droht seit dem 1. März 2010 ein Bußgeld von bis zu 5000 Dollar pro ungesicherten Datensatz. Dies gilt auch für Laptops und -Mobiltelefone. Für die Speicherung von Personendaten müssen Unternehmen Datenschutzkonzepte erarbeitet werden, die technischen, administrativen und physischen Anfordungen Sorge tragen.

Das Massachusetts data security law, 201 CMR 17.00 (PDF) bezieht sich auf gespeicherte wie übertragene Daten von Bürgern des Staates und damit auch auf Websitenaufrufe oder etwa Datenbank-Verbindungen.

Warum gibt’s das bei uns nicht?
(via sqlmag & informationweek)

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl