E-Mail Verschlüsselung mit Thunderbird – Ein How To

Thunderbird Logo
Thunderbird Logo

Der neue Mailer von Mozilla ist draußen. Thunderbird mit der Versionsnummer 78. Und er bringt eine integrierte Ende-zu-Ende-Verschlüsselung mit – durch die enge Integration sehr vereinfacht und intuitiv. Um was es genau geht, erfahrt ihr hier.

Was ist Ende-zu-Ende-Verschlüsselung?

In der Regel sind E-Mails nichts anderes als ganz einfache Postkarten, die man im Urlaub mit besten Wünschen versieht und an den einen oder anderen daheimgebliebenen Empfänger verschickt. Eine Postkarte kann ein Postmitarbeiter beim Leeren des Posteinwurfkastens lesen oder im Verteilerzentrum oder der Postbote, der die Karte im heimischen Briefkasten versenkt.

E-Mails funktionieren ähnlich. Geschrieben werden diese am heimischen PC, der die fertige Mail dann dem Server des eigenen Mailproviders übergibt. Von dort aus wandern die Mails zum Postkasten des Empfängers (auf den Servern eines anderen Mailproviders). Auf eben jenen Servern ist die geschriebene Mail noch für jeden, der Zugriff auf die Server hat (sei es ein Mitarbeiter des Mailproviders oder ein fieser Hacker) lesbar. Das nennt man Klartext.

Ende-zu-Ende-Verschlüsselung setzt jetzt auf den PCs von Sender und Empfänger an. Im einfachsten Fall chiffiriert (neudeutsch für verschlüsselt) der Computer des Senders automatisch und ohne weiteres Zutun die Mail während des Sendevorganges. Das geht mit der heutigen Technik schon recht fix und der Sender merkt vom Chiffirieren nichts. Genau das Selbe passiert beim Empfänger in Gegenrichtung. Er ruft die Mail ab und der Computer entschlüssselt diese während des Ladevorganges und der Empfänger kann die Mail in Ruhe lesen.

Dieser ganze Vorgang passiert im Idealfall auf den heimischen Endgeräten, sei es der PC oder Laptop, aber auch das Smartphone oder Tablet. Doch die Praxis sieht auch hier ganz anders aus.

Was bringt diese Verschlüsselung eigentlich?

Fakt ist – jede Verschlüsselung kann mit mehr oder weniger (Zeit)Aufwand geknackt werden. Allerdings ist dieser Aufwand schon eine Hürde und schreckt die meisten, die fieses im Sinn haben, ab. Der Sinn hinter der ganzen Aktion ist ein Sicherheitsgewinn, der eigentlich mit wenigen Handgriffen installiert sein sollte. Private und geschäftlche Kommunikation geht im Prinzip niemanden etwas an, gerade weil da auch viel persönliches (oder geschäftliches) versendet wird, was im Zweifel nur der Empfänger lesen darf. Aber keine Angst, mit dem neuen Thunderbird ab Version 78, bekommt man schon alle Tools an die Hand und die Verschlüsselung ist schnell eingerichtet. Aber vorher noch etwas zu den Grundlagfgen.

Wie funktioniert die Ende-zu-Ende-Verschlüsselung eigentlich?

In früheren Artikeln über Verschlüsselung, habe ich das Problem schon erklärt, aber es passt hier auch wieder wunderbar zum Thema und deswegen kommt das auch hier wieder rein. Wem das zuviel ist, kann ja diesen Absatz überspringen.

Bei E-Mails gibt es immer mindesten 2 Leute, die an einer Korrespondenz beteiligt sind. Im Prinzip müssen sich alle (Sender und Empfänger) einig sein, eine Verschlüsselung einzusetzen. Denn Verschlüssselung heißt, daß jeder ein eigenes Schlüsselpaar, bestehend aus öffentlichem und geheimen Schlüssel, besitzen muss, mit dem zu sendende E-Mails chiffriert und empfangene dechiffriert werden. Das besagt prinzipiell schon alles.

Der Öffentliche Schlüssel wird öffentlich gemacht, beispielsweie über Schlüsselserver, oder als Anhang einer E-Mail. Der geheime Schlüssel wird daheim auf dem eigenen PC verwahrt.

Bob will nun seinem Freund Anton eine E-Mail schreiben, beide wollen in Zukunft auf die sichere Verschlüsselung setzen. Nun generieren beide ein Schlüsselpaar. Anton schickt seinen öffentlichen Schlüssel dem Bob zu und Bob macht das selbe mit seinem öffentlichen Schlüssel.

Jetzt schreibt Bob seine E-Mail und verschlüsselt die mit dem öffentlichen Schlüssel Antons und seinem (Bobs) geheimen Schlüssel. Anton empfängt jetzt erst einmal unleserliches Kauderwelsch. Doch in Kombination mit seinem eigenen geheimen Schlüssel und Bobs öffentlichen wird die Mail lesbar.

Was benötigt man nun zum Verschlüsseln von E-Mails?

Einfach gesagt: Nur noch Thunderbird ab Version 78. Der Mailclient liefert schon alles von Haus aus mit. Man braucht keine komplexen Installationen mit OpenPGP, Enigmail und Schlüsselverwaltung mehr. Der aktuelle Donnervogel vereint das alles für den PC (Linux, Mac und Windows) unter einer Haube.

Die Erstellung eigener Schlüssel ist hier nun sehr einfach. Man klickt einfach auf die Mailadresse, die gesichert werden soll und dann auf Ende-zu-Ende-Verschlüsselung. Im nächsten Menü auf Schlüssel erstellen.

 

Verschlüsseln mit Thunderbird
Verschlüsseln mit Thunderbird

 

Hat man sich für die Ende-zuEnde-Verschlüsselung entschieden, kann man bereits vorhandene Schlüssel einsehen oder einen neuen Schlüsseln Generieren.

Verschlüsselung Schritt 2
Verschlüsselung Schritt 2
Verschlüsselung Schritt 3
Verschlüsselung Schritt 3

Hier hat man nun die Wahl zwischen RSA und einer eliptischen Kurve. Beides sind verschiedene Kryptografieverfahren. Da ich jetzt nicht zu Tief in der Materie drin stecke, kann ich jetzt auch nicht beurteilen, welches Verfahren das sicherere und zukunftsträchtigere ist. Fakt ist jedenfalls, daß man die Schlüssellänge so lang wie möglich wählen sollte, denn das erhöht den Zeitaufwand beim Entschlüsseln enorm. Selbst mit einem Verfallsdatum kann man, wenn man möchte, das eigene Schlüsselpaar ausstaffieren.

Verschluesselung Schritt 4
Verschluesselung Schritt 4

 

Wo liegen die Vor- und Nachteile?

Thunderbird bringt schon alles fürs sichere Mailen am PC mit – Kryptografietool und eine Schlüsselverwaltung. Generell macht es der Mailer auch Anfängern einfacher, sicher zu kommunizieren. Im Falle eines Daten-GAUs durch Trojaner oder einfach nur, weil ein neuer PC her soll, kann man die Schlüssel samt Einstellungen mit dem Profil-Ordner Umziehen oder sichern. Das habe ich bereits in anderen Artikeln beschrieben.

Nicht so einfach und trivial wird das Portieren des eigenen Schlüsselpaares und der gesammelten öffentlichen Schlüssel (Schlüsselbund) von Kommunikationspartnern auf ein Smartphone oder Tablet sein. Auf absehbare Zeit wird es kein Thunderbird für Android oder iOS geben, in den man einfach den Profil-Ordner vom PC packen kann. Damit wird man, es sei denn man hat ein Workaround gefunden, seine verschlüsselten Mails nicht lesen und bearbeiten können.

Fazit

Die Integration der beschriebenen Verschlüsselungstools in den beliebten Mailclient Thunderbird, ist schon ein Schritt in die richtige Richtung. So wird das Verschlüsseln eigener E-Mails zugänglicher und leichter, ohne die zusätzliche Installation von Software, die das erledigt. Jetzt müssen plattformübergreifend weitere beliebte Mailclients nachziehen und insgesamt den Austausch der eigenen Schlüsselpaare vereinfachen. Das was Mozilla mit Thundrbird macht, ist vorbildlich. Bleibt zu hoffen, daß unser Donnervogel in Zukunft zum Mailen, geschäftlich wie privat eingesetzt wird. So braucht man für verschlüsseltes und sicheres Mailen kein komplexes Workaround mehr, weil man schon alles aus einem Guss hat.

Weiterführende Artikel

  1. Wie man Firefox und Thunderbird wieder herstellt
  2. Firefox und Thunderbird ganz mobil

Efail: Was Sie jetzt beachten müssen, um sicher E-Mails zu lesen

Mit PGP und S/MIME verschlüsselte E-Mails können unter bestimmten Umständen von Angreifern aus dem Netz mitgelesen werden. Was man tun muss, um weiterhin verschlüsselte Mails sicher zu lesen, erklärt dieser Artikel.

Nachdem nun die Details zum Angriff auf die heute veröffentlichten Sicherheitslücken in PGP und S/MIME bekannt geworden sind, bleiben viele Anwender verunsichert und fragen sich, was sie tun müssen, um nach wie vor sicher verschlüsselte Mails versenden zu können. Wir wissen, dass Angreifer unter Umständen verschlüsselte Mails abfangen und manipulieren können, um an den entschlüsselten Inhalt der Mails – oder zumindest Teile davon – zu gelangen. Die als Efail bekannt gewordene Schwachstelle betrifft dabei die meisten gängigen Mail-Programme, die HTML-E-Mails empfangen und darstellen können wenigstens in Teilen. Um sich und seine Geheimnisse zu schützen, gibt es mehrere Möglichkeiten.

Ein guter Anfang ist damit gemacht, das Anzeigen externer Bilder in Mails zu unterbinden. Das ist sowieso zum Schutz der Privatsphäre, auch bei unverschlüsselten Mails, immer empfehlenswert. Wer damit Leben kann, Mails als Plaintext ohne HTML angezeigt zu bekommen, sollte das Anzeigen von HTML in Mails deaktivieren und ist damit nach aktuellem Kenntnisstand erst mal sicher.
Mail-Programme und Plug-ins aktualisieren

Laut der Veröffentlichungen der Efail-Entdecker ist S/MIME weitaus angeschlagener als PGP. Eigentlich sind alle von ihnen getesteten Programme, die HTML und S/MIME unterstützen, betroffen. Beim Einsatz von PGP sind vor allem Thunderbird (mit Enigmail), Outlook 2007, Apple Mail und Airmail betroffen.

Anwender sollten jetzt vor allem ihre Mailprogramme und Verschlüsselungs-Plug-ins aktualisieren. Die Enigmail-Entwickler empfahlen auf Nachfrage von heise online, mindestens auf Version 2.0 des Plug-ins zu aktualisieren, in dem die Efail-Lücken bereits geschlossen wurden. Nutzer mit aktuellen Thunderbird- und GPG-Versionen sollten dieses Update über die automatische Update-Funktion des Plug-ins bereits erhalten haben. Thunderbird hat mit Version 52.7 fast alle der Sicherheitslücken geschlossen, Version 52.8 verspricht weitere Fixes. Bis dahin empfehlen die Entwickler, Mails nur als Plaintext anzuzeigen.

Sichere PGP-Clients

Die PGP-fähigen Mailprogramme K-9 Mail und Delta.chat für Android waren nicht von den Lücken betroffen. Das teilten deren Entwickler auf der Mailingliste des PGP-Werkzeugs autocrypt mit. Man beobachte die Situation allerdings aufmerksam und werde auch diese Apps updaten, falls das in Zukunft nötig wird. Die Entwickler wollen also nicht ausschließen, dass nicht doch noch Wege entdeckt werden, wie man die Efail-Schwachstellen mit ihren Apps ausnutzen kann.

Die Programme des pEp-Projektes sind ebenfalls nicht angreifbar, da sie aus Sicherheitsgründen das Nachladen von externen Bildern deaktiviert haben. Wie uns die Entwickler mitteilten, konnten sie Angriffe auf Efail-Angriffe auf pEp for Outlook nicht reproduzieren.

Grundsätzlich lassen sich alle Risiken nur mit Veränderungen an den zugrundeliegenden Protokollen für PGP und S/MIME ausräumen. Die Protokolle müssen besser die Integrität der verschlüsselten Mails sicherstellen, damit Angreifer diese nicht auf dem Weg zum Empfänger manipulieren können. Bis solche grundlegenden Änderungen greifen, wird allerdings noch einige Zeit ins Land gehen.

Mails extern entschlüsseln, HTML abschalten

Am sichersten ist es, verschlüsselte Mails nicht im Mail-Client zu entschlüsseln. Die Entdecker der Efail-Lücke empfehlen, den verschlüsselten Ciphertext aus der Mail zu exportieren und in einem eigenständigen Programm (etwa der Kommandozeilen-Ausgabe von GPG) zu entschlüsseln. Auf diesem Wege kann ein eventuell anfälliges Mailprogramm oder dessen Plug-Ins den geheimen Inhalt der Nachricht nicht an den Angreifer im Web verraten. Allerdings ist das ein sehr umständlicher und für die meisten Endbenutzer wohl unakzeptabler Ansatz.

Wer seine Mails trotzdem im Mailprogramm entschlüsseln will oder muss, der schaltet am besten den Empfang von HTML-Mails ab und lässt alle Nachrichten als Plaintext darstellen. Das stopft zwar nicht alle möglichen Schwachstellen, sollte momentan allerdings so gut wie alle praktischen Angriffe verhindern. Entsprechend sind auch Plaintext-Only-Clients wie Claws oder Mutt nicht betroffen.

Auch die meisten Web-Apps scheinen sicher zu sein. Eine Ausnahme bildet Gmail mit S/MIME und auch der Mailer Horde ist für GPG-Angriffe und, falls der Nutzer mithilft, für die S/MIME-Schwachstellen verwundbar. Roundcube scheint unter bestimmten Umständen für PGP-Lücken anfällig zu sein. Es bleibt zu hoffen, dass die Anbieter die verbliebenen Lücken bald schließen. Admins von Webmail-Systemen sollten hier auf jeden Fall ein wachsames Auge auf Updates halten und diese zeitnah einspielen.

 

Quelle: heise.de

Autor: Fabian A. Scherschel

Chatten mit Facebook geht auch sicher – Verschlüsselung mit Pidgin

Derzeit steht Facebook vor Gericht, weil private Chatlogs gespeichert und ausgewertet wurden. Ganau genommen wurden über den Haus eigenen Chat verschickte Links ausgewertet um die Beliebtheit dieser in Zahlen zu packen. Damit kann Facebook nun genauer Werbung platzieren – dabei werden bestimmte Firmen bevorzugt und die Privatsphäre der Chatter weiter ausgehöhlt. Wie man Spionage umgehen kann, habe ich im artikel Privates verschlüsselt – Sicher Chatten mit Pidgin letztes Jahr schon einmal beschrieben. Und das geht auch mit Facebook.

Zusammengefasst

In der Regel braucht man nur zwei kostenlose Programme auf Open-Source-Basis. Pidgin und ein Verschlüsselungsplugin namens OTR – Off the Record Messaging. Und man braucht hierfür noch die Facebook-ID. Jeder Nutzer, jede Nutzerin bekommt von Facebook eine zufällig generierte Nummer, mit der man Pidgin sagen kann, wer man auf Facebook auch ist. Die ID von Facebook findet man auf der Seite www.facebook.com/max.muster wobei das Max.Muster durch den eigenen Vornamen und Nachnamen zu ersetzen ist, getrennt durch einen einfachen Punkt. Zum Tragen kommt das Protokoll XMPP, besser bekannt auch als Jabber. Alle genutzten Programme sind noch einmal am Ende des Artikels noch einmal verlinkt.

Warum verschlüsseln?

Bei Privatgesprächen gelten prinzipiell vier Grundsätze, die aus dem realen Leben übernommen worden sind.

Folgenlosigkeit: Wenn der (langlebige) private Schlüssel einem Dritten in die Hände fällt, hat dies keine Auswirkung auf die Kompromittierung bisher getätigter Gespräche: Die Gespräche können damit nicht nachträglich entschlüsselt werden.

Abstreitbarkeit: Verschlüsselte Nachrichten enthalten keine elektronische Signatur. Es ist also möglich, dass jemand Nachrichten nach einer Konversation so fälscht, dass sie von einem selbst zu stammen scheinen. Während eines Gespräches kann der Empfänger aber gewiss sein, dass die empfangenen Nachrichten authentisch und unverändert sind.

Beglaubigung: Man kann sich sicher sein, dass der Empfänger derjenige ist, für den man ihn hält.

Verschlüsselung: Niemand kann die Nachrichten mitlesen, wenn denn der Zeichensalat mitgeschnitten wird, dann erhöht sich der Aufwand um an die Inhalte zu kommen enorm.

Detailiert

Falls noch nicht geschehen, installiert man sich zuerst Pidgin und dann OTR. Sind beide Installiert, müssen noch genutzte Konten hinzugefügt werden, hier ein Facebook-Konto. Die Kontoverwaltung öffnet sich beim allerersten Start von Pidgin, bzw nach einem Klick auf Konten —> Konten verwalten.

Willkommensassistent Pidgin
Willkommensassistent Pidgin

Ein weiterer Klick auf Hinzufügen führt uns zu einem Auswahlmenü, wo wir bei den Protokollen Facebook auswählen. Der Chat vonFacebook fußt auf dem XMPP-Protokoll, bei der Auswahl füllt Facebook schon ein Feld aus, die Domain. Deiese brauchen wir nicht zu ändern. Via Copy and Paste tragen wir nun noch unsere Facebook-ID in das entsprechende Feld ein und weiter unten noch das Passwort. Hier ist das Passwort zu unserem Facebook-Account gemeint. Ein klick auf das Feld Passwor Speichern sichert das Passwort für spätere Logins mit Pidgin.

Pidgin Facebookanmeldung

Jetzt dürfte man schon in der Freundesliste alle Kontakte sehen, die man auf Facebook angesammelt hat. Wenn OTR installiert ist, muß es noch konfiguriert werden, das heißt es muß ein Schlüssel eingerichtet werden und sofern die anderen sogenannten Freunde auch Pidgin nutzen oder zur Verschlüsselung bereit sind, dann ist es ein Kinderspiel, die Gespräche sicherer zu machen.

Man öffnet unter Werkzeuge –> Plugins bei Pidgin eine Liste aller derzeit auf dem Rechner verfügbaren Plugins. Dort wählt man OTR aus.

Installierte Plugins Pidgin Hier sucht man sich das Plugin OTR aus und klickert auf Konfigurieren
Installierte Plugins Pidgin Hier sucht man sich das Plugin OTR aus und klickert auf Konfigurieren

Ein Klick auf Plugin konfigurieren genügt um ins nächste Auswahlfenster zu kommen. Im Drop-Down Menü sucht man sich das Konto für Facebook heraus, ein Klick auf Generieren erstellt neue Schlüssel und Fingerabdrücke für den Chat über Facebook.

Ein Klick auf Generieren erzeugt neue Schlüssel für jedes gewählte Konten.
Ein Klick auf Generieren erzeugt neue Schlüssel für jedes gewählte Konten.

Jetzt hat man Pidgin für die verschlüsselte Kommunikation soweit vorbereitet. Hat der Chatpartner selbst Interesse an. Die folgenden Schritte beschreiben, wie die Schlüssel ausgetauscht werden. Ist das alles einmal erledigt, kann man mit der jenigen Person auch zukünftig verschlüsselt chatten. Jede Person, mit der man einmal verschlüsselt geplaudert hat, braucht in Zukunft nicht mehr für die Verschlüsselung registriert werden. Allerdings erfordern die folgenden Schritte, daß der Chatpartner bereits auch entsprechende verschlüsselungssoftware installiert hat und seine Schlüssel erzeugt hat.

Im Vorfeld sollte man sich mit dem Chatpartner auf einem anderen Weg, beispielsweise per E-Mail, eine kleine Frage samt Antwort vereinbaren. Aus diesen Worten werden für die Zukunft alle neuen Sitzungsschlüssel vereinbart – keine Angst das geschieht bei Gesprächsbeginn voll automatisch. Ist alles Vereinbart müssen sich die Chatpartner nun gegenseitig authentifizieren. Dazu muß man die Antwort auf die Frage wissen. Für die folgenden Schritte habe ich allerdings ältere Screenshots von mir recyelt. Wenn da Jabber oder ein anderes Messengerprotokoll steht, so gilt das natürlich auch für den Facebookchat via Pidgin.

Authentification OTR Pidgin - Vorab muß man sich auf eine FRage und eine passende Antwort verständigen, man kann natürlich auch manuell über einen Sicheren Weg die beiden Schlüssel authentifizeren.
Authentification OTR Pidgin – Vorab muß man sich auf eine FRage und eine passende Antwort verständigen, man kann natürlich auch manuell über einen Sicheren Weg die beiden Schlüssel authentifizeren.

Hier tippt man Frage und Antwort ein, auf die man sich vorher irgendwie verständigt hat. Wenn der Chatpaartner mit der Verifikation begonnen hat, dürfte man selbst nur ein Fenster sehen, wo man nur die Antwort rein schreibt.

Authtentificationsanfrage Pidgin - Der Kommunikationspartner muß antworten, damit die öffentlichen Schlüssel gesichtert ausgetauscht werden können.
Authtentificationsanfrage Pidgin – Der Kommunikationspartner muß antworten, damit die öffentlichen Schlüssel gesichtert ausgetauscht werden können.

Hat man alles richtig getipt, oder eben irgendwo einen Schreibfehler unter gebracht, so sieht man eines der beiden folgenden Fenster.

Authentification war erfolgreich Pidgin - Eine verschlüssselte Verbindung steht
Authentification war erfolgreich Pidgin – Eine verschlüssselte Verbindung steht

Authentification fehlgeschlagen Pidgin - Die Prodzedur mit Frage und Antwort sollte wiederholt werden, da sonst keine verschlüsselte Verbindung zustande kommt
Authentification fehlgeschlagen Pidgin – Die Prodzedur mit Frage und Antwort sollte wiederholt werden, da sonst keine verschlüsselte Verbindung zustande kommt

Fazit

Bei mir und einigen Chatpartnern hat die Einrichtung der gesamten Software und die Verständigung auf Frage und Antwort keine viertel Stunde gedauert. Nutzt man Pidgin bereits mit anderen Protokollen, dann geht das ganze noch schneller von statten. Haben bereits beide die nötige Software installiert braucht man nur noch 2 Minuten für die Verifikation des Gesprächspartners.

In Zeiten der Totalüberwachun, Big Brother und Stasi zwei Punkt null bringt Verschlüsselung einen deutlichen Mehrwert. Die Floskel Ich habe doch nichts zu verbergen ist für jeden die Erlaubnis alles mithören und lesen zu dürfen. Wer sich allerdings selbst schon einmal beobachtet hat, der redet mit Freunden irgendwo in der Öffentlichkeit doch ein bisschen anders, als wenn man nur irgendwo privat gegenüber sitzt. Vielleicht sollte man auch nach den letzten bekannt gewordenen Angriffen auf beliebte Internetdienste (iCloud als Beispiel) und die neuen Nutzungsbedingungen von Facebook (mit denen sich Facebook die Nutzungsrechte an allen Inhalten für Werbung sichert) doch kurz innehalten und überlegen, was man via Internet von sich gibt.

Links

Im Artikel benutzte Programme

  1. Downloadseite OTR – Off the Record Messaging
  2. Download Pidgin – Multimessenger

Weiterführende Lektüre

Die Medienspürnase wandelt sich

Der Advent ist seit gestern vorbei, die Weihnachtsfeiertage und der Jahreswechsel rücken erstaunlich schnell näher. Im NSA-Skandal tut sich indes erstaunlich wenig, was die Aufklärung des selbigen betrifft, aber seitens amerikanischer, englischer und deutscher Geheimdienste sehr viel, die immer mehr Macht an sich reisen. Daher hat es ein paar Änderungen bei der Medienspürnase gegeben, als kleine Überraschung sozusagen.

Was genau hat sich getan?

Es wurde einiges für die Sicherheit und den Komfort für euch Leser und Leserinnen getan. Einige Plugins wurden ausgetauscht und ein SSL Zertifikat für die Transportverschlüsselung von Daten und Inhalten wurde aufgesetzt. Neben dem Zertifiakt wurde noch das Social-Media-Plugin ausgetauscht. Manch einer wird sich noch an den Artikel Think Social und die Zwei-Klick Methode erinnern. Dieses Plugin wurde durch das Plugin Shariff ersetzt. Für Leser/innen, die schon immer nach ähnlichen Inhalten zum gerade gelesenen Artikel suchen, habe ich das Plugin Yet Another Related Posts Plugin installiert. YARPP schlägt ähnliche Artikel am Ende eines jeden Beitrages vor und verlinkt diese als Relevant. Allerdings mußte das Plugin Print Friendly aus Kompatibiltätsgründen entfernt werden. Print Friendly war dazu gedacht, Artikel via Mail zu teilen, Inhalte als PDF abzulegen und zu drucken. Mit dem neuen SSL-Zertifikat kam es da zu Störungen.

Warum genau diese Änderungen?

Das SSL-Zertifikat Der Größte Nutzen der Änderungen liegt ersteinmal in der Sicherheit. Das SSL-Zertifikat verschlüsselt alle gesendeten und empfangenen Daten auf dem Weg zwischen Server und Browser. Dritte, die sich also am Transportweg durch das Internet zwischenschalten, haben es somit schwerer irgendwelche Daten abzufangen und zu verändern. Es kommt also genau das beim Empfänger an, was der Webhoster der Spürnase auch abgesendet hat… und anders herum eben. Weiterhin kann sich jede Leserin und jeder Leser darauf verlassen, daß er/sie bei der einzig echten Medienspürnase gelandet ist. Die verschlüsselte Verbindung erkennt man in der Adresszeile am Browser an einem Sicherheitsschloss und einem https:// vor der Domain. Ein Klick auf das Schloss bringt noch einige Infos zum Zertifikat zum Vorschein. SSL Zertifikat Zertifikatinfos Shariff-Plugin

Mehr Komfort und eine Verbesserung des Datenschutzes bringt das Plugin Shariff mit sich. Komfort und Sicherheit? Da gibt es keinen Haken. Leser brauchen jetzt nur noch ganz genau einen Klick statt wie bisher zwei, um Artikel auf einer gwünschten Social-Media-Plattform zu tauschen. Dennoch erhöht sich der Datenschutz noch einiges.

Was war! Beim alten 2-Klick verfahren, aktivierte man die Buttons und schon da wußten die sozialen Netzwerke, wo man sich gerade aufhielt. War man noch bei diesen angemeldet, so verknüpften diese die Daten mit den Sachen, die man bereits in Chronik und Profil eingegeben hat.

Was ist! Jetzt allerdings wurde eine bessere Methode entwickelt, um den Komfort zu erhöhen, die Datensicherheit noch besser zu gewährleisten. Man muß die Buttons nicht mehr aktivieren und von allein senden diese auch keinee Daten zu Facebook, Google und Co. Diese neuen Knöpfe bestehen aus einfachen HTML und CSS. Ein auf Javascript basierender Codeschnipsel auf dem Server der Medienspürnase dient als Vermittler zwischen den Netzwerken und den Lesern. Dieses Script wird erst dann aktiv, wenn man sich entschließt einen Beitrag zu teilen. Vorher werden absolut keine Daten von den Social-Media Plattformen gesammelt. Hier habe ich deutlich mehr Netzwerke freigeschaltet. Und eine Funktion aus dem verflossenem Print friendly bringt Shariff trotzdem noch mit. Hat man einen Mailer wie Thunderbird oder Outlook installiert, so kann man auch über seine eigene Mailadresse Artikel als E-Mail weiterempfehlen. Social Media Buttons Yet Another Related Posts

Dieses Plugin dient nur dem Komfort der Leserschaft. Ähnliche Beiträge, wie gerade gelesene, werden am Ende des Artikels als kurze Linkliste beigefügt. Das hat auch den Vorteil, daß ältere Beiträge nicht einfach ganz verschwinden. So wird der Suche nach ähnlichen Themen vorgebeugt. Diese Relevanten Artikel sind zur Ergänzung für deie abschließende Linkliste gedacht. Yet another Related Posts Plugin YARPP

Update 23.Dezember 2014 9 Uhr 45

Ich habe zwecks der SSL-Zertifikate noch ein bisschen recherchiert. Google bevorzugt SSL-Verschlüsselte Verbindung beim Ranking ein bisschen und liefert diese noch vor unverschlüsselten Seiten aus.

Links

  1. Download Shariff
  2. Yet another related Posts Plugin (YARRP) Download
  3. Print Friendly & PDF Plugin Download
  4. 2 Click Social Media Buttons Download

Gut verschlüsselte Texte

gpg4usb verschlüsselt unter Linux und Windows Dateien und Texte mit GnuPG und bringt dafür einen eigenen Editor mit.

Um unterwegs im Internet-Café oder von fremden Rechnern verschlüsselt per Mail oder Instant-Messenger zu kommunizieren, benötigt ein portables Tool wie gpg4usb. Es bringt die Softare GnuPG mit und läßt sich leicht ohne Installation von jedem USB Stick starten. Es reicht, die Software auf einem Stick zu entpacken. Auf dem Stick lagern neben der Verschlüsselungssoftware auch die privaten und öffentlichen Schlüssel. Um sicher zu gehen, daß die Passphrase und die eigenen Schlüssel, gerade die privaten Schlüssel, nicht kompromitiert werden, sollte man die Software nur auf vertrauenswürdigen Rechnern starten.

Neben Texten kann man mit der Open-Source-Software gbg4usb auch Dateien verschlüsseln. Beim ersten Start übernimmt ein Assistent vorhandene eigene Schlüsselpare oder generiert bei Bedarf ein neues Paar. Über diverse Schaltflächen lassen sich die Schlüssel verwalten und Dateien ver- und entschlüsseln. Im integrierten Editor lassen sich Texte verfassen und direkt codieren. Dazu müssen die Schlüssel des Adressaten und sinnvollerweise der eigene Schlüssel ausgewählt sein, dann chiffriert ein Klick auf Verschlüsseln den Text. Das Entschlüsseln von Texten ist das selbe in grün. Signieren und Verifizieren kann man auch mit gpg4usb.

Fals gewünscht übernimmt man chiffirerten Text via Copy&Paste in einen Messenger oder in einen Webmail-Client – oder man speichert den Text einfach auf der eigenen Festplatte. Hat man Text aus einenm Webmailer eingefügt, kann gpg4usb überflüssige Zeilenumbrüche entfernen oder Kommentare hinzufügen.

Pflicht zur End-to-End-Verschlüsselung

Das deutsche Verbraucherschutzministerium will sich in Brüssel für die Verschlüsselung von Nutzerdaten bei Internetdienstanbietern stark machen. Wenn es nach den Staatssekretären geht, so soll eine Ende-zu-Ende-Verschlüsselung in der Grundverordnung für Datenschutz feststehen. Wenn ein Nutzer explizit auf Kryptographie verzichten will, soll auf diese Sicherheitsstandards verzichtet werden.

Bisher bieten nur wenige Anbieter eine komplette Verschlüsselung der Nutzerdaten an. DE-Mail und Mail Made in Germany sind nicht ausreichend geschützt, da die Nutzerdaten nur auf den Transportwegen verschlüsselt sind und auf den Servern ungesichert vorliegen.

Geht es nach den deutschen Verbraucherschützern, muß eine End-to-End-Verschlüsselung gesetzlich festgelegt sein und von Haus aus standardmäßig aktiviert sein. Nur wenn „der wissende Kunde“ auf eine verlässliche Variante der Verschlüsselung verzichten will, so soll das Datenschutzzniveau abgesenkt werden.

Weiterhin soll eine stärkere Überwachung der in Europa agierenden Konzerne festgeschrieben werden. Das soll heißen, daß beispielsweise Datenschutzbehörden sich die Verfahren zur Kryptografie der Banken und anderen Unternehmen wissenschaftlich fundiert und sicher sind.

Fazit

Bleibt abzuwarten, wie die gesetzlichen Regelungen genau aussehen werden und wie diese dann von den einzelnen Unternehmen umgesetzt werden. Open-Source Software bietet durch das Viele-Augen-Prinzip eine erhöhte Sicherheit. Aber in wie fern solche Software eingesetzt wird, steht noch in den Sternen. Eine Ende-zu-Ende-Verschlüsselung funktioniert nur, wenn jeder Nutzer ein Schlüsselpaar aus langen und zufällig generierten Schlüsseln besitzt – einem öffentlichen Schlüssel und einen privaten Schlüssel – wobei der öffentliche Schlüssel zum Verschlüsseln der Mails getauscht wird. Sicher bleibt das ganze nur, wenn jeder Nutzer nur selbst Zugriff auf seinen eigenen geheimen Schlüssel hat, der nicht öffentlich zugänglich auf fremden Servern herumliegt.

Sicherheitsnotiz – Telekom und der verschlüsselte Mailtransport

Nach United Internet (GMX und Web.de) zieht die Telekom mit der Verschlüsselung der Transportwege für Mails nach. Nun sollen die Mails auf dem Transport vom Kunden zum Telekom eigenen Mailserver und zwischen den Mailservern der Telekom und anderen Mail-Providern künftig per SSL verschlüsselt werden. Bis zum 31. März will die Telekom ihre Mailserver entsprechend umgestellt haben.

Nutzer, die ihre Mails über das Webfrontend der Telekom verschicken und empfangen, werden den Wechsel nicht zu spüren bekommen. All Jene, die einen Mailclient (beispielsweise MS Outlook oder Thunderbird) nutzen, müssen ihr Programm mit wenigen Schritten auf das neue Verfahren einrichten. Wie das geht, beschreibt die Telekom auf dem unten genannten Link. Ein tutorial für sämtliche Mailclients zu erstellen, würde hier den Rahmen sprengen. Die Telekom hat diese Arbeit schon recht gut und bebildert erledigt.

Aber Achtung: Die Verschlüsselung der Transportwegen zwischen den Mailserver und dem Kunden ist keine End-to-End Verschlüsselung. Die Mails liegen noch unverschlüsselt im Klartext auf den jeweiligen Mailservern. Die Verschlüsselung der Transportwege bringt nur den Vorteil, daß die Nachrichten auf dem Weg von einem zum anderen Empfänger nicht abgefangen und verändert werden können. Bricht jemand direkt auf Mailserver mit unverschlüsselten Mails ein, so kann er auf diesem Weg an den begerten Inhalt kommen.

Bei vielen anderen Mail-Providern ist eine Verschlüsselung der Transportwege via SSL Standard. Telekom und United Internet betreiben die Kampange Mail made in Germany seit bekannt werden der Lauschangriffe der NSA. Mit dieser Methode möchte man unerfahrene Nutzer in relativer (Un)Sicherheit wiegen.

Wer seine Mails wirklich komplett verschlüsseln will, sollte daher auf einen Mailclient setzen und auf seinem Rechner mit Verschlüsselungsprogrammen wie Pretty Good Privacy bestücken, die jeweils einen privaten und einen öffentlichen Schlüssel erzeugen. Wie das genaue Verfahren dazu abläuft, habe ich bereits im Artikel Privates verschlüsselt – Sicher Chatten mit Pidgin angerissen.

Wie man genau seine Mails sichert, beschreibt der Heise Zeitschriftenverlag in einem Sonderheft der c’t.

Links:

  1. Telekom SSL Verschlüssleung für den Mailclient
  2. c’t wissen Sichere E-Mail

Ähnliche Artikel zum Thema

Privates verschlüsselt – Sicher Chatten mit Pidgin

Immer häufiger kommen in verschiedenen Internetforen Fragen auf, wie man am Besten seine Kommunikation im Internet verschlüsseln kann. Das hat sicherlich mit der NSA Spähaffäre zu tun, die immer gewaltiger(er)e Ausmaße annimmt. Leider gibt es für das Verschlüsseln kein allgemeingültiges Patentrezept und keine praktikablen Lösungen für Jedermann, die zudem noch systemweit (auf dem eigenen Rechner) sämtliche Kommunikation verschlüsselt. So muß jedes Programm zur digitalen Kommunikation einzeln irgendwie abgesichert werden. Daher bedeutet Verschlüsselung immer noch einiges an Grundwissen, die richtige Software und Geduld beim Einrichten eben dieser. Auch ist Disziplin gefragt. Fakt ist: Es artet ganz schnell in Arbeit aus. Daher beschäftigt sich dieser Artikel mit der Verschlüsselung von Privatgetippsel über verschiedene Instantmessenger.

Instantmessenger, was ist das?

Instantmessenger sind kleine Zusatzprogramme zum Chatten und Versenden von Sofortnachrichten in verschiedenen Längen. Hierfür haben sich mittlerweile viele Protokolle etabliert, man nehme beispielsweise ICQ, XMPP/Jabber, Yahoo oder Skype. In diesen Messengern werden Kommunikationspartner abgelegt, verwaltet und man kann am eigenen Bildschirm sehen, wer Online ist und wer nicht. Ist jemand Online, kann man dieser Person über ein Chatfenster eine Nachricht zukommen lassen, die ohne Zeitverzug bei ihm/ihr auch angezeigt wird. Der Begriff Peer-to-Peer (P2P) trifft es daher recht gut. Textnachrichten werden je nach genutztem Protokoll entweder direkt zum Gegenüber geroutet oder nehmen einen Umweg über die Server des jeweiligen Diensteanbieters.

Die einzelnen Dienste weisen jedem Benutzer eine eigene Adresse zu, die wie die Postanschrift im Heimatort wirkt. Mit dieser Adresse und einem Passwort kann sich der jeweilige Nutzer authentifizieren. Die eigene Adresse tauscht man mit anderen Personen meist auf anderem Wege aus und erlaubt somit den anderen Nutzern seinen Status (Online oder Offline) anzuzeigen.

Instantmessenger gibt es wie Sand am Meer, zu jedem Protokoll gibt es mindestens eines, welches die Entwickler des Protokolls herausgeben. Nutzt man mehrere dieser Protokolle, kommen aus Gründen des eigenen Komforts oder der eigenen Systemressourcen Multimessenger zum Einsatz. Eine Open-Source Alternative ist beispielsweise Pidgin. Diese Multimessenger vereinen mehrere (oder alle) dieser Protokolle unter einem Dach, so daß man nicht für jedes Protokoll einen anderen Messenger benötigt.

Wie Funktioniert eine Verschlüsselung?

Alice möchte Bob eine Nachricht über einen Messenger schreiben. Nun kann sich jeder Neugierige zwischen den Beiden einklinken und Alices Nachricht mitlesen oder sogar verändern.

Daher einigen Alice und Bob sich darauf, ihre Kommunikation zu verschlüsseln. Dazu generiert Alice an ihrem eigenen Computer ein Schlüsselpaar aus einem öffentlichen Schlüssel und einem geheimen, privaten Schlüssel.

Bob tut das gleiche an seinem Computer. Jeder besitzt also einen privaten Schlüssel, der bei jedem selbst bleibt. Die öffentlichen Schlüssel werden nun zwischen Bob und Alice ausgetauscht. Ohne beide Schlüsselpaare können neugiereige Mitleser nur Zeichensalat empfangen.

Jetzt möchte Alice eine verschlüsselte Nachricht an Bob schicken. Für diesen Brief kramt sie Bobs öffentlichen Schlüssel heraus, dazu ihren eigenen geheimen Schlüssel, den nur sie persönlich kennt. Mit dieser Kombination verschlüsselt sie ihre geheime Nachricht und schickt diese an Bob.

Kurze Zeit später bekommt Bob die Nachricht und sieht ersteinmal nur Zeichensalat, denn die Nachricht ist ja codiert. Nun braucht er Alices öffentlichen Schlüssel und seinen geheimen Schlüssel um den Zeichensalat zu entziffern.

Kurz gesagt: Wenn ich eine Nachricht verschlüsseln möchte, brauche ich eine Kombination aus meinem eigenen, nur mir bekanntem Privatschlüssel und dem öffentlichen Schlüssel des Kommunikationspartners. Beim Entziffern läuft das faktisch genauso ab, nur irgendwie anders und umgekehrt.

Asymmetrische Verschlüsselung
Asymmetrische Verschlüsselung

Nun das ist die vereinfachte Form der Verschlüsselung. Beim Chatten via Instant-Messenger gibt es allerdings noch ein paar weitere Punkte zu beachten, da diese Form der Kommunikation prinzipiell so zu behandeln ist wie ein Gespräch unter vier Augen. Folgende Punkte müssen gewährleistet seit:

  1. Verschlüsselung – Niemand kann die Nachrichten mitlesen.
  2. Beglaubigung – Man kann sich sicher sein, dass der Empfänger derjenige ist, für den man ihn hält.
  3. Abstreitbarkeit – Verschlüsselte Nachrichten enthalten keine elektronische Signatur. Es ist also möglich, dass jemand Nachrichten nach einer Konversation so fälscht, dass sie von einem selbst zu stammen scheinen. Während eines Gespräches kann der Empfänger aber gewiss sein, dass die empfangenen Nachrichten authentisch und unverändert sind.
  4. Folgenlosigkeit – Wenn der (langlebige) private Schlüssel einem Dritten in die Hände fällt, hat dies keine Auswirkung auf die Kompromittierung bisher getätigter Gespräche: Die Gespräche können damit nicht nachträglich entschlüsselt werden.

Das kompliziert das oben beschrieben Verfahren natürlich um Einiges. Insgesamt werden hier mehrere, sehr kurzlebige Schlüssel aus den privat generierten und getauschten Daten generiert, so daß die eben genannten Faktoren eingehalten bleiben. Mehr dazu gibts bei der Wikipedia zu lesen, wer denn nach OTR – Off the Record Messenging sucht. Verschlüsselt wird hier nach Diffie-Hellmann

Warum denn so kompliziert?

Jedes Schlüsselpaar wird aus je zwei Zeichenkolonnen erstellt. Der öffentliche Schlüssel, der an andere User ausgegeben wird, darf keine Rückschlüsse auf den privaten und geheimen Schlüssel erlauben. Zudem ist das bisher noch die sicherste Methode um Mails und Kurznachrichten zu verschlüsseln.

Messenger und Chat-Protokolle sind per Default (also in den Grundeinstellungen) zudem nicht für Verschlüsselung eingestellt. Bei den massiven Lauschattacken gegen die kommunikative Freiheit ist es wichtig, für ein Stückchen Sicherheit zu sorgen.

Die Regeln, die im öffentlichen Leben auf der Straße gelten, sind im Internet genauso gültig. Niemand würde vertrauliche Informationen im direkten Gespräch von Nachbar zu Nachbar quer über die Straße brüllen. Man trifft sich dazu an einem ungestörten Ort, wo man sich dazu austauscht. Bei E-Mails und Chatnachrichten ist Vertraulichkeit genauso anzuwenden wie bei einem privaten Gespräch. Es muß nicht jeder alles mithören oder mitlesen können, denn unter Beobachtung sagt und schreibt man doch einiges nicht oder anders, als wenn man privat miteinander redet oder schreibt.

Wie kann ich meine Instantmesseges denn nun am Besten Verschlüsseln?

Wir benötigen ein halbwegs aktuelles Windows (ab Vista und aufwärts) oder Linux, dazu den aktuellen Multimessenger Pidgin und das Plugin OTR – Off-the-Record Messaging. Getestet habe ich das bisher nur unter Windows.

Für die meisten Distributionen von Linux dürfte Pidgin in den Hauptrepositories der jeweiligen Distribution liegen. Das Plugin OTR – Off-the-Record Messaging bekommt man ebenfalls über den Paketmanager. Für Linux heißt das Paket für das Plugin pidgin-otr. Beides installiert man oder holt sich die jeweiligen Pakete von der Entwicklerseite und kompiliert diese sich.

Folgende Schritte habe ich unter Windows erledigt, dürften aber unter Linux ähnlich sein. Ich gehe davon aus, daß der geneigte Leser bereits schon bei irgendeinem beliebigen Dienst das eine oder andere Konto hat. Wie das für die einzelnen Dienste anzulegen ist, würde den Rahmen hier sprengen. Daher gehe ich nur darauf ein, wie man seine Accounts in Pidgin anlegt.

  1. Pidgin downloaden. Unter Linux schaut man im Paketmanager nach, ob da Pidgin vorhanden ist, anonsten kompiliert man sich Pidgin.
  2. Jetzt installiert man sich Pidgin, dazu folgt man den Anweisungen auf dem Bildschirm.
  3. Beim ersten Start kommt nun folgendes Fenster.
    Willkommensassistent Pidgin
    Willkommensassistent Pidgin

  4. Mit einem Klick auf Hinzufügen kann man nun einen ersten Account in Pidgin einpflegen.
  5. Nun füllt man die geforderten Angaben natürlich mit den entsprechenden Daten aus. Hat man woanders noch andere Accounts herumfliegen, wiederholt man die genannten Punkte so oft, bis alles eingepflegt ist.
    Konteneinrichtung Pidgin
    Konteneinrichtung Pidgin

  6. Bestehende Kontakte aus jedem Messenger werden von den Servern der jeweiligen Diensteanbieter automatisch in die Buddy-List importiert und eingefügt.

Hat man alle seine Accounts in Pidgin eingepflegt, muß noch das Plugin OTR – Off-the-Recording Messaging installiert werden. Linuxanwender bekommen das Paket pidgin-otr aus ihrem Paketmanager und ihren Repositories, die für ihre Distribution zuständig sind.

  1. Das Plugin OTR – Off the Record Messaging downloaden
  2. OTR auf dem eigenen System installieren.

Jetzt geht es ans Einrichten von OTR – Off-the-Record Messaging.

Hinweis: Beide Kommunikationspartner, die verschlüsselte Nachrichten senden und empfangen wollen, benötigen ein eigenes Schlüsselpaar aus öffentlichem und privatem Schlüssel. Das setzt bei bei Sender und Empfänger die gleiche oder ähnliche Software vorraus, die das Generieren der privaten und öffentlichen Schlüssel und das spätere Chiffrieren und Dechiffrieren der Nachrichten erledigt.

Jetzt muß man Pidgin natürlich erst einmal dazu bringen, ein Schlüsselpaar aus privatem und öffentlichem Schlüssel zu generieren. Den öffentlichen Schlüssel muß man natürlich mit jedem Kommunikationspartner, mit dem man schreiben möchte, austauschen.

  1. Dazu muß der geneigte Nutzer in der Menüleiste in der Liste mit den Bekanntschaften auf Werkzeuge und Plugins klackern. Die beiden Bilder zeigen das natürlich noch einmal.
    Buddy Liste Pidgin Hier klickert man auf das Menü Werkzeuge und darin dann auf Plugins oder man nutzt unter Windows gleich das Tastenkürzel STRG+U
    Buddy Liste Pidgin Hier klickert man auf das Menü Werkzeuge und darin dann auf Plugins oder man nutzt unter Windows gleich das Tastenkürzel STRG+U

    Installierte Plugins Pidgin Hier sucht man sich das Plugin OTR aus und klickert auf Konfigurieren
    Installierte Plugins Pidgin Hier sucht man sich das Plugin OTR aus und klickert auf Konfigurieren

  2. Im folgendem Fenster generiert man am besten gleich für alle angelegten Messengerkonten ein Schlüsselpaar
    OTR Konfiguration Pidgin Hier konfiguriert man sich am besten für jedes Messengerkonto ein eigenes Schlüsselpaar.
    OTR Konfiguration Pidgin Hier konfiguriert man sich am besten für jedes Messengerkonto ein eigenes Schlüsselpaar.

  3. Nun muß man sich mit seinem Gesprächspartner, am besten durch drei Blumentöpfe hindurch, auf eine Frage und eine dazu passende Antwort verständigen. Das könnte beispielsweise der Lieblingsfilm Blade Runner sein, wo ein Wort die Frage und das andere die Antwort ist.
    Authentification OTR Pidgin Vorab muß man sich auf eine Frage und eine passende Antwort verständigen, man kann natürlich auch manuell über einen sicheren Weg die beiden Schlüssel authentifizeren.
    Authentification OTR Pidgin Vorab muß man sich auf eine Frage und eine passende Antwort verständigen, man kann natürlich auch manuell über einen sicheren Weg die beiden Schlüssel authentifizeren.

  4. Der Kommunikationspartner müßte dann die Frage beantworten oder selbst die Frage stellen. Wie das aussieht kann man imm folgenden Bild einsehen.
    Authtentificationsanfrage Pidgin - Der Kommunikationspartner muß antworten, damit die öffentlichen Schlüssel gesichtert ausgetauscht werden können.
    Authtentificationsanfrage Pidgin – Der Kommunikationspartner muß antworten, damit die öffentlichen Schlüssel gesichtert ausgetauscht werden können.

  5. Ist die Authentification erfolgreich, ist der verschlüsselte Chat aktiv, ist sie fehlgeschlagen, muß diese Prodzedur wiederholt werden.
    Authentification war erfolgreich Pidgin - Eine verschlüssselte Verbindung steht
    Authentification war erfolgreich Pidgin – Eine verschlüssselte Verbindung steht

    Authentification fehlgeschlagen Pidgin - Die Prodzedur mit Frage und Antwort sollte wiederholt werden, da sonst keine verschlüsselte Verbindung zustande kommt
    Authentification fehlgeschlagen Pidgin – Die Prodzedur mit Frage und Antwort sollte wiederholt werden, da sonst keine verschlüsselte Verbindung zustande kommt

Fazit

Ein ähnliches Prodzedere gibt es beim Verschlüsseln von E-Mails. Jeder, der verschlüsselt kommunizieren möchte, sei es beim Chatten oder beim Mails schreiben, muß einiges an Arbeit auf seiner eigenen Seite investieren. Dazu kommt noch die Überzeugungsarbeit, um Kommunikationspartner zum Verschlüsseln zu bewegen.

Momentan bieten einige Provider von Instant Messengerprotokollen und Mailpostfächern an, die Verbindung zwischen Sender und Empfänger bzw zwischen Sender und dem hauseigenen Server und zwischen Server und Empfänger via SSL/TLS zu sichern. Damit werden die Nachrichten an sich selbst nicht geschützt. Im Zweifelsfall kann man die Nachrichten dann an geeigneter Stelle, beispielsweise bei zwischengeschaltetem Server, speichern und lesen bzw auch verändern. Dagegen hilft nur die Totalverschlüsselung, wie sie hier beschrieben wurde. Kommunikationswege an sich werden nur von den Providern durch diverse Trust-Zertifikate gesichert.

Alles in Allem ist das Verschlüsseln der Nachrichten mit einigem Aufwand verbunden und viele Leute scheuen daher die Mühen aus verschiedenen Gründen. Mir ist es auch schon untergekommen, daß man nicht auf für sich bekannte und bewährte Software verzichten mag. Leider gelingt eine solche Integration in freier Open-Source Software, hier im Beispiel Pidgin, am Besten und mit dem wenigsten Aufwand. Hersteller von proprietärer Software (beispielsweise ICQ, Skype usw.) machen es dem Nutzer schwer, solche Lösungen zu implementieren.

Mit Hilfe von quelloffenen Multi-Messengern ist es ein Einfaches mit einer Verschlüsselungstechnik wie dieser, sämtliche genutzten Chatprotokolle abzudecken und mit einem Streich sämtliche Nachrichten zu den Kommunikationspartnern verschiedener Dienste abzusichern.

Wie sicher jetzt diese Verschlüsselung ist, wage ich nicht zu beurteilen. Jede Verschlüsselung hebt den Aufwand, an den begehrlichen Inhalt von Nachrichten heranzukommen, deutlich an. Je besser eine Verschlüsselung ist, desto höher ist der Rechenaufwand, um diese zu knacken. Irgendwann mag jede Verschlüsselung durch schiere Rechenkraft geknackt werden, aber bis dahin fließt noch viel Wasser die Weida hinunter, so daß jede privat geführte Chatunterhaltung vorerst privat bleibt

Links

Im Artikel benutzte Programme

  1. Downloadseite OTR – Off the Record Messaging
  2. Download Pidgin – Multimessenger

Weiterführende Lektüre

Sicherheitsnotiz – Erpressung durch knallharte Verschlüsselung

Cryptolocker hat es in sich. Die Entwickler dieses Trojaners nutzen knallharte Verschlüsselung mit einem 2048bittigem RSA-Schlüssel. Nach der Infektion des PCs läßt sich der Schädlinng von seinem Command-and-Control Server ein RSA-Schlüsselpaar generieren, von dem er sich nur den öffentlichen Schlüssel zuschicken läßt. Mit diesem Schlüssel wird alles, was der Trojaner auf dem PC an Daten findet verschlüsseln. Auch Netzwerkfreigaben sind scheinbar betroffen. Nun wird der Computernutzer erpresst. Für den privaten Schlüssel zur Entschlüsselung der privaten Daten sollen schlappe 300 Dollar berappt werden, zahlbar beispielsweise in Bitcoins und natürlich auch über andere Wege. Zusätzlich wird dem panischen Nutzer noch ein Countdown angezeigt, bei dessen Ablauf der private Key gelöscht wird… als Druckmittel sozusagen. Opfer, die diesen Trojaner bereits entfernt haben, bieten die Entwickler an, den privaten Key über das TOR-Netzwerk zu erwerben. Berichten zu folge werden dort 10 Bitcoins fällig, was beim jetzigen Wechselkurs mehr als 2000 Euro sind. Weiteren berichten zu Folge werden bei beiten Methoden die Daten nicht mehr freigegeben. Deswegen wird abgeraten das Lösegeld für die Daten zu zahlen. Regelmäßige Backups sind daher Pflicht, weil die VBerschlüsselung auf anderem Weg noch nicht umgangen werden kann.

Mail Made in Germany – Mailprovider in Deutschland werben um Vertrauen

Seit ein paar Tagen werben drei große Mailanbieter aus Deutschland mit sicheren Mailverschlüsselung unter dem Namen Mail Made in Germany. Doch was nützt dieses Verfahren dem Endkunden wirklich? Hilft es gegen die Spionage durch BND, NSA und andere Geheimdienste?

Erst einmal zu Mail Made in Germany. GMX, Web.de und die deutsche Telekom werben neuerdings mit einer Technologie, die seit gut 2 Jahrzehnten bekannt ist. Diese Technologie heißt SSL/TLS und soll den Mailverkehr zwischen dem Absender, dem Mailprovider (hier GMX, Web.de und Telekom) verschlüssen.

Was soll dabei passieren?

Der Absender einer E-Mail loggt sich mit seinem Mailprogramm, beispielsweise Outlook oder Thunderbird oder mit seinem Browser in sein Postfach bei einem der drei genannten Anbieter ein. Dieses Postfach liegt auf einem großen Server, der die abgesendeten E-Mails entgegennimmt und an die Empfänger ausliefert.

Vergleichen wir das ganze mit einem anderen Konzept, der deutschen Post. Vereinfacht dargestellt ist eine E-Mail eine Postkarte, jeder, der die Karte in der Hand hat, kann lesen was drauf steht. Diese Postkarte schafft der Absender zur Post, die diese entgegen nimmt und dann zum Empfänger ausliefert.

Hat sich der Briefeschreiber mit seinem Browser oder Mailprogramm bei seinem Postfach angemeldet kann er schon mit dem Schreiben seiner Mail loslegen. In der Regel geschieht das noch auf dem Rechner desjenigen, der die Mail verfasst.

Klickt er auf den Knopf mit der Aufschrift Versenden, wird die E-Mail, also unsere Urlaubspostkarte, dem Mailprovider, wie die Postkarte der Post, übergeben. Nun kann aber auf dem Weg zwischen dem Computer unseres Briefe schreibenden Absenders und dem Server des Mailproviders so allerhand passieren. Jemand kann die Mail abfangen, lesen und verändern, das geht aber bereits erst mit einigem technischen Aufwand. Und da greift jetzt SSL/TLS.

Auf dem Weg zwischen Absender und Mailprovider, bzw auf dem Weg zwischen Mailprovider und Empfänger wird unsere elektronische Postkarte verschlüsselt. Nun wird es schwieriger die Mail zwischen den einzelnen Stationen zu entführen und zu verändern oder auch nur zu lesen. Eine Mail gelangt meist über mehrere Stationen vom Absender zum Empfänger. Der Absender übergibt die Mail an einen Server seines Mailproviders. Der Absenderserver sucht in einem Register wo denn der Empfänger gemeldet ist und übergibt die Mail dann an den Server des Mailproviders wo der Empfänger eingetragen ist, also wo er sein Postfach hat. Dieser Server legt dann die Mail in das Postfach des Empfängers. Also kommen auf dem Weg der Mail vom Absender zum Empfänger mindestens noch zwei Stationen dazu, in der Praxis kann das aber noch mehr werden, wenn die Mail noch durch verschiedene Netze geroutet werden muss.

Was hat der Kunde von dieser Verschlüssselung?

Mit dieser Technologie werben jetzt Web.de, GMX und die Telekom. SSL/TLS ist schon fast zwanzig Jahre alt, wurde aber in den letzten Jahren, was die Kommunikation via E-Mail anbetrifft, nie wirklich genutzt. Jetzt führen genannte Provider diese Sicherheit ein und bewerben es für den Laien als die ultimative und neueste Sicherheit gegen Prism, Tempora und co.

Für den Endkunden bedeutet es nur, daß der Weg zwischen Absender und Mailserver beziehungsweise zwischen Mailserver und Empfänger und zwischen den einzelnen Mailservern gesichert ist. Ob die Mails selbst auf den Mailservern noch verschlüsselt sind, wird verschwiegen.

In den Enthüllungen von Edward Snowden wurde, laut verschiedensten Meldungen in den Medien, auch behauptet, daß diverse Diensteanbieter in der Kommunikationsbranche, vorrangig in England, dazu verdonnert wurden, an an ihren Servern sogenannte Abhörschnittstellen zu installieren. Ob und in wie weit soetwas in Deutschland passiert ist derzeit noch unklar. Durch solche Berichte wird jedenfals das Vertrauen in Diensteanbieter grundlegend erschüttert. Ob das auch noch andere Dienste betrifft, ist derzeit unklar.

Fazit

Die Ideen der deutschen Mailprovider sind ein schwacher Anfang in die richtige Richtung, klingen aber vor dem Hintergrund der Spähgaffäre insgesamt wie Hohn. In den letzten Jahren kam von keiner Stelle aus eine richtige Initiative, die dem Otto-Normal-Endkunden praktikable und verständliche Lösungen angeboten haben, seine Daten sicher und für andere unleserlich über das Internet zu versenden. Momentan muß jeder Endkunde sich vor Augen halten, daß eine E-Mail nichts anderes ist als eine Postkarte, die jeder lesen, verändern und kopieren kann. Von den Mailprovidern müssen langsam praktikable Lösungen für alle kommen, denn sonst bleibt Verschlüsselung nur denjenigen vorbehalten, die sich tiefer mit der Materie auskennen. Durch diesen Ansatz kann man den drei Mailprovidern Telekom, GMX und WEB.de nicht wirklich hundertprozentig vertrauen, denn eine Mail ist wirklich erst sicher, wenn man diese mit PGP oder S/Mime verschlüsselt versenden kann. Die alleinige verbarrikadierte Verbindungen zwischen den einzelnen Sendestationen reicht nicht aus, die Mails müssen auch weiterhin auf den Servern der Provider verschlüsselt bleiben das ist nur durch PGP erreichbar. Es muss also ein komplettes Umdenken in der Kommunikationsbranche her, sonst hat jeder Nerd seine eigene Insellösung und die restlichen 90 Prozent der breiten Masse mailen noch ungesichert und für jeden Geheimdienst gut mitlesbar. Zumindestens sind gut gesicherte Mails für einige Zeit vor unbefugtem Zugriff sicher, solang bis die Geheimdienste auf schiere Rechenpower und geknackte Schlüssel zurückgreifen können.

Tip

Jedes Jahr auf der CeBit in Hannover ist der Heise-Verlag vertreten und seit einigen Jahren kann sich jeder dort gegen Vorlage eines Ausweises und seinen Mailadressen Schlüssel und Zertifikate für das Versenden seiner Mails erstellen lassen.