Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

July 02 2013

Anleitung: so verschlüsselt ihr eure E-Mails mit PGP

Das gesamte Ausmaß des US-Datenschutzskandals ist längst noch nicht ersichtlich. Doch eine Sache scheint klar: auch in Deutschaland ist der NSA sehr aktiv und überwacht den Internetverkehr so massiv wie in kaum einem anderen Land. Sich in Gänze vor der Überwachung zu schützen ist sicherlich nicht möglich, doch es gibt Wege wenigstens bestimmte Bereich seiner Kommunikation im Internet vor der Spionage der Geheimdienste zu schützen. Beispielsweise durch die Verschlüsselung seiner E-Mails mittels PGP. Auch wenn PGP mittlerweile mehr als 15 Jahre alt ist, bietet es immer noch ausgezeichneten Schutz – selbst vor Geheimdiensten wie der NSA, wie auch Edward Snowden im Q&A mit dem Guardian noch einmal bestätigte:

Is encrypting my email any good at defeating the NSA survelielance? Id my data protected by standard encryption?

Snowden: “Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it.”

Einen ausführlichen Artikel zum Thema E-Mailverschlüsselung hat daMax auf seinem Blog veröffentlicht, den wir an dieser Stelle mit freundlicher Genehmigung ebenfalls veröffentlichen:

PGP jetzt!

Ein PGP-Key

Ein PGP-Key

Ihr wollt nicht, dass jeder Staatsbüttel eure Mails mitliest? Dann wäre jetzt ein guter Zeitpunkt, endlich mal PGP zu benutzen. Damit könnt ihr schon seit achwasweißichwievielen Jahren eure Mails so verschlüsseln, dass kein Schlapphut mitlesen kann. Der Haken: ihr müsst ca. 15 Minuten eures Lebens investieren, um euch mit dem Prinzip vertraut zu machen und noch einmal ein paar Minuten, um das auf eurem Rechner zu installieren.

Da in den letzten Tagen wenigstens einige der mir bekannten Blogger anfangen, PGP einzusetzen, dachte ich mir, ich klopp’ jetzt noch mal eine Anleitung heraus, wie PGP funktioniert und wie ihr das selbst einsetzen könnt.

Die Voraussetzungen:

  • Ihr habt eine Mailadresse, an die ihr per POP3 oder IMAP heran kommt. Das geht auf jeden Fall bei GMX, Web.de, T-online und anderen Anbietern; wer eine eigene Domain á la www.huhuichbins.de hast, weiß wahrscheinlich eh Bescheid.
  • Ihr wisst, wie ihr eure Mails in einem eigenen Mailprogramm (Apple Mail, Outlook, Thunderbird o.ä.) lesen könnt. Wenn ihr eure Mails lest, indem ihr z.B. da oben www.gmx.de oder www.web.de eingebt, kann euch vielleicht mit Mailvelope geholfen werden.

Die Funktionsweise:

Verschlüsselung mit öffentlichem Schlüssel und Entschlüsselung mit privatem Schlüssel (Wikipedia)

Verschlüsselung mit öffentlichem Schlüssel und Entschlüsselung mit privatem Schlüssel (Wikipedia)

Das Prinzip der Mailverschlüsselung ist schnell erklärt. Jeder Teilnehmer hat 2 Schlüssel: einen privaten und einen öffentlichen. Der öffentliche wird an alle Leute gegeben, mit denen ihr komminuzieren wollt. Den privaten behaltet ihr immer nur für euch. Nie rausgeben. Klar?

Nehmen wir an, ihr wollt mit Berta verschlüsselt kommunizieren. Ihr gebt Berta euren öffentlichen Schlüssel, Berta gibt euch ihren öffentlichen Schlüssel. Nun könnt ihr Berta eine Mail schicken, die ihr mit Bertas öffentlichem Schlüssel abschließt.

Der Clou: Mails, die mit Bertas öffentlichem Schlüssel verschlüsselt wurden, können nur mit Bertas privatem Schlüssel wieder lesbar gemacht werden. Will Berta antworten, so verschlüsselt sie mit eurem öffentlichen Schlüssel, diese Mail ist nur mit eurem privaten Schlüssel zu öffnen. Das Ganze nennt sich Asymmetrische Kryptographie und wird bei Wikipedia nochmal mit anderen Worten erklärt.

Das Prinzip der öffentlichen und privaten Schlüssel setzt voraus, dass jeder Teilnehmer seinen privaten sowie die öffentlichen Schlüssel aller anderen Teilnehmer hat. Solche Schlüssel sind reine Textdateien und können prinzipiell per Mail verschickt werden. Komfortabler ist es jedoch, seinen öffentlichen Schlüssel auf einen sogenannten Keyserver hochzuladen, wo sich dann jeder andere den Schlüssel “abholen” kann. ACHTUNG: bevor ihr den letzten Schritt geht, möchte ich euch dringend raten, ein “Widerrufszertifikat” (revocation certificate) für euren Schlüssel zu erstellen, denn nur damit könnt ihr einmal auf Keyservern veröffentlichte Schlüssel wieder “aus dem Verkehr ziehen”.

Der praktische Einsatz:

Thunderbird mit EnigMail

Thunderbird mit EnigMail

Wie ihr nun PGP auf eurem Rechner installiert, euch einen (oder mehrere) private und öffentliche Schlüssel generiert und diese dann einsetzt, haben andere schon besser beschrieben als ich das könnte.

  • Anwender, die ihre Mails mit Thunderbird lesen und schreiben, klicken hier.
  • Update: Für Android-User gibt es hier eine offenbar ganz gute Anleitung, leider auf englisch. Allerdings ist zur Schlüsselerstellung wohl trotzdem Thunderbird mit EnigMail nötig. Wenn ihr etwas besseres wisst: her damit.
  • Update: es gibt noch einen PGP-Nachbau für Android.
  • Leute, die ihre Mails nur im Browser bei einem Webmailanbieter wie z.B. web.de oder gmx.de lesen, probieren es vielleicht mal mit Mailvelope, damit habe ich aber keine Erfahrung. Für diese Menschen wäre es sowieso dringend an der Zeit, sich Thunderbird herunterzuladen und sich an die Arbeit mit diesem großartigen Mailprogramm zu gewöhnen. Ganz im Ernst: ihr werdet es lieben, wenn ihr euch nur einmal darauf einlasst.

Nur Mut. Macht es! Wenn ihr noch niemanden zum Testen habt, hinterlasst hier einen Kommentar mit Mailadresse, ich helfe euch gerne bei den ersten Schritten ind die kryptographische Welt. Natürlich ist Mailverschlüsselung nur ein kleiner Teil des Bildes, ein sicheres Passwort gehört z.B. zwingend dazu. Wie ihr euch ein solches erstellt und es euch trotzdem merken könnt und viele weitere Tipps für den Digitalen Survivalist findet ihr hier.

In diesem Sinne:

mQENBE8Lc4MBDADA/TMcFWnNu5i7OtxxmJA3fxdVjYjwRjqJsSuzI7pSYfAMLbWNeLGo/dHW
WCGO1RZT3bupUo8qfa8bL0wjjoH+q0CGMNZQMXyxH1cMILFMiWsL7eqCbHxfb68VGDgYhkgP
BhmEBxesMr5C2YVPjLkP4hAizi4/Uavn0yWUy0WDn7TN8wiSqV666nTMjdAuHPzT3gTNDd+v ;)

PS: dieser Text darf so oft kopiert, angepasst, zensiert, restauriert, ausgedruckt, geschreddert, wiedereingescannt, verschickt, verfaxt und verbloggt werden bis das Internet platzt.

Update: Matze weist mich darauf hin, dass ich das wichtigste Vergessen habe: Fingerprints, gegenseitiges Unterschreiben der Schlüssel etc.

Dieses Video erklärt das Prinzip der asymmetrischen Verschlüsselung noch einmal auf anschauliche Art und Weise:

Der digitale Briefumschlag (deutsch) from Linuzifer on Vimeo.

Weitere Hinweise wie man sich als Nutzer im Internet schützen kann lieferte heute auch der Bundesdatenschutzbeauftragte Peter Schaar in einem Interview mit der Welt.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

June 18 2013

Texas: Polizei braucht richterliche Anordnung um Mails zu überwachen

In Texas wurde nun das Gesetz HB 2268 erlassen, demnach dürfen Strafverfolgungsbehörden nicht mehr ohne richterliche Anordnung auf Mails zugreifen und diese überwachen. Das Gesetz verspricht den Einwohnerinnen und Einwohnern von Texas einen erhöhten Datenschutzstandard für ihre Emails, schützt sie jedoch nicht gegen Untersuchungen auf Bundesebene. Der Gesetzesentwurf ist in beiden Kammern des Parlaments ohne eine Nein-Stimme angenommen worden und setzt beim Electronic Communications Privacy Act (ECPA) von 1986 an. Dieser erlaubte es Strafverfolgungsbehörden Mails zu lesen, die als “gelesen” markiert oder älter als 180 Tage sind. Es sei mehr als lächerlich, dass Mails bei Datenschutzgesetzen außen vor blieben, schrieben gestern auch drei Mitglieder des US-Repräsentantenhauses bei Wired.

ECPA was passed in 1986. Twenty-seven years ago, most Americans did not have a home computer or an email account. They did not all carry cell phones. “Facebook” described only the hardbound photo books of university freshmen and “Twitter” was an adjective used to describe the chattering of birds — such social networking sites did not even exist. Whether they occur online or offline, our private communications should be protected.

Im April hat ein parteiübergreifender Senatsausschuss bereits einstimmig dafür gestimmt, den ECPA zu modernisieren. Hanni Fakhoury von der Electronic Frontier Foundation (EFF) befürwortet das Vorgehen Texas.

Other states are currently considering similar legislation. [...] It’s significant proof that privacy reform is not only needed but also politically feasible with broad bipartisan support. Hopefully that will impact federal ECPA reform efforts by getting people on both of sides of the political aisle to work together to make meaningful electronic privacy reform a reality. The more states that pass similar legislation, the more pressure it will put on Congress to keep up with the changing legal landscape.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

April 02 2013

Bundesnachrichtendienst überwacht drei Millionen Telekommunikationsverkehre im Jahr, einmal täglich auch etwas Relevantes

Der Bundesnachrichtendienst hat im Jahr 2011 fast drei Millionen Telekommunikationsverkehre strategisch abgehört. Das geht aus einem Bericht des Parlamentarischen Kontrollgremiums des Deutschen Bundestages hervor. Auch Verfassungsschutz und Militärischer Abschirmdienst überwachen Verdächtige: bei Telekommunikations- und Finanzunternehmen, aber auch mit IMSI-Catchern.

Heute hat das Parlamentarische Kontrollgremium des Deutschen Bundestages berichtet, was die drei deutschen Bundes-Geheimdienste im Jahr 2011 in Bezug auf das Terrorismusbekämpfungsgesetz und das Artikel 10-Gesetz getrieben haben.

Artikel 10-Gesetz

Das Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (Artikel 10-Gesetz) erlaubt den Verfassungsschutzbehörden von Bund und Ländern, Militärischem Abschirmdienst und Bundesnachrichtendienst, Telekommunikation, die dem Brief- oder Postgeheimnis unterliegt, zu überwachen und aufzuzeichnen. Das geht sowohl in Einzelfällen als auch “strategisch”:

Von Strategischen Beschränkungen spricht man, wenn nicht der Brief-, Post- oder Fernmeldeverkehr einer bestimmten Person (= Beschränkung im Einzelfall), sondern internationale Telekommunikationsbeziehungen, bei denen die Übertragung gebündelt erfolgt, nach Maßgabe einer gesetzlich festgelegten Maximalquote anteilig überwacht werden. Aus einer großen Menge verschiedenster Verbindungen werden mit Hilfe von Suchbegriffen einzelne erfasst und ausgewertet.

Und davon haben die Geheimdienste auch 2011 wieder regen Gebrauch gemacht. In den Themenbereichen “Internationaler Terrorismus”, “Proliferation und konventionelle Rüstung” und “Illegale Schleusung” wurden im Jahr 2011 insgesamt 2.875.000 “Telekommunikationsverkehre” abgehört. Das ist etwa einer alls fünf Sekunden. Von den 329.628 “Telekommunikationsverkehren” im Bereich Terrorismus waren 327.557 E-Mails. Diese E-Mails und Telefongespräche wurden nach über 10.000 Suchbegriffen durchforstet. Aus diesem riesigen Datenberg hat man ganze 290 “als nachrichtendienstlich relevant eingestuft”, das sind 0,01 Prozent.

Aber keine Sorge: Im Jahr 2010 war die Anzahl der wegen Terrorismus überwachten E-Mails mehr als drei Mal so hoch wie 2011 und die Relevanz nur ein Fünftel von 2011. Die Erklärung dafür ist … Spam:

Der deutliche Rückgang im Jahre 2011 ist auch darauf zurückzuführen, dass der BND das von ihm angewandte automatisierte Selektionsverfahren auch vor dem Hintergrund der Spamwelle im Jahre 2010 zwischenzeitlich optimiert hat. Hierzu haben unter anderem eine verbesserte Spamerkennung und -filterung, eine optimierte Konfiguration der Filter- und Selektionssysteme und eine damit verbundene Konzentration auf formale Suchbegriffe in der ersten Selektionsstufe beigetragen.

Die richtigen Fragen dazu hat Markus schon beim Vorjahresbericht gestellt:

An welchen Netzknotenpunkten überwachen die Geheimdienste denn die Kommunikation in Echtzeit, wieviele Mails gab es denn insgesamt im Jahr 2010 und werden auf den Postämtern auch die Postkarten von Geheimdiensten auf Schlagwörter untersucht?

Terrorismusbekämpfungsgesetz

Der Bericht zum rot-grünen Terrorismusbekämpfungsgesetz bezieht sich demgegenüber auf einzelne Maßnahmen. Heute im Bundestag schreibt:

Den Angaben zufolge hat das BfV im Jahr 2011 insgesamt 56 Auskunftsverlangen vorgenommen, von denen 115 Personen betroffen waren, und 14 IMSI-Catcher-Einsätze mit 19 Betroffenen durchgeführt. Der überwiegende Teil sei auf Auskunftsverlangen bei Telekommunikations- und Teledienstunternehmen entfallen.

Der Datenjournalist und Freund des Hauses Michael Kreil hat die gesamten Zahlen mal visualisiert:

pkg-2011-590

Update: Rechenfehler gefixt: 5 Sekunden, nicht eine.

vgwort pixel

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl