Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

July 24 2013

US-Strafverfolgungsbehörden fordern Master-Keys für SSL von Unternehmen

SSL ist eine beliebte Verschlüsselungstechnik im Internet, wenn es darum geht verschlüsselte Verbindungen aufzubauen. Einsatz findet SSL deshalb zum Beispiel im Online-Banking aber auch beim Versand von E-Mails. Bisher galt die Verschlüsselung mittels SSL als sicher. Möglichweise ist damit ab sofort Schluss. Wie CNET berichtet, setzen amerikanische Strafverfolgungsbehörden wie die NSA, CIA oder das FBI Unternehmen unter Druck, ihnen die Master-Keys für die SSL-Verschlüsselungen ihrer Verbindungen auszuhändigen. Mit diesem Master-Keys hätten die Behörden die Möglichkeit den kompletten Datenverkehr zu entsprechenden Diensten und Webseiten der Unternehmen zu entschlüsseln.

Solch ein Master-Key kann mit einem Generalschlüssel verglichen werden. Jeder Anbieter eines Dienstes im Internet besitzt solch einen Schlüssel, mit dem jegliche Kommunikation zu seinen Diensten gesichert wird. Gerät dieser Schlüssel in falsche Hände, ist demnach die gesamte Kommunikation gefährdet. Die großen Internetkonzerne hätten die Herausgabe ihrer Schlüssel bisher mit der Begründung fehlender rechtlicher Grundlagen verweigert, doch eine Person die angeblich von der Regierung nach einem SSL Master-Key gefragt wurde, sagt gegenüber CNET, dass es die Regierung auf kleinere Unternehmen abgesehen hätte, die nicht die Kraft hätten sich zu wehren:

“The government is definitely demanding SSL keys from providers” [...]. The person said that large Internet companies have resisted the requests on the grounds that they go beyond what the law permits, but voiced concern that smaller companies without well-staffed legal departments might be less willing to put up a fight. “I believe the government is beating up on the little guys,” the person said. “The government’s view is that anything we can think of, we can compel you to do.”


Ein ehemaliger Mitarbeiter des amerikanischen Justizministeriums sagte, dass dieser Schritt notwendig sei, da immer mehr Kommunikation im Internet über verschlüsselte Verbindungen ablaufe:

“The requests are coming because the Internet is very rapidly changing to an encrypted model,” a former Justice Department official said. “SSL has really impacted the capability of U.S. law enforcement. They’re now going to the ultimate application layer provider.”

Ein Mitarbeiter des FBI wollte sich zu diesen Vorwürfen nicht äußern, da das FBI keine genauen “Strategien, Techniken und Anwendungen seiner Arbeit” nennen könne.

Die großen amerikanischen Internetkonzerne Google und Microsoft sagten auf Anfrage von CNET, dass sie keine Master-Keys an Strafverfolgungsbehörden weitergereicht hätten. Sie wollten jedoch nicht beantworten, ob es jemals Anfragen von Seiten der Behörden gab. Anderer Unternehmen, darunter Facebook, Apple, Yahoo, AOL, Verizon und AT&T wollten sich überhaupt nicht äußern. Ob bisher andere Unternehmen tatsächlich ihre Master-Keys für die SSL-Verschlüsselung an Strafverfolgungsbehörden ausgehändigt haben kann nicht mit Sicherheit gesagt werden. Doch alleine, die Anfrage amerikanischer Unternehmen lässt nichts Gutes vermuten.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Verschlüsselung: Lücken bei der Übertragung von E-Mails

Beim Versenden einer E-Mail sollte man darauf achten, dass der Versand über eine verschlüsselte Verbindung erfolgt. Insbesondere in einem offenen WLAN hat sonst jeder weitere Nutzer des WLANs die Möglichkeit, den Inhalt der Nachricht zu lesen. Um das zu verhindern, sollte man die verschlüsselten Protokolle TLS oder SSL nutzen, um die E-Mail an den Server des Providers zu schicken. Wie Michael Kliewe nun aber herausgefunden hat und auf Golem berichtet, wird die Nachricht unter Umständen im weiteren Verlauf seines Weges dennoch unverschlüsselt zwischen den Servern der E-Mailprovider gesendet.

Beim Einsatz von TLS oder SSL wird die gesamte Verbindung, also die gesamte E-Mail, verschlüsselt an den Server des Mailanbieters geschickt. Die Verschlüsselung wird dort aufgehoben und die Nachricht wird per SMTP an den Zielserver weiter geschickt. Wie Michael Kliewe nun in einem Test heraus fand, verzichten allerdings eine Reihe von E-Mailanbieter auf eine Verschlüsselung der Verbindung untereinander.

Denn nur wenn beide beteiligten Mailserver TLS unterstützen und dies mittels StartTLS beim Verbindungsaufbau signalisieren, wird auf eine verschlüsselte Verbindung umgeschwenkt. Andernfalls werden E-Mails ohne TLS von einem Mailserver zum anderen weitergereicht.


Bei einem Test von 15, sowohl internationalen wie deutschen, E-Mailanbietern war bei rund der Hälfte keine verschlüsselte Verbindung untereinander möglich.

verschluesselung_mail

Die Untersuchung der Anbieter fand mit dem Online-Tool Check-TLS vorgenommen. Das Tool steht jedermann offen, sodass auch noch weitere Anbieter einer Untersuchung unterzogen werden können. Das Ergebnis zeigt, dass ein Großteil der E-Mailanbieter keine Verschlüsselung der Verbindung per TLS unterstützt. Das Problem daran ist, dass Verbindungen nur verschlüsselt werden können, wenn beide Teilnehmer TLS unterstützen. Wer also von einem Anbieter mit möglicher Verschlüsselung wie Freenet eine Nachricht einen Anbieter ohne Verschlüsselung sendet, kann davon ausgehen, dass seine Mail zwischen den Anbietern unverschlüsselt übertragen wird. Kliewe sagt treffend, dass dieses Problem zwar schon länger bekannt sei, im Zuge der weltweiten Abhöraktionen des Internetverkehrs aber eine neue Betrachtung verdiene.

Egal ob ein Server nun TLS unterstützt oder nicht, es wird nur die Verbindung verschlüsselt, nicht die Nachricht an sich. In jedem Fall wird diese Verbindung auf dem Server entschlüsselt und der Inhalt der E-Mail wird lesbar. Um sicherzustellen, dass wirklich nur der Empfänger den Inhalt der Nachricht lesen kann, muss die Nachricht mit einer Ende-zu-Ende-Verschlüsselung wie PGP gesichert werden. In diesem Fall ist der Inhalt einer E-Mail auch dann nicht lesbar, wenn die Verbindung, auf der die Nachricht übertragen wird, unverschlüsselt ist. Das Nutzen unverschlüsselter Verbindung ist dennoch nicht ratsam.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 22 2013

Millionen SIM-Karten durch veraltete Verschlüsselungstechnik gefährdet

SIM-Karten sind das Herzstück der mobilen Kommunikation. Ohne sie wäre keine Identifikation eines bestimmten Nutzers im Telekommunikationsnetz möglich. Zusätzlich wird das Gerät im Netz angemeldet und authentifiziert. Erst mit ihr ist die Anmeldung im Netz und damit auch die Kommunikation, möglich. Wie der deutsche Sicherheitsforscher Karsten Nohl nun aufzeigt, sind alleine in Deutschland mehrere Millionen SIM-Karten im Umlauf, welche mit einfachen Mitteln gekapert werden können. Weltweit schätz Nohl die Anzahl auf rund eine halbe Milliarde Karten, welche potenziell gefährdet sind.

Wie heise security berichtet, ist hierfür der Einsatz der veralteten Verschlüsselungstechnik DES verantwortlich. Diese bereits Anfang der 1970er Jahre entwickelte Verschlüsselungstechnik besitzt eine Schlüssellänge von lediglich 56 Bit. Auch wenn herkömmliche Rechner rund eine Jahr brauchen um einen DES-Schlüssel zu knacken, gibt es genügend moderne Hardware, wie die Rechenmaschine COPACOBANA, welche lediglich eine Woche benötigen. Wie heise security berichtet, ist Nohl mittlerweile in der Lage die Schlüssel in wenigem Minuten zu knacken:

Nohl [konnte] jedoch innerhalb eines Jahres große Tabellen mit Zwischenergebnissen für die Verschlüsselung berechnen, sodass er in der Lage ist, einen DES-Schlüssel einer SIM-Karte innerhalb weniger Minuten zu knacken (Known Plaintext Attack). Er muss dazu lediglich eine fehlerhaft signierte OTA-SMS an das Zielhandy schicken und dessen Antwort analysieren. Das funktionierte in einer konkreten Demo für heise Security auch völlig reibungslos.


OTA-SMS sind dabei verschlüsselte Nachrichten, die direkt an die SIM-Karte geschickt werden. Nachdem eine SIM-Karte auf diese Art und Weise gehackt wurde, stehen dem Eindringlinge alle normalen Funktionen einer SIM-Karte zur Verfügung, dazu gehören beispielsweise das Versenden von Premium-SMS oder aber auch das Orten des Mobiltelefons.

Doch damit leider noch nicht genug. Die kleinen Programme, welche auf einer SIM-Karte laufen, sind kleine Java-Applikationen, die eigentlich in einer virtuellen Maschine von der Außenwelt abgeschottet werden. Nohl fand jedoch bei einer Analyse dieser virtuellen Maschinen heraus, dass einige elementare Sicherheitsfunktionen nicht umgesetzt werden und es so ein leichtes ist einen Trojaner zu schreiben, welcher aus dieser virtuellen Maschine ausbrechen kann. Ein solcher Trojaner könnte anschließend beispielsweise den Master-Key einer SIM-Karte auslesen, mit dem eigentlich die sicherere Anmeldung im Netz gewährleistet wird. Die Folgen können verheerend sein, wie Nohl heise security demonstrierte:

Nohl demonstrierte diesen Angriff sehr eindrucksvoll, indem er heise Security mit einem Handy ohne SIM-Karte anrief. Als Anrufer erschien dabei die Nummer der zuvor via SMS gekaperten SIM-Karte, deren Master-Key er in seinen SIM-Karten-Simulator transferiert hatte.

Auch das Bezahlen per NFC ist laut heise security betroffen, da die Apps von Paypal, Visa und Co. die Bezahlvergänge auf der SIM-Karte autorisieren.

Wie viele SIM-Karten tatsächlich durch die Verschlüsselung per DES und die nachlässige Implentierung der virtuellen Maschine betroffen sind, kann nur schwer gesagt werden. Nohl geht von mehreren Millionen Karten in Deutschland und bis einer halben Milliarde Karte weltweit aus. In Deutschland sind aber nur ältere Karten von den Problemen betroffen, da die Provider in Deutschland seit einigen Jahren keine SIM-Karten mit DES-Verschlüsselung mehr verkaufen. Laut heise security ist die Lage im nahen europäischen Ausland aber bereits eine andere, da dort noch DES-Karten verkauft werden.

Die deutschen Mobilfunkprovider scheinen mittlerweile reagiert zu haben. Nachdem Nohl die Provider bereits vor einigen Monaten auf die Schwachstellen aufmerksam machte, haben diese damit begonnen die sogenannten OTA-SMS zu filtern. Da diese OTA-SMS nicht von normalen Mobiltelefonen versendet werden müssen, behalten es sich die Provider vor, SIM-Karten von denen dennoch OTA-SMS geschickt werden, zu sperren.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 16 2013

Jung & Naiv – Folge 72: The Architecture of Big Brother – Jacob Appelbaum

Nachdem mir Jacob Appelbaum in Folge 71 erklärt hat, warum der Überwachungsstaat dann doch keine so tolle Idee ist, wollte ich nun mehr von ihm wissen:

Was hat ein gewisser Edward Snowden da nun eigentlich ans Licht gebracht? Muss ich ihm dankbar sein, dass ich unseren Regierungen nun noch weniger trauen kann? Wie sieht die Architektur hinter “Big Brother” aus? Warum ist es wichtig, sowas zu wissen? Wieso vergleichen sehr viele die heutige Zeit mit der Stasi? Und sollten wir unsere Politiker nicht verstehen, wenn sie bei diesen Problemen einfach nix machen können?

Ich habe mich für diese offenen, naiven Fragen mit Jacob Appelbaum erneut eine halbe Stunde hingesetzt. Jacob ist Kryptographie-Experte und hat letztens gerade einen gewissen Edward Snowden interviewt. Er schien also Ahnung zu haben.

Kernaussagen von Jacob:

“The Foreign Intelligence Surveillance Court actually redefined the word ‘relevant’, such, that it does not mean anything that is a common understanding of the word relevant.”

“When someone says, ‘it’s not like the Stasi’, but then they basically support drone operations that killed women and children, innocent people, people who don’t even have a trial, who are killed because of a data trail [..] And when they shoot them twice, so-called ‘double-tap’, that’s a war crime. And the surveillance data ties into those actions. There is a direct connection between them, because the surveillance data is used for targeting, and targeting is the first step in identification for murder, which is a war crime in this case, especially with double-tapped drone
strikes. It’s especially a war crime when it’s women and children, who are completely innocent in a sovereign nation, being killed by another sovereign nation.”

“The things that we have questions about are not, whether or not it’s happening – that’s undeniable. Now the question is, how is it legal, lawful and proportionate to spy on Germany. Germany is the most spyed-upon nation in Europe.”

“When your [Interior] Minister just was in the U.S., I guess most of the oppositional parties were not very pleased with what he said, which was effectively nothing [...] The point is, that if he did say something, it would be relevant, because it is not the German government that decides about the people’s data, it is the American government who decides, because they have the data, and they do whatever they want with it.”

“As a person with last name of Appelbaum, in Germany I’m very sensitive to this notion that I want to choose when someone learns about my background, and about my history. And I am robbed of that choice when these systems record everything about me, all of my associations, and someone else gets to ask the database and not me about my history.”

“There exists a concept that’s called ‘The data doubleganger’, and this is essentially the data shadow you leave behind. And the thing is, at some point it becomes more you than you. Someone looks at you and they say – oh you’re very radical politically. But, you’re not. You just happen to read very broadly across many different spectrums.”

“When it is [done in] secret, then it is not consensual, because we cannot have a democracy without a well-informed people. Therefore it is clear, that when it is secret, it is not as consensual as it would be, would it be done in the open.”

“So, part of what Snowden has revealed to us, is exactly that huge problem that there is a disconnect between what we believe is happening, and what is possible, and what is actually taking place, and why its is taking place, and who is doing it.”

“What Snowden has shown us, Manning has shown us as well. Manning has shown us the data that has been set, while Snowden has shown us the architecture. The result has always been open for us to see, and so, now the important part is that we have the information to change these things.”

“Fundamentally, we can make it so that dragnet surveillance is worthless by using strong cryptography and mathematics. We can change the political ramifications, so that we can say ‘no’ to torture, we can say ‘no’ to targeted assassinations, we can say ‘no’ to drone strikes, we can say ‘no’ to ‘Zersetzung’-like techniques, infiltration, secret police, intelligence agencies that are massively overfunded.”

“Instead of playing the spying game, like everyone seems to be doing, we should actually secure our communications. This is a radical concept.”

“So, when you hear about things like CISPA, SOPA, PIPA and ACTA – what you hear is people trying to expand authoritarian control, where they can watch, where they can monitor, where they can interfere.”

“But if we want to actually secure the internet, we should make it, so that when you make a phone call, no one can monitor it without you detecting it, and when you detect it, you should have a trail that allows you to understand, who has ordered this, where has it occurred, and what the consequences are. This ensures a kind of accountability.”

“It would be preposterous to hear German politicians saying, there is nothing to be done about atomic weapons, or landmines, or cluster bombs. That’s ridiculous. Adults are talking.”

“When politicians say there’s no solution, we have to push back, and say: ‘No, no – let’s actually secure our communications, let’s secure our communications metadata, let’s make sure that if you want to wiretap a terrorist, you use exceptional means through a judicial process. Not, for example, everyone being kept insecure so that anybody can do this.”

“I think Germany should not tolerate, in an election cycle, this kind of dialogue. It’s a preposterous thing to say, there’s nothing to be done. And in fact, Germany knows exactly what is to be done. It’s election time, right? So, when people say, they don’t want to talk about these things, kick them out.”

“And when someone says, ‘it’s not like the Stasi’, but then they basically support drone operations that killed women and children, innocent people, people who don’t even have a trial, who are killed because of a data trail [..] And when they shoot them twice, so-called ‘double-tap’, that’s a war crime. And the surveillance data ties into those actions. There is a direct connection between them, because the surveillance data is used for targeting, and targeting is the first step in identification for murder, which is a war crime in this case, especially with double-tapped drone strikes. It’s especially a war crime when it’s women and children, who are completely innocent in a sovereign nation, being killed by another sovereign nation.”

“The German people have, I think, the opportunity now to ask Merkel and other people reasonable questions, that will show their true character about these topics which range from spying on the German people, and national sovereignty to political assassination and murder. Those are all completely unreasonable things to be engaged in, especially at planetary scale.”

Morgen dann Teil 3 mit Euren Fragen.

“Jung & Naiv” steckt in der Beta-Phase. Der erste Anteil vom Crowdfunding ist investiert und wir probieren uns ab sofort aus: Wie und welche Technik muss und kann sein? Gefallen euch die ersten Neuerungen, das Intro, der Theme Song? Feedback? Sharing? Abonnieren? Yes, please!
www.jungundnaiv.de

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 12 2013

Neuer Snowden-Leak: Wer Microsoft seine Daten anvertraut, handelt fahrlässig

Wie bereits berichtet, kooperiert Microsoft aktiv mit der NSA. Microsoft bietet der NSA weitreichenden Zugriff auf die Kommunikationsdaten der Microsoft-Dienste Hotmail, Live.com, Outlook.com, SkyDrive und Skype. Was können wir daraus lernen?

1. Wer seine Daten Microsoft anvertraut, handelt fahrlässig. Wie FSFEs Präsident Karsten Gerloff schrieb: “Diese Enthüllungen machen deutlich: Wer seine Daten bei Microsoft lagert, handelt fahrlässig. Die Verantwortlichen für IT-Sicherheit und Datenschutz, sowohl im öffentlichen als auch im privaten Sektor, müssen jetzt dringend tätig werden und Maßnahmen zum Schutz ihrer eigenen Organisationen, ihrer Kunden und Klienten treffen.” Dies gilt natürlich nicht nur für Microsoft, sondern auch für andere “Klaut”-Dienste.

2. Bezüglich des Staatstrojaners: Entweder lügt das BMI, oder es lässt sich erfolgreich von Microsoft täuschen. Das Bundesministerium des Inneren (BMI) stritt ab, dass Microsofts “Voice-over-IP-Anbieter Skype bereits von sich aus die technische Möglichkeit biete, Gespräche auf Anforderung von Sicherheitsbehörden mitzuschneiden und einen Trojanereinsatz so unnötig zu machen.” (siehe Heise). Benötigen wir den Staatstrojaner jetzt eigentlich noch? Oder genügt die Kooperation der Nachrichtendienste, um an alle “relevanten” Daten zu kommen?

3. Unsere Daten streuen und dort speichern, wo wir den Menschen hinter den Diensten vertrauen! Wir sollten usere Daten enger bei uns behalten und nur mit Anbietern arbeiten, denen wir vertrauen. Wir sollten Anbieter wählen, die starke Verschlüsselung nutzen und die Daten, die gespeichert werden, minimieren (z.B. Konzepte wie “Wir Speichern Nicht!”). Große Anbieter wie Google Mail oder DE-Mail werden uns hier nicht weiterhelfen. Wir benötigen eine Vielzahl unterschiedlicher Anbieter, denen wir persönlich vertrauen können. Je höher die Anzahl der Anbieter, desto schwerer wird es für die NSA, direkten Zugriff auf die Daten aller Nutzer und die jedes und jeder Einzelnen zu kommen.

4. Wir können nur Freien-Software-Lösungen trauen. Wir benötigen Freie-Software-Lösungen für Groupware, Büroanwendungen und Betriebssysteme, welche von vielen Menschen öffentlich eingesehen und überprüft werden können. Wir dürfen uns nicht darauf verlassen, dass ein Unternehmen “schon das Richtige für uns machen” wird. Wir benötigen Ende-zu-Ende-Verschlüsselung auf Basis Freier Software, wie zum Beispiel GnuPG und Off-The-Record-Messaging (OTR). Des Weiteren erlauben jetzt schon Lösungen wie beispielsweise Jitsi sicherere Audio-, Video-, und Chat-Kommunikation als Skype.

5. Wir müssen auch bereit sein, für die Dienstleistungen zu bezahlen, die wir in Anspruch nehmen. Privatsphäre hat zwar ihren Preis, ist aber unbezahlbar für die Integrität unseres Lebens und unserer Gesellschaft. Wie bereits berichtet, hatte das Europäische Parlament nach den Enthüllungen zu Echelon die EU-Kommission zu konkretem Handeln aufgefordert. Was auch immer nach den aktuellen Enthüllungen als Handlungsempfehlungen herauskommt: Wollen wir weitere zwölf Jahre vergeblich warten? Oder besser die Entwicklung der Werkzeuge selbst fördern und fordern?

Wenn ja, müssen wir diejenigen Menschen und Unternehmen finanziell unterstützen, die freie Verschlüsselungssoftware für uns entwickeln. Genau jetzt ist der ideale Zeitpunkt, Programmierer freier Verschlüsselungssoftware wie z.B. die freie PGP-Implementation GnuPG mit einer Spende zu unterstützen!

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 10 2013

Heml.is: Peter Sunde will abhörsicheren Messenger für Smartphones entwickeln

Der Schwede Peter Sunde, einer der Mitgründer von The Pirate Bay, hat angekündigt einen abhörsicheren Messenger für Smartphones entwickeln zu wollen. Der Messenger soll auf den Namen heml.is hören – hemlig bedeutet auf schwedisch so viel wie “geheim” – und soll eine Anwendung für “Jedermann” werden und der “nutzerfreundlichste Messenger aller Zeiten”. Zusammen mit Leif Högberg und Linus Olsson hat Sunde bereits eine Webseite erstellt und bittet dort um Spenden um das Projekt verwirklichen zu können.

Heml.is baut nach eigenen Angaben auf bereits vorhanden Technologien auf, darunter XMPP und PGP. Die Bedienung von heml.is soll dabei so einfach und intuitiv wie möglich gestaltet werden, um auch Nutzer ohne technisches Hintergrundwissen anzusprechen und ihnen verschlüsselte Kommunikation über das Smartphone zu ermöglichen. Um heml.is zu finanzieren hat Peter Sunde zu einer Crowdsourcingkampagne aufgerufen, mit dem Ziel 100.000 Dollar einzunehmen. Zum jetzigen Zeitpunkt ist mit rund 30.000 Dollar bereits ein Drittel der Summe eingenommen worden. Sollte die Endsumme nicht erreicht werden, erhalten alle Spender ihr Geld zurück.

In einer ersten Version soll heml.is für Android und iOS erscheinen. Die Entwickler halten es sich offen, später weitere Betriebssysteme zu unterstützen. Angedacht ist eine kostenlose Version, welche einzig das Versenden von Textnachrichten erlaubt, sowie eine Pro-Version, welche Zusatzfunktionen wie das Versenden von Bildern erlauben soll.

Heml.is ist aber keineswegs der einzige Messenger für Smartphones, der verschlüsselte Kommunikation ermöglicht. Ein Messenger mit einem ähnlichen Fokus auf Benutzerfreundlichkeit ist Threema. Der aus der Schweiz stammende Messenger ist ebenfalls für Android und iOS erhältlich, ist allerdings keine Open-Source Software. Daher lässt sich nichts über die Qualität der Verschlüsselung im Code sagen. Eine weitere Alternative für Android ist TextSecure, welches Open-Source-Software ist und ebenfalls eine verschlüsselte Kommunikation über das Smartphone ermöglicht.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 02 2013

Anleitung: so verschlüsselt ihr eure E-Mails mit PGP

Das gesamte Ausmaß des US-Datenschutzskandals ist längst noch nicht ersichtlich. Doch eine Sache scheint klar: auch in Deutschaland ist der NSA sehr aktiv und überwacht den Internetverkehr so massiv wie in kaum einem anderen Land. Sich in Gänze vor der Überwachung zu schützen ist sicherlich nicht möglich, doch es gibt Wege wenigstens bestimmte Bereich seiner Kommunikation im Internet vor der Spionage der Geheimdienste zu schützen. Beispielsweise durch die Verschlüsselung seiner E-Mails mittels PGP. Auch wenn PGP mittlerweile mehr als 15 Jahre alt ist, bietet es immer noch ausgezeichneten Schutz – selbst vor Geheimdiensten wie der NSA, wie auch Edward Snowden im Q&A mit dem Guardian noch einmal bestätigte:

Is encrypting my email any good at defeating the NSA survelielance? Id my data protected by standard encryption?

Snowden: “Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it.”

Einen ausführlichen Artikel zum Thema E-Mailverschlüsselung hat daMax auf seinem Blog veröffentlicht, den wir an dieser Stelle mit freundlicher Genehmigung ebenfalls veröffentlichen:

PGP jetzt!

Ein PGP-Key

Ein PGP-Key

Ihr wollt nicht, dass jeder Staatsbüttel eure Mails mitliest? Dann wäre jetzt ein guter Zeitpunkt, endlich mal PGP zu benutzen. Damit könnt ihr schon seit achwasweißichwievielen Jahren eure Mails so verschlüsseln, dass kein Schlapphut mitlesen kann. Der Haken: ihr müsst ca. 15 Minuten eures Lebens investieren, um euch mit dem Prinzip vertraut zu machen und noch einmal ein paar Minuten, um das auf eurem Rechner zu installieren.

Da in den letzten Tagen wenigstens einige der mir bekannten Blogger anfangen, PGP einzusetzen, dachte ich mir, ich klopp’ jetzt noch mal eine Anleitung heraus, wie PGP funktioniert und wie ihr das selbst einsetzen könnt.

Die Voraussetzungen:

  • Ihr habt eine Mailadresse, an die ihr per POP3 oder IMAP heran kommt. Das geht auf jeden Fall bei GMX, Web.de, T-online und anderen Anbietern; wer eine eigene Domain á la www.huhuichbins.de hast, weiß wahrscheinlich eh Bescheid.
  • Ihr wisst, wie ihr eure Mails in einem eigenen Mailprogramm (Apple Mail, Outlook, Thunderbird o.ä.) lesen könnt. Wenn ihr eure Mails lest, indem ihr z.B. da oben www.gmx.de oder www.web.de eingebt, kann euch vielleicht mit Mailvelope geholfen werden.

Die Funktionsweise:

Verschlüsselung mit öffentlichem Schlüssel und Entschlüsselung mit privatem Schlüssel (Wikipedia)

Verschlüsselung mit öffentlichem Schlüssel und Entschlüsselung mit privatem Schlüssel (Wikipedia)

Das Prinzip der Mailverschlüsselung ist schnell erklärt. Jeder Teilnehmer hat 2 Schlüssel: einen privaten und einen öffentlichen. Der öffentliche wird an alle Leute gegeben, mit denen ihr komminuzieren wollt. Den privaten behaltet ihr immer nur für euch. Nie rausgeben. Klar?

Nehmen wir an, ihr wollt mit Berta verschlüsselt kommunizieren. Ihr gebt Berta euren öffentlichen Schlüssel, Berta gibt euch ihren öffentlichen Schlüssel. Nun könnt ihr Berta eine Mail schicken, die ihr mit Bertas öffentlichem Schlüssel abschließt.

Der Clou: Mails, die mit Bertas öffentlichem Schlüssel verschlüsselt wurden, können nur mit Bertas privatem Schlüssel wieder lesbar gemacht werden. Will Berta antworten, so verschlüsselt sie mit eurem öffentlichen Schlüssel, diese Mail ist nur mit eurem privaten Schlüssel zu öffnen. Das Ganze nennt sich Asymmetrische Kryptographie und wird bei Wikipedia nochmal mit anderen Worten erklärt.

Das Prinzip der öffentlichen und privaten Schlüssel setzt voraus, dass jeder Teilnehmer seinen privaten sowie die öffentlichen Schlüssel aller anderen Teilnehmer hat. Solche Schlüssel sind reine Textdateien und können prinzipiell per Mail verschickt werden. Komfortabler ist es jedoch, seinen öffentlichen Schlüssel auf einen sogenannten Keyserver hochzuladen, wo sich dann jeder andere den Schlüssel “abholen” kann. ACHTUNG: bevor ihr den letzten Schritt geht, möchte ich euch dringend raten, ein “Widerrufszertifikat” (revocation certificate) für euren Schlüssel zu erstellen, denn nur damit könnt ihr einmal auf Keyservern veröffentlichte Schlüssel wieder “aus dem Verkehr ziehen”.

Der praktische Einsatz:

Thunderbird mit EnigMail

Thunderbird mit EnigMail

Wie ihr nun PGP auf eurem Rechner installiert, euch einen (oder mehrere) private und öffentliche Schlüssel generiert und diese dann einsetzt, haben andere schon besser beschrieben als ich das könnte.

  • Anwender, die ihre Mails mit Thunderbird lesen und schreiben, klicken hier.
  • Update: Für Android-User gibt es hier eine offenbar ganz gute Anleitung, leider auf englisch. Allerdings ist zur Schlüsselerstellung wohl trotzdem Thunderbird mit EnigMail nötig. Wenn ihr etwas besseres wisst: her damit.
  • Update: es gibt noch einen PGP-Nachbau für Android.
  • Leute, die ihre Mails nur im Browser bei einem Webmailanbieter wie z.B. web.de oder gmx.de lesen, probieren es vielleicht mal mit Mailvelope, damit habe ich aber keine Erfahrung. Für diese Menschen wäre es sowieso dringend an der Zeit, sich Thunderbird herunterzuladen und sich an die Arbeit mit diesem großartigen Mailprogramm zu gewöhnen. Ganz im Ernst: ihr werdet es lieben, wenn ihr euch nur einmal darauf einlasst.

Nur Mut. Macht es! Wenn ihr noch niemanden zum Testen habt, hinterlasst hier einen Kommentar mit Mailadresse, ich helfe euch gerne bei den ersten Schritten ind die kryptographische Welt. Natürlich ist Mailverschlüsselung nur ein kleiner Teil des Bildes, ein sicheres Passwort gehört z.B. zwingend dazu. Wie ihr euch ein solches erstellt und es euch trotzdem merken könnt und viele weitere Tipps für den Digitalen Survivalist findet ihr hier.

In diesem Sinne:

mQENBE8Lc4MBDADA/TMcFWnNu5i7OtxxmJA3fxdVjYjwRjqJsSuzI7pSYfAMLbWNeLGo/dHW
WCGO1RZT3bupUo8qfa8bL0wjjoH+q0CGMNZQMXyxH1cMILFMiWsL7eqCbHxfb68VGDgYhkgP
BhmEBxesMr5C2YVPjLkP4hAizi4/Uavn0yWUy0WDn7TN8wiSqV666nTMjdAuHPzT3gTNDd+v ;)

PS: dieser Text darf so oft kopiert, angepasst, zensiert, restauriert, ausgedruckt, geschreddert, wiedereingescannt, verschickt, verfaxt und verbloggt werden bis das Internet platzt.

Update: Matze weist mich darauf hin, dass ich das wichtigste Vergessen habe: Fingerprints, gegenseitiges Unterschreiben der Schlüssel etc.

Dieses Video erklärt das Prinzip der asymmetrischen Verschlüsselung noch einmal auf anschauliche Art und Weise:

Der digitale Briefumschlag (deutsch) from Linuzifer on Vimeo.

Weitere Hinweise wie man sich als Nutzer im Internet schützen kann lieferte heute auch der Bundesdatenschutzbeauftragte Peter Schaar in einem Interview mit der Welt.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

June 27 2013

Metronaut: Anleitung zur Mailverschlüsselung

daMax hat beim Metronaut eine ausführliche Anleitung zur Mailverschlüsselung mit PGP zusammengestellt.

Ihr wollt nicht, dass jeder Staatsbüttel eure Mails mitliest? Dann wäre jetzt ein guter Zeitpunkt, endlich mal PGP zu benutzen. Damit könnt ihr schon seit achwasweißichwievielen Jahren eure Mails so verschlüsseln, dass kein Schlapphut mitlesen kann. Der Haken: ihr müsst ca. 15 Minuten eures Lebens investieren, um euch mit dem Prinzip vertraut zu machen und noch einmal ein paar Minuten, um das auf eurem Rechner zu installieren.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 25 2012

Europa und die Cloud: Standard zur Überwachung und Kritik von Datenschützern

Die Auslagerung von Daten in die Cloud bereitet den Behörden Sorge. Um weiterhin Abhören zu können, werden europaweite Standards zur Überwachung von Cloud-Diensten erarbeitet. Falls Verschlüsselung eingesetzt wird, soll die umgangen werden. Datenschützer hingegen kritisieren die Cloud, da nie klar ist in welcher Jurisdiktion die Daten liegen.

Das von der Europäischen Kommission gegründete Europäische Institut für Telekommunikationsnormen (ETSI) arbeitet derzeit an einem Standard zur Überwachung von Cloud-Diensten. Laut dem Entwurf sollen die Cloud-Anbieter Schnittstellen zur Verfügung stellen, mit denen Behörden die Daten und Aktivitäten der Nutzerinnen abhören können – in Echtzeit.

Erich Moechel berichtet auf ORF.at:

Wegen des “nomadischen Zugangs zu Diensten in der Cloud” sei es unwahrscheinlich, dass ein Internet-Zugangsprovider alle Überwachungsanfragen bedienen könne. Um dennoch “die Überwachbarkeit zu gewährleisten, muss der Cloud-Anbieter eine Überwachungsfunktion einbauen”, heißt es einen Abschnitt weiter (4.3)

Mit “nomadischem Zugang” ist gemeint, dass Facebookbenutzer über alle möglichen Wege daherkommen können, ob es das eigene DSL ist, drahtlose Breitbanddienste oder ein offenes WLAN-Netz. Man müsste also die Daten eines Facebook-Benutzers nicht nur bei mehreren Zugangsprovidern einsammeln, was nahe an der Echtzeit unmöglich ist. Zudem würde das nur einen Teil der Informationen bringen, die an einer Schnittstelle direkt bei Facebook abgegriffen werden könnten.

Dazu soll auch die SSL-Verschlüsselung angegriffen werden. Und zwar wollen Behörden mit “Deep Packet Inspection”-Systemen (DPI) “Man-in-the-Middle”-Attacken gegen die Verschlüsselung durchführen. Aus dem Entwurf:

Erich Moechel weiter:

“Deep Packet Inspection wird wahrscheinlich ein konstituierendes Element dieses Systems sein”, heißt es denn auch unter 4.3 im ETSI-Dokument unter den “Herausforderungen der Anforderungen” “(“Requirement Challenges”). Darüber wird als nächstes ebenso berichtet werden, wie über die Szenarien der staatlich sanktionierten Angriffe auf Skype, VoIP und Tauschbörsen, denen sämtlich sogenannte Peer-To-Peer-Protokolle zu Grunde liegen.

Skype hat übrigens gerade wieder auf die Frage, ob sie Gespräche abhören können, geantwortet: Kein Kommentar.

Eine andere EU-Institution sieht das mit dem Cloud-Computing kritischer. Die Artikel 29 Datenschutzgruppe veröffentlichte Anfang des Monats eine Stellungnahme mit ihrer Einschätzung der Cloud.

Die Datenschützer sehen “eine Reihe von Datenschutz-Risiken, vor allem einen Mangel an Kontrolle über persönliche Daten sowie unzureichende Informationen über die Fragen, wie, wo und von wem die Daten (weiter-)verarbeitet werden.” Da in der Cloud nie klar ist, wo die Daten physisch liegen ist auch die Jurisdiktion darüber unklar. Die europäische Datenschutzrichtlinie verbietet es jedoch, personenbezogene Daten in Staaten mit schwächerem Datenschutz auszulagern.

Dass dürfte jedoch bei Cloud-Diensten eher die Regel als die Ausnahme sein. Die existierenden Safe Harbor-Vereinbarung zwischen EU und USA sind daher unzureichend. Hier sehen die Datenschützer dringenden Klärungsbedarf.

Bis dahin sollten europäische Firmen ihre Cloud-Dienstleister ganz genau evaluieren und gegebenenfalls schriftlich versichern lassen, wohin die eigenen Daten übermittelt werden.

flattr this!

January 04 2012

TextSecure: SMS verschlüsseln mit Android

Dass E-Mails meist in Klartext durch das Internet wandern und damit für jeden unterwegs lesbar sind, sollte der geneigten Leserin bekannt sein. Deswegen verschlüsseln wir sie ja mit PGP. Spätestens seit 2010 müssen Telefon-Anrufe und SMS über GSM als genauso unsicher eingeschätzt werden. Und auch dafür gibt es endlich Abhilfe.

Bereits in der Vergangenheit gab es Techniken, Mobiltelefonie zu verschlüsseln. Diese waren jedoch entweder kompliziert oder teuer. Kostenlos und einfach ist die Android-App TextSecure. Dieses Programm kann SMS verschlüsselt über das Netz verschicken und speichert alle Nachrichten verschlüsselt auf dem Gerät.

Entwickelt wurde TextSecure von der Firma Whisper Systems, die mit dem Hacker Moxie Marlinspike Netz-Credibility aufweisen kann. Ende November wurden sie von Twitter gekauft, kurz danach wurde der Code von TextSecure unter der freien GPL-Lizenz veröffentlicht.

Um die Reichweite des Projekts zu vergrößern, gibt es jetzt eine Initiative zum kollektiven Übersetzen der App, mitmachen erwünscht!

Auch zur Verschlüsselung von Telefonie hat Whisper Systems eine App entwickelt: RedPhone. Seit der Übernahme durch Twitter ist diese leider (wie vorher TextSecure) erstmal nicht mehr verfügbar. Bleibt zu hoffen, dass auch davon der Code veröffentlicht wird. Und jemand die Programme auf andere Plattformen wie iOS portiert.

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl