[TR][AQ][WS][OT] E-Mail-Sicherheit - Digitale Unterschriften und Verschlüsselung mit PGP

31/05/2014 - 19:31 von Dennis Kielhorn | Report spam
Hi zusammen!

Dieses Jahr darf es auch mal "Off-Topic" werden. Andreas und Dennis
zeigen Euch in einem ca. halbstündigen Workshop das Wichtigste am
Beispiel von Thunderbird (Linux, Mac, Windows) und AppleMail, was Ihr
zum Thema wissen müsst.

Mancher mag sich denken "Soll doch die NSA mitlesen! Ich habe nichts zu
verbergen!" Ja? Ist das so? Google, Yahoo und andere lesen auch Eure
Mails mit, um Werbung bei Euch abzuladen. Und die "E-Mail made in
Germany" sichert auch nur den Transport - in der Lagerstàtte bleibt
alles im Klartext les- und auswertbar. Auch bei Familien-PCs kann eine
Verschlüsselung manchmal sinnvoll sein.

"Und eine digitale Unterschrift - wofür gebrauche ich die?" denkt
möglicherweise jemand anders von Euch. Wer mal Spam-Mails mit echten
Mails der Firmen vergleicht, muss sich immer mehr Mühe beim Vergleich
geben. Wie simpel wàre doch eine digitale Signatur, die bestàtigt, dass
die Mail wirklich vom Absender ist?

"Aber machen das nicht zu wenige?" wird auch oft gefragt. Leider ja -
wir arbeiten genau deswegen daran. Macht also mit!

WICHTIG für die, die schon PGP verwenden:
Andreas und Dennis bieten wàhrend der Augenblicke an, Eure Schlüssel zu
unterschreiben. Damit wird das Web-of-Trust (WoT) gestàrkt. Schickt
bitte Euren öffentlichen Schlüssel bis zum 11. Juni an folgende
Mailadresse:

key@andreas-gugau.de

Die in den Schlüsseln enthaltenen E-Mail-Adressen werden mit
veröffentlicht, und sind im weltweiten PGP-Keyserver-Verbund von
jedermann einsehbar. Es ist nicht auszuschließen, dass die
PGP-Schlüssel und die enthaltenen Benutzer-IDs von Email-Adress-Sammlern
z.B. für Spamzwecke missbraucht werden. Eine Veröffentlichung ist nicht
rückgàngig zu machen.

Viele Grüße!
Dennis

Wer mich kontaktieren möchte, nutzt bitte Rot13:
qes[ng]cvathva[zvahf]qbzcgrhe[chaxg]qr
 

Lesen sie die antworten

#1 Volker Bartheld
01/06/2014 - 09:43 | Warnen spam
Hallo!

On Sat, 31 May 2014 19:31:14 +0200, Dennis Kielhorn wrote:
WICHTIG für die, die schon PGP verwenden:
Andreas und Dennis bieten wàhrend der Augenblicke an, Eure Schlüssel zu
unterschreiben. Damit wird das Web-of-Trust (WoT) gestàrkt. Schickt
bitte Euren öffentlichen Schlüssel bis zum 11. Juni an folgende
Mailadresse:




Unverschlüsselt? Uh-oh. Da wartet doch nur der böse MitM drauf, um sich da
einzuklinken... Die Sache mit PGP (oder, wegen mir auch S/MIME) ist
prinzipiell ja ganz nett, ich habe schließlich einige Jàhrchen in dem
Umfeld gearbeitet [1] und de facto stehen wir immer noch im digitalen
Mittelalter, was Kommunikationssicherheit anbelangt. Elektronische
Postkarten also.

Das ist aber eher eine Sache der Akzeptanz (kein benutzererlebbarer
Vorteil, ganz anders wie z. B. ein praktischer Bierdosenhalter im
Automobil), der Komplexitàt (nach dem Ende von Ciphire Mail bedarf es
schon annàhernd eines IT-Diploms um die entsprechenden Konfigurationen
vorzunehmen) und der Verbreitung.

Noch nicht allzulange ist es her, daß Lotus Notes (m. M. n. keine
Mailapplikation, sondern eine Datenbankanwendung mit Mailgateway, eine
ziemlich schlechte zudem, falls die Bemerkung erlaubt ist) tatsàchlich
crashte(!), wenn sie eine Mail mit aus mehr als einem Unterzeichner
bestehenden Signatur verarbeiten sollte. Sowas kann bei web.de und allen
anderen Fàllen passieren, wo man freundlicherweise das Trusted-Root- oder
Intermediate-Zertifikat gleich mitliefert. Nutzte man Lotus Webmail,
stürzte gleich der Domino-Server ab. BTDT.

Wer versucht, mit seiner seiner Krankenkasse verbindlich zu kommunizieren
(als herausragendes Beispiel sei hier die Universa genannt) und den Fehler
macht, digital zu _unterschreiben_, bekommt wegen des
smime.p7s-Attachments (S/MIME) folgenden Text zu lesen:

"[...]
Ihre Mail mit dem

Betreff: [blah]

an den Empfànger: info [BEI] universa [PUNKT] de

konnte nicht zugestellt werden,
da eine Überprüfung auf Viren nicht möglich war.

Mögliche Gründe:
- E-Mail/Datei ist mit einem Passwort versehen
- E-Mail/Datei ist verschlüsselt
- E-Mail/Datei kann wegen einem Defekt nicht geöffnet werden

Bei Rückfragen wenden Sie sich bitte an die Netzwerkadministration! E-Mail:
networking [BEI] universa [PUNKT] de

Der Empfànger [snip] wurde auch informiert.
[...]"

Amüsant, nicht?

Ebenso amüsant, daß es auch im Jahre 2014 kein Pendant zum Einschreiben,
Einschreiben-Rückschein, Postzustellungsurkunde, etc. der Sackpost gibt.
Nein, die RFC-(2)822-Tags

X-Confirm-Reading-To:
Disposition-Notification-To:

können das nicht leisten. Genausogut kann ich dem Postboten den gelben
Wisch aus der Hand reißen, hineinsehen und dann sagen: "Annahme
verweigert".

Müßig zu erwàhnen, daß 99% der Unternehmen und 99.999% der Privatpersonen
überfordert sind, wenn es darum geht, sich den öffentlichen Schlüssel von
einem Server [2] zu besorgen. Ein Grund, warum ich bei einem Arbeitgeber
(der zwar erfolgreich im Consultingbusiness tàtig aber bis heute unfàhig
ist, ein ~70€ teures SSL-Zertifikat für die Domàne zu beantragen, damit
die Mitarbeiter es in Outlook importieren und ggfs. sicher mit Kunden
kommunizieren können) auf verschlüsselte .ZIP-Archive angewiesen war und,
so sie der Kunde überhaupt öffnen konnte, die Paßwörter per Telefon
austauschte.

Das ist aus meiner Sicht der recht ernüchternde Status quo.

Natürlich unterstützen Mailclients wie z. B. der Thunderbird und TheBat
diverse Verschlüsselungstechnologien. So ganz easy ist die Sache
allerdings auch dort nicht, denn z. B. TheBat muß in einigen Versionen mit
pgp658ckt09b3.zip gepimpt werden, um entsprechende Schlüsseltypen, -làngen
oder Quersummen zu unterstützen. Ich bekomme hier beispielsweise
regelmàßig einen "The PGPmemlock service failed to start due to the
following error: The system cannot find the file specified."-Fehler im
Eventlog, was perfekt nachvollziehbar ist, da
C:\Windows\system32\drivers\PGPmemlock.sys unter Win7x64 nach der
Installation des PGP-Plugins schlicht nicht existiert.

Wer S/MIME verwenden will (manchmal der weniger schmerzhafte Weg), schafft
sich für seinen Account ein S/MIME-Zertifikat von z. B. StartSSL an
(kostenfrei, www.startssl.com) und importiert es in den Thunny [3].

So gehts:

1) https://www.startssl.com besuchen.
2) "Sign-Up" drücken.
3) Userdaten eingeben, Formular absenden.
4) Die zwei (!) eingehenden Mails bestàtigen.
5) Authentisieren ("Authenticate") drücken, falls nötig.
5) Den Schlüssel (gültig für ein Jahr) aus Firefox via
Tools/Options/Advanced/Encryption/View Certificates/Backup (mit
Paßwort) exportieren, falls nötig.

Das Zertifikat ist 1 Jahr gültig, muß aber rechtzeitig(!) verlàngert
werden, da er sonst verfàllt. Danach kann der Schlüssel in einem
Mailprogramm importiert werden, mit Firefox/Thunderbird beispielsweise :

Zertifikate mit web.de:
1) Account einrichten.
2) Einloggen.
3) Einstellungen/Sicherheit/Verschlüsselung besuchen.
4) Zertifikat erstellen.
5) Mit dem "Exportieren"-Knopf exportieren.
6) Im Mailprogramm importiern.
7) WEB.DE Rootzertifikat aus dem WEB.DE TrustCenter herunterladen.
8) In der Kategorie "Trusted Root" im Mailprogramm importieren.

Ach ja, De-Mail gàbe es ja auch noch.

Ungefàhr genauso witzig bzw. nützlich wie die eID-Funktion im
Personalausweis. Dazu muß ich mich doch i. d. T. mit einem
De-Mail-Beauftragten *persönlich* treffen, um meine Identitàt feststellen
zu lassen. Nein, Wohnsitznachweis per Einwohnermeldeamt und ein schlichter
Brief dorthin mit Aktivierungslink der entsprechenden Emailadresse (wegen
mir auch noch mit PIN, die man sich bei der Beauftragung der
De-Mail-Adresse vergibt) reicht nicht. Warum auch immer.

Erinnert mich lebhaft an die Keysigningparties, wo irgendwelche Ultranerds
ihre Schlüssel austauschen und tràgt sicher extrem zur phànomenalen
Verbreitung (und Nutzung) von De-Mail bei.

Nur, damit wir uns recht verstehen: Ich nutze selbstredend PGP und S/MIME,
für etliche Mailadressen und ausgewàhlte Empfànger, zweifle aber
ernsthaft, daß das in diesem Leben nochmal was wird, mit der globalen
Kommunikationssicherheit (die übrigens im gleichen Aufwasch sogar das
leidige Spamproblem lösen könnte). Ist ja schließlich keine App, mit der
man elektronische Selbstdarstellung betreiben bzw. sonstwie zum digitalen
Rauschen beitragen kann. Oder ist in Quad-HD und 1000Hz aufgelöst.

In diesem Zusammenhang könnte das Dokument "Why Trust is not an option" für
den einen oder anderen sicherheitssensibilisierten Leser interessant sein,
temporàr unter http://bartheld.net/temp/whytrustisnotanoption.zip
herunterzuladen (700kB). Schon etwas angejahrt, vom September 2006 - die
Liste der globalen Überwachungsprogramme und -skandale aber auch schon
damals recht lang und weit vor Herrn Snowden ein Thema. Nur nicht beim
Endkunden. Und nur nicht in der Politik.

Dort werden sich die Wogen des hektischen Aktivismus und des kollektiven
Achselzuckens nach den Enthüllungen wieder glàtten und alles geht seinen
gewohnten Gang, gedàmpftes Kommen, gedàmpftes Gehen und dazwischen
gedàmpftes Verweilen wàhrend diejenigen, für die es einen Vorteil bringt,
spionieren, lauschen, analysieren und verschlüsseln.

Was das mit dieser Newsgroup zu tun hat? Eher nix. Ich bitte um Verzeihung.

In diesem Sinne: Viele Grüße und viel Spaß beim Workshop!
Volker


[1] http://www.chip.de/downloads/Ciphir...04955.html
http://ciphire-mail.en.uptodown.com/
http://fc05.ifca.ai/p17.pdf
http://boingboing.net/2005/01/11/ea...crypt.html

[2] http://www.uk.pgp.net/pgpnet/pks-commands.html
[3] http://www.thunderbird-mail.de/wiki...mit_S/MIME
[4] http://service.gmx.net/de/cgi/g.fcg...ts/de-mail

@: I N F O at B A R T H E L D dot N E T
3W: www.bartheld.net

Ähnliche fragen