Krypto-Kampagne

    Hallo graba,

    die Grundlagen der Kryptographie ändern sich sicher nicht, aber die Krypto-Kampagne ist von 1997. Das heißt, daß doch einiges veraltet ist, vor allem Links, Bezüge zu Programm-Versionen, und Aussagen zur Haltung der offiziellen Politik wie

    Quote

    Mittlerweile hat sich die deutsche Bundesregierung in ihren Eckpunkten der deutschen Kryptopolitik eindeutig zur freien Verfügbarkeit starker Kryptographie bekannt und ihre Absicht bekundet, "die Verbreitung sicherer Verschlüsselung in Deutschland aktiv [zu] unterstützten

    .
    Ich verweise nur auf diesen Beitrag. Die Verwendung von Truecrypt und Tor reicht heutzutage offenbar schon als Indiz für "kriminelle Energie".

    Spannend wäre auch, ob die Zertifizierung von Heise/c't noch funktioniert.

    Außerdem, auch wenn ich persönlich GnuPG/Enigmail bevorzuge, es gibt auch noch S/MIME (mal sehen, wann Peter von sich hören läßt ;) ).

    Gruß, muzel

    Hallo muzel,

    Quote from "muzel"

    aber die Krypto-Kampagne ist von 1997.


    nun, es heißt ja "erstmals einen kostenlosen Zertifizierungs-Service für PGP-Schlüssel angeboten" und dass das Ganze damals "gestartet" wurde. Da der Artikel auf der aktuellen Website zu finden ist, gehe ich davon aus, dass nach wie vor die Kampagne läuft, zumal ja grundsätzlich darauf hingewiesen wird, dass auf Messen etc. der Zertifizierungsservice zu finden ist.
    Mein Grundanliegen war ja nicht, jetzt unbedingt die Werbetrommel für PGP zu rühren, sondern das Thema "Verschlüsselung" mal wieder bewusster zu machen und vielleicht den einen oder anderen User zu "verleiten", sich näher mit dieser Thematik zu beschäftigen. Nicht mehr, aber auch nicht weniger! ;)

    Quote from "graba"

    ... sondern das Thema "Verschlüsselung" mal wieder bewusster zu machen und vielleicht den einen oder anderen User zu "verleiten", sich näher mit dieser Thematik zu beschäftigen. Nicht mehr, aber auch nicht weniger! ;)

    Und genau das finde ich gut und notwendig!
    NB: Bei einem meiner ersten Besuche auf der ceBIT habe ich mir gleich am (tatsächlich!) "gläsernen PC" des Heise-Standes einen Schlüssel erzeugt und dem Registrator meinen Personalausweis vorgelegt.


    Ich grüße alle, die so wie ich zur Wahrung ihrer Privatsphäre ihre E-Mails verschlüsseln.
    Und dass, ohne dass "wir etwas zu verbergen haben" und sogar ohne deswegen "Terrorist" zu sein.
    (Oh, spätestensn jetzt werden die Filter aktiv werden ...)

    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Hallo Freunde der sicheren E-Mail!

    Für alle an diesem Thema interessierte User folgende Information:

    Am Donnerstag den 21.2.2013 ab 17:15h findet in Köln-Ehrenfeld die nächste Kryptoparty statt.

    Es werden folgende Themen behandelt:

    • Grundlagen des elektronischen Datenaustauschs
    • Verschlüsselung in der Praxis
    • Angriffsmöglichkeiten und Risiken
    • Welche Version soll zum Einsatz kommen?
    • Der CryptoStick
    • Fachliteratur, Qualitätszirkel und amtliche Quellen


    Nähere Angaben hier

    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Hallo!

    Wenn ich das Thema hier schon anbringe, dann will ich auch noch kurz berichten.
    Ich habe mich also auf den Weg nach Köln-Ehrenfeld gemacht (hin und zurück mit Auto, Eisenbahn und Fußweg: je fast 2 Std.!) um mich wieder mal mit anderen Personen, welche sich Gedanken über die Wahrung ihrer Privatsphäre machen, auszutauschen. Und vor allem auch, um meine langjährigen persönlichen Erfahrungen mit dem Thema Mailverschlüsselung an den Mann bzw. die Frau zu bringen.

    Getroffen haben sich (aus dem Gedächtnis, da vergessen zu zählen) 10 Personen. Zwei "Wissensträger", 5 (?) Anwender und 3 Personen, welche etwas zu diesem Thema wissen wollten. Ich gehe davon aus, dass wir denen etwas an Wissen mitgeben konnten. Es wurde der Thunderbird mit Enigmail installiert, Schlüsselpaare erzeugt und signiert, sowie erste Mails ver- und entschlüsselt. Ich habe meinen Part vor allem darin gesehen, für Anfänger verständlich die Unterschiede zw. symmetrischer und asymmetrischer Kryptografie, die Grundlagen der asymmetrischen Kryptografie und der elektronischen Signatur rüberzubringen.

    In einem waren wir uns schnell einig: dass wir zur Wahrung unserer Privatsphäre unsere Mails verschlüsseln sollten. Dass wir damit etwas tun, was in einer echten Demokratie zulässig ist. Aber auch, dass damit die eigentliche "Arbeit" - die Überzeugungsarbeit bei unseren Mailpartnern über die Notwendigkeit des Schutzes unserer Privatsphäre - erst losgeht.

    Und eines war für mich leider echt bedauerlich:
    Obwohl in der Einladung stand:

    Quote

    Auf der CryptoParty wollen wir uns austauschen wie man sich mit einer Public-Key-Infrastruktur (PKI) absichert ... .


    ging es doch ausschließlich um die Mailverschlüsselung mit GnuPG. Und gerade die Themen "PKI", X.509-Zertifikate und S/MIME waren es doch, die mich nach Köln "gelockt" hatten.

    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Hallo,
    prinzipiell ist das ja sehr zu begrüßen, aber ob ich in diesem Leben noch mal zufällig Mittwoch nachmittags in Hannover bin...?
    Im allgemeinen läuft es doch eher so, daß man (leider) nur wenige Leute kennt oder überzeugen kann, OpenPGP zu benutzen. Da ist der Aufwand für Austausch der Schlüssel überschaubar. Statt sich auf eine selbsternannte CA zu verlassen, gleicht man den Fingerprint der Schlüssel auf gesichertem Wege ab und vertraut sich gegenseitig.
    Nichts für ungut, vermutlich ist Heise deutlich vertrauenswürdiger als diverse Firmen, die in letzter Zeit für Schlagzeilen gesorgt haben, wie Diginotar, Comodo und andere, die mir gerade nicht einfallen...
    Grüße, muzel

    Hallo zusammen,

    muzel trifft den Nagel auf den Kopf.

    Hinzu kommt, dass viele ihre E-Mail-Kommunikation über Browser-basierende Provider-Terminals nutzen.

    Häufig, nach meiner persönlichen Erfahrung, ältere Menschen, die E-Mail-Kommunikation über die vom Provider angebotenen Lösungen direkt nutzen, weil Sie Scheu oder gar Angst davor haben, sich von einem Mail-Client abhängig zu machen, wo sie Konten einrichten, Server-Einstellungen vornehmem müssen usw. usf.

    Häufig aber auch die jüngere I-/Smartphone-Generation, denen so ein Mail-Client inzwischen viel zu Zeit-aufwenig ist. Was muss ich mich mit XYZ-Mail-Client rumschlagen, wenn ich per Providermail über den Browser ganz direkt und unkompliziert kommunizieren kann.

    Und: ob S/MIME oder PGP. Funktioniert meines Wissens eben beides dort nicht!

    Gruß
    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

    Hallo Feuerdrache,
    ganz so habe ich es nicht gemeint. O.k., man muß sich zwischen Bequemlichkeit und Sicherheit entscheiden.
    Wer also nur Webmail und Smartphone*) benutzt, kann keine Privatsphäre erwarten.
    Was OpenPGP (und S/MIME vielleicht auch) betrifft, scheint es derzeit ein wachsendes Interesse vorhanden zu sein.
    Das Web of Trust ist (wie ich hier schon mal geäußert habe) eine gute Idee, aber kaum Realität. Auf der anderen Seite kommt man mit OpenPGP schnell zu einer verschlüsselten Kommunikation zwischen zwei oder einigen wenigen Teilnehmern, ohne zentralisierte Strukturen, Autoritäten usw. - wenn man alles richtig macht.
    Bei Firmen scheint sich eher S/MIME einzubürgern, über Mailgateways, die das völlig transparent und für den Anwender fast unbemerkt erledigen. Praktisch und ein großer Fortschritt gegenüber der noch immer recht üblichen Praxis, Geschäftsgeheimnisse offen per E-Mail (und damit BCC: an interessierte Dienste ;-) ) zu verschicken, aber nicht wirklich eine Ende-zu-Ende-Verschlüsselung.
    Grüße, muzel

    *) [OT]
    FireGPG ist leider verstorben, so daß es keine Chance mehr für verschlüsseltes Webmailen gibt.
    Es gibt Mailclients fürs Smartphone, die Verschlüsselung beherrschen (oder nachrüsten können), aber wir wissen ja, wie komfortabel sich eine 30stellige Passphrase eintippt, wenn man keine Tastatur hat.
    Sehr interessant finde ich allerdings XMPP-(Jabber-)Messenger mit OTR auf dem Smartphone, die scheinen wirklich handhabbar zu sein. Womit wir auch wieder beim Thema "warum verschlüsselt Thunderbird seinen Chat nicht mit OTR???" wären.[/OT]

    Hallo muzel,

    gerne nehme ich Deine Antwort auf, um meinen Beitrag zuvor noch einmal (an meiner Person) zu präzisieren.

    Bei mir ist es so, dass die Kontakte, mit denen ich per S/MIME bzw. per GnuPG/OpenPGP kommuniziere, Personen sind, die über den Durchschnitt PC-affin sind, dass diese solche Verfahren bereits angewendet haben, bevor ich mit diesen in E-Mail-Kontakt gekommen bin.

    Wenn Du mal hier alle Beiträge von Feuerdrache suchst, wirst Du feststellen, dass mein erster Beitrag hier im Forum sich mit Verschlüsselung beschäftigte (Enigmail): Gleiche Verschlüsselung auf zwei Rechnern ...

    Als ich danach über einen Zeitraum von mindestens 12 Monaten meinen E-Mails den öffentlichen Schlüssel an jede von mir versendete E-Mail angehängt habe, stellte ich folgendes mit Erschütterung fest:

    ~ 95% : schlichte Ignoranz. Das heißt, noch nicht einmal eine Nachfrage, um was es sich da handelt, was da als Anhang der E-Mail beigefügt ist.
    ~ 4% : Nachfrage, um was es sich da handelt. Erläuterung dessen: Reaktion: "brauche ich nicht ...", "habe nichts zu verbergen ...", "das ist mir zu aufwendig ...", "ich nutze kein E-Mail-Programm ..." usw. usf.

    Verständnis hatte und habe ich dabei zumindest für manche Kontakte höheren Lebensalters (ich meine hier 80 plus x), die teilweise wegen mir erst mit E-Mail-Kommunikation angefangen haben, in der Regel Computer sonst nur als Schreibmaschinenersatz *) genutzt haben und schön klassisch per Briefpost kommunizierten. Diese sind schon sehr froh, wenn sie mit Ihrem WEB-Mailer zurechtkommen.
    Dass da manchem das Einrichten eines Mail-Clients, das Einrichten einer Verschlüsselungserweiterung, das "Merken müssen" langer Passphrasen Emotionen von Unbehagen über Schrecken bis Angst machen verursachen wundert mich da nicht.
    Und ich unterstreiche, dass ich dies nicht aus einer Position der Überheblichkeit schreibe und so formuliere.

    ~ 1% : (bis heute) die am Anfang dieses Beitrages PC-affinen mit Verschlüsselungsmethoden vertrauten Personen. Es wird Dich nicht wundern, wenn ich Dir "verrate", dass die meisten dieser Gruppe Personen sind, die ich in Foren kennengelernt und kommunikativ über foreninternen PN-Austausch über längere Zeit noch besser kennengelernt habe, damit eine gegenseitige nähere Vertrautheit und in dessen Folge eine E-Mail-Kommunikation (außerhalb der beschränkten PN-Kommunikation innerhalb eines Forums) entstanden ist bzw. sich entwickelt hat.

    Gruß
    Feuerdrache

    *) Schreibmaschine

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

    Sollte man sich nicht eher primär den post-Snowden Ansätzen stellen?
    Es gab schon davor einiges zu erleben. Eine größere Sache zuallerletzt war das fortlaufende CA-Massaker.

    Habt ihr aber wirklich verstanden was die Enthüllungen nicht im speziellen, sondern im Allgemeinen bedeuten?
    Es sollte eigentlich klar sein, daß sich momentan von folgenden Sachen sagen lässt, sie wären wohl sicher, wenn man:
    - Ein System ohne Netz installiert.
    - Einen Datenräger mit aktuellen TrueCrypt/DiskCryptor/dm-crypt verschlüsselt
    - Einen Mailtext mit aktuellem GPG =<2048 verschlüsselt und zum Senden vorbereitet.

    Sicher sind in dem Fall:
    1. Die Datenträger, wenn man sie ausbaut und in die Schulbalde packt
    2. Die GPG-Mail, wenn man den Rechner ans Netz anstöpselt und "Senden" drückt. Die ist dann aber nur solange sicher, solange sie sich auf dem Weg befindet und noch nicht empfangen wurde.

    Alles (andere) eurer Infrastruktur ist ab da nicht mehr sicher und potenziell kompromittiert.