Erste Schritte

im digitalen Zeitalter

z.B. verschlüsselt Emailen

immerda.ch


slides.immerda.ch

Weitere Informationen findest du auch unter:

www.immerda.ch oder im Wiki wiki.immerda.ch


Ausführliche Anleitungen sind auch im Online-Handbuch der Swiss Privacy Foundation zu finden:

privacyfoundation.ch/de/service/e-mail-verschluesseln.html

Allgemeines

  • Es gibt keinen einzigen richtigen Weg
  • gesunder Menschenverstand ist wichtig
  • Ihr müsst die Dinge einigermassen verstehen können, um eigenständige Entscheidungen zu treffen
  • übertriebene Paranoia schadet dem gesunden Menschenverstand

Warum überhaupt?

Ich habe ja nichts zu verbergen...

Ich habe ja nichts zu verbergen...

Nichts zu verbergen?

Wir entscheiden selber, wer unsere Nachrichten lesen kann!

Ich habe ja nichts zu verbergen...


  • Privatsphäre!
  • Spam, Identitätsdiebstahl, private Schnüffelei
  • Staatliche Schnüffelei, Vorratsdatenspeicherung, Anti-Terror Wahn

Von Emails und Postkarten

oder wieso Emails verschlüsselt werden sollten

Emails sind auf den Mailservern (und auf ihrem Weg) im Klartext einsehbar!

Fazit

Alles was wir per Emails verschicken, verschicken wir wie auf einer Postkarte über die normale Post.

denk:mal nach

Was möchtest du vor wem schützen?

  1. Keine 100% Sicherheit
  2. Viele Aspekte sind mitverantwortlich

Die Kette ist immer nur so stark wie ihr schwächstes Glied

Das schwächste Glied in der Kette ist meistens der menschliche Faktor

Überlegt euch immer gut, mit wem ihr was teilt!

Passwörter

Internetdienste


Wieso es nicht immer
Coca Cola sein muss

Das Internet ist grundsätzlich dezentralisisert

Am E-Mail System können sich alle auf ihre Art und Weise beteiligen.

Beispiel MSN

Registrierungszwang um mitzumachen.

Nutzung nur innerhalb des geschlossenen Kreises möglich.

Internetkollektive

xiala.net, so36.net, nadir.org, riseup.net, immerda.ch

  • Arbeiten unkommerziell
  • Speichern möglichst wenige Daten
  • Verwenden und fördern freie und dezentralisierte Systeme


Alternativen zu immerda.ch

Wichtig

  • Es sind alle auf Spenden angewiesen
  • Alle basieren auf freiwilligen Arbeit


Keine Garantie für mehr Sicherheit

E-Mails & GPG

GnuPG/GPG & PGP

zwei verschiedene Programme die das Gleiche machen

Jede Person braucht ein Schlüsselpaar:

Verschlüsselung

Mit dem öffentlichen Schlüssel der Empfängerin wird Inhalt verschlüsselt

Subject / Betreff wird nicht verschlüsselt!

Bob hat von Alice ihren öffentlichen Schlüssel bekommen

Entschlüsselung

Nur Empfängerin mit dem passenden privaten Schlüssel kann Nachricht entschlüsseln

Wichtig

  • Privater Schlüssel soll privat bleiben
  • Verloren ist für immer verloren
  • Passwort kann nicht zurückgesetzt werden

GPG im
immerda.ch Webmail

Wichtig

  • privater Schlüssel auf immerda Server!!!
  • funktioniert innerhalb von immerda ohne Schlüsselaustausch
  • nach wie vor brauchen Beide ein Schlüsselpaar

Schlüsselpaar erstellen

Lokal oder im Webmail

Wichtig: Passwort nicht identisch mit Login-Passwort!

Beispiel eines öffentlichen Schlüssels

externe Schlüssel importieren

öffentlicher Schlüssel von einer Kollegin per E-Mail
oder von https://keys.immerda.ch oder https://keys.mayfirst.org

Passwort ändern

Mehr immerda.ch

Weitere Services



Services von Freunden

Software

GnuPG

  • Asymmetrische Verschlüsselung (Public-/Private-Key)
  • Erweiterungen für alle gängigen Mailclients
  • Erweiterungen für Texteditoren

GnuPG installieren: Linux

sudo apt-get install gnupg

GnuPG installieren: OS X

Einschränkungen

  • Die eingesetzte Software benötigt mindestens OS X 10.5, einige Komponenten 10.6.
  • 10.7.5 Anyone? -> nightly builds
  • AppleMail ist vor dem Start der Installation zu beenden.

gpgtools

Die Software kann von der Projektseite heruntergeladen werden: http://www.gpgtools.org

GnuPG installieren: Windows

Einschränkungen Outlook

  • Das Plugin für Microsoft Outlook funktioniert nur mit Outlook 2003 und 2007.
  • Falls möglich alternativ Mozilla Thunderbird verwenden.

Gpg4Win

  • Auf http://www.gpg4win.org gibts eine Windowsversion zum download
  • gpg4win.de für die deutsche Version
  • herunterladen und entpacken

Gpg4win Installer starten

Komponenten auswählen

  • Benötigt wird lediglich GnuPG
  • Wer Thunderbird verwendet, lässt den Rest weg

S/MIME Konfiguration überspringen

Installation abgeschlossen

Schlüssel verwalten

  • generieren
  • importieren
  • exportieren
  • ...

Thunderbird & Enigmail

Enigmail

Enigmail ist ein Addon für Thunderbird.

Extras -> Erweiterungen -> suchen nach "Enigmail"

Installieren und Thunderbird neustarten

Schlüssel verwalten mit Linux

Gnome

Seahorse eignet sich für die Schlüsselverwaltung unter Gnome.

sudo apt-get install seahorse

KDE

Kgpg eignet sich für die Schlüsselverwaltung unter KDE.

sudo apt-get install kgpg

Andere

Wer eine andere Platform nutzt, findet selber raus, was am besten passt.

Schlüssel verwalten OSX

GPG Keychain Access

Das Programm GPG Keychain Access dient zum verwalten der Schlüssel unter OSX.

Schlüssel verwalten Windows

Nur wenn nicht Thunderbird verwendet werden kann.

Kleopatra

Kleopatra ist zur Verwaltung der Schlüssel geeignet

Schlüssel generieren

  • Wir generieren ein Schlüsselpaar, bestehend aus einem privaten und einem öffentlichen Schlüssel.
  • Die Sicherheit basiert auf der absoluten Geheimhaltung des privaten Schlüssels.
  • Die Passphrase ist wichtig! Damit wird der private Schlüssel verschlüsselt.

richtiger Name?

Ob der richtige Name angeben wird für die User-ID liegt im eigenen Ermessen.
Hat jemand gute Gründe dafür oder dagegen?

Passphrase

Ablaufdatum

  • Für den Key können wir ein Ablaufdatum definieren.
  • Der Key kann auch unbeschränkt gültig sein
  • Beides hat seine Vor- und Nachteile

Schlüssel generieren mit Enigmail

Im neuen Menu "OpenPGP" "Key Management" öffnen

Schlüssel generieren Seahorse

Schlüssel generieren OSX

Nach der Installation wurde GPG Keychain Access automatisch gestartet und ein Dialog zum Erstellen des Schlüsselpaares angezeigt.

Schlüssel generieren Windows

Nur wenn nicht Thunderbird verwendet werden kann

Kleopatra starten

Neues Zertifikat

OpenPGP Schlüsselpaar erzeugen

Emailadresse und Namen angeben

Erweiterte Einstellungen: RSA 3072 Bits verwenden

Einstellungen überprüfen

Passphrase eingebene: sichere Passphrase verwenden!

Schlüssel verteilen

öffentlichen Schlüssel

Damit uns andere verschlüsselte Nachrichten schicken können, brauchen sie unseren öffentlichen Schlüssel.

Wir können diesen auf elektronischem Weg verteilen.

Schlüssel exportieren mit Enigmail

Im Key Manager Rechtsklick auf den eigenen Schlüssel -> "Export Keys to File" wählen

Schlüssel exportieren mit Seahorse

Unter eigene Schlüssel Rechtsklick auf den eigenen Schlüssel -> Export

Schlüssel exportieren mit OSX

öffentlichen Schlüssel markieren

Exportieren

Haken vor "ASCII-Hülle"

Schlüssel exportieren mit Kleopatra

  • Schlüssel auswählen
  • Rechtsklick - Zertifikat exportieren

Schlüsselstreifen

Schlüsselstreifen sind geeignet um den Fingerprint des öffentlichen Schlüssels zu verteilen.
Damit kann dieser von anderen verifiziert werden.

gpg --list-secret-keys --fingerprint

Schlüssel importieren

Zum Testen wird der Public Key von office@privacyfoundation.ch heruntergeladen.
Dieser ist unter http://privacyfoundation.ch/de/kontakt.html zu finden.

Schlüssel importieren mit Enigmail

  • Via Menu File - Import Key from Files
  • Alternativ kann man den Schlüsselblock aus einer Webseite kopieren, und via Menu Bearbeiten - Import Keys from Clipboard importieren.

Schlüssel importieren mit Seahorse

  • Via Menu Datei - Import kann eine *.asc Schlüsseldatei importiert werden.
  • Alternativ kann man den Schlüsselblock aus einer Webseite kopieren, und via Menu Bearbeiten - Einfügen importieren.

Schlüssel importieren mit GPGKeys

  • Via Menu Ablage - Importieren kann eine *.asc Schlüsseldatei importiert werden.

Schlüssel importieren mit Kleopatra

  • Via Menu Datei - Zertifikate importieren kann eine *.asc Schlüsseldatei importiert werden.

Schlüssel signieren

Fingerprint überprüfen

Fingerprint über einen separaten Kanal übertragen!

Fingerprint anzeigen

Im Key Manager Doppelklick auf den importieren Schlüssel. Dadurch werden Informationen zum Schlüssel angezeigt. Unter anderem der Fingerprint.

  • Gehört der Fingerprint wirklich dieser Person?
  • Zur Kontrolle bieten sich Ausweis und Schlüsselstreifen an.

  • Dieser Schritt ist enorm wichtig. Darauf basiert die Sicherheit des Systems.
  • Der Signatur-Level kann pro Signatur gewählt werden.

Schlüssel signieren mit Enigmail

Rechtsklick auf zu signierenden Schlüssel -> Sign Key

Signaturlevel wählen

Schlüssel signieren mit Seahorse

Schlüssel aus der Liste "andere Schlüssel" öffnen und im Reiter "Vertrauen" den Schlüssel signieren.

Schlüssel signieren mit GPGKeys

  • Betreffenden Schlüssel markieren
  • Menu Schlüssel - Signieren
  • Terminal öffnet sich

Schlüssel signieren mit Kleopatra

Rechte Maustaste auf importierten Schlüssel - Zertifikat beglaubigen

Zertifikat auswählen, Fingerprint kontrollieren!

Beglaubigen

Email verschlüsseln

mit Thunderbird

Es müssen noch einige Einstellungen in Thunderbird gemacht werden.

Mail signieren & verschlüsseln

  • Im Fenster zum Erfassen neuer Nachrichten erscheint ein OpenPGP Button.
  • Da lässt sich auswählen, ob das Mail signiert und/oder verschlüsselt werden soll.

Mail entschlüsseln

  • Wenn eine verschlüsselte Nachricht geöffnet werden soll, wird die Passphrase abgefragt.

mit AppleMail

GPGMail Einstellungen

  • Nach der Installation von GPGMail kann Apple Mail wieder gestartet werden.
  • In den Apple Mail Einstellungen befindet sich nun ein Reiter "PGP".

GPGMail Einstellungen

GPGMail Einstellungen

Unter Schlüssel:

  • Standartschlüssel auswählen
  • Immer das Kennwort abfragen

GPGMail Einstellungen

Unter Verfassen:

  • Generell alle Nachrichten signieren
  • Immer auch mit eigenem Schlüssel verschlüsseln
  • Symbole beim Verfassen der Email anzeigen

Mail signieren & verschlüsseln

  • Checkboxen zum Signieren resp. Verschlüsseln setzten.
  • Unter Signieren den eigenen Schlüssel wählen.
  • Unter Verschlüsseln den öffentlichen Schlüssel des Empfängers wählen.

Mails entschlüsseln

Beim öffnen einer verschlüsselten Nachricht wird die Passphrase abgefragt.

mit Outlook

GPGOL

Die Erweiterung GPGOL zur Verwendung vom GPG mit Outlook wurde bereits bei der Installation von Gpg4win installiert.
Diese ist nach einem Neustart von Outlook verfügbar.

Mail signieren & verschlüsseln

Checkboxen zum Signieren resp. Verschlüsseln setzten.

Mail signieren & verschlüsseln

Schlüssel des Empfängers auswählen

Mails entschlüsseln

Beim öffnen einer verschlüsselten Nachricht wird die Passphrase abgefragt.

üben üben...

Sendet euren Public Key in einem verschlüsselten Mail an office@privacyfoundation.ch

Tauscht untereinander die Schlüssel aus, verifiziert die Signaturen, und sendet euch verschlüsselte Mails

das wars

Slides unter http://slides.privacyfoundation.ch
Ausführlichere Anleitungen unter: https://privacyfoundation.ch/de/service/e-mail-verschluesseln.html

Wie funktioniert das genau?