Kommentare zu: PGP jetzt!

Von: Mailbox.org: Sichere Mails aus Deutschland | -=daMax=-

Mailbox.org: Sichere Mails aus Deutschland | -=daMax=- — Fri, 21 Feb 2014 09:55:37 +0000

[…] und das ist auch gut so. Und es wird euch angeblich sogar noch besser erklärt als ich das schon getan […]

Von: Nur Mut: jeder kann die Sicherheit der eigenen Daten erhöhen | Fakeblog

Nur Mut: jeder kann die Sicherheit der eigenen Daten erhöhen | Fakeblog — Tue, 28 Jan 2014 08:50:36 +0000

[…] zu schicken. Wir brauchen Erlebnisse, um wieder handlungsfähig zu werden. So habe ich mir beim Max durchgelesen, wie das mit der Verschlüsselung funktioniert. Kurze Zeit später verschickte ich meine erste […]

Von: da]v[ax

da]v[ax — Fri, 17 Jan 2014 20:24:04 +0000

@Johannes: fürs iPhone gibt es auch eine Lösung, ne?

https://itunes.apple.com/us/app/ipgmail/id430780873?mt=8
http://www.anotherwindowsblog.com/2012/10/using-openpgp-on-the-iphone.html

Von: “PGP jetzt!” in Esperanto: Bazoj PGP-ĉifrado | -=daMax=-

“PGP jetzt!” in Esperanto: Bazoj PGP-ĉifrado | -=daMax=- — Fri, 17 Jan 2014 20:18:30 +0000

[…] PGP-Anleitung wurde soeben nach Esperanto übersetzt. Ĉu […]

Von: da]v[ax

da]v[ax — Fri, 17 Jan 2014 20:15:26 +0000

@Johannes(49): großartig! Danke

Von: Johannes

Johannes — Fri, 17 Jan 2014 20:12:10 +0000

Die Übersetzung ist in erster Version erschienen mit Backlink. Sie steht in einem Wiki, das wir gerade neu aufgesetzt haben. Dort wollen wir eine umfangreiche Sammlung von Howtos und Empfehlungen über Verschlüsselung sammeln für Esperantosprecher.

Von: Ich kann jetzt verschlüsselte Mails senden | Fakeblog

Ich kann jetzt verschlüsselte Mails senden | Fakeblog — Thu, 09 Jan 2014 20:35:30 +0000

[…] Wer übrigens wissen möchte, wie kinderleicht das Verschlüsseln von Mails funktioniert, darf sich gerne Maxs Anleitung hierzu durchlesen. […]

Von: da]v[ax

da]v[ax — Wed, 08 Jan 2014 20:13:31 +0000

@Johannes (47): na aber KLAR doch! Das würde mich sogar total freuen. Ein Backlink wäre nett und bitte sag Bescheid, wenn die Übersetzung fertig ist und wo sie dann zu finden ist.

Von: Johannes

Johannes — Wed, 08 Jan 2014 20:02:49 +0000

Ich würde den Text gerne ins Esperanto übersetzen und auf einer esperantosprachigen Webseite über Verschlüsselung veröffentlichen. Ist das OK? Ich pass auch auf, dass das Internet nicht platzt.

Von: HASKALA – JUGEND- UND WAHLKREISBÜRO KATHARINA KÖNIG, MdL » » Computer, Daten und Emails verschlüsseln – Anleitungen und Programme

Thu, 01 Aug 2013 12:55:49 +0000

[...] http://todamax.kicks-ass.net/2013/pgp-jetzt-2/#comment-80750 – PGP-Nachbau für Android-Handys [...]

Von: prism, tempora, überwachung, datensicherheit und das eigene nutzerverhalten 1 | endorphenium

Mon, 08 Jul 2013 17:13:21 +0000

[...] postbox als mail-client auf dem rechner, enigmail als plugin verschlüssel ich meine mails via pgp. max hat dazu eine wunderbare anleitung [...]

Von: Anonymous

Anonymous — Sun, 07 Jul 2013 22:21:01 +0000

[...] [...]

Von: Mondschein: Netz Deines Vertrauens

Mondschein: Netz Deines Vertrauens — Sat, 06 Jul 2013 12:20:44 +0000

[...] aber schnell, solange von dieser Sau wenigstens aus der Ferne noch das Ringelschwänzchen zu sehen ist! Den Rüssel dieses Viehs habe ich nie [...]

Von: Kai

Kai — Thu, 04 Jul 2013 18:17:35 +0000

@Georgi: Nein. Diese Zertifikate sind “Domain Validated”. Andere Einträge werden nicht geprüft. Darüber hinaus kann man sich auch jederzeit Zertifikate selber ausstellen und signieren.

Von: da]v[ax

da]v[ax — Wed, 03 Jul 2013 14:24:58 +0000

@Frank (44): http://bit.ly/12GDIB2

Von: Frank

Frank — Wed, 03 Jul 2013 14:16:01 +0000

Ich bitte um Anleitung von PGP für das Mailprogramm Evolution. Benutze Linux Ubuntu 12.04 LTS.
Evolution benutze ich deshalb weil ich vorher MS Outlook benutzt habe.

Von: da]v[ax

da]v[ax — Wed, 03 Jul 2013 04:56:09 +0000

@Walter (42): du hast recht. Dieses doofe Disqus, das René einsetzt, scheint nicht immer so richtig zu funktionieren. Der Link zu OpenPGP für’s iPhone:
https://itunes.apple.com/us/app/ipgmail/id430780873?mt=8

Hab’s im Artikel angepasst.

Von: Walter

Walter — Wed, 03 Jul 2013 00:42:10 +0000

Unter dem Link für iPhone-Benutzer finde ich leider nichts für iPhone-Benutzer. Bin ich blind oder hat sich der Inhalt hinter’m Link geändert?

Von: Matze

Matze — Tue, 02 Jul 2013 19:28:50 +0000

Verschlüsseltes InstantMessaging: Jabber/XMPP mit OTR.
Verschlüsseltes PasteBin: zerobin – http://sebsauvage.net/wiki/doku.php?id=php:zerobin

Von: anonymous

anonymous — Tue, 02 Jul 2013 19:04:17 +0000

Gegen Überwachung und Mitschnitt der Metadaten durch die NSA können Experimentierfreudige Bitmessage testen.

Von: Anleitung: so verschlüsselt ihr eure E-Mails mit PGP

Anleitung: so verschlüsselt ihr eure E-Mails mit PGP — Tue, 02 Jul 2013 13:53:56 +0000

[...] ausführlichen und gut verständlichen Artikel zum Thema E-Mailverschlüsselung hat daMax auf seinem Blog veröffentlicht, den wir an dieser [...]

Von: 0x000000

0x000000 — Mon, 01 Jul 2013 21:54:52 +0000

ein paar vorschläge meinerseits.
browser addon:
https://www.eff.org/https-everywhere
suchmaschienen:
https://duckduckgo.com/
https://startpage.com/
nachrichten (naja, sehr themenspezifisch):
https://linksunten.indymedia.org/
pastbin (mit encryption über die url!):
https://ezcrypt.it/
VPN (nimmt auch bitcoin als bezahlmöglichkeit):
https://www.ipredator.se/
online-bezahlmethode:
http://bitcoin.org/
*push*

Von: woodchuck

woodchuck — Mon, 01 Jul 2013 17:26:26 +0000

@georgi: Die Endpunkte bilden dann weiche Ziele, wenn das System von vornherein durch Schadsoftware kompromittiert ist, wenn kein ausreichend starkes Passwort gewählt wird, wenn der geheime Schlüssel auf der Festplatte des Laptops durch die Welt getragen wird (statt auf einem separaten Speichermedium; wobei auch das nichts gegen eine evil-maid-attack nützt), wenn man unterwegs unbedarft auf ein offene WLAN zugreift … Um es mal in den Worten von Edward Snowden zu wiederholen: “Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it.” Und nein, die NSA will durch ihre Manuals keine potentiellen “Geheimniskrämer” abschrecken, die sind für den dienstlichen Gebrauch (nur eben nicht classified).

Die grundsätzliche Frage für uns ist keine technische, sondern eine der Risikobewertung. Stehe ich auf der Liste der ausgewählten Ziele der NSA? Oder bin ich ein tibetischer Aktivist? Dann wiegt mich eine unsauber implementierte und laienhaft benutzte Kryptographie in falsche Sicherheit – und das kann den Kopf kosten. Oder bin ich nicht von besonderem Interesse, lebe in einem restdemokratischen Land wie Deutschland? Dann nur zu, jede verschlüsselt gesendete Mail ist ein Statement.

Von: 26 KW, Werbung, Tanz und natürlich Internet › HappyBuddha

26 KW, Werbung, Tanz und natürlich Internet › HappyBuddha — Mon, 01 Jul 2013 08:15:53 +0000

[...] Das Internet. Gut oder eher schlecht? Kaputt oder nur zu retten? Die letzte Woche bot 3 interessante Artikel dazu. Den Anfang macht “Spreeblick” gefolgt von einem Schlagabtausch zwischen “@tante” und “@lorz”. Ich habe keine festgelegte Meinung dazu, im Gegenteil, pendle zwischen sowohl als auch. Auf jeden Fall hat die ganze Diskussion einen positiven Aspekt, immer mehr interessieren sich für ihre Privatsphäre. Siehe: “Basiswissen pgp Party”. [...]

Von: matze

matze — Mon, 01 Jul 2013 06:41:15 +0000

@georgi (35)
Schlüssel lassen sich ja nicht nur über Schlüsselserver tauschen. Ich kann dir auch einfach einen USB-Stick mit meinem Schlüssel in die Hand drücken oder auch zur Not ihn ausdrucken und von deiner Sekretärin abtippen lassen. Zum senden einer Mail ist es nicht erforderlich, den Schlüssel auf einem Schlüsselserver abzulegen.

@Hauke (36)
Ich stimme nicht ganz mit dir überein. Was die Sachkenntnis bei Autoren von DIY-Artikeln angeht allerdings schon, deshalb habe ich ja bereits mehrfach Ergänzungen hinzugefügt. Nette Idee, dem Problem mit kostenlosen Schulungen zu begegnen.

Von: Hauke Laging

Hauke Laging — Sun, 30 Jun 2013 21:10:00 +0000

Es hat wenig Sinn, Neulinge mit solchen Hinweisen in Do-it-yourself-Manier auf das Thema loszulassen. Dabei kommt zweierlei heraus: Schrottschlüssel und die Illusion von Sicherheit. Was wir brauchen, sind 1) mehr Sachkenntnis bei den vorhandenen Benutzern (insbesondere denen, die Artikel darüber schreiben, lalala) 2) einen funktionierenden Wissenstransfer von den Experten zum Rest. www.openpgp-schulungen.de

Von: Verschlüssele deine E-Mails | dawdpk

Verschlüssele deine E-Mails | dawdpk — Sun, 30 Jun 2013 19:51:25 +0000

[...] doch ist nach der erstmaligen Einrichtung und mit den heutigen Tools leicht zu erledigen. Der Artikel von daMax liefert einen guten Einstieg und verweist auch auf Anleitungen zum [...]

Von: georgi

georgi — Sun, 30 Jun 2013 15:23:22 +0000

Noch eine Frage an Matze:

Da gibt es doch diesen von sämtlichen Parteien einsehbaren Schlüsselserver. Wenn ein chinesischer Dissident mit dem westlichen Ausland per GPG kommunizieren möchte, dann erkennt ein Geheimdienst das an den Einträgen auf dem Schlüsselserver. Anstatt auf Facebook liefern nun ihre sozialen Beziehungen nun auf dem Schlüsselserver den Geheimdiensten aus.

Von: georgi

georgi — Sun, 30 Jun 2013 15:03:06 +0000

@kai:
Ein SSL-Cert enthält Wohnadresse und den echten Namen. Eine Cert-Instanz wird Dir kein Cert für ein Pseudonym erteilen.

@matze
Du berücksichtigst nicht DRM-Techniken wie Safe EFI-Boot. Die entziehen Dir die Kontrolle über Deinen Rechner. Bei so einem freien Linux wie Slackware oder Arch kann ich mit netstat, tcpdump und ähnlichen Werkzeugen, beobachten, was die installierte Software tut. Wenn ich aber nur certificierte Software installieren darf oder entscheidende Funktionen in Clouds ausgelagert werden, kann ich nichts machen. Freie Systeme sind von vornherein schon vertrauenswürdiger.

@woodchuck
Wie geil ist das denn? Das NSA verrät Dir, was Du gegen denen ihre eigene Spionage machen kannst. Oder war es Ziel dieser Doku, den User, der GPG einsetzen möchte, so zu entmutigen, daß er von GPG abläßt? Warum sind Endpunkte “weiche Ziele”? Ich habe übrigens 30 min. gebraucht, um ein Schlüsselpaar zu generieren, den öffentlichen Schlüssel auf einen Schlüsselserver zu bringen, eine verschlüsselte und signierte email zu versenden und zu empfangen und zu decodieren.

Von: Viele suchen jetzt den individuellen Schutz gegen die “Ausspähung” durch fremde Mächte › Netzexil

Sun, 30 Jun 2013 14:41:26 +0000

[...] frage mich gerade, ob man den Einsatz von PGP zur Verschlüsselung des E-Mail-Verkehrs wirklich als politischen Protest gegen die »befreundeten« Staaten und vielleicht auch [...]

Von: Kai

Kai — Sun, 30 Jun 2013 13:08:01 +0000

Ich ergänze: SSL jetzt! Kostenlose Zertifikate, die von allen Browsern akzeptiert werden, gibt es bei StartSSL. Je mehr verschlüsselt wird, desto besser.

Von: PGP: Der Zeitpunkt war nie besser | [gregel dot com]

PGP: Der Zeitpunkt war nie besser | [gregel dot com] — Sun, 30 Jun 2013 11:22:24 +0000

[...] obige Zitat ist nur der Anfang – es folgt im Artikel von daMax auch ein ToDo für so ziemlich jeden und jedes System. Macht es auch, bitte! Wir müssen endlich [...]

Von: Woodchuck

Woodchuck — Sun, 30 Jun 2013 08:44:27 +0000

@Frank: Technisch gesehen ist es allerdings alles andere als trivial, starke Verschlüsselung einzusetzen. 15 Minuten oder auch 150 reichen da nicht aus. Das Verfahren, auf dem GPG basiert, ist zwar hochsicher, aber meistens bilden die Endpunkte weiche Angriffsziele. (Wer wirklich tief einsteigen will, kommt nicht herum, solche Manuals umzusetzen: http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/operating_systems.shtml#linux2).
Trotzdem ist diese kleine Anleitung gut und wichtig: Jede verschlüsselt versandte E-Mail ist ein kleiner, individueller politischer Protest. (Mal abgesehen davon muss das Interesse an den Kommunikanten schon ausgeprägt sein, damit sich die NSA, der BND oder wer auch immer den jeweiligen Endpunkten widmet.)

Von: Matze

Matze — Sun, 30 Jun 2013 08:42:51 +0000

@Frank (30)
Ich bin gespannt, woher du deine Erkenntnisse hast. Ich teile diese nämlich nur zum Teil:
a) Ein Großteil, wenn nicht sogar alles an Hardware kommt aus asiatischen Ländern, Taiwan, China, Indien. Nenne mir bitte einen Grund, weshalb da US-Spyware eingebaut sein sollte und wie diese dann funktioniert.

b) Es mag richtig sein, dass Mobiltelefone nicht sicher sind. Das hat aber andere Gründe, als die von dir angesprochenen. Das liegt an Apps (nur ein Facebook-Beispiel: http://www.heise.de/newsticker/meldung/Facebook-App-verschickt-Telefonnummer-auch-ohne-Login-1908799.html) und vor allem an den Apps aus unsicherer Quelle, weil Person ihr Handy rootet um auch die Raubkopien aus der Tauschbörse nutzen zu können. Mit der Folge, dass nicht (nur) Geheimdienste mitlauschen, sondern monetär interessierte Kriminelle. Aus diesem Grund ganz klar: Kein privater Schlüssel aufs Handy.

c) Windows & iOS: Wenn das so wäre, warum müsste dann die NSA ihrerseits Computer von EU-Diplomaten manipulieren, um an Daten zu kommen? Und das würde deutschen Geheimdiensten noch lange keinen Zugriff ermöglichen. Selbstverständlich gibt es Methoden, Computer zu kontrollieren, dass diese _nicht_ von vorneherein in Betriebssysteme eingebaut sind liegt aber Nahe. In deiner Argumentation müsste auch Linux (die meisten Linux-Distributoren sind Firmen aus den USA) solche Anteile enthalten, warum nimmst du es aus?

d) Warum glaubst du, werden in kritischen Situationen immer wieder Teile des Internet “abgeklemmt”? Weil die Regierungen, selbst dann, wenn sie es zu einem großen Teil überwachen, es eben nicht kontrollieren können. Es gibt also durchaus Hoffnung und es macht durchaus Sinn, seine E-Mails zu verschlüsseln.

Matze

Von: Frank

Frank — Sun, 30 Jun 2013 00:14:31 +0000

Ich halte das alles für fast aussichtslos. Es geht ja darum, dass Windows und iOS ebenso wie Android (in den proprietären Teilen) kompromittierte Systeme sind, die auf kompromittierter Hardware laufen. Der private Key ist daher alles andere als privat.

So leicht ist Privacy heute nicht mehr zu haben. Wenn du in Verdacht stehst, dann weiß die NSA schneller über deine Kontobewegungen bescheid als die hiesige Steuerfahndung.

Sofern auch Hardware betroffen ist, ist nicht einmal Linux sicher vor den amerikanisch-englischen Langohren. Wir sollten uns besser Brieftauben oder Eulen schicken, das ist jedenfalls privater.

Von: Matze

Matze — Sat, 29 Jun 2013 20:38:46 +0000

@georgi (28)
Das sieht auf den ersten Blick in der Tat so aus. Untersuchungen zeigen, dass wir über 5-6 Ecken bekannt sind. Natürlich ist das ein wenig Henne-Ei-Problem. Wenn aus diesem Grund niemand GPG nutzt, wird das Web-Of-Trust auch nie größer. Wenn man regelmäßige lokale, regionale und überregionale Keysigning-Parties durchführt wird das Netz schnell größer. In den meisten Fällen schreibt man E-Mails mit nahen/näheren Bekannten. So ließe sich zumindest über Telefonie der Fingerabdruck des Schlüssels überprüfen.

Das mit den Spammern kann ich nicht bestätigen. Zumindest nicht in größerem Maße, als dies eh schon stattfindet. Ich nutze seit vielen Jahren GPG, mein aktueller Schlüssel liegt seit 8 Jahren mit verschiedenen Unterschriften (bekommen und gegeben) auf Keyservern. Mit einem gut gepflegten Mailserver mit Spamheuristik bekomme ich ziemlich wenig Spam.

Ich rate also, auch dann, wenn es impraktikabel erscheint, zur Nutzung von GnuPG. Ich nutze es z.B. auch bei Personen, die bisher kein GPG einsetzen zur Signatur meiner unverschlüsselten E-Mails. So ließe sich im Zweifel auch nachträglich, z.B. nach einem persönlichen Treffen herausfinden, ob eine Mail verändert wurde. Ein zweiter Kanal ist eben nötig, selbst, wenn es umständlich erscheint.

Diese Signatur findet z.B. auch beim alternativen Social-Network von Diaspora* Anwendung. Der Pod, auch dem man sich anmeldet, erzeugt ein GPG-Schlüsselpaar und signiert alle Nachrichten, die von diesem Account erstellt werden. Es gibt viele offene Pods und die meisten der Podmins (Administratoren) unterstützen das Netzwerk mit ihren Servern und ihrer Zeit – ohne finanzielle und werbestrategische Interessen. Und falls man ihnen nicht traut, setzt man sich einen eigenen Pod auf und hat es selbst in der Hand.

Es sind kleine Schritte für jeden, die etwas ändern können, selbst dann, wenn sie zunächst mühselig und nicht zielführend erscheinen. Facebook und Twitter haben bei den Demonstration der arabischen Welt mitgespielt, weil es “unser” politisches Interesse war. Betrifft es Europa oder Amerika sieht das im Hinblick auf die Unterstützung der Bevölkerung durch die Beiden eher finster aus. Da wird gesperrt, zensiert, Nutzerdaten weitergegebene, …

Viele Grüße
- Matze

Von: georgi

georgi — Sat, 29 Jun 2013 20:18:05 +0000

GPG/PGP finde ich jetzt impraktikabel. Angenommen, ich wollte Dir eine email senden. Selbst, wenn ich Deine email-Adresse und Deinen öffentlichen Schlüssel kennen würde, wäre das überhaupt nicht möglich, denn über x Ecken gemeinsame Bekannte haben wir nicht. Ich weiß weder, wer Matze ist, noch wo er lebt; und selbst, wenn ich es wüßte, ich müßte ihn persönlich treffen, um dann ihm erst verschlüsselt etwas mitteilen zu können, wenn ich wieder zu Hause bin. was ich ihm auch an Ort und Stelle mitteilen könnte. Und wenn ich dann bei Wikipedia lese, daß ich mir Probleme mit dem Datenschutz einhandle und zur Zielscheibe von Spammern werde, dann frage ich mich, was das Ganze soll.

Von: Matze

Matze — Sat, 29 Jun 2013 19:58:46 +0000

@georgi (25, 26):
Du hast es ja selbst schon gemerkt. Ich führe es aber für die anderen nochmal aus. Die Schlüssel der dritten, also die, welchen Alice vertraut, wurden ja über einen off-the-band-Kanal überprüft. Also z.B. Face-to-Face auf einer Keysigning-Party, per (Mobil-)Telefon, … so würden auch die gefälschten Unterschriften der Drittschlüssel durch Mallory auffallen und der Spuk fiele auf.

Viele Grüße
Matze

Von: georgi

georgi — Sat, 29 Jun 2013 16:44:34 +0000

OK, ich habe gerade bei Wikipedia noch einmal zu “Web of Trust” herumgelesen, und merke, daß ich noch nicht alles begriffen habe.

Von: georgi

georgi — Sat, 29 Jun 2013 16:11:14 +0000

Lieber Matze!

Deine Ausführungen (22) sind sehr interessant. Was ist aber, wenn Mallory die von ihm gefälschten Schlüssel mit seinem eigenen privaten Schlüssel unterschreibt? Mallory erzeugt für alle ihn interessanten Teilnehmer jeweils ein Schlüsselpaar, lädt die entsprechenden Originale vom Schlüsselserver, sichert sie und ersetzt auf dem Schlüsselserver die Originale durch Mallorys Fakes. Dann kommt es Alice in den Sinn, mit Bob kommunizieren zu wollen, Alice lädt nun das Fake vom Schlüsselserver, prüft es, und findet heraus, daß es ordnungsgemäß unterschrieben wurde, also nach ihrer Auffassung kein Fake ist; und das Unheil nimmt seinen Lauf&dots