Gehe direkt: zum Inhalt. | zur Navigation.

web-blog.netUsability Inside.

Verschlüsseln Verbrecher nachts E-Mails?

Abhören leicht gemacht

Teil 1: Vorbemerkung
Teil 2: Praxis: SSL, PGP und GnuPG einsetzen
Teil 3: Verschlüsseltes GnuPG mit Jabber und Psi (Mac OS X)

Vorbemerkung

Heise Online, 10.9.2004: Abhören für jeden Geschmack.

Mit einer Zunahme der Überwachung von E-Mails durch staatliche Stellen ist voraussichtlich ab 2005 zu rechnen. Dann werden, sagte Karl-Heinz Helf von der Regulierungsbehörde für Post und Telekommunikation (RegTP), die Vorschriften zur E-Mail-Überwachung entsprechend der für den Herbst angekündigten Version 4.1 der Technischen Richtlinie Telekommunikationsüberwachung (TRTKÜ) greifen.

S.a. Heise Online vom 5.11.2004, via Alp Uckan: Verpflichtung zur E-Mail-Überwachung trifft die Providerbranche hart. Oder Telepolis, Fingerlecken für die Stasi:

Dabei seien vor dem Beschluss der Gesetze keine Studien über die Effektivität und die Verhältnismäßigkeit der Überwachungsregelungen durchgeführt worden. Der Bundesregierung legte Pernice daher ans Herz, die Gesetzesgrundlagen fürs Abhören gründlich zu überprüfen und gegebenenfalls zu novellieren. Würde die TKÜV in ihrer jetzigen Form erlassen, werde dem Wirtschaftsstandort Deutschland »schwerer Schaden zugefügt«.

Und weiter: Verschlüsseln Verbrecher nachts noch E-Mail?

Die Aufwendungen für die Installation der Abhörschnittstellen sieht auch Graf gerechtfertigt, da von den Möglichkeiten der Verschlüsselung selbst in Reihen der Organisierten Kriminalität bisher so gut wie nicht Gebrauch gemacht werde. Die Erfahrungen hätten gezeigt, dass eine durchgehende »Sicherung« der Telekommunikation gegen Überwachungsmaßnahmen nicht stattfinde. Einzelne Kriminelle würden vielleicht »nachmittags um Drei verschlüsseln«, aber nicht mehr nachts um Elf, wenn sie müde seien.

Ist man also kriminell, wenn man E-Mails, Chats, Konferenzen oder Dokumente verschlüsselt? Ist man ein Verbrecher, wenn man etwas geheimzuhalten, etwas zu verbergen hat? Wer nichts zu verbergen hat, hat nichts zu befürchten?

Kommt mir das nicht alles bekannt vor? Sollten wir etwa nicht gegen diesen Mielke-Stasi-Väterlichkeits-Duktus vorgehen? Und wenn wir nur unsere Kommunikation geheimhalten, weil wir nämlich sehr wohl etwas zu verbergen haben: unsere Privatsphäre. Unsere Geschäftsgeheimnisse. Unsere Daten.

Was also tun?

Bevor wir jetzt jammern und lamentieren, kümmern wir uns lieber um die verbleibenden Möglichkeiten. Briefe schreiben? Zu langsam. Mit Handys telefonieren? Zu unsicher, verrät uns das BSI. E-Mails abschaffen? Nicht wirklich. Also bleibt wohl nichts anderes übrig: Werden wir einfach kriminell und verschlüsseln unsere Kommunikation. Dazu muss man weder paranoid noch sonderlich sicherheitsfixiert sein: Wer beispielsweise in einem WLAN surft oder wie ich einen Haufen offene WLANs um sich herum hat, weiß Verschlüsselung schnell zu schätzen. Spätestens dann, wenn man nicht der Einzige ist, der seine eigenen E-Mails abruft.

Praxis: SSL, PGP und GnuPG einsetzen

E-Mails

E-Mails können mit einem digitalen Zertifikat signiert werden. Wie das schnell und einfach mit dem Hamburger Anbieter TrustCenter auch plattformübergreifend funktioniert, habe ich hier beschrieben: E-Mails digital signieren.

Es ist zudem sinnvoll, SSL-Verschlüsselung dort einzusetzen, wo der Provider dies ermöglicht (bzw. einen anderen Provider gar nicht erst zu nutzen). Dazu muss man sich in der Regel das gültige SSL-Mailserver-Zertifikat des Providers installieren bzw. importieren (entweder über den Browser, den Mail-Client oder im OSX-Schlüsselbund). Daraufhin stellt man in den Konto-Optionen des Mail-Clients die erweiterten SMTP-Sendeoptionen auf SSL um. In der Regel braucht man dazu nur ein Häkchen zu setzen: »SMTP-Dienst erfordert eine sichere Verbindung (SSL) und eine Authentifizierung« oder ähnliches. Ergebnis: Der komplette ausgehende Mail-Verkehr wird nun verschlüsselt – aber nur vom Mail-Client bis zum Mailserver! Von dort bis zum Empfänger ist die E-Mail weiterhin wie jede andere Postkarte auch »offen zugänglich«. (Achtung: Manche Provider wie beispielsweise DomainFactory leiten SSL-verschlüsselte Mails über einen gesonderten SMTP-Server mit anderen Ports. Diese Daten müssen dann noch angepasst werden.)

Noch sicherer mailen? Das geht mit PGP und GnuPG. In dem verlinkten Beitrag finden sich alle notwendigen Links und Schritt-für-Schritt-Anleitungen, um GnuPG schnell, einfach und effizient innerhalb kürzester Zeit selbst auf seinem System einsetzen zu können, egal ob unter Windows, Linux oder OS X, unter Thunderbird, Mozilla, Apple Mail, Outlook oder Entourage. Mac-User finden eine detaillierte, wirklich einfache Anleitung in GnuPG unter Mac OS X. Thunderbird/Mozilla-User werden hier fündig: Verschlüsselte E-Mails mit GnuPG, WinPT und Thunderbird. Wer tiefer in die Materie einsteigen mag, startet am besten mit Kai Ravens deutscher PGP-Anleitung oder startet allgemeiner mit der umfangreichen Verschlüsselungs-Liste des Landeszentrums für Datenschutz Schleswig-Holstein. Auf jeden Fall gibt es jetzt zumindest für Privatpersonen keine Ausrede mehr, GnuPG nicht einzusetzen.

Keysigning-Partys

Sehr beliebt sind sogenannte Keysigning-Partys. Die Absicht dahinter ist eine Art Web-of-Trust zu bilden bzw. zu verstärken, indem man seine persönlichen GPG-Schlüssel in persönlicher Anwesenheit gegenseitig signiert. Darüber hinaus lernt man neben neuen Menschen vielleicht auch neue Technologien, Ansichten und Inhalte kennen.

Die nächste mir persönlich bekannte Keysigning-Party findet übrigens am 28.12.04 hier im Berliner Congress Center im Rahmen des 21. Chaos Communication Congress 21C3 statt. Wer selbst eine solche Keysigning-Party veranstalten möchte (enlarge your web of trust), ist mit Alex Brennens detaillierter Anleitung bestens bedient: GnuPG Keysigning Party Howto.

Verschlüsseltes GnuPG mit Jabber und Psi (Mac OS X)

GnuPG mit Jabber

Gestern abend habe ich mit Alp Uckan via Jabber über diese Thematik gesprochen. Dabei haben wir erstmals das Feature ausprobiert, unsere Kommunikation mit GnuPG zu verschlüsseln. Und, oh Wunder, es ist ganz einfach und tut gar nicht weh. Also kamen wir überein, eine kurze Anleitung online zu stellen. Hier ist sie: bei mir für Mac OS X, nebenan bei Alp für Windows. Achtung: Der Besitz eines eigenen GnuPG-Schlüsselpaares ist Voraussetzung!

Erstens: Nutzt Jabber! Jabber ist für IM-Clients sowas wie Firefox für Browser. Als XML-basierender Service ist Jabber ein offenes Open-Source-Instant-Messaging-System. Die Clients sind klein und schnell, man hat eine große Auswahl an Clients und Servern. Und außerdem, womit wir wieder beim Thema wären: Jabber unterstützt SSL- und GnuPG-Verschlüsselung.

Jabber, GPG und OS X: iChat bietet leider erst ab der kommen Version Jabber-Unterstützung. Derzeit stark gehypet wird AdiumX, ein sehr schicker IM-Client mit mächtig Unterstützung und Engagement im Rücken. Kann aber kein GPG! Also wieder Fire ausgekramt. Fire kann SSL, GPG – und neben Jabber auch ICQ, AIM/iChat, MSN, Yahoo und IRC. Allerdings konnten Alp und ich uns nicht mehr lesen, sobald wir die Verschlüsselung einschalteten. Also bin ich, schon fast ein wenig entnervt, auf den Jabber-XMPP-Client Psi umgestiegen, der auch alles kann (unter Windows, Linux und Macs!), zusätzlich noch ein deutsches Sprachpaket mit sich bringt und vollen Unicode-Support bietet.

Die Installation ist mac-like schnell und einfach:

  1. Das 5,9-MB-dmg herunterladen.
  2. Das Programm-Icon Psi in den Programme-Ordner ziehen.
  3. Fertig!

Wenn wir wollen, können wir nun das deutsche Sprachpaket installieren. Auf der Website steht zwar nichts von OSX-Unterstützung, aber es geht trotzdem: Ganz unten den Link Lang Pack anklicken und damit die 136 kb kleine Datei »psi_de.qm« herunterladen, zum Beispiel auf den Desktop. Nun Terminal starten, das wir unter Programme > Dienstprogramme finden. Das Terminal begrüßt uns mit Rechnername:~ Username$. Wir antworten, indem wir die soeben heruntergeladene Datei »psi_de.qm« in das »versteckte« Verzeichnis .psi hineinkopieren:

cp /Users/Username/Desktop/psi_de.qm /Users/Username/.psi

(Username muss hier natürlich durch den richtigen Benutzernamen ersetzt werden.) Einmal auf die Return-Taste hauen, fertig. Beim ersten Start gibt man einfach seine Jabber-ID ein, falls nicht schon sämtliche Daten aus anderen Programmen importiert worden sind. Gleichzeitig importiert man im Feld OpenPGP seinen PGP- oder GPG-Key und sichert ihn mit seinem GPG-Mantra (Passphrase) ab. Dies kann man auch später erledigen, indem man im Roaster mit der rechten Maustaste auf seinen Account klickt und »Konto bearbeiten« auswählt. Psi importiert automatisch alle vorhandenen, eigenen GnuPG-Schlüssel. Nur noch speichern, und schon steht der Verschlüsselung nichts mehr im Wege.

Nun braucht man von seinem Gegenüber den PGP-Key. Aus Fire kann man den Schlüssel bequem per Mausklick versenden; in diesem Fall habe ich mir Alps öffentlichen Key von seiner Website heruntergeladen und in das Schlüsselbund-Programm GPGKeys importiert. Daraus kann sich Psi nun bedienen.

Um nun mit Alp verschlüsselt chatten zu können, klicke ich mit der rechten Maustaste auf seine Jabber-ID und wähle aus dem Kontextmenü den Punkt »OpenPGP-Schlüssel zuweisen« aus. In der sich öffnenden Dialogbox klicke ich »Schlüssel manuell auswählen« an. Nun öffnet sich ein Fenster mit allen öffentlichen PGP-Schlüsseln, die GPGKeys gespeichert hat. Ich wähle Alp Uckans vorhin importierten öffentlichen Schlüssel aus (nicht den eigenen!) und klicke auf »OK«.

Nun kann ein erster Test stattfinden. Mit dem Shortcut »Apfel C« oder über Rechtsklick auf die Jabber-ID öffnet man ein neues IM-Fenster. Dort klickt man einmal auf das Schloss-Icon »Verschlüsselungen ein-/ausschalten«. Die Meldung »Encryption Enabled« bzw. »Verschlüsselung eingeschaltet« und das Schloss-Symbol neben Alps Jabber-ID zeigen an, dass die Kommunikation fortan GPG-verschlüsselt stattfindet.

Also alles ganz einfach, wenn man nur die richtigen Quellen kennt. SSL-verschlüsselten E-Mail-Versand hat man in weniger als zwei Minuten aktiviert, eine digitale Signatur innerhalb von 20 Minuten beantragt, heruntergeladen, installiert und aktiviert, GnuPG in knapp 30 Minuten installiert und konfiguriert, Jabber in gerade mal fünf Minuten GPG-ready eingerichtet. Man benötigt also alles in allem eine Investition von 0 Euro und ungefähr eine Stunde Zeit, um sich ein wenig sicherer, privater, vielleicht freier zu fühlen. Nur deshalb von Politikern mit »Verbrechern und einzelnen Kriminellen« auf eine Stufe gestellt zu werden – das ist es allein schon wert, solchen und ähnlichen Personen und Verordnungen ganz gepflegt den ausgestreckten Mittelfinger zu zeigen.

Ach ja, bevor ich's vergesse: Hier liegt mein persönlicher PGP Public Key. Meine Jabber-ID ist marcus.voelkel@jabber.ccc.de, und nein, das ist keine E-Mail-Adresse.

Und nicht vergessen, auch bei Alp Uckan vorbeizuschauen: Verschlüsselt Jabbern mit Psi.

Nachtrag I: Markus Kniebes weist auf die Verschlüsselungsmöglichkeiten von Gaim mit dem Gaim-Encryption-Plugin hin.

Nachtrag II: In den Kommentaren verweist Michael Seidlitz auf eine noch einfachere Lösung, das deutsche Sprachpaket zu installieren.

Nachtrag III: Stephan »Moe« Mosel, GnuPG unter Windows: Verschlüsselung (fast) ganz einfach: So schnell ist GnuPG unter Windows eingerichtet.

Nachtrag IV: Aufgrund der regen Nachfrage gibt es nun hier im Weblog eine vierteilige Serie über GnuPG unter Mac OS X. Der erste Teil beschreibt die GnuPG-Installation in Panther in vier Schritten; die übrigen Teile beschreiben die Benutzung und Verwaltung der Schlüssel auf dem eigenen System und in den Mail-Clients Apple Mail und Entourage 2004.

Marcus Völkel | 06.11.04 | Netzwelt 


 

Trackbacks

Trackback-URI für diesen Eintrag:
http://www.web-blog.net/pingserver.php?p=tb&id=169

Trackbacks:

Privatsphäre vs Stasi-Väterlichkeits-Duktus
Über die schleichende Erosion der Privatsphäre ist schon viel, aber lange nicht ausreichend berichtet worden. Aktuell findet sich bei Usability Inside einen zusammenfassenden Artikel über die Thematik und Möglichkeit, wie man auf Internetebene seine Pr...
Tee(r) und Federn (07.11.2004 | 17:24)

Die Überwachung der E-Mails - Nachtrag
Verschlüsseln Verbrecher Nachts E-Mails ist eine hübsche Zusammenfassung der wichtigsten Techniken um seine elektronische Kommunikation zu verschlüsseln.Was mir zum Thema E-Mail-Überwachung noch einfällt: Was ist wenn viele Leute ihre E-Mails mit...
Nemesis-Sektor: Blog (14.11.2004 | 23:58)


Pingbacks

Der Themenmixer - Verschlüsseln - über das Leben, das Universum und den ganzen Rest, den Bodensee, Friedrichshafen ...
...Fuzzies "ganz gepflegt den ausgestreckten Mittelfinger zu zeigen" (Usability Inside): Jabbern mit PSI: Jabber ist bei den IMs (Instant Messaging) was Firefox bei den Browsern. Verschlüsseln Verbrecher nachts E-Mails?: Usability Inside ...
(08.11.2004 | 11:14)

Der Themenmixer - Verschlüsseln - über das Leben, das Universum und den ganzen Rest, den Bodensee, Friedrichshafen ...
...gepflegt den ausgestreckten Mittelfinger zu zeigen" (Usability Inside): Jabbern mit PSI: Jabber ist bei den IMs (Instant Messaging) was Firefox bei den Browsern. Verschlüsseln Verbrecher nachts E-Mails?: Usability Inside mit einer gelungenen ...
(08.11.2004 | 11:14)

yet another useless homepage » Emailüberwachung
... Dein Kommentar ...
(08.11.2004 | 13:28)

Usability Inside | Weblog |
...2004GnuPG unter Mac OS X, Teil IV: Kurzreferenz und LinksVerwandte Artikel zum ThemaVerschlüsseln Verbrecher nachts E-Mails?PGP und GnuPGE-Mails digital signierenHinweis: Dieser Artikel unterliegt den Bestimmungen einer Creative-Commons-Lizenz ...
(15.11.2004 | 13:44)

kniz.de - blog
...beschäftigt, Anleitung gibts es hier für Mac & Windows! Meine Jabber-ID Rico@jabber.ccc.de   Permalink Kommentare » The URI to TrackBack this entry is: ...
(21.11.2004 | 23:45)

Usability Inside | Weblog |
...und ganz vielen weiterführenden Links. In der Zwischenzeit können Sie z.B. GnuPG-verschlüsselt jabbern, indem Sie einen Instant-Messenger wie Psi benutzen.Hinweis: Dieser Artikel unterliegt den Bestimmungen einer Creative-Commons-Lizenz ...
(20.11.2004 | 15:25)

weblog_netzgeschaedigt v2 » Save Emails und Thunderbird
...vier interessante Seiten festhalten. Eine sehr interessante Seite gibt es bei Usability Inside. Umfassend und mit Hintergrund-Informationen und weiterführenden Links. Auf der gleichen Seite gibt es auch noch einen gesonderten Artikel zu PGP & GnuPG...
(23.11.2004 | 18:14)


Kommentare

Okay, Ralph, es ist ganz einfach und eigentlich bist du schon fertig. Es ist wohl lediglich missverständlich dadurch, dass der Autor in einem deutschen Text plötzlich englischsprachige Begriffe nutzt.

Gib dort einfach die Tastaturkombination »Cmd Punkt« a.k.a. »Apfel Punkt« ein, also

[Apfel] [.]
. Damit unterbrichst du das Terminal. Anschließend erhältst du die Bestätigung:
gpg: Interrupt caught ... exiting 
[localhost:~] user%
Du kannst auch einfach das Fenster schließen und mit
[Apfel] [n]
ein neues Terminal-Fenster öffnen und dort mit der Konfiguration weitermachen.

schrieb am 07.11.2004 | 11:37


Ach, und hier: Spaß mit the almighty Kommandozeile ;)

Und vor allem im powerbook_blog bleibt man auch immer sehr aktuell, was eben jenige betrifft.

schrieb am 07.11.2004 | 11:41


Danke. Sollte vielleicht lieber die Hilfsprogramme anstatt Kommandozeile benutzen. ;-) - Habe btw in der Nacht mit Alp gejabbert, er hat mir prima geholfen, das ganze auf Win einzurichten und dann haben wir ne Runde verschluesselt geplaudert. War sehr nett. -

Jetzt würde ich meine OpenPGP-Schlüssel auch auf dem Mac benutzen. Müsste die also irgendwie in die Programme einbinden. Schaun wer mal :-)

schrieb am 07.11.2004 | 12:00


Hervorragender Artikel, insbesondere für mich als Mac-User ;-)

Habe bislang

- bei eMail PGP zur Verschlüsselung verwendet und

- als IM Adium X (bzw. jetzt mehr Skype) benutzt.

Werde mir überlegen,

- bei eMail zu GnuPG und

- bei IM zu Psi zu wechseln.

schrieb am 07.11.2004 | 12:41


Nehme alles zurück. Ne Mütze Schlaf, genaueres Lesen und Benutzen der Hilfsprogramme haben gezeigt: Es *ist* einfach. Jetzt muesste das verschluesselte Jabbern klappen, zudem auch das verschluesselte Email senden. Ich versuchs mal. ;-)

schrieb am 07.11.2004 | 14:40


Die Installation des deutschen Sprachpakets ging bei mir viel einfacher, nämlich auch ohne das Terminal.

Ich habe im Programmordner einen Ordner "Psi" angelegt, das Programm dort hineinglegt, und einfach die Sprachdatei hinzugefügt.

Beim ersten Starten des Programms wurde ich gefragt, welche Sprachversion ich benutzen wolle.

Ich wählte im Drop-down-menue "Deutsch" - Voilà.

schrieb am 08.11.2004 | 15:39


Ach! Danke für die Info; ich hatte ja fast geahnt, dass es auch noch einfacher gehen könnte... ;)

schrieb am 08.11.2004 | 15:45


 

© M. Völkel 2003-2008, some rights reserved | PGP-Key | Impressum
XHTML 1.0 Strict, Valid CSS.