Sie sind nicht angemeldet.

Desi

Der EDV-Dompteur im Zivilmodus

  • »Desi« ist der Autor dieses Themas

Beiträge: 1 076

Wohnort: Hamburg

Beruf: Techniker

  • Nachricht senden

1

Dienstag, 28. Januar 2014, 02:07

E-Mail - aber sicher!

Bekanntlich sind die 80 Millionen Einwohner dieses Landes potenzielle Terroristen.
Auch für die Kanzlerin gilt das, denn warum sollte die NSA sonst deren Handy-Kommunikation so misstrauisch beäugeln?

OK, ich mag die Merkel ja auch nicht, aber wenn DIE verdächtig ist, dann bist DU es ganz sicher!

Wer also den Staatsstreich plant, oder die Übernahme der Weltherrschaft, der dürfte hin & wieder den Wunsch verspüren, seinen engsten Vertrauten geheime Informationen per E-Mail zukommen zu lassen.
Wäre da doch nur nicht diese lästige NSA, die alles abfischt ...

PGP-Verschlüsselung schützt zwar (wenn man eine Menge richtig und NICHTS falsch macht) die Inhalte der Mails, verschleiert jedoch nicht die sog. Metadaten.
Das Thema PGP wurde und wird ausreichend diskutiert, spätestens seit Snowden. Mein Betrag hier soll eher "dem Rest" gewidmet sein. Also jenen Lücken im Gesamtkonzept, die PGP offen lässt.

Ein Baustein im Sicherheitskonzept ist die Verwendung eines anonymen Mailanbieters.
Positiv aufgefallen ist mir Posteo:
https://posteo.de/site/datenschutz


Aber auch hier gilt: Man kann eine Menge falsch machen!
Man setzt sich nicht einfach an den PC im heimischen Wohnzimmer, eröffnet bei Posteo ein Mailkonto und schon kann man seine geheimen Staatsstreich-Pläne an Snowden, Assange und Bin Ladens Nachfolger mailen. Nein, so nicht. Vor dem Erfolg steht leider der Schweiß!

So macht man es richtigererer:
  1. Das Handy lässt man Daheim.
  2. Nun fährt man mit der Bahn (Ticket bar bezahlt) ein paar Städte weiter.
  3. Dort kauft man einen USB-Stick.
  4. Nun setzt man sich ins Internet-Cafe, lädt TrueCrypt herunter und verschlüsselt damit den kompletten Stick.
  5. Anschließend lädt man den portablen Thunderbird herunter und installiert ihn, samt PGP, auf dem verschlüsselten USB-Stick.
  6. Weiterhin installiert man darauf den portablen Firefox, mit NoScript und AdBlock plus, so als absolutes Minimum.
  7. Jetzt kann man endlich das Mailpostfach bei Posteo eröffnen, das anschließend aber noch bezahlt werden muss.
  8. Natürlich überweist man die nötige Kohle nicht an Posteo, auch nicht per PayPal. Sondern man schickt denen das Geld in bar und per Brief.
    Dass man den beigefügten Geldschein nicht zuvor per EC-Karte aus dem Geldautomaten gezogen hat, sondern in jener anderen Stadt als Wechselgeld für den gekauften Stick erhalten hat, sollte klar sein, schließlich sind wir vollkommen paranoid! Wir argwöhnen, dass jeder per Automat ausgegebene Gelschein durch seine Seriennummer zugeordnet werden kann UND dass jede Briefsendung heimlich geöffnet und gescannt wird.
    Das mag zwar übertrieben sein, aber - hey - wir planen immerhin die Übernahme der Weltherrschaft! Da MUSS man paranoid sein!
  9. Weil wir sogar Mega-paranoid sind, wissen wir natürlich auch, dass Tintenstrahldrucker in ganz hellem Gelb einen Code auf jedes Blatt Papier drucken, der eindeutigen Rückschluss auf das Gerät zulässt (nicht gewusst?). Und fast jeder Drucker hängt indirekt am Internet ...
    Darum überlegen wir uns dreimal, wie wir es gebacken bekommen, dem per Post verschickten Geldschein ein Begleitschreiben beizufügen, das ja auch nicht handschriftlich verfasst sein sollte. Richtig - die Lösung lautet: Der lokale Copyshop hilft!
    Fingerabdrücke und die DNA-haltige Speichelprobe auf der Rückseite der Briefmarke vermeiden aber wiederum nur die ganz schweren Fälle unter den Paraniokern.

OK, das Mailpostfach konnte anonym eröffnet und anonym bezahlt werden. Aber können wir nun endlich vom heimischen Wohnzimmer aus ... ?
Nein.
Unsere PGP-verschlüsselte Mail mit dem geheimen Umsturzplan kann zwar von der NSA nicht gelesen werden, aber dass die IP-Adresse vom heimischen PC mit dem Server von Posteo Verbindung aufnimmt, ist einfach zu viel des Guten. Auch wenn es Posteos Job ist, unsere IP aus dem Datenstrom der eigentlichen Mail herauszutilgen.

Und generell gilt:
Der Rechner, auf dem eine E-Mail geschrieben wird und auf dem man TrueCrypt-Archiv verschlüsselt/entschlüsselt, wird NIEMALS ans Internet angeschlossen!
NIEMALS!
Man überträgt solche Daten also per Stick auf einen anderen Rechner, der dann ans Netz geht - dieses Verfahren nennt sich "Air Gap".

Wobei man sich bewusst sein sollte, dass Windows sich DAUERHAFT die Kennung eines jeden USB-Speichermediums merkt, das jemals eingesteckt wurde!
Wird also der PC beschlagnahmt, der noch nie am Netz hing, so lässt sich immerhin nachweisen, dass dort mal der selbe Stick eingesteckt war, der auch am Internet-PC verwendet wurde.

Gut, wir wissen das und wollen wirklich alles richtig machen! Wir fahren also für jeden Mailversand/-Empfang, mit dem vorbereiteten Stick im Gepäck, wieder mit der Bahn in eine andere Stadt (bitte ohne Handy im Gepäck!) und ...
... und ...
... ja, was "und"?
- Woher wissen wir, dass wir unseren verschlüsselten Stick in einen beliebigen PC im Internet-Cafe einstecken können?
Was, wenn dort ein Tastaturlogger auf dem PC installiert ist?

Ich betone: Auf einem ans Internet angeschlossenen Rechner werden NIEMALS Daten verschlüsselt/entschlüsselt!
Sie werden von dort lediglich über das Internet übertragen, mehr nicht!
Und wegen der Möglichkeit, dass im Internet-Cafe ein Tastaturlogger installiert ist, bekommt der verschlüsselte Stick ein anderes Passwort als die darauf gespeicherten, ebenfalls gecrypteten Daten!


Es ist echt schwierig, in einer totalüberwachten Welt zu leben! Richtig nervig!
Nicht mal 'ne blöde E-Mail kann man "mal eben so" in die Welt pusten.
- Wie soll man denn da bitte schön in Ruhe einen Staatsumsturz organisieren, menno ey?


OK, nicht jeder plant (so wie ich) die Übernahme der Weltherrschaft.
Auch nicht jeder kann und will Snowdens Nachfolger werden.
Aber es gibt eine Menge legitimer Gründe, warum man unbeäugelt "ganz einfach" kommunizieren möchte.

Wer solche Gründe nicht sieht, der sollte sich meines Erachtens fragen, ob diese Gründe eventuell mal heranreifen könnten.
Wir erfahren ständig neue Unfassbarkeiten, die früher undenkbar erschienen. Foltergefängnisse der Amerikaner, wo Gefangene ohne Anklage, ohne Recht auf Verteidigung, jahrelang festgehalten und misshandelt werden etc. etc.

Was ist, wenn DU ab übernächstem Jahr als Terrorist giltst?
Oder wenn Dein Bruder/Vater/Sohn/Onkel den nächsten Snowden macht?
- Niemand hatte die Absicht, eine Mauer zu errichten ...
.
Achtung: Meine "piratigen" Postings können höhere Dosierungen von Satire/Ironie/Sarkasmus beinhalten! Mehr Infos dazu

"Das Internet darf kein rechtsfreier Raum sein"
Das Internet darf keine Spielwiese berufsempörter Advokaten sein!

Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »Desi« (31. Januar 2014, 14:16)


Desi

Der EDV-Dompteur im Zivilmodus

  • »Desi« ist der Autor dieses Themas

Beiträge: 1 076

Wohnort: Hamburg

Beruf: Techniker

  • Nachricht senden

2

Dienstag, 28. Januar 2014, 02:16

Ergänzend folgender Heise-Artikel:
Verschlüsselung bei Mail in Germany ungenügend

Man inhaliere für weitere Informationen unbedingt die zahlreichen Leserkommentare!
Und um sich dort bequemer durch den Kommentarbaum hindurch zu hangeln, siehe hier:
Greasemonkey: Heise.de Forum: all comments on one page
.
Achtung: Meine "piratigen" Postings können höhere Dosierungen von Satire/Ironie/Sarkasmus beinhalten! Mehr Infos dazu

"Das Internet darf kein rechtsfreier Raum sein"
Das Internet darf keine Spielwiese berufsempörter Advokaten sein!

EDV-Dompteur

Administrator

Beiträge: 2 004

Wohnort: Hamburg

Beruf: Techniker

  • Nachricht senden

3

Freitag, 31. Januar 2014, 14:58

Seriöser klingende Ergänzung

Was in den Vorpostings mit eher satirischem Humor beschrieben wird, ist in Wahrheit natürlich ein sehr ernstes Ding, dem ich eine mehr seriös klingende Ergänzung hinzufügen möchte.

Ich werfe dafür mal den Begriff "Advanced IT-Security" in den Raum.
Da wirkt das Thema gleich viel ernsthafter, als bei dem vorherigen Gewitzel über "Umsturzpläne" und "Weltherrschaft", stimmt's?

Spätestens seit Snowden wissen wir:
Die NSA, wie auch andere, "befreundete" Geheimdienste, betreiben u.a. Wirtschaftsspionage!

Bekannt ist das schon lange, siehe hier:
http://de.wikipedia.org/wiki/Enercon#Industriespionage.3F_Der_Fall_Kenetech_Windpower_Inc.
(Eine übrigens recht entschärfte Darstellung des recht gepfefferten Skandals. Man beachte auch das Datum!)

Und unsere eigenen Geheimdienste, wie BND & Co., spielen den Amis und Briten munter weitere Informationen zu - man ist ja "befreundet" ...
Zudem kommt es vor, dass einem z. B. der Zoll ganz gezielt einen Trojaner unterjubelt. - Ja, sogar der deutsche Zoll (Google weiß mehr).

Im Klartext:
Wer schützenswerte, geschäftliche Informationen hat, der muss leider zusehen, dass er diese Daten auch vor Papa Staat geheim hält!
Klingt komisch, ist aber so.

Doch wie die Vorpostings bereits skizzieren, ist das gar nicht mal einfach.
Wir ignorieren mal die Satire mit den "geheimen Umsturzplänen" - Unternehmen haben schützenswerte Daten!
Kein Unternehmer möchte sich in einer Situation wiederfinden, wie einst der Enercon-Geschäftsführer.
Nur: Mit bloßer Mailverschlüsselung ist es halt noch lange nicht getan.

Das passende Stichwort lautet also: "Advanced IT-Security".
Und dafür gibt es völlig legitimen Bedarf, ganz abseits von "Umsturzplänen" und "Übernahme der Weltherrschaft".
Es ist ein Jammer, dass unsere Politik gar nicht erst versucht uns zu schützen, sondern uns in regelrecht zelebrierter Ohnmacht ans offene Messer aller möglichen Schnüffler ausliefert!


Bei bestehendem Beratungsbedarf steht EDV-Dompteur gerne zur Verfügung!
Macht Technik dir das Leben schwör, ruf' schnell den EDV-Dompteur! ;-)

- Technische Fragen zu Eigenreparaturen bitte öffentlich im Forum stellen, nicht telefonisch! -

Desi

Der EDV-Dompteur im Zivilmodus

  • »Desi« ist der Autor dieses Themas

Beiträge: 1 076

Wohnort: Hamburg

Beruf: Techniker

  • Nachricht senden

4

Montag, 10. März 2014, 23:03

Kostenlose De-Mail bei GMX und Web.de

Hart formuliert:
Den Dreck will kaum jemand, darum jetzt kostenlos.

Noch härter formuliert:
Wer so ein DAU ist, dass er seine Daten GMX und Web.de in den Rachen schmeißt, kriegt dafür auch noch dieses De-Mail kostenlos in den Hintern geschoben.
Mit dem kann man's ja machen.

http://heise.de/-2138955


Nun ja, die Liste der Kritikpunkte an De-Mail ist länger, als ein flüchtiger Blick auf Wiki offenbart.
http://de.wikipedia.org/wiki/De-Mail#Kritik

Man inhaliere nur mal die Kommentare zum oben verlinkten Heise-Artikel!
Wie schon mehrmals erwähnt, empfehle ich dazu:
Greasemonkey: Heise.de Forum: all comments on one page


Das Dumme ist, dass mir auch keine echte, praktikable Alternative bekannt ist.
(Außer das mit dem De-Mail bleiben zu lassen und ein glücklicheres Leben führen, meine ich.)


Aber mein Rat:
Wer nicht wirklich genau weiß, worauf er sich einlässt und wer keine wirklich guten Gründe hat, es dennoch zu tun, sollte sich besser nicht für De-Mail anmelden!
Kann der geneigte User ja später jederzeit nachholen, wenn er überschaut, was er sich damit ans Bein bindet und dazu auch allen Ernstes bereit ist.


Nicht jeder, der sich ein Häuschen kauft (oder es erbt), ist sich dessen bewusst, dass er fortan verpflichtet ist, im Winter jeden Morgen früh aufzustehen um den Schnee vom Gehweg zu schippen.
De-Mail fällt für mich in die gleiche Kategorie - neben weiteren Kritikpunkten. Man informiere sich!
Die Liste der Risiken und Nebenwirkungen ist mir persönlich zu lang, als dass ich das jemandem empfehlen könnte.
.
Achtung: Meine "piratigen" Postings können höhere Dosierungen von Satire/Ironie/Sarkasmus beinhalten! Mehr Infos dazu

"Das Internet darf kein rechtsfreier Raum sein"
Das Internet darf keine Spielwiese berufsempörter Advokaten sein!

Desi

Der EDV-Dompteur im Zivilmodus

  • »Desi« ist der Autor dieses Themas

Beiträge: 1 076

Wohnort: Hamburg

Beruf: Techniker

  • Nachricht senden

5

Montag, 23. Februar 2015, 06:36

Massentaugliche E-Mail-Verschlüsselung gesucht ...

... titelt Heise (in einem ungewohnt nährwertlosen Artikel):
http://heise.de/-2557237

Zitat:
Wer seine E-Mails nicht ausspähen lassen will, der verschlüsselt sie. Das Mittel der Wahl ist meistens PGP – doch das ist nicht nur kompliziert, sondern auch fehlerträchtig.
Wo sind die Alternativen?


Ja, wo sind sie denn?
Wie schon allein aus den Vorpostings in diesem Thread deutlich wird, sucht man die Alternativen vergebens!
Man kann auch nichts dagegen tun; es gibt nur Scheinsicherheit. Und selbst die erfordert unzumutbaren Aufwand.

Es ist traurig, aber die digitale Kommunikation ist mit vertretbarem Aufwand (und selbst dann nicht!) partout nicht sicher zu kriegen. :217:
Das Gegenteil behaupten heutzutage nur noch diese beiden Menschentypen: :208: :508:

Warum schreibe ich das, wenn sowieso keine Lösung in Sicht ist?
- Um für die Problematik zu sensibilisieren!
Wenn ich wissen wollte, wie es um Deine Finanzen steht, würde ich den einfachen Weg wählen und Deinem Steuerberater 'ne trojanisierte E-Mail schicken. Problem nun zumindest etwas klarer?

Die Kommentare bei Heise geben übrigens erheblich mehr her, als der Artikel.
.
Achtung: Meine "piratigen" Postings können höhere Dosierungen von Satire/Ironie/Sarkasmus beinhalten! Mehr Infos dazu

"Das Internet darf kein rechtsfreier Raum sein"
Das Internet darf keine Spielwiese berufsempörter Advokaten sein!

6

Dienstag, 4. September 2018, 21:40

Ist Posteo.de immernoch zu empfehlen?

Oder gibt es eine Alternative?

EDV-Dompteur

Administrator

Beiträge: 2 004

Wohnort: Hamburg

Beruf: Techniker

  • Nachricht senden

7

Mittwoch, 5. September 2018, 12:47

Wenn Du 'nen Staatsstreich planen solltest, dann ist nix sicher genug.
Generell ist jedem Rechner zu misstrauen, der jemals mit dem Internet verbunden war. Da nützt auch keine noch so geniale Verschlüsselung dieser Welt, denn eine ganze Reihe von Problemen greift schon viel früher, sogar am Betriebssystem vorbei.

Wenn es Dir nicht um den Staatsstreich geht, sondern nur um relative Sicherheit, dann hat man natürlich ein paar Möglichkeiten mehr, um seine Kommunikation ein Stück weit vor fremden Mitlesern zu schützen. Aber das ist alles ein so tiefes Thema ... unmöglich mal schnell abzuhandeln.

Wenn es Dich wirklich interessiert, dann verweise ich mal ans Heise-Forum. Da diskutieren sich seit Ewigkeiten die Super-Fachleute (munter vermischt mit Möchtegern-Kennern) die Köpfe heiß. Meines Erachtens, ohne je zu einem tauglichen Konsens gekommen zu sein.

E-Mail ist einfach nicht sicher zu kriegen. Schon gar nicht auf irgendwie praxistaugliche Weise.
Wer diesbezüglich etwas anderes behauptet, der hat einfach das wahre Ausmaß der Katastrophe gar nicht auf dem Zettel.
Nimm niemanden ernst, der hier eine "Lösung" anpreist (Virenschutz X, Verschlüsselung Y, VPN-Tunnel Z ...). Die "Lösung" gibt es hier einfach nicht.
Macht Technik dir das Leben schwör, ruf' schnell den EDV-Dompteur! ;-)

- Technische Fragen zu Eigenreparaturen bitte öffentlich im Forum stellen, nicht telefonisch! -

8

Sonntag, 9. September 2018, 00:48

Bin deiner Meinung, da wird auch Archlinux from scratch nicht helfen, immerhin eine relative Sicherheit.

Die Sicherheitprobleme fangen schon bei der Hardware an würde ich sagen.

Trotzdem danke, lese gerne deine kritischen Beiträge.