Verschlüsselung ist wichtig

Verschlüsselung ist wichtig. Diese zentrale Erkenntnis ergibt sich aus dem uralten Bedürfnis, dass Informationen zwischen Menschen geheim bleiben sollen. In der jüngeren, analog geprägten Geschichte wurde dafür das Postgeheimnis etabliert. Die elektronische Kommunikation erfordert angepasste, hohe Schutzniveaus, um eine sichere und vertrauliche Kommunikation in den meisten Fällen zu erreichen.

Wünschenswert wäre es, wenn die heutigen eMail-Server umstandslos eine Verschlüsselung beherrschen. Eine erste Initiative wurde mit DANE gestartet, welches sich aber bislang wegen der fehlenden Verbreitung DNSSEC (noch) nicht durchsetzen konnte. Der im Herbst 2018 verabschiedete MTA-STS-Standard (RFC 8461 zu SMTP MTA Strict Transport Security) könnte diese Situation verbessern. Er sieht das HSTS von HTTPS jetzt auch für Mail-Server vor.

Um die individuelle Kommunikation zwischen Ihnen und mir nicht für unbekannte Dritte zu offenbaren, biete ich Ihnen an, den eMail-Verkehr mit den anerkannten und derzeit sicheren Verschlüsselungsstandards PGP/GPG oder S/MIME durchzuführen. Das verwendete Verfahren ist in beiden Fällen eine wirksame Ende-zu-Ende-Verschlüsselung. Pretty Good Privacy (PGP) bzw. die Derivate GnuPG, OpenPGP bzw. GPG kann Mails so verschlüsseln, dass sich auch technisch potente Dritte daran in der Regel die Zähne ausbeißen. Anders als möglicherweise bei der Standardkonfiguration von De-Mail oder „Mail Made in Germany“ kann nach herrschender Meinung keine der Zwischenstationen auf dem Transportweg Zugang zum Klartext der Mail erlangen („Man-in-the-middle-Attacke“ oder ähnliches) und es entstehen auch keine Kosten. Weiterhin können Sie mit PGP den Absender einer E-Mail zuverlässig identifizieren.

Öffentliche Schlüssel-ID (short ID) von Manfred Neidel: BA0E7D7D (UID info@cloudero.de)

Download öffentlicher Schlüssel von cloudero.de

Download öffentlicher Schlüssel von Key-Server

Fingerprint Schlüsseldatei: 0BA0 D5B8 DF03 DCA3 D1AB A496 77F9 640B BA0E 7D7D

Falls Sie eine eine Verschlüsselung über ein S/MIME-Zertifikat wünschen, biete ich auch dieses zur Absicherung an, z.B. von der Volksverschlüsselung.

Volksverschlüsselung

Um mir Ihre Nachricht verschlüsselt zukommen zu lassen, müssen Sie Ihr Mail-Programm für verschlüsselte Kommunikation konfigurieren und Ihre Mail an mich mit meinem öffentlichen Schlüssel verschlüsseln. Zum gegenseitigen Austausch von verschlüsselten Mails benötige ich dann Ihre öffentliche Schlüssel-ID. Das bedeutet, sie müssen eine PGP-Identität oder ein S/MIME-Zertifikat erzeugen. Die öffentliche PGP-Schlüssel-ID wird dann auf den entsprechenden Key-Servern für mich erreichbar hinterlegt oder Sie können mir diese direkt zukommen lassen.

Sie können mir Ihre Nachricht auch in einer normalen Mail zukommen lassen und den Inhalt separat mit PGP verschlüsseln. Ein möglicher Weg in der Linux-Kommandozeile wäre bspw:

  1. Verfassen und Speicherung ihrer Nachricht in einer Textdatei, z.B. nachricht.txt über einen Texteditor, Word etc.
  2. Import meines öffentlichen Schlüssels in GPG durch
    Da bei modernen Betriebssystemen (Ausnahme siehe Windows und vgl. unten) GPG bereits installiert ist, verzichte ich hier auf Hinweise zu dessen Installation.
    a) einen öffentlichen Schlüsselserver mit dem Befehl
    gpg --keyserver pgp.mit.edu --recv-keys 0x77f9640bba0e7d7d oder
    b) Download meines öffentlichen PGP-Schlüssels in der Datei BA0E7D7D.asc und anschließenden Import mit dem Befehl gpg --import ba0e7d7d.asc
  3. Verschlüsseln Ihrer Nachricht mit meinem importierten öffentlichen Schlüssel durch
    gpg -esa -r BA0E7D7D nachricht.txt
    Dadurch wird Ihre Datei mit meinem öffentlichen Schlüssel verschlüsselt, mit Ihrem signiert und als einfach lesbarer ASCII-Text gespeichert. Ich kann diesen mit meinem privaten Schlüsseln entziffern und gleichzeitig feststellen, von welchem GPG-Absender sie kommt. Falls Sie noch keinen eigenen Schlüssel erzeugt haben, lassen Sie einfach den Parameter „s“ weg, also dann: gpg -ea -r BA0E7D7D nachricht.txt, dann gibt es keine Fehlermeldungen. Ebenfalls kann es erforderlich sein, dass die Verschlüsselung root-Rechte erfordert; dafür stellen Sie einfach sudo vor den Befehl und geben Ihr Passwort ein.
    Je nachdem ob Sie meinem öffentlichen Schlüssel eine Vertrauensstellung über GPG eingeräumt haben, erfolgt möglicherweise der Hinweis, dass Sie dem Schlüssel nicht unbedingt vertrauen können. Wenn Sie sich an das oben genannte Prozedere gehalten haben, können Sie der Verschlüsselung trauen.
  4. Versand der daraus resultierenden Datei nachricht.txt.asc bzw. des kopierten Chiffrats  an mich.

Auf Live-Linux-Systemen kann das Verfahren leicht abgewandelt sein. Dazu am besten den Hilfetext oder das Manual über gpg --help bzw. man gpg bemühen. Ich selbst nutze GPGTools für den Mac.

Für Windows hat sich das Tools Ggp4win bewährt, welches über eine GUI leicht zum Erfolg führt.

Das BSI hat weitere Spezifikationen und Hinweise zur sicheren Kommunikation via E-Mail in ihrer Technischen Richtlinie „Sicherer E-Mail-Transport“ (BSI TR-03108) und Empfehlungen zur Schlüssellänge in der Technischen Richtlinie „Kryptographische Verfahren: Empfehlungen und Schlüssellängen“ (BSI TR-02102-1 2018-01) vom 22. Januar 2018 definiert. Die mit cloudero.de möglichen Verschlüsselungen gehen konform mit diesen Richtlinien.

Weitere Kontaktmöglichkeiten

Protonmail

Neben den bereits dargestellten Kontaktmöglichkeiten können Sie mich auch sicher über den Dienst  Protonemail erreichen, welches nach schweizerischen Datenschutzrecht auf Open Source-Basis und mit Nutzung von PGP eine leicht zu nutzende, verschlüsselte E-Mail-Kommunikation bietet:  flashlight1968@protonmail.com

DE-Mail und ePost

Grundsätzlich wäre eine Kommunikation über diese Dienste ebenfalls möglich. Hierzu bitte ich um vorherige Abstimmung, weil diese Dienste nicht regelmäßig frequentiert werden.

Wire

Der auf das erkannte Signal-Protokoll aufsetzende Wire-Dienst ist eine sichere, zeitgemäße sowie merkmalsreiche Art der Kommunikation. Sie erreichen mich unter der Kennung info@cloudero.de bzw. @cloudero

Verschlüsselung der Website

Die Verschlüsselung der Website mit einem TSL/SSL-Zertifikat ist zwischenzeitlich gelebte Praxis von renommierten Web-Anbietern. Dafür sprechen eine Reihe von Gründen, u.a.:

  • Datenschutz: Soweit personenbezogene Daten übertragen werden, ist die Übertragung durch die Verschlüsselung geschützt. Keine Unbefugter kann i.d.R. auf diese Daten zugreifen. Soweit Forward Security-Maßnahmen eingesetzt werden, fällt es einem Angreifer auch schwer, Daten erstmal mitzuschneiden und später zu entschlüsseln.
  • Sicherheit: Das zugrundeliegende CMS des Auftritts von cloudero.de ist durch den Einsatz von verschlüsselten Login-Seiten etc. ebenfalls besser geschützt. Es können und werden zudem noch weitere Sicherheitsmaßnahmen eingesetzt, um Unberechtigten Zugriff zum Backend zu gewähren.
  • SEO: Die derzeit dominierte Suchmaschine, Google, belohnt verschlüsselte Webseiten mit besseren Suchergebnissen (HTTPS as a ranking signal). Das Erzielen von optimalen Suchergebnissen steht allerdings bei cloudero.de nicht im Vordergrund.

Ein SSL-Zertifikat von einer anerkannten Zertifizierungsstelle schafft also Sicherheit und Vertrauen beim Website-Besucher. Ob die Kommunikation mit einem Web-Server abgesichert ist, erkennt man schnell an der grünen URL-Leiste (EV-Zertifikate) oder dem Schloß in der URL-Leiste. Dort kann man sich dann weitere Informationen über das Zertifikat abholen.

cloudero.de nutzt zur verschlüsselten Übertragung der Website das kostenfreie und anerkannte Zertifikat von LetsEncrypt.

Weitere Informationen

Braun, Herbert: Kommentar: Weg mit PGP, her mit alltagstauglicher Mail-Verschlüsselung. heise.de, 01.12.2017

c’t Kryptokampagne auch mit Links zu PGP-Software für mehrere Betriebssysteme

Heller, Piotr: Studie – Warum E-Mails so selten verschlüsselt werden. Deutschlandfunk, 12.11.2015

Pretty Good Privacy. Wikipedia.

GPG Keychain

PGP/GPG-Tools bei Heise.de

Governikus KG – OpenPGP-Schlüssel mit nPA beglaubigen

LetsEncrypt

Wolfangel, Eva: Zehn Schlüsselfragen der Kryptographie. Spektrum.de, 28.04.2016

Proton EMail

Schmidt, Jürgen: Kryptographie in der IT – Empfehlungen zu Verschlüsselung und Verfahren. heise security, 2016.

EFAIL

Im Mai 2018 ist eine kritische Sicherheitslücke bei S/MIME und PGP unter dem Begriff #efail offenbar geworden. Um bis zu einem zufriedenstellenden Fix die Sicherheit einer Nachricht zu gewährleisten, empfehle ich die separate Verschlüsselung mit PGP und der Option „-a“ (vgl. oben) und das manuelle Kopieren des Chiffrats in die Mail an mich.

Kryptographische Sicherung der Urherberschaft

Die Metadaten von Beiträgen, Seiten und Inhalten dieses Webauftritts werden bei jeder Neuanlage, Änderung etc. kryptographisch über einen eindeutigen Hash in der Bitcoin-Blockchain gespeichert. Genutzt wird dazu dazu das Plug-in von originstamp.org. Damit kann der Erstellungszeitpunkt und die inhaltliche Integrität im Rahmen der Bitcoin-Integrität nachgewiesen werden.