Verschlüsselung ist wichtig

Verschlüsselung ist wichtig. Diese zentrale Erkenntnis ergibt sich aus dem uralten Bedürfnis, dass Informationen zwischen Menschen geheim bleiben sollen. In der jüngeren, analog geprägten Geschichte wurde dafür das Postgeheimnis etabliert. Die elektronische Kommunikation erfordert angepasste, hohe Schutzniveaus, um eine sichere und vertrauliche Kommunikation in den meisten Fällen zu erreichen.

Um die individuelle Kommunikation zwischen Ihnen und mir nicht für unbekannte Dritte zu offenbaren, biete ich Ihnen an, den eMail-Verkehr mit den anerkannten und derzeit sicheren Verschlüsselungsstandards PGP/GPG oder S/MIME durchzuführen. Das verwendete Verfahren ist in beiden Fällen eine wirksame Ende-zu-Ende-Verschlüsselung. Pretty Good Privacy (PGP) bzw. die Derivate GnuPG, OpenPGP bzw. GPG kann Mails so verschlüsseln, dass sich auch technisch potente Dritte daran die Zähne ausbeißen. Anders als etwa bei der Standardkonfiguration von De-Mail oder „Mail Made in Germany“ kann nach herrschender Meinung keine der Zwischenstationen auf dem Transportweg Zugang zum Klartext der Mail erlangen („Man-in-the-middle-Attacke“ oder ähnliches) und es entstehen auch keine Kosten. Außerdem können Sie mit PGP den Absender einer E-Mail zuverlässig identifizieren.

Öffentliche Schlüssel-ID von Manfred Neidel: BA0E7D7D

Download öffentlicher Schlüssel von cloudero.de

Download öffentlicher Schlüssel von Key-Server

Fingerprint Schlüsseldatei: 0BA0 D5B8 DF03 DCA3 D1AB A496 77F9 640B BA0E 7D7D

Falls ein signifikanter Wunsch nach einer Verschlüsselung über ein S/MIME-Zertifikat besteht, biete ich auch dieses zur Absicherung an, z.B. von der Volksverschlüsselung.

Um mir Ihre Nachricht verschlüsselt zukommen zu lassen, müssen Sie Ihr Mail-Programm für verschlüsselte Kommunikation konfigurieren und Ihre Mail an mich mit meinem öffentlichen Schlüssel verschlüsseln. Zum gegenseitigen Austausch von verschlüsselten Mails benötige ich dann Ihre öffentliche Schlüssel-ID. Das bedeutet, sie müssen eine PGP-Identität oder ein S/MIME-Zertifikat erzeugen. Die öffentliche PGP-Schlüssel-ID wird dann auf den entsprechenden Key-Servern für mich erreichbar hinterlegt oder Sie können mir diese direkt zukommen lassen.

Sie können mir Ihre Nachricht auch in einer normalen Mail zukommen lassen und den Inhalt separat mit PGP verschlüsseln. Ein möglicher Weg in der Linux-Kommandozeile wäre bspw:

  1. Verfassen und Speicherung ihrer Nachricht in einer Textdatei, z.B. nachricht.txt über einen Texteditor, Word etc.
  2. Import meines öffentlichen Schlüssels in GPG durch den Befehl
    gpg --keyserver pgp.mit.edu --receive-keys 0x77f9640bba0e7d7d
  3. Verschlüsseln Ihrer Nachricht mit meinem importierten öffentlichen Schlüssel durch
    gpg -esa -r BA0E7D7D nachricht.txt
    Dadurch wird Ihre Datei mit meinem öffentlichen Schlüssel verschlüsselt, mit Ihrem signiert und als einfach lesbarer ASCII-Text gespeichert. Ich kann diesen mit meinem privaten Schlüsseln entziffern und gleichzeitig feststellen, von welchem GPG-Absender sie kommt. Falls Sie noch keinen eigenen Schlüssel erzeugt haben, lassen Sie einfach den Parameter „s“ weg, also dann: gpg -ea -r BA0E7D7D nachricht.txt, dann gibt es keine Fehlermeldungen.
  4. Versand der daraus resultierenden Datei nachricht.txt.asc bzw. des kompletten Chiffrats-Textes  an mich.

Auf Live-Linux-Systemen kann das Verfahren leicht abgewandelt sein. Dazu am besten den Hilfetext oder das Manual über gpg --help bzw. man gpg bemühen. Ich selbst nutze GPGTools für den Mac.

Für Windows hat sich das Tools Ggp4win bewährt, welches über eine GUI leicht zum Erfolg führt.

Das BSI hat weitere Spezifikationen und Hinweise zur sicheren Kommunikation via E-Mail in ihrer Technischen Richtlinie „Sicherer E-Mail-Transport“ (BSI TR-03108) definiert. Die mit cloudero.de möglichen Verschlüsselungen gehen konform mit dieser Richtlinie.

Verschlüsselung der Website

Die Verschlüsselung der Website mit einem TSL/SSL-Zertifikat ist zwischenzeitlich gelebte Praxis von renommierten Web-Anbietern. Dafür sprechen eine Reihe von Gründen, u.a.:

  • Datenschutz: Soweit personenbezogene Daten übertragen werden, ist die Übertragung durch die Verschlüsselung geschützt. Keine Unbefugter kann i.d.R. auf diese Daten zugreifen. Soweit Forward Security-Maßnahmen eingesetzt werden, fällt es einem Angreifer auch schwer, Daten erstmal mitzuschneiden und später zu entschlüsseln.
  • Sicherheit: Das zugrundeliegende CMS des Auftritts von cloudero.de ist durch den Einsatz von verschlüsselten Login-Seiten etc. ebenfalls besser geschützt. Es können und werden zudem noch weitere Sicherheitsmaßnahmen eingesetzt, um Unberechtigten Zugriff zum Backend zu gewähren.
  • SEO: Die derzeit dominierte Suchmaschine, Google, belohnt verschlüsselte Webseiten mit besseren Suchergebnissen (HTTPS as a ranking signal). Das Erzielen von optimalen Suchergebnissen steht allerdings bei cloudero.de nicht im Vordergrund.

Ein SSL-Zertifikat von einer anerkannten Zertifizierungsstelle schafft also Sicherheit und Vertrauen beim Website-Besucher. Ob die Kommunikation mit einem Web-Server abgesichert ist, erkennt man schnell an der grünen URL-Leiste (EV-Zertifikate) oder dem Schloß in der URL-Leiste. Dort kann man sich dann weitere Informationen über das Zertifikat abholen.

cloudero.de nutzt zur verschlüsselten Übertragung der Website das kostenfreie und anerkannte Zertifikat von LetsEncrypt.

Weitere Informationen

Braun, Herbert: Kommentar: Weg mit PGP, her mit alltagstauglicher Mail-Verschlüsselung. heise.de, 01.12.2017

c’t Kryptokampagne auch mit Links zu PGP-Software für mehrere Betriebssysteme

Heller, Piotr: Studie – Warum E-Mails so selten verschlüsselt werden. Deutschlandfunk, 12.11.2015

Pretty Good Privacy. Wikipedia.

GPG Keychain

PGP/GPG-Tools bei Heise.de

StartSSL

Governikus KG – OpenPGP-Schlüssel mit nPA beglaubigen

LetsEncrypt

Wolfangel, Eva: Zehn Schlüsselfragen der Kryptographie. Spektrum.de, 28.04.2016

Kryptographische Sicherung der Urherberschaft

Die Metadaten von Beiträgen, Seiten und Inhalten dieses Webauftritts werden bei jeder Neuanlage, Änderung etc. kryptographisch über einen eindeutigen Hash in der Bitcoin-Blockchain gespeichert. Genutzt wird dazu dazu das Plug-in von originstamp.org. Damit kann der Erstellungszeitpunkt und die inhaltliche Integrität im Rahmen der Bitcoin-Integrität nachgewiesen werden.