Archiv der Kategorie: security

Installation eines Mailclients – Pros und Pros

Den ersten Schritt in Richtung eines selbstbestimmten Lebens in Zeiten der Totalüberwachung hast du mit dem richtigen Passwortmanagement vom letzten Post schon getan. Oder zumindest in Richtung einer digitalen Selbstverteidigung. Kampagnenarbeit, politische Interventionen und der Sturz des Kapitalismus kommen dann später.

Der nächste wichtige Schritt ist die Installation und Nutzung eines Mailclients. Das ist ein Programm, das man sich auf dem Computer installiert und mit dem man seine Emails verwalten, verfassen, senden und empfangen kann. Ein Beispiel dafür ist Thunderbird oder vorinstallierte Programme wie Apple Mail. Bisher hast du diese Funktionen vielleicht über einen Browser abgerufen, indem du auf mail.google.com gehst und dich dort einloggst und die Oberfläche der Seite nutzt, um Emails zu schreiben.

Machen wir’s kurz und schmerzhaft: Das wird ein Ende haben. Und das wird total geil!

Mailclients bringen nämlich viele Vorteile mit sich. Du kannst offline Emails lesen und schreiben, du kannst verschiedene Email-Accounts unter einen Hut bringen und angenehm managen und vor allem kannst du deine Emails mithilfe des Clients sicher verschlüsseln und verschlüsselte Emails empfangen und  entschlüsseln. Die Voraussetzung dafür schaffst du in zwei Schritten.

1. Installation des Clients

thunderbird_logo-only_RGB-300dpi

Das wirklich schicke Thunderbird-Logo

Ich persönlich nutze Apple Mail, das ist das vorinstallierte Programm auf Mac OS. Ein bisschen aus Bequemlichkeit, ein bisschen, weil ich das Programm mag. Eine Empfehlung würde ich aber nur für Thunderbird rausgeben, das gibt es für Mac, Linux und Windows und ist Open Source, das heißt, der Programmcode ist offen einsehbar. Bei Apple Mail ist das nicht der Fall, das heißt, es könnte irgendeine fiese Hintertür eingebaut sein, die dafür sorgt, dass „die da oben“ alles mitlesen und niemand weiß davon, da der Code Closed Source ist. Voll dumm eigentlich, dass ich das immer noch benutze.

Also, installiert euch thunderbird für euer System von deren Website. Thunderbird kommt übrigens aus dem Hause Mozilla, die sind definitiv auf der guten Seite der Macht. Außerdem hat deren Office in Berlin die beeindruckendste Snack Bar die ich je gesehen habe.

 

2. Einrichten deines Email-Kontos

Nach dem ersten Öffnen könnt ihr thunderbird als Standardprogramm für Email einstellen. Dann sollte euch thunderbird eigentlich auch gleich automatisch nach einem Konto fragen. Wenn es das nicht tut, einfach über „Extras“ auf „Konto-Einstellungen“ gehen. Das sieht so aus:

Bildschirmfoto 2015-03-13 um 17.20.51

da

 

Da, wo „da“ steht, draufklicken und als Aktion ein „neues Konto hinzufügen“ auswählen. Im nächsten Schritt gibst du deine E-Mail-Adresse, wenn du möchtest auch deinen Namen, und dein Passwort ein. Wenn du bei einem der bekannten und großen Emailanbieter bist, wie bspw. gmail, dann geht der Rest meist ganz schnell.

Eine Sache, über die du womöglich stolpern wirst, ist die Möglichkeit, zwischen imap und POP3 auswählen zu können. Das sind zwei verschiedene Protokolle, also Arten und Weisen, wie Email abgerufen wird. Du solltest IMAP auswählen, da das einige Vorteile mit sich bringt. Die Entscheidung liegt natürlich bei dir, aber hier kurz die Erklärung, weswegen IMAP empfehlenswert ist:

POP3 ist eine ältere Technik. Mit diesem Verfahren werden Emails, die bspw. an deine Adresse fiona@gmail.com gehen, sofort auf deine Festplatte kopiert und auf den Servern von gmail gelöscht. Das heißt, wenn du dich auf mail.google.com mit der Adresse fiona@gmail.com einloggst, wirst du keine Mails mehr sehen können. Stattdessen sind die Emails auf deinem Computer gespeichert, man nennt das „lokal“ gespeichert. Du kannst dir vermutlich schon denken, dass das eher von Nachteil ist. Deine Festplatte wird einerseits vollgemüllt, andererseits kannst du auch wirklich nur noch auf deinem Computer an deine Mails gelangen. Und als lokal gespeicherte Daten weisen sie die gleiche Anfälligkeit für Verlust auf wie jede andere Datei auf deinem Computer – sie können verloren gehen, sofern du keine vernünftigen Backups machst. Darüber hinaus würde das auch bedeuten, dass du nur noch auf deinem Computer die Mails lesen kannst, also auch nicht auf deinem Smartphone, denn deine Mail-App hat keinen Zugriff mehr auf die Mails auf dem Server (die sind ja alle gelöscht).

IMAP funktioniert anders: Die Mails werden auf dem Mailserver gespeichert und nicht kopiert oder gelöscht. Dein Mailprogramm zeigt also nur an, was auf dem Mailserver ist. Du kannst natürlich trotzdem Mails löschen, die werden dann auch auf den Servern automatisch gelöscht.
IMAP hat den Vorteil, dass du auf verschiedenen Geräten auf deine Mails zugreifen kannst und nicht alle Emails lokal speichern musst. Mit deinem Mail Client kannst du aber trotzdem offline deine Mails lesen.

Wenn du deine Zugangsdaten richtig eingegeben hast, sollte der Rest von alleine funktionieren. Du kannst jetzt über deinen Mailclient auf deine Mails zugreifen und diese auch verschicken. Du siehst jetzt in deinem thunderbird deinen Posteingang. Das sieht gar nicht so viel anders aus, als in deinem Browser. Nur ohne das Geblinke und die Werbung.
Du kannst darüber hinaus auch noch beliebig viele weitere Mailkonten hinzufügen, was super ist, weil du jetzt verschiedene Konten für verschiedene Zwecke anlegen kannst. Du könntest dir bspw. einen Spam-Account zulegen, mit dem du dich auf Plattformen anmeldest und einen privaten Account und einen Account für deine Arbeitsstelle und so weiter. Alle diese Konten kannst du jetzt zentral verwalten, ohne dich immer wieder erneut anmelden zu müssen.

Geschafft! Super! Jetzt heißt es: Ausprobieren, umgewöhnen und staunen, wieviel leichter die Emailverwaltung dank des Mailclients geworden ist. Auf der Seite von thunderbird gibt es auch noch jede Menge Hilfestellungen für den Anfang: https://support.mozilla.org/de/products/thunderbird

Neben der bequemeren Verwaltung von Mails bietet thunderbird natürlich auch den Vorteil, dass du dir ein Add-On installieren kannst, das einem die Verschlüsselung und Entschlüsselung von Emails ermöglicht. Das lernen wir beim nächsten Mal. Du kannst aber jetzt schon durch die vielen verschiedenen Add-Ons stöbern, die alle frei zur Verfügung stehen, unter „Extras -> Add-Ons“. Viel Spaß dabei!

 

Advertisements
Getaggt mit , , ,

Am Anfang war das p******t

  _____                             ___           __   _    
 / ___/__  __ _  ___   ___  ___    / _ )___ _____/ /  (_)__ 
/ /__/ _ \/  ' \/ -_) / _ \/ _ \  / _  / _ `/ __/ _ \/ / -_)
\___/\___/_/_/_/\__/ _\___/_//_/ /____/\_,_/_/ /_.__/_/\__/ 
 / ___/_____ _____  / /____  ___  ___ _____/ /___ __/ /     
/ /__/ __/ // / _ \/ __/ _ \/ _ \/ _ `/ __/ __/ // /_/      
\___/_/  \_, / .__/\__/\___/ .__/\_,_/_/  \__/\_, (_)       
        /___/_/           /_/                /___/          

Im letzten Jahr besuchte ich zum zweiten Mal in meinem Leben eine Cryptoparty, bei der ich viel gelernt habe, weil ich selber vermitteln durfte. Cryptopartys sind Veranstaltungen, auf denen Verschlüsselung gelehrt und gelernt wird und entstammen einer richtigen Bewegung von AktivistInnen, die mittlerweile auch ein Handbuch dazu veröffentlich haben, wie man so eine Cryptoparty gut durchführt. Weltweit werden ständig Cryptopartys veranstaltet von Freiwilligen, die es wichtig finden, dass Leute lernen, ihre Kommunikation abzusichern.

Meine erste Cryptoparty fand 2012 in Berlin statt. Damals stellte ich mir die Frage, ob das mit den Computern die richtige Entscheidung war, weil ich nicht nachvollziehen konnte, was mir der Vortragende über elliptische Kurven erzählte. Aber es schien voll wichtig zu sein, um Verschlüsselung zu verstehen. Ich glaube, der Sprecher hat das Handbuch nicht gelesen, das gibt’s auch erst seit 2013. Die Prä-Handbuch-Cryptoparty war jedenfalls fürchterlich und ich glaube, niemand konnte danach verschlüsseln, vermutlich haben nach dem Vortrag einige eher verlernt zu verschlüsseln.

Das Thema Verschlüsselung habe ich erst sehr viel später wieder angerührt und mir dann ein paar Dinge selber angeeignet und mit der Hilfe anderer. Bei meiner zweiten Cryptoparty saß ich nicht im Publikum, sondern vorne. Es war eine super spannende Erfahrung, selber ein paar der Dinge, die ich in den letzten zwei Jahren gelernt hatte, weitergeben zu können. Mir ist bei der Recherche auch wieder klar geworden, dass der Einstieg für AnfängerInnen nach wie vor nicht leicht und alleine nicht zu bewältigen ist. Das Angebot an guten deutschsprachigen Info-Seiten ist überschaubar und trotzdem weiß man gar nicht so recht wie man anfangen soll. Für die Cryptoparty, die das Ziel hatte, dass alle Teilnehmenden danach verschlüsselte Emails empfangen und versenden können, wählten wir das Thema „Passwortsicherheit“ als Einstieg, da Passwörter am Anfang jeder Sicherheitsmaßnahme oder auch an ihrem Ende stehen.

Sichere Passwörter lassen sich anhand weniger Merkmale als solche einstufen:

  • haben mindestens 8-10 Zeichen
  • darunter Buchstaben, Zahlen und Sonderzeichen
  • ergeben kein Wort und kein Geburtsdatum
  • sind nicht mit Edding auf deinen Laptop geschrieben
  • werden nur einmal verwendet
  • stehen nicht auf dieser Liste

Die Infos reichen für den Anfang. Man kann an dieser Stelle beliebig tief in die Materie einsteigen und erklären, wie das Knacken von Passwörtern tatsächlich funktioniert, aber ich glaube, damit versteht man nicht besser, was gute Passwörter sind, das versteht jeder auch so. Man versteht dann aber besser, warum sie gut sind. Das ist ein tolles Add-On, aber nicht zwingend notwendig, um seine Kommunikation und Daten abzusichern. Auch wenn es ein wirklich spannendes Thema ist.

Das wirklich witzige, kuriose und interessante an der ganzen Sache ist aber viel mehr, dass ihr jetzt sicher alle denkt: „Ok, toll, und jetzt? Erzähl mir was Neues, Computer Bitch!“ Die meisten wissen ja längt, dass sie ein scheiß Passwort haben und dass es bestimmt nicht gut ist, dass sie das Passwort „cellardoor“ sowohl für ihren ebay-Account als auch für ihren Mail-Account nutzen. Denn euer ebay-Passwort setzt man schließlich per Mail zurück. Und wenn jemand Beides knackt und euer Email-Passwort ändert, seid ihr aus dem Loop ausgeschlossen.

Und trotzdem habt ihr überall euer gleiches scheiß Passwort!

main_window

So sieht der Manager aus. Du siehst die einzelnen Einträge mit Namen und kannst die Passwörter mit ctrl+c und ctrl+v kopieren.

Denn: Wenn man sichere Passwörter verwenden möchte, steht man vor dem Problem, dass man sich die nicht merken kann. Dafür gibt es eine einfache Lösung: Passwortmanager. Freunde glaubt mir, das wird euer Leben verändern. Es ist so naheliegend und praktisch wie ein Gummistiefel oder doodle.

Ich nutze selber KeepassX, das ist Open-Source, gratis und leicht zu bedienen. Das Konzept ist einfach erklärt: Du kannst in einer Datenbank Passwörter abspeichern, darauf zugreifen und auch Passwörter generieren lassen. Die Datenbank als Datei ist verschlüsselt mit einem Master-Passwort (das du dir merken oder irgendwo notieren musst). Du könntest die Datei mit deinen Passwörtern also deinen Eltern in die Hand drücken, sie könnten nichts damit anfangen, wenn sie das Master-Passwort nicht haben.

Bildschirmfoto 2015-01-27 um 22.07.06

„Was? Du willst mein Handy? Ich hab kein Handy, aber hier, nimm meine Passwörter!“ (haha)

Das Nutzen verschiedener Passwörter in Manager hat zwei Nachteile: Du kannst dich womöglich nicht mehr in einem x-beliebigen Internetcafé in deinen Amazon-Account einloggen aber hey, moment, das sollte man evtl. eh nicht tun, richtig? Zum Anderen erhöht es den Druck auf das eine Master-Passwort. Wenn du das nämlich vergisst, sind alle Passwörter futsch. Dafür solltest du dir ein gutes Backup für das Passwort überlegen, oder eine sehr gute Eselsbrücke. Nein, eigentlich nicht, überleg dir lieber ein Backup.

Die Vorteile überwiegen in meinen Augen aber ganz klar. Man macht seine größten Scheunentore dicht und man hat keinen Nerv mit verschiedenen Passwörtern mehr und muss sich nicht einmal mehr welche ausdenken. Für das Generieren von Passwörtern verwende ich das UNIX-tool „pwgen“, das kann man unter UNIX einfach auf seiner Kommandozeile verwenden. Mit den Argumenten „pwgen 14 -y“ lass ich mir Passwörter ausgeben, die 14 Zeichen lang sind und neben Buchstaben auch Zahlen und Sonderzeichen enthalten. Top!

Das ist der erste Schritt – ändere deine Passwort-Gewohnheiten, indem du ab jetzt ein super bequemes Tool verwendest – und genieß ein etwas sorgenfreieres, weniger nerviges Surfen im Netz mit hunderten abgesicherten Accounts. Jeder weitere Schritt in Sachen Security wird dir immer wieder starke Passwörter abverlangen, sonst bleiben sie deine Achillesferse. Und wer hätte das gedacht – der erste Schritt ist überhaupt nicht kompliziert, im Gegenteil: Er macht vieles einfacher!   20141112_134825

OHM Workshop Finger Print Spoofing

Kann sein, dass ich mir nur einbilde, eine erfahre Kongressteilnehmerin zu sein, aber wenn ich es mir einbilde, bilde ich mir gleich auch noch ein, als solche behaupten zu können, dass Workshops im Gegensatz zu Talks auch tatsächlich eine Lerngarantie haben. So auch im Falle des Fingerprint Spoofing Workshops im Village von srlabs.

Am zweiten Tag besuchte ich einen Workshop in dem ich lernte, Fingerabdrücke einzuscannen und auf einer Platine nachzubilden. Den Workshop leiteten Ben und Dexter, die beide im IT-Security-Bereich arbeiten. Sinn und Zweck des Workshops war neben Spiel, Spaß und Trollempowerment auch eine Kritik an Fingerabdrucksensoren als Sicherheitsvorrichtung. Die Lehre aus einem zweistündigen Workshop, in dem ich einen Fingerabdruck fälsche ist, dass ich in zwei Stunden einen Fingerabdruck gefälscht habe.
Mit Dexter sprach ich noch ein wenig über die Verbreitung von Fingerabdruckscannern. Die Meisten kennen sie vermutlich von Devices, welche das Einscannen als Alternative oder zusätzlich zum Passwort anbieten. Es gibt verschiedene Sensoren, die unterschiedlich präzise sind, jedoch nie ein zufriedenstellendes Sicherheitslevel erreicht haben. Insofern kann zumindest bei der Verschlüsselung von Laptops von einem Risiko gesprochen werden, sofern keine zusätzliche Verschlüsselung angewandt wird. Andererseits gestand Dexter auch ein, dass es Graubereiche gibt, in denen die Verschlüsselung mittels Fingerabdruck durchaus Sinn ergibt, beispielsweise bei Smartphones. Im Gegensatz zu Passwörtern oder Wischmustern, die per – Achtung, heiterer hipper Anglizismus – Shouldersurf ausgespäht werden können, ist ein Fingerabdruckscanner unter Umständen sicherer. Schwarz-Weiß-Malerei ist also unangebracht, aber trotzdem fand ich es unheimlich lehrreich einmal nachvollziehen zu können wie naheliegend das Fälschen von Fingerabdrücken eigentlich wirklich ist.

image

Unschuldige Glasplatte

Der erste Schritt beim „Cloning“ ist natürlich das Erfassen des Fingerabdrucks. Dafür legte ich meinen Finger kurz auf eine kleine Glasplatte. Ihr kennt das vielleicht aus schlechten Dedektivfilmen oder Tatort (haha, implizierend, das wäre kein schlechter…). Danach ließ ich ein wenig Cyanacrylat auf eine Plastikunterlage tropfen. Cyanacrylat steckt in sehr starkem aber frei erhältlichem Sekundenkleber. Über diese paar Tropfen hielt ich für einige Minuten die Glasplatte in wenigen Zentimetern Entfernung. Dabei bedampft der Kleber die Glasplatte und reagiert mit den Proteinen darauf. Das heißt, die Stellen auf der Platte, die mein Finger berührt hat, werden sichtbar. Über den Abdruck legt sich nach einer Weile ein weißer Schleier, der sich als Kontrast abhebt, wenn die Glasplatte auf eine schwarze Unterlage gelegt wird. Dafür hatten Dexter und Ben bereits eine Vorlage vorbereitet. Darauf klebten wir die Glasplatten und legten sie in einen Scanner.

image

Sichtbar gemachter Fingerabdruck wird auf einem schwarzen Hintergrund gescannt

Der Scanner gibt ein Bild aus, das wir mit Photoshop einlasen. Ben verwendete Levels und die Regler für die Schwarz-, Weiß- und Grautöne, um den Kontrast zu verstärken. Ich selber hätte vermutlich mit der Gradationskurve gearbeitet, aber das muss vermutlich von der Scanqualität jedes einzelnen Fingerabdrucks abhängig gemacht werden. Für gewöhnlich käme jetzt noch ein bisschen oder eine Menge Photoshoppen hinzu, um das Abbild zu schärfen. Aber es waren 30°C im Schatten und ich beschloss, aus Zeitgründen den Abdruck von Ben zu verwenden.

image

Kupferplatine und Folie werden übereinander in den UV-Scanner gelegt

image

Bens Fingerabdruck auf Laserfolie

Den Fingerabdruck von Ben invertierten wir und druckten ihn auf einer halbmatten Laserfolie aus. Einen Ausschnitt mit dem Fingerabdruck klebten wir auf eine Kupferplatine. Diese legten wir in einen UV-Scanner und ließen sie eine Weile belichten. Die Belichtung führt dazu, dass die fotoempfindliche Kupferschicht leicht abgetragen wird außer dort, wo Toner ist, also wo die Folie bedruckt war. Wir erhalten also ein Positiv des Fingerabdrucks.

Diese Platine wird dann in einem Bad mit Natriumhydroxid entwickelt und die Schicht, die sich schon gelöst hatte, wird dadurch abgetragen.

image

Mit dem Entwickler wird der Fingerabdruck auch auf der Platine sichtbar

Das nächste Bad enthält Eisen(III)-Chlorid und das ist das sogenannte Ätzen der Platine. Darin werden jetzt die Kupferionen herausgelöst und es entsteht ein Negativ. Leider habe ich davon kein Foto, weil ich zu sehr um mein Leben fürchtete. Die fertig geätzte Platine wird mit Graphit besprüht und danach wird Holzleim aufgetragen. Das Graphit dient dem leichteren Lösen des Holzleimes sobald dieser getrocknet ist.

image

Geätzte Platine mit einem Negativ des Fingerabdrucks.

image

Wildes Graphit in seiner natürlichen Umgebung.

Nach ein paar Stunden kann man diesen abziehen und hat wiederum ein lustig-labberiges Positiv des Fingerabdrucks, das man über einen Fingerabdruckscanner ziehen kann. Der Leim-Lappen hat eine vorteilhafte Flexibilität, das heißt, er bricht nicht wenn man drüber verreibt, aber verformt sich auch nicht.

image

Auftragen des Holzleims auf die Platine. Für das authentisch-verführerische „Ich-tue-etwas-verbotenes-Gefühl“ empiehlt sich die Verwendung einer Kreditkarte.

Fertig.

Andererseits: Es gibt natürlich ein paar Variablen, die meine eher stümperhafte Durchführung von der professionellen unterscheiden. Mangelnde Sorgfalt ist auf jeden Fall ein Erfolg limitierender Faktor. Forensiker haben höchstwahrscheinlich bessere Photoshopskills als wir bei 30° im überhitzten Zelt, den Ruf des Sees in den Ohren. Der Scan des Fingerprints müsste eigentlich recht sorgfältig mit Photoshop „gesäubert“ werden, wenn der Scan schlecht war.
Und nunja, ich habe zwar einen Sandwichtoaster, aber kein Ätzbad zu Hause. Ich habe Miso-Suppen-Brühwürfel, aber kein Eisen(III)-Chlorid. Wobei es andererseits kein Problem wäre, beide zu besorgen. Das mag für einige besorgniserregend klingen, aber der potentielle Schaden erscheint lächerlich im Vergleich zur ebenfalls frei und legal (!) erhältlichen Frikandel Speciaal.

image

Hier noch die professionell-seriöse Erklärung zum Workshop auf einem Plakat der Firma srlabs

OHM Day 2

Wenn Menschen weder für „regnerisches, windiges und kaltes Dreckswetter“ gemacht sind, noch für „heiße, trockene und hirnschmelzende Kackhitze“ – wofür sind wir dann eigentlich gemacht? Hat schonmal jemand Camping bei 3° K ausprobiert?

Der erste Tag mit Workshops, Vorträgen und ein bisschen Mini-Party ist vorbei und ich habe den zweiten Tag bereits angefangen  der zweite Tag ist auch so gut wie vorbei. Gestern stürmte und regnete es noch wie bescheuert, heute überhitzt die Sonne unsere Netzteile. Nichtsdestotrotz wird hier getan, gemacht, gelötet, gesprochen und zugehört.

Um ehrlich zu sein – der Tag gestern war auf verschiedenen Ebenen nicht sonderlich erfolgreich, bis auf das Essen, das mein Camp und ich kochten, das war äußerst erfolgreich. Vor allem in der Abwehr des berüchtigt schlechten Essens das hier für ein Studierenden-Wochengehalt vertickt wird.Ich sammle gerade noch die Dinge, die ich dort gelernt habe, wobei das meiste wie so häufig neue Fragen und keine Antworten sind. Aber so habe ich vermutlich 90% meines Wissens über Computer, Code und Netztechnik seit letztem Jahr gelernt – durch anfängliches Unverständnis, Nachfragen, Hinterherrecherchieren und Biertrinken.

Was und wieviel ich aus den Vorträgen mitnehme ist recht unterschiedlich. Ein Großteil der Technik-Talks – die selber einen Großteil des Programms bilden – sprengt den Rahmen dessen, was ich ohne Weiteres verstehen kann. Darüber hinaus gibt es aber auch eine große Auswahl an Talks, die auch für AnfängerInnen, solche die es werden wollen oder sich nur marginal für Technikkram interessieren.
Der erste Talk, den ich besuchte, war „Trolling the Web of Trust“. Darin erzählte Micah Lee von Möglichkeiten, die Unsicherheiten des Public Key Hostings durch kleine oder größere Trollierungen offenzulegen, bzw. welche Skripte er bereits geschrieben hat, um die Sichereitslücken mit verschiedenen Techniken aufzuzeigen. Ich finde es etwas schwierig, korrekt und trotzdem vereinfacht wiederzugeben, was ich dort gelernt habe. Vereinfacht gesagt für diejenigen, welche sich noch nie mit PGP auseinandergesetzt haben (es aber BESTIMMT bald tun werden):

Die gängige Verschlüsselungsmethode bei E-Mails benötigt die Generierung von zwei Schlüsseln, einem öffentlichen und einem privaten. Beide bestehen aus einer langen Abfolge von Bytes, bzw. Ascii-Charactern. Den privaten Schlüssel sollte ich – nunja – privat halten und niemandem verraten, denn dieser ist so etwas wie der Schlüssel, den ich brauche, um die E-Mails die an mich geschickt und verschlüsselt wurden wieder zu öffnen. Es sind nämlich nur die E-Mails an mich verschlüsselt, die mit meinem Public Key „verschlossen“ wurden. Falls mir meine… sagen wir Eltern verschlüsselt schreiben wollen, dass sie die Piercings meines neuen Freundes unseriös finden, gucken sie auf einem Public Key Server, was denn so mein Public Key ist. Aber vermutlich hätte ich meinen Eltern auch direkt meinen Public Key geschickt, wenn sie verschlüsseln würden. Das geht nämlich auch. Diesen Public Key wenden sie sozusagen auf die geheime Email an und können somit sicherstellen, dass nur ich diese Email lesen kann und nicht beispielsweise mein Freund, wenn er einen Angriff auf mein Mailkonto plant. Wäre ja auch echt unangenehm. Das heißt, die Email hat ein Vorhängeschloss verpasst bekommen, das nur ich mit meinem private key wieder öffnen kann. Niemand sonst! Hoffentlich.

Das Blöde daran ist, dass jederzeit irgendein Bernd einen Public Key zu meiner E-Mail-Adresse auf einen Key Server hochladen kann. Wenn er dann auch noch mein geheimes Gmail-Konto hackt und jemand den gefälschten Key statt meines richtigen Keys verwendet, kann der oder die Angreiferin ohne weiteres meine E-Mails entschlüsseln. Damit meine Eltern nicht den falschen Key verwenden, gibt es sogenannte Signaturen unter den Keys. Wenn drei Aluhutkönige den echten Key signieren, den ich gerne (nach einem persönlichen Gespräch) signiert haben möchte, signieren, wirkt dieser natürlich authentischer als der Gefälschte. Wobei auch die Signaturen von den drei Aluhutköniginnen gefälscht sein können. Und so weiter und so fort. Dieses System wird „Web of Trust“ genannt.

In dem Vortrag lernte ich dann, dass das Key Signing unverhofft zu sehr viel mehr Kreativität führen kann, als man auf den ersten Blick meinen würde. Es gibt allerdings auch noch größere äh leakende Sicherheitslöcher. Beispielsweise die Praxis, Short Key IDs zu verwenden. Das sind – vereinfacht gesagt – die letzten acht Character des Public Keys, mit denen der komplette Key identifiziert werden kann. Es ist allerdings seit vielen Jahren bekannt, dass diese unsicher sind, da ein anderer Key mit denselben letzten acht Zeichen generiert werden kann. Näheres dazu hier.

Es gibt also noch viel zu lernen in Sachen PGP – aber eigentlich ist alles ganz einfach!!11!!!1!
Nein ehrlich, wenn ihr bis zu diesem Absatz folgen konntet, seid ihr schon gut dabei. Und lasst euch bloß keine Lehrstunde über Elliptische Kurven andrehen. Auch nicht für Geld. Und gegen Geld erst recht nicht!

Nach diesem Vortrag besuchte ich einen Workshop über IPv6, der explizit an AnfängerInnen gerichtet war, jedoch trotzdem noch ein wenig zu viel Vorwissen von den Zuschauenden erwartete. IPv6 ist eine neben vielen anderen Quatsch-Lösungen für das Problem der brenzten IP-Adressen lösen soll. Als in den 70ern IPv4 entwickelt wurde, waren sich die klugen Köpfe aus dem Internet nachvollziehbarer Weise sicher, dass insgesamt 4 Milliarden Adressen für die Menschheit und alle anderen Lebewesen ausreichen müssten. Aber da immer mehr Menschen und Tiere das Internet nutzen und dies nicht unbedingt auf die effizienteste Art und Weise was die IP-Adresse-Vergabe betrifft, wird das nicht ewig halten. Die 4 Milliarden IP-Adresse gibt es, weil IPv4-Adressen auf eine Zeichenlänge von 32 Bits beschränkt ist und dementsprechend viele bzw. wenige Adressen überhaupt haben kann. IPv6-Adressen sind dagegen länger und entsprechend definitiv ausreichen. Wenn ich die Zahl der IPv4-Adressen sechsmal verdoppele kommte ich ungefähr auf die Anzahl von IPv6-Adressen, die es dann theoretisch gäbe. Ziemlich viele also! IPv6 hat noch andere Features, allerdings verläuft die Umstellung trotzdessen nur sehr träge und zieht sich bereits schon über viele Jahre.
Eines dieser Features ist beispielsweise IPsec, was auch immer das ist. Da hab ich dann nicht mehr zugehört und den Workshop verlassen.

Abends gab ich mir auch den Assange-Talk im großen Zelt. Neben einer hypnotisch tropfenden Sanduhr sprach Assange auf einem großen Telescreen zu den Massen. Anfangs verstand ich nur Wortgruppen, da die Soundqualität zu schlecht war. Dann konzentrierte ich mich ein wenig, hörte genauer hin – und verstand wieder nur Wortgruppen. Nach etwa 15 Minuten beschloss ich, dass es für Julian und mich besser wäre, wenn ich ginge und machte mich auf die Suche nach dem Fingerprint-Klonen-Workshop. Der wurde allerdings auf heute verlegt und ich war auch schon dort. Aber so langsam wird es Zeit, sich wieder auf das Camp zu begeben und den *hust* angenehmeren Teil des Abends zu beginnen.

Lichttechnik können sie ja auf der Ohm. Sponsoring allerdings auch. Und wie. Aber auch dazu lieber morgen mehr.

Getaggt mit , ,

+++ Großes Aluhutbasteln JETZT auf fritz.de +++

Cryptopartyyyyyyyyyyyyy:

http://chaosradio.ccc.de/cr192.html

Mit @linuzifer, @erdgeist und @nbblr

Sorry. Hab ich vorher vergessen zu erwähnen.

Ich würde gerne meine gesammelte LeserInnen-Armee auf diese Radiosendung hetzen.
Wenn ihr etwas nicht versteht: Anrufen.

Danke.

Könnt ihr natürlich auch nachhören.