Besteht Interesse an einem PGP-Tutoral?
-
-
S/MIME, weil das im iOS Mailclient bereits einen Slide hat, wo man blos noch den Key reinpacken muss. Für PGP gibts das nicht.
Ja, technisch funktioniert es. Der Key ist dann aber auch nicht im Mailclient gespeichert sondern im KeyStore des Geräts. (Wie bei allem S/MIME Zeugs)
Meine Abneigung PGP/SMIME aufs Fon zu Packen hat eher was mit OpSec zu tun.
Wer ernsthaft geheime Dokumente/Mails auf verarbeitet, macht das nicht auf dem Fon.In "Organisationen" die sowas benutzen, gibt es extra Geräte in extra Räumen bei denen man nicht irgendwie auf den Monitor schielen kann. Und die Keys bleiben auch nur da wo sie gebraucht werden.
-
Siehe Argument für “warum?”
Erstmal schon ist es nett gegenüber Leuten, die verschlüsselten Mailverkehr brauchen, wenn auch dummes Gelaber verschlüsselt ist. Zum anderen geht es mir schon lange auf den Sack das jeder, aber auch echt jeder in der Kette mitliest. Drittens, würden alle signierte Mails verschicken, hätte es sich ausgepammt.
-
Drittens, würden alle signierte Mails verschicken, hätte es sich ausgepammt.
Spam kann man auch signieren.
Aber ich bin auch so einer der gerne alles verschlüsselt. Einfach aus Routine und wenn mal meine Hardware "untersucht" werden soll, dann viel Spaß!
Ich hab extra dafür noch einen Stapel Festplatten - ToGo am Schreibtisch für die Ordnungsmacht. -
Anonym signieren?
-
Eine mail wird mit (d)einem Private Key Signiert. Den hat jeder PGP und S/MIME Nutzer.
Bei PGP kann man sich gegenseitig die Schlüssel signieren. Um gewissermaßen die Identität zu bestätigen. Ich könnte z.B. deinen Key signieren und du meinen.
Mit irgendwelchen selbstgenerierten Keys (Bei PGP nennt sich das Web of Trust)Bei S/MIME macht das der Anbieter, nachdem er deine Identität verifiziert hat. Und dessen Key ist wiederum im KeyStore deines Geräts als vertrauenswürdig hinterlegt. (Da wird viel Geld für bezahlt)
Und diese Anbieter sind halt auch nicht so 100% seriös bzw. man kann da auch genug faken.
Es gibt außerdem einige Abstufungen bei der Signierung. Bei den kleineren musst du einfach nur bezahlen und bei den größeren Identitätsnachweise vorlegen. -
Volksverschlüsslung ist doch aber kostenlos
-
Das ist nur ein ClientProgramm. Und zwar eins das wir den gleichen Leuten zu verdanken haben, die auch schon die DE-Mail verbrochen haben. (Rosa T)
Selbst benutzt habe ich es noch nicht, aber das kann nix was die wirklich offenen Programme nicht auch können. Eigentlich sogar weniger.
Es verpackt es nur etwas hübscher. Kann das inzw. PGP oder immer noch nur S/MIME in Verbindung mit personalisierten Telekom-Accounts?GnuPG kombiniert mit Thunderbird ist auch kostenlos, kann alles und läuft überall.
Ich bin ja noch auf der Suche nach einem Tool das einfach Plaintext PGP ver/entschlüsseln kann. Ohne irgendwelche externen Programme, Plugins oder KeyStores.
-
Öhm
Da bin ich überfragt. Das die Telekom das erste Zertifikat signieren muss hab ich ja gerade noch verstanden, aber beim Rest bin ich ehrlich gesagt froh das man mal drüber redet.
-
Bei der Volksverschlüsselung muss sie das. Aber ich glaube nicht das die dir das auch für deine Karler-Identität machen.
Wir wollen hier aber anonym Schlüssel auf beliebige Identitäten selbst ausstellen.
Die Schlüssel sind eigentlich nix anderes als komplizierte Passwörter. Und das wollen wir frei von jedem fremdem Einfluss.Als Anschauungsmaterial habe ich hier mal den offiziellen GrowNerd PublicKey eingepackt.
Spoiler anzeigen
-----BEGIN PGP PUBLIC KEY BLOCK-----mQINBFzxzgoBEACS2khpJDuHC482czbiV6VfXioChlrlW7i870Sc2tcvJna0qIUI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=Qa+P
-----END PGP PUBLIC KEY BLOCK----- -
Wenn ich im Web of Trust weit oben sitze, kann ich dann eigentlich die ganzen Tochterzertifikate aufmachen und wie sieht das bei Volksverschlüsslung aus, kann die Telekom meine Zertifikate aufmachen und mitlesen?
Am Anfang steht doch immer diese arschteure riesige Primzahl Ist die dann der Masterkey für die Tochterzertifikate? -
Ne, du unterschreibst beim signieren nur dafür das du die Identität gecheckt hast und bestätigst deren Korrektheit.
Man kann dann zum Beispiel solche Regeln aufstellen, das ich allen traue deren Key du signiert hast. Weil du besonders vertrauenswürdig bist.
Bei den Linux Kernel Entwicklern z.B., muss dein Key von mindestens 5 anderen Entwicklern unterschrieben sein, damit die deinen als vertrauenswürdig ansehen.
-
Interessante Sache, jetzt aber das große aber:
wenn ein zb Staatstrojaner schon auf dem Gerät ist, dann kann man verschlüsseln wie man will, denn es geht garnicht mehr um die Übertragung
--->wisst ihr was ich meine?Lg
Edit:
So was wäre eventuell etwas, wenn man es für den PC als only live cd System Variante erstellt.USB Stick ist ein Speichermedium, fällt also raus.
Der Arbeitsspeicher in jedem pc kann glaube ich auch zum Problem werden.
Handys sind allgemein niemals sicher, doofes GSM....
Man könnte natürlich via Richtfunk und so/total freaky mit Antennen etc arbeiten, aber ......will nicht noch mehr zu Maßnahmen schreiben die am Ende auch nix bringen heheThema ist cool
Aber Anonymität gibts heute nicht mehr....
Man denke nur an die Betreiber großer illegaler Plattformen, die auch noch richtig Kohle machten und trotzem gefunden wurden.
Normalo sein, der nix verschlüsselt oder verschleiert, ist womöglich sichere
-
@Hygro. Das Thema ist Transportverschlüsslung
-
verwirr mich nicht haha
Dabei denk ich an Plomben
Edit:
Check
Aber selbst da stimmt das mit, bringt alles nichts mehr, denn wenn bei p2p schon p1 vor der Verschlüsselung beschnüffelt wird, dann ist alles für die Katz.
-->weißt was ich meine?
Das ja die riesengroße mega asoziale Scheiße, den seit kurzem darf der Staat sowas legal machen.
Früher war Daten abfangen und versuchen zu entschlüsseln legal.
Heute ist, beim Absender vor dem Versand mitlesen erlaubt.
Somit bleibt eine reine verschlüsselte Kommunikation nix, denn das ist mittlerweile garnicht mehr notwendig....leider
-
Aber Anonymität gibts heute nicht mehr....
Vielfach ja, aber in manchem muss man sie sich einfach nehmen.
Und manches sollte man einfach lassen.Man denke nur an die Betreiber großer illegaler Plattformen, die auch noch richtig Kohle machten und trotzem gefunden wurden.
Die wurden alle gebusted weil sie gravierende OpSec Fehler begangen haben. Nicht weil die Kryptographie geknackt wurde!
Der Betreiber von Alphabay z.b. wurde über seine Mail Adresse ermittelt die er irgendwo als Brotkrumen hinterlassen hatte.Aber selbst da stimmt das mit, bringt alles nichts mehr, denn wenn bei p2p schon p1 vor der Verschlüsselung beschnüffelt wird, dann ist alles für die Katz.
TKÜ ist in der Tat ein Problem. Wer wirklich heiße Dinge "macht" sollte genügend Kleingeld für extra Hardware haben die offline ist und höchstens kurz online geht um was zu senden.
Oder man macht es wie die Russen. Die haben im Kreml vor 5~ Jahren wieder haufenweise Schreibmaschinen angeschafft.
Kleines Privacy Zitat zum Schluss:
Never say anything in an electronic message that you wouldn't want appearing, and attributed to you, in tomorrow morning's front-page headline in the New York Times.
— Colonel David Russell, former head of DARPA's Information Processing Techniques Office -
Argumentationshilfen zur Aussage "Ich hab doch nichts zu verbergen":
- Ausführlich von den Piraten
- Kürzer von Datenschutzbeauftragte-Info
- Essay von der BpBHalte dich dann am besten an GnuPG/Kleopatra. Das läuft auf Windows/Linux/Mac und sieht sogar überall gleich aus.
Ein Tut schreiben reicht für 3 Betriebssysteme.Falls du noch ein zusätzliches paar Augen brauchst zum Drüberlesen sag Bescheid. Dann machen wir ein Review und paffen dabei einen.
Gute Idee! Werde das anhand von der Kleopatra App machen. Wollte erst erklären wie man das anhand der Command-line macht aber bei meiner Begabung Texte zu verfassen würde das im Chaos enden...
Interessante Sache, jetzt aber das große aber:
wenn ein zb Staatstrojaner schon auf dem Gerät ist, dann kann man verschlüsseln wie man will, denn es geht garnicht mehr um die Übertragung
--->wisst ihr was ich meine?
Lg
Edit:
So was wäre eventuell etwas, wenn man es für den PC als only live cd System Variante erstellt.USB Stick ist ein Speichermedium, fällt also raus.
Der Arbeitsspeicher in jedem pc kann glaube ich auch zum Problem werden.
Handys sind allgemein niemals sicher, doofes GSM....
Man könnte natürlich via Richtfunk und so/total freaky mit Antennen etc arbeiten, aber ......will nicht noch mehr zu Maßnahmen schreiben die am Ende auch nix bringen heheThema ist cool
Aber Anonymität gibts heute nicht mehr....
Man denke nur an die Betreiber großer illegaler Plattformen, die auch noch richtig Kohle machten und trotzem gefunden wurden.
Normalo sein, der nix verschlüsselt oder verschleiert, ist womöglich sichere
Hast schon Recht, wenn sie nur richtig wollen dann ist wohl keiner sicher. Wenn wir aber mal nur von der Strafverfolgung sprechen und den ganzen Datenschutz außer Acht lassen dann bin ich persönlich der Meinung, daß die Behörden eine Person schon explizit auf dem Schirm haben müssen um ein anständiges Daten-Sicherheitsmanagement zu umgehen. Wenn sie aber unbedingt wollen dann ist eh Schicht im Schacht. Gleiches gilt übrigens auch wenn dich eine Privatperson mit etwas technischem Sachverstand ausspionieren will.
Deshalb immer schön das Betriebssystem auf dem Laufenden halten, aufpassen auf welche Links man clickt und vor Allem nicht jeden Mist runter laden.^^So weit ich weiß sind aber alle Händler und Betreiber von illegalen Online Angeboten nur aufgeflogen weil sie im realen Leben "Fehler" begannen haben oder online ihre Identitäten durcheinander brachten (Ross Ulbricht).
Was aber die Amis und Chinesen alles Für Hintertürchen in ihre Hard- und Software eingebaut haben lässt sich nur vermuten, vorhanden sind diese sicherlich. Schätze aber, daß die sowas nur "bei den richtig großen Fischen" nutzen.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Weil ich so schön im Schreibfluss bin noch eine kurze Erklärung zur Verschlüsselung von Mails mittels privaten und öffentlichen Keys.
Zuhause am Computer erstellt der User zwei Schlüssel. Den öffentlichen (public Key) und den privaten (privat Key). Der private Schlüssel bleibt immer beim User, niemals rausgeben bitte! Der öffentlicher Schlüssel kann dann weitergegeben werden; oft wird dieser für jeden zugänglich im Internet bereitgestellt.
Nehmen wir einmal an ich bin ein Whistleblower und will der FAZ/SZ/Times brisante Informationen zukommen lassen dann suche ich deren öffentlichen Schlüssel auf der jeweiligen Webside und nehme ihn um meine Nachricht zu verschlüsseln. Danach schicke ich diesen Zeichensalat per Mail an den Empfänger. Nur dieser kann dann die Nachricht mit seinem privaten Schlüssel entschlüsseln.
Eine verschlüsselte und vor allem entschlüsselbare Rückantwort kann wiederum nur funktionieren wenn die Zeitung im Besitz des öffentlichen Schlüssel des Informanten ist. Soweit kurz die Funktionsweise.Die Signatur einer Nachricht funktioniert vom Prinzip her genau anders herum. Grob gesagt ([iok, seeehr grob gesagt.. ) werden die Informationen die die Signatur darstellen mit dem privaten Schlüssel des Absenders verschlüsselt und dann mit dessen öffentlichen Schlüssel verifiziert.
peace
Schmodder@GrowNerd
Danke für dein Angebot! Wenn ich das Ding fertig habe dann schicke ich dir ne PM, würde mich sehr freuen wenn du gegen lesen könntest. -
Sehr gerne. Es würde mich freuen. Danke vorab.
-
aufpassen auf welche Links man clickt und vor Allem nicht jeden Mist runter laden.^^
irgendwie relativ unbekannt aber sehr zu empfehlen, Smartphone oder PC, Sophos !
Warnt bei unbewussten klicks nochmal exta und hat einen "Link-Checker'
Weil ich so schön im Schreibfluss bin noch eine kurze Erklärung zur Verschlüsselung von Mails mittels privaten und öffentlichen Keys.
Zuhause am Computer erstellt der User zwei Schlüssel. Den öffentlichen (public Key) und den privaten (privat Key). Der private Schlüssel bleibt immer beim User, niemals rausgeben bitte! Der öffentlicher Schlüssel kann dann weitergegeben werden; oft wird dieser für jeden zugänglich im Internet bereitgestellt.
Nehmen wir einmal an ich bin ein Whistleblower und will der FAZ/SZ/Times brisante Informationen zukommen lassen dann suche ich deren öffentlichen Schlüssel auf der jeweiligen Webside und nehme ihn um meine Nachricht zu verschlüsseln. Danach schicke ich diesen Zeichensalat per Mail an den Empfänger. Nur dieser kann dann die Nachricht mit seinem privaten Schlüssel entschlüsseln.
Eine verschlüsselte und vor allem entschlüsselbare Rückantwort kann wiederum nur funktionieren wenn die Zeitung im Besitz des öffentlichen Schlüssel des Informanten ist. Soweit kurz die Funktionsweise.Die Signatur einer Nachricht funktioniert vom Prinzip her genau anders herum. Grob gesagt ([iok, seeehr grob gesagt.. ) werden die Informationen die die Signatur darstellen mit dem privaten Schlüssel des Absenders verschlüsselt und dann mit dessen öffentlichen Schlüssel verifiziert.
peace
Schmodderdas ist jetzt nur eine Frage aus Interesse
Wenn ich zb weiss mit wem du kommunizieren willst und vorher deine Mail Fake mit meinem Schlüssel, dann hat man auch verkackt oder?
(Also wenn der Empfänger nicht erkennt,das du nicht der Absender bist)Lg
--->spannend
-
irgendwie relativ unbekannt aber sehr zu empfehlen, Smartphone oder PC, Sophos !
Warnt bei unbewussten klicks nochmal exta und hat einen "Link-Checker'Cool! Das werde ich mir gleich anschauen.
Übrigens, Sophos hat auch einen guten Virenscanner (kostenlos) für Linux Betriebssysteme. Der wird von vielen Leuten gegenüber ClamAV bevorzugt. Ist aber leider kein Open Source.das ist jetzt nur eine Frage aus Interesse
Wenn ich zb weiss mit wem du kommunizieren willst und vorher deine Mail Fake mit meinem Schlüssel, dann hat man auch verkackt oder?
(Also wenn der Empfänger nicht erkennt,das du nicht der Absender bist)Hast ein großes Problem glasklar erkannt!
Es gibt verschiedene Möglichkeiten wie man die Echtheit seines Gegenübers prüfen kann. Email-Adresse, Nicname prüfen kann tricky sein weil es ja x-Zeichen gibt die im lateinischen Alphabet genau so aussehen wie in anderen- Gerade in Foren wurde da schon viel Schindluder getrieben. Z.B. gibt es für das "e" im Lateinen dann Buchstaben in einem anderen Alphabet (Tamil, Thai usw.) die genau so aussehen.
Fingerprint kann man checken, vorausgesetzt man findet diesen irgendwo im Netz. Ist also nur was wenn dein Gegenüber "bekannt" ist. Gleiches gilt für die Überprüfung von Signaturen, z.B. ein Bekannter von dir hat mit dem Gegenüber früher schon mal kommuniziert und daran gedacht die Echtheit dessen public Keys anhand einer Signatur bestätigt.
Man kann auch einen Keyserver zu Rate ziehen (vorausgesetzt das Gegenüber hat seinen public Key in einen solchen hochgeladen).Ich hoffe inständig du verstehst was ich da zusammen geschrieben habe, ist schlecht erklärt... ...es ist schon spät...
peace
Schmodder -