Tag Archiv für PGP

Gedanken zum Vorschlag „Web Key Service“ für die vereinfachte Schlüsselverteilung bei PGP

Der derzeitige GnuPG-Entwickler Werner Koch hat auf der OpenPGP.conf ein neuartiges Verfahren namens Web Key Service für die Verteilung der öffentlichen PGP-Schlüssel zur Diskussion vorgestellt. Hierbei sollen die Schlüssel vom Mailprovider über eine eindeutige URL, die den Hashwert der e-Mailaddresse enthält, über https direkt an das Mailprogramm ausgeliefert werden. Die Schlüsselverteilung erfolgt somit automatisiert ohne Eingriff des Nutzers (Golem, heise).

Das Problem des Auffindens des richtigen Schlüssels des Kommunikationspartners ist durchaus real, auch weil prinzipbedingt aus kryptografischer Sicht eine Interaktion beider Kommunikationspartner zwingend erforderlich ist. Die Übermittlung vom Fingerabdruck des Schlüssels und der Abgleich mit dem des aufgefundenen Schlüssels lässt sich nicht ohne Eingriff des Benutzers vollziehen. Dennoch, abseits der rein technischen Spezifikationen, scheint mir die reine Schlüsselverteilung nicht das Problem zu sein, welches die Ursache für den fehlenden Einsatz von Verschlüsselung in der e-Mailkommunikation darstellt, auch wenn die vorgeschlagene Spezifikation in die richtige Richtung zielt. Weiterlesen

Bitkom-Ergebnisse zum Stand der Verschlüsselung

Der Bitkom e.V. hat mal wieder Ergebnisse zu einer neuen Umfrage zum Thema Verschlüsselung veröffentlicht:

Der Einsatz von Verschlüsselungsverfahren für den Schutz von privaten Daten kommt nur langsam voran. Das hat eine repräsentative Umfrage im Auftrag des Digitalverbands Bitkom ergeben. Demnach verschlüsselten im vergangenen Jahr 15 Prozent der deutschen Internetnutzer E-Mails. Zum Vergleich: Im Jahr davor waren es mit 14 Prozent ähnlich viele.

Weiterlesen

Lasst SHA-1 endlich sterben

Ein Jahresanfang ist immer eine gute Gelegenheit alte Zöpfe abzuschneiden und etwas Neues zu beginnen. Auch bei der Verwendung von OpenPGP/GnuPG ist dies nicht vollkommen anders. Schon vor geraumer Zeit wurde der häufig verwendete Prüfsummenalgorithmus SHA-1 auf langfristige Sicht hin als zu unsicher erkannt und deshalb nach einem Ersatz gesucht. Dieser fand sich in SHA-2 (RFC 4634), einer ganzen Familie von neuen Prüfsummenalgrorithmen, bestehend aus SHA224, SHA256, SHA384 und SHA512. Da es jedoch seine Zeit dauert bis Software ergänzt, Arbeitsabläufe umgestellt und die neuen Versionen von einer überwiegenden Anzahl der Benutzer neue Versionen aufgespielt wurden konnte nicht sofort von SHA-1 abgerückt werden. Weiterlesen

Facebook integriert PGP/GPG

Seit Anfang des Monats besteht bei Facebook die Möglichkeit einen PGP-Schlüssel in das eigene Profil hochzuladen. Gleichzeitig veröffentlicht Facebook seinen Schlüssel 0xDEE958CF:

Fingerabdrücke von Facebook, Inc.
Schlüssel:
	31A7 0953 D8D5 90BA 1FAB 3776 2F38 98CE DEE9 58CF
Unterschlüssel:
	D8B1 153C 9BE9 C7FD B62F 7861 DBF4 E8A2 96FD E3D7

Ausgerechnet die Datenkrake Facebook, Geheimdienste mal außen vor gelassen, wird nun zum Vorreiter in Sachen PGP? An der ungehemmten Datensammelei bei Facebook wird dies nicht das Geringste ändern, dies, wie der Verkauf der Daten, ist schließlich sein Geschäftsmodell. Facebook wird daher niemals Funktionen implementieren, welche die Aktivitäten des Nutzers vor Facebook verbergen könnten. Was sich zunächst paradox anhört scheint mir dennoch der richtige Weg zu sein. Weiterlesen

Unterschiede und Merkmale von DKIM, PGP und S/MIME

Ab 20. Februar will die Deutsche Telekom ihre Rechnungs-e-Mails mit weiteren Sicherheitsmerkmalen ausstatten, um das Erkennen von Fälschungen zu erleichtern (via heise). Kernbestandteil der neuen Merkmale ist eine kryptografische Signatur. Endlich muss man sagen, denn die Technik hierfür steht schon seit längerem zur Verfügung und wird bereits vielfältig verwendet. Allerdings verwendet die Telekom weder PGP (bzw. GnuPG) oder S/MIME, sondern das allgemein weniger bekannte DKIM. Die meisten Anwender bekommen schon lange DKIM-signierte Mails, wissen es jedoch noch nicht. Das ebenfalls neu eingeführte „E-Mail-Siegel“ (vor dem Absender ein blaues @-Zeichen mit Haken) ist nur eine optische Darstellung einiger am Verbund beteiligter Webmailer (GMX, WEB.DE, freenet und 1&1) und bei Anwendungen der Telekom selbst. Alle anderen, insbesondere diejenigen, die mit einem e-Mailprogramm, arbeiten haben nichts davon, sie könnten die Herkunft einer e-Mail nur anhand der zunächst unsichtbaren DKIM-Signatur verifizieren. Weiterlesen

Niederländischer Inlandsgeheimdienst hört Rechtsanwälte ab

Stück für Stück vervollständigt sich das Bild der sich nicht an rechtstaatliche Prinzipien gebunden fühlenden Geheimdienste in den sogenannten westlichen Demokratien. Nun ist öffentlich geworden, daß der niederländische Inlandsgeheimdienst AIVD (Algemene Inlichtingen- en Veiligheidsdienst) gezielt Rechtsanwälte abhört.

Jeder Rechtsanwalt und andere (berufliche) Geheimnisträger die heute noch Dienste über das Internet offerieren ohne einen Schlüssel (PGP, S/MIME) für eine sichere Kommunikation anzubieten, handeln grob fahrlässig, gegen die Interessen ihres Mandanten und müssen sich dem Vorwurf des mutwilligen Mandantenverrats gefallen lassen, da sie eine grobe Verletzung ihrer Fürsorgepflicht begehen. Das rechtswidrige Handeln von Geheimdiensten gehört zwar ebenfalls unterbunden, was jedoch immer nur national erfolgt, kann aber nicht zur Entlastung der Berufsgeheimnistäger beitragen, da sie von der Abhörpraxis Kenntnis haben, jedoch keinen Versuch unternehmen die Kommunikation mit ihren Mandanen adäquat zu schützen.

Zum Thema hier im Blog:

Vertrauliche Daten an die falsche e-Mailadresse

Interessanter Fall, die US-Investmentbank Goldman Sachs oder besser gesagt ein Mitarbeiter eines Vertragsunternehmens, schickte eine e-Mail mit vertraulichen Daten (Spiegel-Online, Süddeutsche) an eine falsche e-Mailadresse. Nun verlangt Goldmann Sachs vom Betreiber der Empfängerplattform, in diesem Falle Google als Betreiber von gmail.com, die Löschung der von Goldmann Sachs fehlerhaft adressierten e-Mail. Jetzt muss gerichtlich geklärt werden, ob der Betreiber und wenn ja auf welcher Rechtsgrundlage, eine ordnungsmäß zugestellte e-Mail aus dem Postfach eines Empfängers auf Zuruf löschen darf. Außerdem verlangt die Bank Auskunft darüber wer Zugriff auf die Daten gehabt haben könnte. Meiner Auffassung nach sollte dies nicht ohne Weiteres erlaubt sein, denn der Dienstbetreiber stellt den Telekommunikationsdienst zur Verfügung, hat aber kein Recht Inhalte nach eigenem Gutdünken zuzustellen oder auch nicht bzw. den Inhalt eines Postfaches eigenmächtig zu verändern. Vielleicht sollte die e-Mail ursprünglich doch an den Empfänger, aber man hat es sich dann intern, bspw. um die eigene rechtliche Position nicht untergraben, anders überlegt und würde daher die e-Mail lieber ungeschehen machen. Für den Dienstbetreiber gibt es keine objektive Möglichkeit zu entscheiden, ob der Empfänger eine e-Mail erhalten sollte, wollte oder eben nicht, lt. der e-Mailadresse war sie jedenfalls an ihn adressiert. Dies ist einer der Gründe warum in Deutschland Spam in Spamordnern abgelegt und nicht einfach gelöscht wird. Auch bzgl. der verlangten Herausgabe von Nutzerdaten über Personen die Zugriff gehabt haben könnten scheint mir die Rechtslage in Deutschland eindeutig zu sein, denn nach §12 Abs. 2 TMG darf eine Weitergabe der Nutzerdaten an Dritte nur dann erfolgen wenn dies eine Rechtsvorschrift erlaubt oder der Nutzer eingewilligt hat. Beides trifft hier nicht zu. Google würde sich in Deutschland daher strafbar machen, wenn es dem Ansinnen auf Datenherausgabe stattgeben würde. Wie die Rechtslage in den USA dazu aussieht weiß ich jedoch nicht. Weiterlesen

Stand der E-Mail-Verschlüsselung ist desaströs

Nach einer Umfrage im Auftrag der BITKOM (via heise — Befragung: Stand der E-Mail-Verschlüsselung ist desaströs) soll nur jeder 7te Arbeitnehmer (16%) seine e-Mails am Arbeitsplatz verschlüsseln. Meiner Ansicht nach kann an dem Ergebnis oder dessen Darstellung etwas nicht stimmen. Für mich klingt es nicht plausibel, 16% scheinen stark überhöht zu sein.

Das Marktforschungsinstitut Aris hat im Auftrag des BITKOM 1006 Personen ab 14 Jahren in Deutschland befragt, darunter 620 Berufstätige. Die Befragung ist repräsentativ.

620 Beruftätige in 1006 Befragten über 14 Jahren entspricht einer Quote von 61%. Laut statischem Bundesamt haben wir in Deutschland rd. 42 Millionen Erwerbstätige bei knapp 81 Millionen Einwohnern, was einer Quote von knapp 52% entspricht. Das die Erwerbsquote bei der Bitkomumfrage höher liegen muss, ist einleuchtend, da nur Personen ab 14 Jahren befragt wurden. Allerdings habe ich meine Zweifel, ob auch die Alten tatsächlich repräsentativ vertreten sind. Weiterlesen

PGP ist zu kompliziert

Auf Zeit Online gab’s neulich mal wieder einen Artikel zum Thema e-Mailverschlüsselung und über die wie Pilze aus dem Boden sprießenden e-Mailanbieter, die dem Benutzter e-Mailverschlüsselung nahebringen wollen. Nicht das ich an dieser Stelle den Neulingen per se unterstellen möchte, quasi Ausgründungen der Geheimdienstwelt zu sein, aber eine gewisse Vorsicht scheint angebracht zu sein, bevor man sich womöglich in falscher Sicherheit wiegt. Ich persönlich habe eine prinzipielle Abneigung gegen alle Verfahren, bei denen private Schlüssel, in welcher Form auch immer, beim Anbieter erzeugt werden und/oder dort verbleiben. Diese Sammlungen werden immer, auch wenn der Anbieter keine verdeckte Agenda hat, ein primäres Ziel von Angreifern (Justiz, Geheimdienste, Hacker) darstellen. Private Schlüssel gehören grundsätzlich nicht in fremde Hände — auch nicht in die Cloud —, sondern ausschließlich auf den eigenen Rechner. Will der Angreifer unter diesen Bedingungen an private Schlüssel kommen, ist er gezwungen jeden einzelnen Rechner zu infiltrieren, was derzeit ein pauschales Abgreifen im Vorübergehen bei Millionen von Nutzern wirkungsvoll aushebelt. Ist der Angreifer allerdings Willens und in der Lage den Rechner eines Benutzers zu infiltrieren, hat der Benutzer ein echtes Problem, denn an diesem Punkt verliert die Wichtigkeit zum Zugang des privaten Schlüssels enorm an Bedeutung, da der Angreifer Zugriff auf die Daten vor der Ver-, bzw. nach der Entschlüsselung hat. Auch eine verschlüsselte Festplatte ist dann nutzlos. Trotz aller Sammelwut der Geheimdienste und der sie beauftragenden Regierungen, würde eine individuelle Infiltration immer noch hochselektiv erfolgen. Derzeit werden die Daten nur deshalb in dem ungeheuren Ausmaß gesammelt, weil es eben sehr einfach ist und sich praktisch niemand dagegen zur Wehr setzt. Weiterlesen

Rechtsanwalt für Internetrecht klagt gegen BND, bietet aber keinen PGP-Schlüssel an

Wie der Spiegel berichtet (via CR-Online), klagt der Berliner Anwalt Niko Härting (Twitter: @nhaerting) vor dem Bundesverwaltungsgericht gegen eine Durchleuchtung von e-Mails aus dem Jahre 2010, da aus dem Jahresbericht (vgl. hier) des parlamentarischen Kontrollgremiums hervorging, daß der BND 37 Mio. e-Mails abgefangen, aber nur in 12 Fällen auf nachrichtendienstlich relevantes Material gestoßen sein soll. Soweit so gut, je mehr Klagen vor unterschiedlichen Gerichten gegen diese Schnüffelei vorliegen, desto größer ist auch die Wahrscheinlichkeit, daß Licht in die Sache kommt und Verantwortliche mindestens Rede und Antwort stehen müssen (man wird ja bescheiden, bei dieser Regierung).

Was den Fall aber interessant macht ist etwas Anderes und genau passend zu zwei anderen Artikeln zu Rechtsanwälten hier im Blog (hier und dort): Weiterlesen