Kategorie: IT-Sicherheit

E‑Mail mit vollverschlüsseltem Posteingang

Posteo LogoSeit Anfang der Kalen­der­wo­che 7 2016 wird die E‑Mailadresse mail@​kanzlei-​mieth.​de auf kanzleimieth@​posteo.​de wei­ter­ge­lei­tet. Zuvor war das Post­fach bei Stra­to gehostet.

Ziel die­ser Umstel­lung ist ein höhe­res Maß an Ver­trau­lich­keit bei der E‑Mailkommunikation zu ermög­li­chen. Pos­teo gehört mit Mail​box​.org Mailbox.org Logozu den zwei Test­sie­gern des Stif­tung Waren­test Tests von E‑Mailangeboten aus Febru­ar 2015.

Tabelle Stiftung Warentest - AusschnittWenn­gleich sich Stra­to als deut­scher Anbie­ter an deut­sche Daten­schutz­stan­dards hält und “E‑Mail made in Ger­ma­ny” anbie­tet, bie­ten die­se bei­den Diens­te einen dar­über hin­aus­ge­hen­den Schutz, wie gerin­ge bzw. kei­ne Daten­er­he­bung bei der Ein­rich­tung eines Post­fa­ches, Über­tra­gung zu ande­ren Anbie­tern nach Mög­lich­keit auto­ma­tisch mit einem offe­nen Stan­dard — DANE — gesi­chert oder die Opti­on ein­ge­hen­de Post noch nach­träg­lich mit­tels PGP zu verschlüsseln.

Auch wenn bei­de Diens­te von Stif­tung Waren­test im Ergeb­nis die glei­che Note erhiel­ten (1,8) und Mail​box​.org eine Men­ge zusätz­li­cher Funk­tio­na­li­tät bie­tet (Ver­wen­dung eige­ner Domains, XMPP-Ser­ver, Office-Funk­tio­na­li­tät und Datei­spei­cher) weist Pos­teo mit dem “Kryp­to-Mail­spei­cher” ein Allein­stel­lungs­merk­mal auf. Mit­tels die­ser Funk­ti­on wer­den auf Wunsch alle Daten, Adress­bü­cher, Kalen­der und E‑Mails, ver­schlüs­selt und erst bei der Abfra­ge durch den Nut­zer mit Hil­fe eines mit sei­nem Pass­wort ver­schlüs­sel­ten Schlüs­sels entschlüsselt.

Der Reiz die­ses Sys­tems ist, dass anders als bei “nur” PGP-Ver­schlüs­se­lung auch die Meta­da­ten (bspw. Absen­der, Betreff) für den Anbie­ter und Straf­ver­fol­gungs­be­hör­den nicht offen dalie­gen. Somit könn­ten die­se Daten nur noch bei der Zusen­dung abge­fan­gen wer­den oder ein Angrei­fer müss­te in die lau­fen­den Ver­ar­bei­tun­gen beim Anbie­ter ein­grei­fen, was zumin­dest bis­her kei­ne gän­gi­ge Pra­xis in Deutsch­land ist. Die Daten ste­hen dabei dem Nut­zer z.B. über den Mail­cli­ent qua­si unver­schlüs­selt zur Ver­fü­gung und kön­nen somit spä­ter auch durch­sucht werden.

Es bleibt aller­dings dabei: Wer den Inhalt sei­ner E‑Mail vor uner­wünsch­ten Ein­bli­cken schüt­zen will, soll­te sie bereits vor dem Absen­den ver­schlüs­seln und wer sei­nen Absen­der ver­schlei­ern will soll­te anony­me Absen­der­adres­sen verwenden.

E‑Mails an mail@​kanzlei-​mieth.​de wer­den ein­fach an kanzleimieth@​posteo.​de wei­ter­ge­lei­tet und nicht mehr bei Stra­to gespei­chert. Wer den Anfall von Daten bei Stra­to auch in der Zustel­lung spa­ren möch­te, kann auch direkt an kanzleimieth@​posteo.​de adres­sie­ren. Der PGP-Schlüs­sel ist der sel­be wie für mail@​kanzlei-​mieth.​de. Ant­wor­ten und E‑Mails von die­ser Sei­te gehen grund­sätz­lich über den SMTP-Ser­ver von Stra­to her­aus, es sei denn es wird von der Pos­teo­adres­se aus geant­wor­tet, was ange­strebt ist für Nach­rich­ten, die direkt auf die­se Adres­se zuge­gan­gen sind.

PGP Unterstützung bei Töchtern von United Internet

Wie der Hei­se-Ver­lag heu­te in der c’t aus­führ­lich berich­te­te haben die United Inter­net Töch­ter 1&1, Web​.de und GMX in Ihre Web­mail­diens­te die Unter­stüt­zung von PGP inte­griert. Sie set­zen hier­zu auf Mail­ve­lo­pe, eine Erwei­te­rung für die Brow­ser Chro­me und Fire­fox, sowie auf ihre Smartphoneapps.

Anleitung zur Einrichtung in der ct
Anlei­tung zur Ein­rich­tung in der c’t

In der c’t wur­de auch eine aus­führ­li­che Anlei­tung zur Ein­rich­tung veröffentlicht.

Die Unter­neh­men set­zen auf eine eige­ne Schlüs­sel­ver­tei­lung, so dass Schlüs­sel von “frem­den” E‑Mailadressen manu­ell ergänzt wer­den müssen.

Im Brow­ser fin­det sich nach der Instal­la­ti­on ein But­ton, der Zugriff auf die Mail­ve­lo­pe-Kon­fi­gu­ra­ti­on gibt. Dort kön­nen auch Schlüs­sel hin­zu­ge­fügt wer­den. Für Kanz­lei Mieth kann der Schlüs­sel hier auf­ge­ru­fen wer­den. Auch fin­det sich an den meis­ten E‑Mails von der Kanz­lei aus­ge­hend der aktu­el­le öffent­li­che Schlüs­sel ange­fügt. Sie kön­nen die­sen mit einem Edi­tor (unter Win­dows z.B. “Note­pad”) öff­nen, alles mar­kie­ren, kopie­ren und in der Schlüs­sel­ver­wal­tung von Mail­ve­lo­pe als neu­en Schlüs­sel ein­fü­gen, um mit Kanz­lei Mieth ver­schlüs­selt zu kom­mu­ni­zie­ren. Bit­te sen­den Sie in die­sem Fall und bei ver­schlüs­sel­ter Kom­mu­ni­ka­ti­on von Nut­zern ande­rer Schlüs­sel auch Ihren öffent­li­chen Schlüs­sel mit, damit Ihnen auch ver­schlüs­selt geant­wor­tet wer­den kann. Auch die­sen kön­nen Sie über die Schlüs­sel­ver­wal­tung von Mail­ve­lo­pe als Datei expor­tie­ren und als Anhang Ihrer E‑Mail anfügen.

TrueCrypt

TrueCryptIn der Kalen­der­wo­che 22 die­sen Jah­res (2014) hat sich der Inhalt der bis dahin hier ver­link­ten Home­page des True­Crypt-Pro­jek­tes wesent­lich verändert.

True­Crypt ist eine Soft­ware, die min­des­tens unter Linux, MacOS und Win­dows die Ver­schlüs­se­lung von Daten­trä­gern anbie­tet. Dabei kann unter Win­dows auch die Sys­tem­par­ti­ti­on ver­schlüs­selt wer­den. Por­ta­ble Daten­trä­ger kön­nen hier­mit ver­schlüs­selt für alle drei Platt­for­men zugäng­lich gemacht werden.

Statt eine voll­wer­ti­ge True­Crypt-Ver­si­on anzu­bie­ten und Infor­ma­tio­nen über das Pro­jekt zu lie­fern, wird auf der Home­page ledig­lich noch eine Ver­si­on 7.2 zum ent­schlüs­seln ver­schlüs­sel­ter Daten­trä­ger ange­bo­ten und Bit­Lo­cker emp­foh­len. Hier­über berich­te­ten zahl­rei­che Medi­en wie bspw. Spie­gel Online, hei­se Secu­ri­ty und golem​.de.

Dabei bleibt offen, ob die berich­te­te Lust­lo­sig­keit der Pro­gram­mie­rer die tat­säch­li­che Ursa­che ist oder nicht viel­leicht Druck staat­li­cher Stel­len dahin­ter­steht, der nicht genannt wer­den darf.

Diver­se Stel­lung­nah­men, wie bspw. in dem oben ver­link­te golem.de-Artikel, des IT-Sicher­heits­be­ra­ter Felix von Leit­ner und Jür­gen Schmidts in hei­se Secu­ri­ty gehen davon aus, dass es kei­ne stich­hal­ti­gen Anhalts­punk­te für eine aku­te Unsi­cher­heit gibt. Golem​.de war so freund­lich, die aktu­el­len Ver­sio­nen mit vol­ler Funk­tio­na­li­tät (7.1a) am Ende die­ses Arti­kels zum Down­load bereitzustellen.

Eine Zusam­men­fas­sung der Datei­en von golem​.de als ZIP-Archiv fin­det sich auch hier zum Down­load. Die Inte­gri­tät gegen­über der bei golem​.de her­un­ter­ge­la­de­nen Fas­sung lässt sich mit die­ser Signa­tur prü­fen. Zur Signa­tur­prü­fung eig­net sich bspw. das Pro­gramm Kleo­pa­tra aus dem GnuPG-Pro­jekt bzw. Gpg4win. Signiert wur­de mit dem Schlüs­sel zur E‑Mailadresse mail@​kanzlei-​mieth.​de, den es hier gibt.

Bit­te infor­mie­ren Sie sich ggf. selbst noch ein­mal, ob es inzwi­schen geeig­ne­te Alter­na­ti­ven gibt oder rele­van­te Sicher­heits­lü­cken in True­Crypt 7.1a auf­ge­tre­ten sind.