Skip to content

Digitale Verschlüsselung

In der 11. Folge sprechen wir über die digitale Verschlüsselung, die bei Mails, Daten aller Art, Datenträger und Transporte benutzt werden können.



Wir müssen das nächst Mal unbedingt die mobilen Telefone ausschalten; es gibt ein paar Nebengeräusche. Trotzdem viel Spass!


dh-20100301-ausgabe-011.mp3 (1:09:31, 63.7 MB)
dh-20100301-ausgabe-011.ogg (1:09:31, 74.9 MB)

Links zur Sendung

Webserver einrichten und administrieren (Buch)
Keysigning-Party
Das GNU-Handbuch zum Schutze der Privatsphäre
Das GNU Privacy Projekt, mit guter Dokumentation unter Software
gpg4win, ebenfalls mit sehr guter Dokumentation
Enigmail
Die Kunst der Verschlüsselung (Buch)
CAcert
SSL
GnuPG
S/MIME
dm-crypt auf Ubuntu
TrueCrypt
Kommerzielle SSL-Zertifikate (verisign)
Enigma-Verschlüsselungsmaschine
Ubuntu privacy remix
Keyserver als Beispiel
Web of Trust
Horde Webmailer
De-Mail - Sichere Mails in Deutschland

Trackbacks

DeimHart am : Digitale Verschlüsselung

Vorschau anzeigen
Bitte Kommentare im Textbeitrag hinterlassen, danke! dh-20100301-ausgabe-011.mp3 (1:09:31, 63.7 MB)

DeimHart am : Digitale Verschlüsselung

Vorschau anzeigen
Bitte Kommentare im Textbeitrag hinterlassen, danke! dh-20100301-ausgabe-011.mp3 (1:09:31, 63.7 MB)

ubuntublog.ch am : PingBack

Vorschau anzeigen

DeimHart am : Die Tonverschmutzung in der elften Folge

Vorschau anzeigen
Die aktuelle Ausgabe Nummer 11 vom 1. März 2010 ist leider mit einigen Nebengeräuschen durchsetzt. Teilweise sind sie recht laut und stören tatsächlich das Hören. Einerseits sind während der Aufnahme GSM-Störgeräusche von unseren Handys auf das H4-Aufnahm

DeimHart am : Folge 28: 20 Jahre Linux

Vorschau anzeigen
In Folge 28 geht es um einen subjektiven Rückblick auf 20 Jahre Linux. Wir haben die Episode aufgezeichnet und ebenfalls für die August-Magazin-Sendung von RadioTux zur Verfügung gestellt, wo sie am 31. August 2011 "gesendet" wurde. dh-20110905-ausgabe

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

MacMacken am :

*Wichtig: GNU Privacy Projekts (GnuPP) wird seit Jahren nicht mehr gepflegt, die Informationen auf den Projekt-Seiten sind deshalb mit Vorsicht zu geniessen.

Dirk Deimeke am :

*Ja, Du hast Recht. Das Einsteiger-Handbuch hat darunter allerdings nicht gelitten. Das kann immer noch als Referenz herhalten.

ucn| am :

*Ist TrueCrypt jetzt eigentlich FOSS oder nicht? Weil im Podcast meinte Dirk ja, dass man TrueCrypt nicht verwenden sollte, da der Code nicht offenliegt. Aber in der Wikipedia http://de.wikipedia.org/wiki/TrueCrypt steht: TrueCrypt ist eine freie Open-Source-Software zur Verschlüsselung von Festplatten, Teilen davon oder Wechseldatenträgern. Würde mich jetzt schon interessieren, wie das ist.

Dirk Deimeke am :

*Ich finde auf der Homepage von TrueCrypt den Quelltext. Aus diesem Grund würde ich annehmen, dass TrueCrypt Open Source Software ist, allerdings habe ich die Lizenz nicht gefunden.

MacMacken am :

*Die Frage ist, wie man FOSS definiert … ein traditionelles FOSS-Projekt mit offener Entwicklung, usw. ist TrueCrypt jedenfalls nicht.

Siehe dazu auch:

http://macmacken.com/2009/05/30/6-gruende-gegen-truecrypt/

(inklusive Kommentare)

Kai am :

*Hallo,

die Handygeräusche sind wirklich extrem in dieser Folge gewesen, nach 10 Minuten hab ich da leider abbrechen müssen, weil es unangenehm zu hören war. Schade.
Dennoch finde ich euren Podcast grundsätzlich ganz gut. Trotzdem habe ich mir die meisten Folgen selten komplett angehört. Was ich nämlich vermisse ist ein bisschen die Diskussion bei euch beiden und die persönliche Meinung.

Meines Erachtens nach hat der Podcast ein zu starkes Nachrichtenformat. Es kommt natürlich darauf an, wo ihr euren Fokus gelegt habt, aber ich finde, über Digitale Verschlüsselung oder Backup z.B. kann ich mich auch selbst informieren. Da würde es reichen, einfach ein paar Links zu den Themen zu posten.

Richtig spannend wird es doch erst, wenn über die eigene Erfahrung berichtet wird, die ruhig auch mal kontrovers sein kann. Darin liegt zumindest für mich der Mehrwert.

Was mich auch etwas stört ist diese starke Gliederung, an der ihr euch entlanghangelt. Dadurch geht (für mich) ein bisschen von der sonntag-nachmittags-im-Garten-sitzen-Plausch Atmosphäre verloren, die das Hören meiner Meinung nach etwas angenehmer macht. Auch mal in ein Thema länger abzuschweifen und mal etwas mehr von den eigenen Ansichten berichten, das würde mir viel besser gefallen, als ein sitzungsartiges Protokoll durchzugehen..

Wie gesagt, das ist natürlich nur meine eigene Meinung, ich kann da schlecht für andere sprechen. Mir persönlich würde der Podcast aber mit den o.g. Sachen eine ganze Note besser gefallen, als bisher. Trotzdem vielen Dank für die Mühe, die ihr euch macht.

Roman am :

*Vielen Dank für das Feedback, Kai. Solche Meldungen mag ich am liebsten, weil sich daran viel Fleisch um den Knochen befindet. Wir nehmen Deine Ideen sehr gerne auf, zumal sie uns eigentlich auch am Herzen liegen. Die Kunst liegt ja in einer guten Mischung zwischen Diskussion und Information.

Da stimme ich Dir 100 prozentig zu: Die eigenen Erfahrungen zu teilen, ist etwas sehr spannendes und ebenso, von andern welche zu hören. Es tut gut, solches zu hören ;-) Danke!

Dirk Deimeke am :

*Vielen Dank für die konstruktive Kritik. Wir werden uns benmühen, dem nachzukommen.

Ich nutze lange nicht jede Software, von der ich berichte.

Martin Wildam am :

*Ich schließe mich der Meinung von Kai an, auch wenn es mich wahrscheinlich weniger stört so wie es ist, als ihn.

Eine Idee wäre: Wenn ihr interessante Produkte oder Technologien bringt, würde mich interessieren:

1. Habt ihr nur darüber gelesen und findet das interessant bzw. erwähnenswert?
2. Habt ihr das Produkt selbst ausprobiert.
3. Verwendet ihr das Produkt wirklich (also im täglichen, wöchentlichen oder monatlichen produktiven Einsatz).
4. Habt ihr Euch intensiver damit beschäftigt (lest ihr die Mailing-Listen, konfiguriert ihr da mehr herum - installiert es auch bei anderen, habt ihr Kontakt zu Spezialisten usw).


Bei 1 oder 2: Da genügt es, den Produktnamen deutlich zu erwähnen mit einer kurzen Info, wozu das Teil gut ist bzw. was es macht. Dabei interessant: In welchem Umfeld bzw. für welche Art Problem bzw. Problembereiche könnte man damit eine Lösung erreichen und wie ist der grundsätzliche Lösungsansatz. Ich denke, alles in der Art könnte in einer "Quick-News"-Sequenz abgehandelt werden. Wenn ich finde, daß mir das helfen könnte, werde ich mich dann sowieso genauer informieren (und ich denke auch jeder andere, der den Podcast hört - ich denke hier sind nur User, die im Browser Adresszeile von Suchbegriffs-Zeile unterscheiden können ;-) ).

Bei 3. und 4. kann es durchaus auch ein Fall für eine Detail-Behandlung sein - so wie auch beim Thema digitale Verschlüsselung. Oder ein Fall für ein Interview so wie bei der Mac-Episode.

Egal, ob ein Produkt oder Technologie, Eure philosophischen Gedanken dazu interessieren mich besonders - denn die bekomme ich beim Recherchieren im Internet nicht mit (oder nur durch Zufall wenn ich in einem Forum oder Blog-Post zufällig auf einen Kommentar von Euch stosse). Ich finde, das könnte sogar ein eigener Bereich sein.

Viele andere Podcasts, die ich höre, haben nur eine grobe Gliederung, wie zB Quick-News, Spezialthema, Feedback und sonst aber keine genauere "Agenda". Vielleicht könnt ihr das so irgendwie auch machen.

Den Ausblick auf die nächste Sendung könnte man sehr kurz halten (zB nur das Spezialthema ansagen). Ganz weglassen würde ich es nicht, denn ich denke, ihr wollt Input sammeln von Leuten, die Euch Hinweise geben, was sie zu diesem Thema speziell hören möchten.

Jetzt zum Thema digitale Verschüsselung: Ich nutze selbst PGP mit Thunderbird, daher könnte man meinen, es war nicht viel für mich dabei. Der geschichtliche Überblick über Verschlüsselung hat mir aber gefallen und auch wußte ich zB nichts davon, daß es solche Key-Signing-Parties gibt.

Was mir dann aber dazu gefehlt hat: Wie kann ich jetzt zB den Key von einem Freund unterzeichnen, wenn der jetzt grade bei mir ist zB - oder auch von Geschäftspartnern und Kunden, mit denen ich mich treffe - ich meine, ich brauche ja gar keine große Party machen - ich treffe ja so auch immer wieder Leute.

Nächster wichtiger Punkt: Die Keys haben ja alle ein Ablaufdatum. Meiner ist zB bis Juni 2012 "haltbar". Was ist danach? Muß ich alle Files, die ich verschlüsselt habe vor diesem Datum ent- und neu verschlüsseln? Verliere ich danach die Möglichkeit der Entschlüsselung aller meiner alten E-Mails (mein Mail-Archiv geht bis 2004 zurück alles davor ist bereits gekübelt)?

Wenn ich die Möglichkeit der Entschlüsselung dann nicht verliere, bedeutet das ja wahrscheinlich eigentlich nur, daß ich nichts neues mehr damit verschlüsseln kann. Aber wenn mir jemand mein Notebook samt private key stiehlt, hilft wahrscheinlich nicht einmal ein Revokation-Zertifikat, um zu verhindern, daß dieser jenige die verschlüsselten Daten entschlüsselt (wo auch immer er sie findet - vielleicht nicht nur lokal, sondern auch irgendwo in der Cloud ;-) ), oder?

Roman am :

*Hallo Martin

Da hast Du Dir aber sehr viel Mühe gemacht für diesen Kommentar, danke! Spontan aus dem Bauch gesprochen könnten wir Deine und Kais Idee aufnehmen und sogleich eine zweite Folge mit diesen Inhalten zum selben Thema erzeugen. Die würde dann wahrscheinlich in etwa dem entsprechen, was Ihr und wir uns vorstellen.

Wir kommen mit Sicherheit dazauf zurück. Danke!

Dirk Deimeke am :

*Auch Dir ein Dankeschön für die ausführliche Manöverkritik. Wir lassen das in jedem Fall in unsere Sendungen einfliessen.

Martin Wildam am :

*Aja, BTW: Ich finde auch, daß es noch zu viele technische Hürden gibt für den Otto-Normal-User.

Auch wenn es zB Tools wie FireGPG gibt, wo die lokale GnuPG-Installation verwendet werden kann, um lokal E-Mails aus Web-Clients zu entschlüsseln (und auch zu verschlüsseln natürlich).

Martin Wildam am :

*Leider gerade auf http://getfiregpg.org gelesen, daß die dort dringend Hilfe brauchen, um fireGPG weiterzuentwickeln. Vielleicht hat ja jemand Zeit und Lust, da mitzumachen von den Lesern und Hörern, die hier vorbeikommen. Da ich mich mit Firefox-Plugin-Programmierung überhaupt nicht auskenne, konnte ich als Hilfe jetzt nur mal spenden.

FireGPG integriert sich mit GMail und andere Webmailer, ohne daß die Keys auf den Server raufgeladen werden. Ich finde dieses Projekt daher sehr wichtig und kenne auch keine Alternative. Daher sollte man dieses Projekt definitiv nicht sterben lassen. Eigentlich würde ich meinen, daß sich Google auch daran beteiligen könnte, denn immerhin muß fireGPG immer wiede nachgezogen werden, wenn Google im GMail was ändert.

Martin Wildam am :

*So, ich hatte jetzt doch auch tatsächlich einen Fall von abgelaufenem Key bei mir.

Effekt: Man kann den Schlüssel noch zum Entschlüsseln verwenden, aber nicht mehr zum Verschlüsseln (dh das Encrypt-to-self beim Speichern in Sent Items funktioniert nicht mehr). Ebensowenig kann ich natürlich mit diesem Schlüssel dann keine Files mehr verschlüsseln.

So, jetzt frage ich mich aber: Was bringt es eigentlich, wenn der Schlüssel abläuft? - Nun, die Sache scheint klar: Das Gegenüber wird darauf aufmerksam gemacht, daß er sich einen neuen Schlüssel besorgen muß und muß so Kontakt mit mir aufnehmen. Es ist so wie ein "ping" zu sehen, das zB alle 5 Jahre (bei OpenGPG die Default-Ablauf-Zeit, wenn man es nicht ändert) auffordert, zu prüfen, ob da noch das erwartete Gegenüber da ist.

Aber wie ist das dann, wenn ich mit meinem Key schon auf vielen Key-Signing-Parties war? Wäre doch schade, das dann "Wegzuwerfen", oder? - Sollte man also vielleicht nicht doch Keys erstellen, die gar nicht ablaufen?

Roman am :

*Mit dem Befehl "expire" lässt sich jeder Key verlängern. Es muss also kein neuer Schlüsssel erzeugt werden. Ich lasse meinen Schlüssel ablaufen und werden sie dann verlängern.

Dirk Deimeke am :

*So mache ich das auch.

Das Ablaufdatum ist ja auch ein Selbstschutz für den Fall, dass der eigene Key bekannt geworden ist. Klar, es gibt Rückzugszertifikate (revocation certificates), ich kenne aber kaum jemanden, der diese auch wirklich benutzt.

Martin Wildam am :

*Mir ist diese Episode in Erinnerung geblieben und ich habe schon ein paar Mal darüber nachgedacht, mir einen neuen PGP-Key zu machen ohne Ablaufdatum, denn wenn ich an Key-Signing-Parties teilnehme und dann zwei Jahre später geht es wieder von vorne los, wäre das dann dumm.

Aber das Ablaufdatum bringt ja auch eine gewisse Sicherheit, daß ein Key ungültig wird, auch wenn die Empfänger-Person nicht regelmäßig prüfen geht, ob der Key noch gültig ist. - Ich würde natürlich alle informieren, die ich so kenne, wenn ich meinen Key "verloren" habe (zB Memory Stick wo liegen gelassen etc). Aber alle Einzelpersonen, denen ich vielleicht irgendwann einmal eine signierte oder verschlüsselte Mail geschickt habe, kann ich nicht informieren.

Wie gehe ich am besten vor? Behalte ich ein Ablaufdatum oder verlasse ich mich dann auf öffentliche Server, wo ich den Revocation-Key lasse, falls ich den Key für ungültig erklären will?

Dirk Deimeke am :

*Der gedachte Weg ist, sich ein Revocation-Certificate (Rückzugszertifikat) gleich bei Erstellen des Keys zu erzeugen und hochzuladen, wenn man denkt, dass der Schlüssel kompromittiert wurde. Dieses Zertifikat solltest Du an einem anderen Ort als den Schlüssel aufbewahren.

Ich habe eine Zeit lang Keys mit einem Jahr Laufzeit erstellt und aus den gleichen Gründen wie Du wieder davon Abstand genommen.

Martin Wildam am :

*Wie ihr ja auch in der Episode angemerkt habt, ist das mit PGP ja so eine Sache - es wird nicht immer ordentlich unterstützt (siehe Outlook-Schrott-Teil) und natürlich erfordert es mehr Mitdenken/KnowHow von den Usern. Ich bezweifle halt, daß das ein hochgeladenes Revocation-Certificate den (immer) Weg dann zu den Usern findet.

Bei einem offiziellen digitalen Zertifikat ist das ja gegeben, weil das online ad-hoc geprüft wird, oder?

Dirk Deimeke am :

*Was ist Deiner Meinung nach ein "offizielles digitales Zertifikat"?

Zertifikate in Webbrowsern werden nicht online überprüft, da wird nur getestet, ob die von einer bekannten Zertifizierungsstelle (CA, Certificate authority) unterschrieben sind und ich vermute stark, dass das bei anderen Zertifikaten ähnlich ist.

Martin Wildam am :

*Ja, ich meine diese digitalen Zertifikate - die gibt es aber ja nicht nur für Websites sondern auch für Firmen und Privatpersonen.

Bei uns in Österreich kann man von der Bank eines auf seine EC-Karte bekommen, die man dann für qualifizierte Signatur verwenden kann. Bei einem signierten PDF zeigt dann der Acrobat Reader an, ob das PDF verändert wurde und wenn im Reader >=9 eingestellt ist, daß er extern prüfen soll, dann kann man das per Klick tun. - Ich habe gerade einen Experten dazu befragt. - Dh aber, man muß auch da selbst aktiv werden, um zu prüfen, ob das Zertifikat in der Zwischenzeit gesperrt wurde.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
:'(  :-)  :-|  :-O  :-(  8-)  :-D  :-P  ;-) 
Formular-Optionen