Kategorien
Hardware & Software

Endlich! Die De-Mail wird tatsächlich sicherer

Das die De-Mail, die von unserer Bundesregierung so hochgelobt und als sicher propagiert wurde, hat sich in den letzten Jahren als ziemlicher Flop herausgestellt. An dieser trügerischen Sicherheit haben auch unsere Vorzeigefirmen wie die Deutsche Telekom, GMX, Web.de und 1 & 1 nichts geändert. Aber das soll jetzt definitiv anders werden.

de-mail-sicher-email-end-to-end-encryption-verschluesselt-telekom-1und1

Wesentlicher Sicherheitsaskpekt fehlt bisher

Bisher fehlte der De-Mail ein wesentlicher Sicherheitsfaktor: Die Ende-zu-Ende-Verschlüsselung. Nachrichten erhalten derzeit lediglich eine Transferverschlüsselung. Dies bedeutet lediglich, dass die E-Mail nur auf dem Transportweg verschlüsselt wird. Und dafür benötigt man keine kostenpflichtige De-Mail. Bei vielen E-Mail-Providern ist diese Verschlüsselung ohnehin schon Standard. Weitere Informationen kannst du in diesem Artikel erfahren.

Das Fehlen der End-to-End-Verschlüsselung öffnet nicht nur den kriminellen Hackern ein Hintertürchen, sondern ermöglicht auch im Zweifelsfall den Verfolgungsbehörden ein einfaches Ausspähen der Kommunikation. Ein Schlingel, wer Böses dabei denkt…

Start ist voraussichtlich April 2015

Ab April 2015 soll nun alles besser und sicherer werden. Dann sollen die E-Mails neben einem Zertifikat auch eine digitale Signatur erhalten. Dies soll durch die Verschlüsselung per PGP (Pretty Good Privacy) erfolgen. Die Anbieter von United Internet (GMX, Web.de, 1&1), die Deutsche Telekom, sowie das Unternehmen Francotyp-Postalia, wollen die Sicherheitslücke nun endgültig schließen und das (nie erreichte) Vertrauen in die Sicherheit der De-Mail wieder herstellen.

End-to-End-Verschlüsselung legt der Nutzer selbst an

Ob das klappt, wird man bestimmt bald sehen. Wie hoch der Sicherheitsgrad sein wird, liegt nämlich in der Verantwortung von Sender und Empfänger. Denn die Anbieter stellen nur die technischen Möglichkeiten zur Verfügung. Im Prinzip ist es wie mit der Vergabe von Passwörtern, je komplexer, desto besser.

Bleibt nur zu hoffen, dass dies bedienerfreundlich umgesetzt wird.

Kategorien
Android Handy & Telefon iPhone WhatsApp

Hemlis – Die sichere WhatsApp-Alternative von den Pirate-Bay-Machern

Wer kennt sie noch, die Tauschbörse The Pirate Bay? Im Jahr 2009 war es der größte BitTorrent-Tracker der Welt. Mitte 2013 gab der Mitbegründer Peter Sunde ein neues Projekt bekannt. Er sagt den unsicheren Messenger-Diensten wie WhatsApp mit Hemlis den Kampf an.

hemlis-messenger-nachrichten-pirate-bay-whatsapp-schwedisch-peter-sunde

Für Android und iPhone/iPad

Den Messenger Hemlis soll es für Android und iOS-Geräte geben. Zur Zeit befindet sich das Programm im geschlossenen Alpha-Stadium und ist noch nicht erhältlich. Lediglich ein paar Videos wurden von den Entwicklern auf YouTube veröffentlicht.

Sichere End-to-End-Verschlüsselung und kein Zugriff durch Spionagedienste

Die Programmierer setzen dabei auf XMPP- und PGP-Protokolle, um eine sichere End-to-End-Verschlüsselung zu erreichen.

Nach eigenen Angaben wird es keinerlei Hintertüren für Regierungen, Geheimdienste oder andere Firmen geben. Selbst der Anbieter soll hier keinen Zugriff auf Nachrichten und Daten nehmen können. Zusätzlich werden alle  Nachrichten und Dateien von den Servern gelöscht, sobald Sie beim Empfänger nachweislich angekommen sind. Nachrichten die nicht übertragen werden, weil der Empfänger nicht online ist, werden für einen festgelegten Zeitraum gespeichert. Läuft dieser ab, wird auch die Nachricht automatisch gelöscht.

Betrieb nur über eigene Server in Island

Zudem stehen die (ausschließlich eigenen) Server von Hemlis in Island. Warum ausgerechnet Island? Der skandinavische Inselstaat erwies sich in der Vergangenheit sehr resistent gegen diplomatischen Druck in Bezug auf Internet-Rechtsstreitigkeiten.

Grundfunktionen kostenlos, auch ohne Werbeeinblendungen

Der Messenger wird in den Grundfunktionen für den reinen Nachrichtenversand kostenlos und werbefrei sein. Durch In-App-Käufe werden weitere Funktionen freigeschaltet. Hierzu werden vermutlich Funktionen wie der Versand von Fotos, Sprachnachrichten und Videos gehören. Damit soll die Weiterentwicklung und der Support finanziert werden. Der Verkauf von Nutzerdaten ist ebenfalls tabu.

Alles in allem verspricht Hemlis eine gute und sichere App zu werden. Bleibt nur zu hoffen, dass Hemlis bald in den einschlägigen App-Stores verfügbar sein wird.

Übrigens: Hemlis bedeutet auf schwedisch „Geheimnis“…

Kategorien
Chrome Internet & Medien

Workshop E-Mails sicher verschlüsseln mit PGP – So funktioniert es mit Google Mail, Yahoo, GMX oder Outlook.com

Erstaunlich: In E-Mails wird munter über intime und sensible Themen geplaudert. Und das, obwohl die elektronischen Nachrichten nicht mehr sind als digitale Postkarten. E-Mails wandern auf ihrem Weg zum Empfänger über Dutzende Postverteiler und können dort von jedermann gelesen werden. Es gibt keinen Briefumschlag, der vor neugierigen Blicken schützt. Wer in E-Mails vertrauliche Daten und Informationen auf die Reise schicken möchte, sollte sie verschlüsseln. Das geht am sichersten mit dem PGP-Verfahren. Wie das Schritt für Schritt für Webmailer wie Google Mail funktioniert, zeigt unser Workshop.

E-Mails sicher verschlüsseln

Für jede per E-Mail verschickte Nachricht gilt das Postkartenprinzip: Jede Mailstation kann den Inhalt der Nachricht im Klartext lesen. Wenn Sie E-Mails für Unbefugte unlesbar verschicken möchten, können Sie die Nachrichten verschlüsseln. Die Nachricht wird dabei vor dem Versenden chiffriert und erst beim Empfänger wieder entschlüsselt. Damit spielt es keine Rolle, ob die Nachricht unterwegs abgefangen wird; ohne die Schlüssel und das zugehörige Kennwort lässt sich der Inhalt nicht entziffern.

PGP, das sicherste Verschlüsselungsverfahren

Zum sicheren Verschlüsseln reichen einfache Verfahren mit Kennwörtern nicht aus. Zwar können sich Absender und Empfänger auf ein gemeinsames Kennwort einigen und damit alle Nachrichten damit verschlüsseln. Damit tauchen allerdings zwei wichtige Fragen auf: Über welchen sicheren Kanal tauschen Absender und Empfänger das Kennwort aus und was passiert, wenn E-Mails mit zwei, fünf oder zehn Empfängern verschlüsselt werden sollen? Alleine die Frage, wie das Kennwort ausgetauscht werden soll – per E-Mail im Klartext, per Telefon, per Brief? – stellt ein Sicherheitsrisiko dar. Wer das Kennwort belauscht, kann alle damit chiffrierten Nachrichten entziffern.

Das normale Kennwortverfahren fällt damit für eine sichere Verschlüsselung aus. Mit dem PGP-Verfahren (Pretty Good Pricacy) gibt es aber eine Methode, die beide Probleme elegant löst. Die Verschlüsselung per PGP funktioniert im Prinzip folgendermaßen:

  • Beide Kommunikationspartner erzeugen mit einem speziellen Programm je zwei Schlüssel, einen privaten und einen öffentlichen Schlüssel. Die Schlüssel bestehen aus einer langen Folge von Zahlen und Buchstaben.
  • Beide Kommunikationspartner tauschen die öffentlichen Schlüssel aus. Das Praktische am PGP-Verfahren: Es keine Rolle, ob die öffentlichen Schlüssel abgehört werden; der öffentliche Schlüssel kann sogar auf einer Webseite veröffentlicht oder im Klartext per E-Mail verteilt werden. Mit dem öffentlichen Schlüssel alleine können Angreifer nichts anfangen. Lediglich die privaten Schlüssel bleiben geheim und beim ursprünglichen Besitzer.
  • Der öffentliche Schlüssel hat eine wichtige Aufgabe: er dient der Verschlüsselung von Nachrichten an den Besitzer des öffentlichen Schlüssels. Die E-Mail wird also mit dem öffentlichen Schlüssel des Empfängers kodiert.
  • Nur der richtige Empfänger kann die E-Mail wieder entschlüsseln. Er verwendet dazu seinen eigenen privaten Schlüssel. Grundsätzlich gilt: Mit dem privaten Schlüssel lassen sich alle E-Mails entschlüsseln, die mit dem eigenen öffentlichen Schlüssel kodiert wurden.

pgp-verfahren-skizze

Das Prinzip der öffentlichen und privaten Schlüssel ist im Grunde simpel. Auf jeder Seite gibt es je einen öffentlichen und privaten Schlüssel (1). Die öffentlichen Schlüssel werden untereinander ausgetauscht (2). Verschlüsselt wird mit dem öffentlichen Schlüssel des Empfängers (3), entschlüsselt mit dem eigenen privaten Schlüssel (4).

Auch wenn es auf den ersten Blick ungewöhnlich anmutet, dass aus dem öffentlichen Schlüssel kein Geheimnis gemacht wird und er sogar auf Webseiten veröffentlicht werden darf; die Kombination aus öffentlichem und privatem Schlüssel macht das Verfahren sicher. Bislang gibt es kein praktikables Verfahren, um die PGP-Verschlüsselung ohne den privaten Schlüssel zu knacken.

OpenPGP für GMail, Yahoo, GMX, Outlook & Co.

Das sichere PGP-Verfahren können Sie auch für Ihren Rechner nutzen. Die passende Software gibt es kostenlos im Internet. Im ersten Schritt müssen Sie die PGP-Erweiterung „Mailvelope“ für den Browser installieren und die Schlüssel generieren – das müssen Sie nur einmalig durchführen. Für Google Mail und den Chrome-Browser funktioniert das zum Beispiel folgendermaßen:

1. Rufen Sie die Webseite

chrome.google.com/webstore/detail/mailvelope/kajibbejlbohfaggdiogboambcijhkke

auf, und installieren Sie die kostenlose Erweiterung „Mailvelope“.

2. Dann generieren Sie Ihr persönliches Schlüsselpaar aus öffentlichem und privatem Schlüssel, indem Sie oben rechts auf das Schlosssymbol sowie „Options“ klicken.

3. Klicken Sie auf „Generate Keys“, und füllen Sie das Formular aus. Die „Passphrase“ ist das Kennwort, mit dem Sie Ihren privaten Schlüssel schützen. Wählen Sie hier ein möglichst sicheres Kennwort. Wie sichere Passwörter aussehen, steht zum Beispiel in unserem Tipp „Unknackbare und sichere Passwörter„.

google-mail-yahoo-gmx-outlook-pgp-pretty-good-privacy-verschluesseln-verschluesselung

4. Nach einem Klick auf „Submit“ werden die beiden Schlüssel generiert und in den digitalen Schlüsselbund des Mailvelope-Add-Ons eingebunden.

5. Die beiden Schlüssel sind enorm wichtig. Alle damit verschlüsselten E-Mails können Sie später nur noch mit diesem Schlüssel entschlüsseln. Sie sollten daher unbedingt eine Sicherheitskopie anlegen, indem Sie auf „Display Keys“ klicken, das Schlüssel markieren und dann auf „Export“ sowie „Display key pair“ klicken.

google-mail-yahoo-gmx-outlook-pgp-pretty-good-privacy-verschluesseln-verschluesselung-2

6. Dann klicken Sie auf „Create file“ sowie „Download key“, um das Schlüsselpaar herunterzuladen. Speichern Sie das Backup zum Beispiel auf einen USB-Stick, und verwahren Sie ihn sicher auf. Speichern Sie die Sicherheitskopie nicht auf der Festplatte des Rechners, da ansonsten im Falle eines Hackerangriffs oder Rechnerdiebstahls die Schlüssel in falsche Hände gelangen können. Mit dem Backup können Sie die Schlüssel weiterverwenden, falls Sie den Rechner neu installieren oder die Verschlüsselung auf einem anderen PC nutzen möchten.

Die Einrichtung der beiden Schlüssel ist damit abgeschlossen. Sie besitzen jetzt einen einmaligen und sicheren digitalen Schlüssel. Die Schlüsselgenerierung müssen Sie nur einmal durchführen; die beiden Schlüssel sind praktisch lebenslang gültig.

google-mail-yahoo-gmx-outlook-pgp-pretty-good-privacy-verschluesseln-verschluesselung-3

Öffentliche Schlüssel austauschen

Im nächsten Schritt müssen Sie allen E-Mail-Partnern, mit denen Sie verschlüsselt kommunizieren möchten, Ihren eigenen öffentlichen Schlüssel mitteilen. Nur dann können Ihnen die E-Mail-Partner verschlüsselte Nachrichten schicken. Umgekehrt benötigen Sie die öffentlichen Schlüssel der E-Mail-Partner, um selbst Nachrichten an diese verschlüsseln zu können. Erst der gegenseitige Austausch der öffentlichen Schlüssel ermöglicht einen sicheren E-Mail-Verkehr. Wichtig: Ausgestauscht wird nur der öffentliche Schlüssel; der private Schlüssel bleibt geheim und gehört nur in Ihre Hände.

Um mit dem E-Mail-Partner die öffentlichen Schlüssel auszutauschen, gehen Sie folgendermaßen vor:

1. Klicken Sie in Chrome oben rechts auf das Schlosssymbol und auf „Options“.

2. In der linken Spalte klicken Sie auf „Display Keys“.

3. Markieren Sie Ihr Schlüsselpaar, klicken Sie auf „Export“ und dann auf „Send public key by mail“.

google-mail-yahoo-gmx-outlook-pgp-pretty-good-privacy-verschluesseln-verschluesselung-4

4. Damit wird automatisch eine neue E-Mail erzeugt und der öffentliche Schlüssel (den ruhig jedermann sehen und haben kann) eingefügt. Sollte es nicht funktionieren, können Sie mit dem Befehl „Display private key“ den Schlüssel auch in einem Extrafenster anzeigen. Von hier aus können Sie ihn dann mit „Copy to clipboard“ in die Zwischenablage einfügen und mit [Strg][V] manuell in eine E-Mail einfügen.

google-mail-yahoo-gmx-outlook-pgp-pretty-good-privacy-verschluesseln-verschluesselung-5

5. Mit einem Klick auf „Senden“ schicken Sie den öffentlichen Schlüssel an den Empfänger. Diese Schritte sollte auch Ihr E-Mail-Partner wiederholen, damit Sie dessen öffentlichen Schlüssel erhalten.

Öffentliche Schlüssel von Freunden importieren

Sobald Sie von Ihrem E-Mail-Partner dessen öffentlichen Schlüssel erhalten, müssen Sie ihn ebenfalls in Ihren Schlüsselbund einbinden.

1. Dazu markieren Sie in der E-Mail den Part zwischen „BEGIN PGP PRIVATE KEY BLOCK“ und „END PGP PRIVATE KEY BLOG“. Dann klicken Sie mit der rechten Maustaste auf den markierten Bereich und rufen den Befehl „Kopieren“ auf.

google-mail-yahoo-gmx-outlook-pgp-pretty-good-privacy-verschluesseln-verschluesselung-6

2. Dann klicken Sie oben rechts auf das Schlosssymbol und „Options“.

3. Wechseln Sie zu „Import Key“, klicken Sie ins Eingabefeld, und fügen Sie mit [Strg][V] den kopierten öffentlichen Schlüssel ein. Bestätigen Sie den Import mit „Submit“.

google-mail-yahoo-gmx-outlook-pgp-pretty-good-privacy-verschluesseln-verschluesselung-7

Dieselben Schritte sollte Ihr E-Mail-Partner mit Ihrem öffentlichen Schlüssel durchführen. Der Austausch der öffentlichen Schlüssel ist nur einmal notwendig. Sobald beide Seiten über die jeweils anderen öffentlichen Schlüssel verfügen, kann die verschlüsselte Kommunikation beginnen.

E-Mails verschlüsseln

Nachdem die öffentlichen Schlüssel ausgetauscht wurden und jeder im Besitz der öffentlichen Schlüssel der Kommunikationspartner ist, kann die verschlüsselte Kommunikation beginnen. Um zum Beispiel mit Google Mail eine verschlüsselte Mail zu verschicken, gehen Sie folgendermaßen vor:

1. Schreiben Sie wie gewohnt mit Google Mail eine neue E-Mail, klicken Sie aber noch nicht auf „Senden“.

2. Um die Nachricht zu verschlüsseln, klicken Sie im Nachrichtenfenster auf das gelbe Schloss-Symbol.

google-mail-yahoo-gmx-outlook-pgp-pretty-good-privacy-verschluesseln-verschluesselung-8

3. Es erscheint ein kleines Fenster, aus dem Sie den Empfänger (und damit den richtigen Schlüssel zum Verschlüsseln) auswählen. Markieren Sie den Empfänger aus der Liste, und klicken Sie auf „Add“. Bestätigen Sie die Auswahl mit OK.

google-mail-yahoo-gmx-outlook-pgp-pretty-good-privacy-verschluesseln-verschluesselung-9

4. Die Nachricht wird daraufhin mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. Zu sehen ist nur noch ein unlesbarer Zahlen- und Buchstabensalat. Standardmäßig kann nur der Empfänger die Nachricht wieder entschlüsseln.

google-mail-yahoo-gmx-outlook-pgp-pretty-good-privacy-verschluesseln-verschluesselung-10

5. Klicken Sie auf „Senden“, um die verschlüsselte Nachricht auf die Reise zu schicken. Jetzt spielt es keine Rolle, ob die E-Mail unterwegs abgefangen wird. Nur der Empfänger kann aus dem Buchstabensalat wieder die lesbare Nachricht machen.

Verschlüsselte E-Mails wieder entschlüsseln

Sobald Ihr E-Mail-Partner die verschlüsselte Nachricht erhält, kann er sie nur mit seinem eigenen privaten Schlüssel wieder entschlüsseln. Das geht zum Beispiel bei Google Mail folgendermaßen:

1. Öffnen Sie die verschlüsselte E-Mail.

2. Im Nachrichtenfenster erscheint die verschlüsselte E-Mail, über die ein Briefumschlag mit Schloss gelegt wurde; der Mauszeiger nimmt die Form eines Schlüssels an. Klicken Sie damit auf den Briefumschlag.

google-mail-yahoo-gmx-outlook-pgp-pretty-good-privacy-verschluesseln-verschluesselung-11

3. Geben Sie das Kennwort für Ihren eigenen privaten Schlüssel ein, und bestätigen Sie mit OK. Sofern Sie das richtige Kennwort eingegeben haben, erscheint die Mail in entschlüsselter Form.

google-mail-yahoo-gmx-outlook-pgp-pretty-good-privacy-verschluesseln-verschluesselung-12

google-mail-yahoo-gmx-outlook-pgp-pretty-good-privacy-verschluesseln-verschluesselung-13