Möglichkeiten zur Verschlüsselung

Meine Frage ist etwas offtopic, ich denke im "Gesamtkontext" aber doch nicht so ganz.

Die Frage an die Spezialisten unter euch ist, was haltet Ihr von "Gpg4win"?

Hmmm... *grübel*

Ich habe mehrfach darum gebeten, diesen Thread nicht durch Nebendiskussionen unübersichtlich zu machen.
Er soll denjenigen Lesern, die nur selten oder gar keine Literatur über PC Sicherheit verfolgen, die schnelle, unkomplizierte und übersichtliche Möglichkeit bieten, sich zu informieren. Nebendiskussionen sind dieser Übersichtlichkeit eher abträglich.

Rumpelstilz, eröffne zu Deiner Frage bitte einen separaten Thread. Danke!

Entschuldigung, ich möchte hier kein Chaos verursachen, kannst Du die Frage bitte in einen neuen Thread verschieben?

Wenn Pie dann eh schonmal am Verschieben ist antworte ich noch hier

Im Rahmen der Abhoerorgie wird ja jetzt oefter mal von Email- und Daten Verschluesselung geredet.

Du solltest dir erstmal ueberlegen warum und gegen wen du die Daten verschluesseln moechtest.
Wegen PRISM wuerde ich jetzt als Privatperson nicht extra damit anfangen. Es steht in keinem Aufwand<>Nutzen Verhaeltnis und am Ende landest du noch auf einer Liste Verdaechtiger Personen (hast du irgendwelche Muslime im Bekanntenkreis )

Wo ich eine Verschluesselung fuer sinnvoll halte ist beim Laptop. Wenn der mal abhanden kommt hilft das Windows Login- oder BIOS Password nicht viel.
Und der Finder kommt ganz einfach an alle moeglichen Daten und Passwoerter.
- im Browser gespeicherter Email und Baldurs-Gate-Forum login
- Email Client mit allen Mails der letzten 10 Jahre
- Private Fotos etc.pp.

Das halte ich dann schon fuer schuetzenswerter.

Die flaechendeckende Ueberwachung muss von der Politik unterbunden, und nicht als "schuetzt euch doch selbst" abgetan werden.

@Nalfein: da beißt sich die Katze in den Schwanz - der Privatanwender könnte/sollte verschlüsseln, um eben nicht als Verdächtiger zu gelten, bloß weil man den falschen Link im Netz angeklickt oder einen dummen Witz über ein Attentat per Mail weitergeleitet hat.

Zu Email-Verschlüsselung ist erstmal generell zu sagen: interessant sind für die Geheimdienste auch die sozialen Netze. Damit meine ich jetzt nichtmal Facebook, sondern einfach schon sowas wie wer schreibt wem Emails. Da geht Verschlüsselung von Inhalten in's Leere, weil Absender und Empfänger nicht verschlüsselt sind.

GPG an sich ist super, welches Frontend spielt da weniger eine Rolle - nur muss man sich über obig gesagtes bezüglich Inhalt vs. Metadaten im Klaren sein.

Notebook-Verschlüsselung an sich ist eine gute Idee - wenn der Notebook nicht gerade so modern ist und eine SSD hat, kommt da TrueCrypt in Frage. TrueCrypt (bzw. alles, was die gesamte Platte verschlüsselt, und darüber hinaus weniger intensiv alles, was mit Containern arbeitet) auf einer SSD ist dagegen eine sehr bescheidene Idee, da das wear levelling nicht mehr greift - die SSD weiß nicht mehr, was freie Bereiche der Platte sind, nutzt sich deutlich schneller ab (und damit kommt die Abnutzung in einen Bereich, der schmerzhaft früh mit Totalausfall belohnt wird).

Der Aufwand seine Mails zu verschlüsseln ist nicht sehr groß und ich hielte es für sinnvoll, dass Mailprogramme wie Thunderbird diese Funktion standardmässig integriert haben. Bis es soweit ist, gibt es hier eine gute Anleitung wie man das mit GnuPG und dem Thunderbird Addon Enigmail bewerkstelligt.

Der Pferdefuß bei der Geschichte ist, dass das Gegenüber wahrscheinlich keine Verschlüsselung benutzt und ohne den Zusatzaufwand den man selbst betreibt, nichts mit den verschlüsselten Mails anfangen kann. Vor einer Verschlüsselung muss mindestens einmal der Austausch der öffentlichen Schlüssel mit dem jeweiligen Kommunikationspartner erfolgen.

Empfehlenswert ist es auch, sensible Daten, die man auf Clouddiensten wie Dropbox gespeichert hat, zu verschlüsseln. Auch das geht kinderleicht mit einem Dienst wie Boxcryptor, den man als eine Art Plugin für Dropbox und ähnliche Dienste betrachten kann.

Hmmm... Thunderbird hat sowas schon integriert

Nur halt Standard S/MIME, nicht GPG. Solche Zertifikate sind halt üblicherweise nicht kostenlos. StartSSL wäre da ne Ausnahme, da gibt es ein (ungeprüftes) Zertifikat kostenlos.

Die genauen Unterschiede zwischen SSL und GNUPG liegen nur in der Kostenpflichtigkeit von Ersterem?

Wo hier truecrypt erwähnt wird:
Ich verschlüssele meine Schuldaten auf meiner externen Festplatte per truecrypt. Nutzt das die externe wirklich schneller ab?
Und wie ist das mit einem Laptop? Meiner ist ein G62 von HP. Nutzt sich durch volle Container die SSD auch schneller ab?

*DAU wartet auf Antwort*

Du hast keine SSD, dir kann das alles egal sein

Danke für das verschieben.

@Nalfein

Naja ich arbeite hauptsächlich mit dem Rechner und ein großer Teil meiner "Post" ist nicht privat verursacht. Was das Thema Sicherheit angeht, dachte ich bisher, dass ich etwas Paranoid bin. Der Großteil der Daten wurde auch bisher schon verschlüsselt, hier über Anhänge. Ob das sicher war, kann ich nur mutmassen. Nachdem was man so alles liest wohl eher nicht...
Auf "sozialen" Netzwerken bin ich nicht vertreten. Wenn ich nur daran denke, was für ein Thater beim vorletzten Zensus auf der einen Seite gemacht wurde und andererseits heutzutage alles in den sogenannten "sozialen Netzwerken" zu finden ist verstehe ich die Welt nicht mehr...
Und was das mit den Metadaten angeht, ist es ja auch theoretisch denkbar, dass die alte "Schneckenpost" gescannt und gespeichert wird. Es geht mir nicht darum, das man weis mit wem ich kommuniziere, sondern was ich mit demjenigen bespreche. Weiterhin finde ich solche Dienste wie Skype toll, wenn ich aber daran denke das irgendwelche Wi...er von irgendwelchen geheimen Diensten sich in meinem Wohnzimmer umschauen.

Aber vielen Dank an Euch. Ich denke der Zeitpunkt andere mit meiner Paranoia anzustecken ist momentan denkbar günstig. Und es hat schon was, wenn man in seiner Mail den öffentlichen Schlüssel oder zumindest den Link dorthin, als Fußnote mitschickt.

@Lord Snow: nein, es gibt noch weitere Unterschiede:

Beim Ansatz über ein reguläres Zertifikat läuft die Authentifizierung so, dass dein Schlüssel als echt erkannt wird, weil er vom Schlüssel eines "Autorität" signiert wurde - jener Autorität, von der Du den Schlüssel bekommen hast. Windows wiederum kann einen Haufen solcher Autoritäten identifizieren - darüber wird die Echtheit verifiziert.

Du kannst Dir auch eine eigene Autorität erstellen, und eigene Schlüssel damit bestätigen, aber außer Dir (und jenen, die den öffentlichen Teil Deiner Autorität installiert haben) erkennt dann keiner den Schlüssel als echt.

Nachteil in diesem Kontext also: wenn die NSA (und/oder andere Geheimdienste) Zugriff auf die Firma hat, die Deinen Schlüssel ausgestellt hat, hat Sie bestimmt auch Zugriff auf Deinen Schlüssel, Deine Verschlüsselung schützt Dich also vor denen nicht.

PGP/GPG arbeitet mit einem "Web of Trust". Leute signieren sich gegenseitig die Schlüssel, und wessen Schlüssel von vielen anderen signiert wurde, der ist höchstwahrscheinlich "echt". Aufgrund der Dezentralität besteht das Problem mit einem zentralen Schlüssel ("da wo gekauft") nicht. Auch hier kann man sich - als ein Beispiel - den Schlüssel vom Heise-Verlag auf Messen gegen Vorlage eines Personalausweises signieren lassen (ging zumindest lange Jahre, in den letzten Jahren habe ich davon nichts mitbekommen, aber auch nicht geschaut). Kostet auch nichts, ist aber "seriöser" als eine Unterschrift von wenigen "Unbekannten".

"Nachteil in diesem Kontext also: wenn die NSA (und/oder andere Geheimdienste) Zugriff auf die Firma hat, die Deinen Schlüssel ausgestellt hat, hat Sie bestimmt auch Zugriff auf Deinen Schlüssel, Deine Verschlüsselung schützt Dich also vor denen nicht."

Ich trau mich ja kaum, dir in so etwas zu widersprechen Dura, aber... ohne gerade eine Quelle zur Hand zu haben, behaupte ich, das kann nicht stimmen (oder ich missverstehe etwas ). Der private Schlüssel wird niemals transferiert. D.h. er wird nicht zwischen lokaler Maschine und Certified Authority ausgetauscht - diese Authorisierung muss *irgendwie* anders erfolgen, über Austausch des public keys vermutlich.

Ach doch, widersprech mir ruhig

Im Idealfall hast Du sogar recht - Du erstellst ein Private+Public Key-Paar auf Deinem Rechner, dann ein Certificate Signing Request dazu, welches übermittelt wird, so dass der Private Key privat bleibt.

Du kannst hier natürlich darauf vertrauen, dass das Verschlüsselungssystem von Windows bzw.das des Anbieters (wenn der was eigenes macht) wirklich nur das CSR überträgt.

Aber selbst wenn dieser Prozess integer ist, gibt es bei SSL-Zertifikaten ein Format-Wirrwarr, und dem durchschnittlichen User traue ich nicht zu, zwischen PEM/DER/PFX/P12 etc. zu konvertieren - er wird da also auf den entsprechenden Dienst seines Anbieters zur Konvertierung zurückgreifen... und da ist der Private Key dann ganz offiziell übermittelt.

Oder der Anwender will den Private Key auf sein Mobiltelefon übertragen - muss er ihn über Emails oder einen Cloud-Dienst dahin senden (iOS, bei Android bin ich mir nicht ganz sicher).

Insofern: Du hast sogar recht, mir zu widersprechen, da hat sicher meine Paranoia (?) mitgesprochen

@Durandil

Vielen Dank für die Erklärung.

Kaum nennt man es Paranoia...

Golem schrieb:

Es ist ein ganz neuer Aspekt in der aktuellen Diskussion um Datensicherheit, den Cnet in einer ausführlichen Reportage ins Spiel bringt: Selbst der weitgehend als sicher angesehenen SSL-Verschlüsselung vom Browser bis zum Server kann man angeblich nicht mehr trauen.

Zum Vergrößern anklicken....

Quelle: Golem

Betrifft im Artikel https (also sichere Webseiten), nicht Email-Verschlüsselung - es geht aber um exakt dieselbe Technik.

Ich frage mich mittlerweile nach all den Enthüllungen ernsthaft wo die Geheimdienste der Welt NICHT die Finger drin haben. Ich glaube den Aussagen der großen Firmen auch nicht dass sie die Keys nicht geliefert haben. Weil.. falls sie die Dinger liefern mussten weil das Geheimgericht sie dazu genötigt haben wurden sie zum Schweigen verdammt und können gar nicht anders als leugnen.

Die Frage die ich mir stelle ist... kann man denn überhaupt irgendwas machen? Kann die Politik irgendwas machen? Das Problem mit dem Glashaus ist ja existent wenn man den Berichten glauben schenken kann.

Natürlich kann man seinen Mailverkehr verschlüsseln, man kann für das Internetsurfen Tor verwenden... ok.. aber trotzdem... wenn der Traffic mitgeschnitten würde könnten selbst die Daten die über Tor verschickt wurden gelesen werden. Usernamen.. Passwörter.. dann ist selbst die Sicherheit von Tor Relais nicht mehr gegeben da durch die Entschlüsselung von HTTPS ja Userdaten mitgelesen werden und somit der Absender direkt identifiziert werden kann.

Wird es überhaupt noch sowas wie eine Anonymität in der Zukunft geben? Wahrscheinlich leider nicht. Ich gehe dafür auf die Straße, aber mittlerweile resigniere ich. Wenn man bedenkt wie schnell die Regierungen Acta weggeworfen haben... die hatten wahrscheinlich im Hinterkopf: "Hey das haben wir doch alles schon.. warum offiziell machen"...

Und ja.. natürlich bin ich ein unbescholtener Bürger.. gefühlt.. aber ich kann mich nicht verbürgen was meine Bekanntschaften und Freunde so alles treiben.. womit ich dann als engerer Kontakt mit in den Fokus einer Fandung käme. Ich mag das alles nicht. Zurück zu Papier, Bleistift und Schreibmaschine? Ohne Internet? Keine Chance. Nichtmal eine Bewerbung wird heutzutage bei vielen Firmen mehr ohne Email angenommen. Auf einer Uni kann man sich ohne Internet nicht mehr einschreiben. Wir sind auf Gedeih und Verderb ausgeliefert und können nur protestieren und schreien. Mit der Hoffnung auf Änderung...

Viel wahrscheinlicher wird sein, dass die Geheimdienste irgendwann sagen, dass sie es nicht mehr machen... innerlich lachen und weitermachen.

Hmmm... *grübel*

Sehe ich auch so, leider.

In den Science Ficition Filmen der 80er war das immer gerne das Horrorszenario, der totalitäre Überwachungsstaat.
Mittlerweile kommt es mir so vor, als ob wir langsam, aber sicher genau da hineinrutschen, teils gutgläubig, weil man uns von oben was anderes erzählt, und teils sehenden Auges, aber eben vollkommen machtlos.

Das Buch 1984 wurde bis 1948 geschrieben... als an PCs, geschweige denn Internet, noch nichtmal zu denken war...

Apropos Tor... dass die Geheimdienste seit Jahren einfach eigene Tor-Exit-Nodes betreiben, ist kein Geheimnis. Entschuldigung für's weiterrunterziehen Bequemer geht's schließlich kaum noch...

Für Android und iPhone gibt es 'nen Krypto-Messenger namens Threema.

Die Details im Link, aber das System nutzt einen öffentlichen und einen privaten Schlüssel. Für höchste Sicherheit muss man sich vorher mit dem anderen Treffen und dessen QR Threema abfotografieren.

Dem einen oder anderen könnte dies die 1,60/1,80€ wert sein.