Verschlüsselung ...
Eines der wichtigsten Themen unserer Tage ist die Verschlüsselung. Das ist mir nicht nur klar geworden, weil Ute mich auf dem Barcamp Liechtenstein zu einer spontanen Session zum Thema Verschlüsselung aufgefordert hat. Bei der Aufzeichnung der aktuellen DeimHart-Episode haben wir noch einmal festgestellt, dass die Verschlüsselung von E-Mails - obwohl sie schon sehr lange mit PGP oder GPG möglich ist - für den Normalanwender immer noch so komplex ist, dass sie nicht benutzt wird.
Kristian Köhntopp hat mit Wann soll ich verschlüsseln? einen sehr guten Artikel zu dem Thema geschrieben, insbesondere die drei Regeln von Securosis sind überzeugend.
Was braucht es, um Verschlüsselung tauglich für die Massen zu machen?
Ich persönlich würde mir wünschen, dass man beispielsweise Banken in eine solche Infrastruktur mit einbeziehen könnte, natürlich gegen eine "vernünftige" Bezahlung oder sogar in den Kontoführungsgebühren enthalten. Sie könnten zusätzlich zur Kontokarte auch eine Karte anbieten, auf der der eigene Schlüssel gespeichert ist und diesen auch gleich signieren, um so das Web of Trust zu erweitern. Die Infrastruktur, inklusive der Kartenerzeugung ist ja bereits vorhanden. Wenn dann aktuelle Hardware, egal, ob es das Notebook oder die Workstation oder das Smartphone ist, einen Kartenleser eingebaut hätte (oder den vorhandenen nutzen würde), bei dem man nur eine vernünftig lange PIN eintippen müsste, um den Secret Key nutzen zu können, wären aus meiner Sicht wirklich einfache Anwendungen denkbar. Verschlüsselte Mails sind das eine, komplett (Festplatten-)verschlüsselte PCs oder Client-Zertifikate für SSL wären andere Möglichkeiten. Damit liesse sich auch das ewige "Username-Passwort" ausdenken und behalten minimieren.
Das ist natürlich nur sehr unausgereift.
Ohne jetzt zu paranoid zu werden, denke ich aber, dass manche Stellen (Regierungen, Geheimdienste, ...) eine solch sichere Verschlüsselung gar nicht so gerne hätten.
Was haltet Ihr davon?
Fast vergessen: Am kommenden Freitag ist eine Keysigning-Party in Zürich-Wipkingen. Wir sehen uns!
Kristian Köhntopp hat mit Wann soll ich verschlüsseln? einen sehr guten Artikel zu dem Thema geschrieben, insbesondere die drei Regeln von Securosis sind überzeugend.
Was braucht es, um Verschlüsselung tauglich für die Massen zu machen?
Ich persönlich würde mir wünschen, dass man beispielsweise Banken in eine solche Infrastruktur mit einbeziehen könnte, natürlich gegen eine "vernünftige" Bezahlung oder sogar in den Kontoführungsgebühren enthalten. Sie könnten zusätzlich zur Kontokarte auch eine Karte anbieten, auf der der eigene Schlüssel gespeichert ist und diesen auch gleich signieren, um so das Web of Trust zu erweitern. Die Infrastruktur, inklusive der Kartenerzeugung ist ja bereits vorhanden. Wenn dann aktuelle Hardware, egal, ob es das Notebook oder die Workstation oder das Smartphone ist, einen Kartenleser eingebaut hätte (oder den vorhandenen nutzen würde), bei dem man nur eine vernünftig lange PIN eintippen müsste, um den Secret Key nutzen zu können, wären aus meiner Sicht wirklich einfache Anwendungen denkbar. Verschlüsselte Mails sind das eine, komplett (Festplatten-)verschlüsselte PCs oder Client-Zertifikate für SSL wären andere Möglichkeiten. Damit liesse sich auch das ewige "Username-Passwort" ausdenken und behalten minimieren.
Das ist natürlich nur sehr unausgereift.
Ohne jetzt zu paranoid zu werden, denke ich aber, dass manche Stellen (Regierungen, Geheimdienste, ...) eine solch sichere Verschlüsselung gar nicht so gerne hätten.
Was haltet Ihr davon?
Fast vergessen: Am kommenden Freitag ist eine Keysigning-Party in Zürich-Wipkingen. Wir sehen uns!
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Domingo am :
Ich halte die Verschlüsselung auch für zu kompliziert. Die Mail-Verschlüsselung scheitert bei mir an zwei Punkten: Erstens rufe ich meine Mails nicht nur vom eigenen PC ab, sobald ich also auf Reisen im Internetcafé Mails lesen will, würde ich an meiner eigenen Verschlüsselung scheitern. Zweitens kann ich nicht von jedem Freund/Bekanntem/Sonstwas erwarten, dass er sich erst mit Verschlüsselung beschäftigt, bevor er mir schreibt.
Deine Vorschlag das ganze an eine Institution, bspw. an eine Bank abzugeben, halte ich für völlig falsch. Du selbst sprichst Geheimdienste an. Warum aber willst Du dann einer Bank Dein Privatleben oder was auch immer Du in Deine Mails schreibst / auf Deiner Festplatte speicherst? Diese Abhängigkeit leuchtet mir nicht ein.
Schöne Grüße
Dirk Deimeke am :
Ich wage einmal zu behaupten, dass viel mehr Leute Verschlüsselung nutzen würden, wenn es einfacher wäre und genau darum geht es ja.
Die Bank soll nur als "Kartenerzeuger" und "Identitätsprüfer" benutzt werden, mehr nicht.
Phylu am :
Christian am :
Dirk Deimeke am :
Dirk Deimeke am :
Dee am :
An GPG habe ich mich inzwischen gewöhnt (außer dass manchmal PGP gemeint ist). Das führt aber auch dazu, dass ich es standardmäßig nutze für alles. Ich bin der Meinung entweder ganz oder gar nicht. Denn ehrlich gesagt: Meine E-Mails enthalten selten private Dinge. Ich müsste nicht verschlüsseln... aber ich kann es eben.
Dirk Deimeke am :
Sehe ich genauso, es ist aber eine Frage der Wertigkeit:
(1) "Alles verschlüsseln und Ausnahmen nicht"
oder
(2) "Alles nicht verschlüsseln und Ausnahmen doch"
Variante (1) sollte die bevorzugte sein.
flows am :
Solange nicht jedem klar ist, dass Verschlüsselung wichtig ist, oder es nicht von oben erzwungen wird (wie das DE-Mail Projekt- siehe Kommentar unten), wird das eh nix mit der flächendeckenden Verschlüsselung.
* mal gucken was das wird, wahrscheinlich nur ein proprietäres Programm für Windows incl. Knebelvertrag für Bund und die beteiligten Unternehmen, niemand darf irgendwas von der Verschlüsselung wissen, denn wenns nicht mehr geheim wär, wärs ja bestimmt nicht mehr sicher.....
Wenn jemand Ironie findet darf er sie behalten.
Mike am :
Wenn man um 10 Millionen €uro Grafikkarten einkauft und anfängt mit denen zu knacken, dann ist beispielsweise ein 8-stelliges WPA-Passwort (ich hab mich in letzter Zeit laienhaft mit W-LAN beschäftigt, darum weiß ich gerade nur dazu Zahlen) mit einem Zeichenvorrat von 62 Zeichen (also Groß- und Kleinbuchstaben sowie Zahlen) in spätestens drei Tagen geknackt. Zum Beispiel die AMD/ATI Radeon HD4850 um unter 100€ schafft nämlich etwa 8500 Schlüssel pro Sekunde
Mit Sonderzeichen und/oder einer Länge von 9 oder 10 Zeichen ist das dann aber auch nicht mehr leicht möglich (es sei denn man kann sich die Rechenleistung von Folding@Home o.Ä. ausborgen). Es zeigt aber deutlich das Passwörter, die sich Menschen noch merken und schnell eintippen können, langsam aber sicher unsicher werden.
Domingo am :
Ich habe mir "Horde Groupware Webmail Edition" gerade mal angesehen. Wenn ich es richtig verstanden habe, muss man auch die erstmal installieren, was nicht besonders praktisch ist, wenn man an einem fremden PC kurz seine Mails nachgucken will, oft ist es auch gar nicht möglich, etwas zu installieren. Das gleiche trifft auf FireGPG zu.
Zur Bank: Wenn sie die Karten rausgibt und die Identität prüft, muss sie doch auch den Schlüssel kennen, damit sie prüfen kann, sehe ich das richtig? Entsprechend muss ich der Bank vertrauen, dass sie nicht auf meine Daten zugreift. Damit ist das unabhängige Sicherheitssystem der Datenverschlüsselung unterlaufen.
Ich finde auch, dass Verschlüsselung vereinfacht werden muss, jedoch ohne dabei Dritten die Schlüssel anvertrauen zu müssen.
Viele Grüße
Dirk Deimeke am :
Dirk Deimeke am :
Dirk Deimeke am :
Horde kannst Du auf Deinem privaten Webspace installieren und andere Mailkonten damit aufrufen. Damit ist es egal, an welchem Rechner Du bist.
Nein, die Bank muss den Schlüssel nicht gehen, dass ist ja gerade das gute beim Web of Trust. Sie beglaubigen Deinen öffentlichen Schlüssel und der darf und muss - wie der Name schon sagt - öffentlich sein. Du darfst den geheimen Teil nie aus der Hand geben.
Federico Hernandez am :
Es gibt ja zahlreiche Methoden um lange Passwörter zu generieren oder auch zu speichern.
Ich selbst benutze seit einiger Zeit ein Yubikey von Yubico (http://www.yubico.com/home/index) der einerseits ein statisches Password mit bis zu 64 Zeichen ausgibt andererseits aus sog. One-Time-Passwords erzeugt.
Der Rechner sieht den Yubikey als normale USB Tastatur, so dass er ohne Treiber aus kommt. Für dir OTP Funktion gibt es OpenSource Software um es z.Bsp in pam reinzuhängen.
Ich bin eigentlich ganz zufrieden damit. Und es ist schon nicht nur ein praktisches sondern auch ein schönes "Spielzeug".
Dirk Deimeke am :
Marcus Radisch am :
das ist aus meiner Sicht vollkommen unpraktisch und lässt sich auch mit sehr guten marketing-kampagnen nicht dem breiten publikum verkaufen, leider.
Viele Grüße
Marcus Radisch
Marcus Radisch am :
lasst mich mal aus dem Nähkästchen meiner Diplomarbeit plaudern. Wir haben zusammen mit der größten Sächsischen Verwaltung gearbeitet. Das ganze lief sehr gut, und hat Spass gemacht. Echt richtig gutes zusammenarbeiten. Nur unter jeder Mail stand folgender Satz. Und danach dürfte jedem klar sein, weshalb in Deutschland in der öffentlichen Verwaltung in naher Zukunft keine Verschlüsselung gefördert werden wird. Unter jeder Mail der Sächsischen Staatskanzlei stand
"Kein Zugang für elektronisch signierte sowie für verschlüsselte elektronische Dokumente.
"
Das finde ich sehr bedenklich.
Viele Grüße
Marcus Radisch
Dirk Deimeke am :
Dirk Deimeke am :
Dee am :
Wenn ich bei Dirk ein Login hätte, wäre das Passwort wohl "D2B!3nlw.". (ohne Anführungszeichen).
Das lässt sich leicht merken: "Dirk Deimekes Blog ist einfach nur lesenswert."
Dirk -> D
Deimekes -> 2 (ist ja das zweite D)
Blog -> B
ist -> ! (i auf dem Kopf)
einfach -> 3 (großes E gespiegelt)
nur -> n
lesenswert -> lw
. -> .
So merke ich mir fast alle meine Passwörter. Die haben eben je nach Login etwas mit dem Bereich zu tun, wo ich gerade bin.
Dirk Deimeke am :
Federico Hernandez am :
Die Passwörter werden dann mit einem Knopfdruck auf dem selbigen Yubikey erzeugt und in das entsprechende Feld auf dem gerade der Cursor steht übertragen.
Der Yubikey selbst wird vom Computer als (USB-)Tastatur erkannt und ist daher Treiber unabhängig. Die Grösse ist 2-3mm dick, 1cm breit und 3-4cm lang. Auf der einen Seit ist ein Drückknopf angebracht, der einmal betätigt wird, um das Passwort zu übertragen und zweimal betätigt wird, um vom statischen zum OTP Modus und umgekehrt zu wechseln.
Dirk Deimeke am :
Dieda am :
Gruß
Dieda
Dirk Deimeke am :
Uli Kleemann am :
auch wenn wir oft unterschiedlicher Meinung waren (RadioTux) in diesem Punkt gehe ich mit dir konform. Ich habe mir sowohl eine Feitan FTCOS/PK-01C
als auch eine Athena ASPCOS Smartcard besorgt um eine mit libpam-smartcard sichere 2 Faktor Authentifizierung zu realisieren.
Leider zerschiesst mir jedes Aptitude upgrade die Konfig so, dass kein Anmelden mehr möglich ist. Also bin ich im Moment daran das SSL Zertifikat und die PIN auf der Karte zur Authentifizierung meiner Festplattenverschlüsselung zu nutzen und einen Yubikey auf Slot 2 im Challenge Response Verfahren
fürs Login mit PIN zu Verwenden. Für erstes suche ich noch ein verständliches Howto, um das zu realisieren, was Du am Beispiel einer vernünftigen Bank genannt hast (Smartard und ordentliche PIN). Leider mus ich auch zustimmen, dass die Umsetzung eines solchen Vorhabens, welches ich wie gesagt für sinnvoll und geboten halte und hier kann ich nur für LINUX sprechen, für den Durchschnitts User definitiv zu komplex und anspruchsvoll ist. Für Anregungen deinerseits wäre ich hingegen sehr empfänglich.
Mit besten Grüßen
Uli
Dirk Deimeke am :
Ich bin momentan nicht im Bild, was möglich ist und wie man das am besten anstellt.
Grüsse nach Norden!