Verteidigung gegen die dunklen Künste 1.2: noch etwas zur Emailverschlüsselung

FacebookCover German version of this post. Alle Zitate frei übersetzt.

 

Edward Snowdens Video

Vor einigen Wochen habe ich von meinen – schon etwas armseligen – Versuchen berichtet, mir selbst Emailverschlüsselung beizubringen. Seitdem hatte ich mehr als einmal vor, dem noch etwas hinzuzufügen, aber irgendwie kamen immer andere Dinge dazwischen.

Aber heute ist der Tag, an dem wir uns das Internet zurückholen

Daher ist es jetzt höchste Zeit für diesen Post.

Durch einen großartigen Zufall, fand ich vor einiger Zeit nämlich einen Tweet, in dem ein sehr interessanter Link zu einem sehr hilfreichen Video zu PGP Verschlüsselung enthalten war.

Ein wirklich hilfreiches Online-Tutorial zum Thema Emailverschlüsselung für Journalisten ist das, angefertigt von einem damals noch anonymen Nutzer, den mittlerweile die ganze Welt kennt: Edward Snowden.

Das hier ist nämlich das Video, das Edward Snowden für Glenn Greenwald erstellt hat, um diesem dabei zu helfen, Emailverschlüsselung einzurichten und dann mit seiner Quelle (also Snowden) gesichert kommunizieren zu können.

Ich wünschte, ich hätte das Video schon vor Wochen gehabt! Es ist nicht nur eine hilfreiche Schritt-für-Schritt Einführung in die Geheimnisse der verschlüsselten Kommunikation. Es klärt auch einige Punkte, die mir bis dato noch Kopfzerbrechen bereiteten

Einiges in dem Video halte ich für wiederholungswürdig – auch als Nachtrag zu meinem letzten Post zum Thema.

 

Webmail ist kein Freund

Webmail, sagt Snowden, ist gleich zweifach gefährlich.

Zum einen können Emails natürlich auf ihrer Reise durchs Netz abgefangen werden. Das wissen wir ja schon und es ist der Grund aus dem man seine Emails verschlüsseln sollte (und natürlich auch, weil es cool ist und einem ein Gefühl grenzenloser Macht verleiht – naja, fast.)

Jede Email kann abgefangen werden, ob man sie nun per Webmail oder über einen Emailklienten versendet – also ist Verschlüsselung immer angeraten, damit Ihr-wisst-schon-wer unsere Emails nicht lesen kann.

Die andere Gefahr, die von Webmail ausgeht, ist allerdings mindestens genauso gravierend.

Man kann nämlich so vorsichtig sein, wie man will, wenn man seine Emails nicht außerhalb des Webbrowsers erstellt und verschlüsselt (zum Beispiel mit Hilfe eines PGP-Klienten) und dann die verschlüsselte Email in den Browser unmittelbar vor Versand einkopiert, speichert der Webmailklient automatisch mehrere Entwürfe der unfertigen Email ab, NOCH BEVOR MAN SIE VERSCHLÜSSELN KANN.

Wenn man sich also nicht extrem vorsieht, liegen ganz schnell jede Menge unverschlüsselte Kopien von Entwürfen, gesendeten und empfangenen Emails auf dem Server des Providers herum. Und diese entziehen sich dann der Kontrolle des Verfassers, auch nachdem sie gelöscht wurden.

Und genau diese Nachrichten, die irgendwo gespeichert sind, auch nachdem man selbst sie gelöscht hat, können die später zum Bespiel per Gerichtsbeschluss beim Provider abgeholt werden.

Das entwertet natürlich meine Argumente für Webmail (die sowieso eher auf Faulheit basierten). Ich würde zwar immer noch behaupten, dass Webmail zu verschlüsseln immer noch besser ist, als gar nicht zu verschlüsseln, vor allem, wenn man eigentlich nur den Dementoren auf die Nerven gehen will. Aber wenn man die größtmögliche Sicherheit für seine Kommunikation möchte, sollte man von Webmail lieber die Finger lassen.

Auf jeden Fall, sollte man sich die Worte Edward Snowdens hinter die Ohren schreiben:

Verfasst nie eure Emails in einem Internet Browser! Webmailklienten speichern automatisch Entwürfe eurer Emails ab, NOCH BEVOR IHR DAZU KOMMT, SIE ZU VERSCHLÜSSELN!

 

Weiteres zu PGP

Webmail zu benutzen kann also jede Anstrengung zunichtemachen, die man zur Verschlüsselung seiner Emails unternimmt. Es macht dennoch Sinn, sich vor Augen zu halten, dass Edward Snowden den Super-GAU im Sinn hatte, als er seine oben zitierte Warnung aussprach: er versuchte ja damals, Glenn Greenwald die absolute Notwendigkeit der verschlüsselten Kommunikation zwischen einem Journalisten und seiner Quelle klar zu machen. Dabei dachte er natürlich daran, dass er bald ganz oben auf der Liste der Zielpersonen der NSA stehen und unter gezielte Beobachtung gestellt werden würde.

Das ist für den gemeinen Nutzer eher unwahrscheinlich, aber wir wollen doch alle so sicher wie möglich sein, oder nicht? Zumal wir so zumindest einen Teil dazu beitragen können, dass unsere Privatsphäre im Internet besser geschützt ist.

Dabei kann PGP-Verschlüsselung helfen. Edward Snowden sagt in dem Video einmal mehr, dass PGP sehr sicher ist und man sich darauf ruhig verlassen kann.

Er erklärt auch noch einmal, wie genau die Zwei-Schlüssel-Methode funktioniert:

Der private Schlüssel des Absenders wird mit dem öffentlichen Schlüssel des Empfängers zu einer Matheaufgabe verbunden (einem sogenannten Ciphertext). Diese Matheaufgabe kann nur vom privaten Schlüssel des Empfängers gelöst werden und die Lösung ist der unverschlüsselte Text.

 

Probleme mit PGP

Selbst bei PGP Verschlüsselung verbleiben ein paar Probleme, vor denen man gewarnt sein sollte – heutzutage ist schließlich nichts 100% sicher.

Wenn sich beispielsweise jemand den privaten Schlüssel eines Nutzers aneignet (zum Beispiel, wenn der Laptop – wie bei David Miranda – am Flughafen konfisziert wird) und dann auch noch an das Passwort für die Verschlüsselung kommt, hat es sich ausgeschlüsselt. Dann kann nämlich diese Person die Verschlüsselung öffnen und alle Emails lesen.

Wieder ein Grund, aus dem man gut auf seine Sachen aufpassen und seine Passwörter schützen und sich superlange Passwörter ausdenken sollte!

Nur nochmal zur Erinnerung, ein gutes Passwort

– ist sehr lang

– enthält Groß- und Kleinschreibung

– enthält Symbole wie &!*£

– enthält Zahlen

Man sollte sich darüber hinaus unbedingt etwas ausdenken, an das man selbst sich leicht erinnert, sonst kann einem ein über 20 Zeichen langes Passwort schon mal Kopfzerbrechen machen.

Solange man dann das Passwort gut verwahrt (im Kopf, am besten), ist die Methode sehr sicher – an einen Schlüssel plus Passwort heranzukommen ist wesentlich mühsamer, als die unverschlüsselte Email einfach unterwegs abzufangen und zu lesen (oder sie von Gmail per Gerichtsbeschluss zu erzwingen).

Jedoch kann man in manchen Ländern – wie etwa Großbritannien – zur Herausgabe von Passwörtern gezwungen werden. Dort ist das Zurückhalten eines kryptogenen Passwortes nämlich strafbar und dem Regulation of Investigatory Powers Act – RIPA.

RIPA ist ganz schön gruselig. Teilweise sind nämlich die dadurch festgelegten Umstände, die zur Onlineüberwachung berechtigen, ganz schön wage. Da können die Kommunikationsmetadaten schon Mal zu Steuereintreibezwecken genutzt werden.

Der einzige Grund, aus dem sich die Leute über RIPA nicht mehr aufregen ist offenbar, dass die Sammlung von Metadaten auf den ersten Blick nicht so sehr nach Spionage aussieht, wie eine im Wohnzimmer installierte Kamera.

Ich jedenfalls fahre in meinen Bemühungen fort, den Voldemorts und Dementoren des Internets ein bisschen ans Bein zu pinkeln und heute, am Jahrstag der Snowden-Enthüllungen, halte ich euch an, es mir gleich zu tun!

Holen wir uns das Internet zurück!

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s