Zur Dropbox-Alternative Tresorit

Kapitel 2 auf der Suche nach der perfekten Krypto-Cloud

Ich hatte mich ja bereits lang und breit mit SpiderOak als sicherem Dropbox-Konkurrenten beschäftigt. An dieser Stelle möchte ich mit dem ungarisch-schweizerischen Tresorit einen weiteren verschlüsselnden Cloud-Service vorstellen, der gegenüber dem durch Edward Snowden bekannt gewordenen SpiderOak ein paar Vorteile hat.

Auch wenn man sich schnell an SpiderOak gewöhnen kann, hat der Dienst nach wie vor ein (zumindest gefühltes) Problem: Mobile Uploads wie beispielsweise von einem Android-Handy sind nicht möglich. Überhaupt erkennt der Client das eigene Telefon nicht einmal als eigenständiges Gerät, somit lassen sich mit der Android-App lediglich die auf dem PC abgespeicherten Dateien anschauen. Mehr geht nicht. Eine Dropbox-Funktion wie der automatische Kamera-Upload scheint bei SpiderOak noch in weiter Ferne zu liegen.

Ein anderer Dienst – sozusagen der Konkurrent des Dropbox-Konkurrenten Spideroak – leistet genau das: Tresorit. Möchte ich also meine privaten Fotos sicher in der Cloud speichern und dabei nicht auf das potenzielle Datenleck Dropbox zurückgreifen, dann lohnt sich der Dienst schon. Davon abgesehen, dass Tresorit mit seiner Lage und Datenspeicherung in Europa noch einen möglichen Vorteil gegenüber SpiderOak mitbringt, werden hier die vom Nutzer ausgewählten Daten des Handys synchronisiert, je nach Einstellung vollautomatisch. Zudem verhält sich die klar und einfach strukturierte Android-App von Tresorit wesentlich flüssiger und weniger absturzanfällig als SpiderOak. Dazu gibt’s noch 5 Gigabyte Cloudspeicher gratis – in der kostenlosen Version ist das mehr als das Doppelte von dem, was die Konkurrenz aus Amerika bietet.

Eine ganze Weile schon läuft die Software bei mir auf Handy und PC, bislang fehlerfrei und absolut zuverlässig. Selbst mein altes Budget-Smartphone mit Singlecore-Prozessor kam durch den Kryptodienst nicht ins Schwitzen.

Der Desktopclient ist übersichtlich und klar strukturiert
Der Desktopclient ist übersichtlich und klar strukturiert

Wie es in puncto Sicherheit wirklich aussieht, vermag ich wie bei SpiderOak nicht zu beurteilen. Tatsache ist, dass Tresorit mit Ende-zu-Ende Verschlüsselung wirbt. Tatsache ist auch, dass die Firma demjenigen 50.000 Dollar verspricht, der erfolgreich die Sicherheitssysteme überwinden kann. Bisher scheint das wohl noch nicht gelungen zu sein, zumindest laut eigener Homepage (Screenshot vom 05.11.2014):

Unterordner? Fehlanzeige.

Klingt gut? Auf den ersten Blick zumindest schon. Allerdings hat eine gute Krypto-Cloudspeicherung wohl leider immer einen Preis. Im Fall von SpiderOak ist das eine fast unzumutbare Smartphone-App und eine generell langsame Synchronisierung, bei Tresorit sind es weitreichende Funktionseinschränkungen in der Free-Version: Die Ungarn lassen in dieser nur 5 synchronisierbare Ordner zu und gestatten maximal drei synchronisierbare Geräte. Unterordner-Strukturen werden vom Client überhaupt nicht verstanden, sie führen zu einer Fehlermeldung. Wer also seine Daten fein sortiert speichert und nicht nur alles in einen Ordner wirft, der  kommt damit schnell an die Grenzen. Warum das bei Tresorit nicht funktioniert, ist mir nicht ganz ersichtlich – SpiderOak hat damit  beispielsweise überhaupt keine Probleme.

Das kann dazu verleiten, Tresorit für die Synchronisation mit dem Smartphone zu verwenden und SpiderOak für die Arbeit an Dateien von zwei oder mehr verschiedenen PCs. Und Dropbox wird man letzten Endes trotzdem nicht los – denn das eigene Umfeld ist traditionell schwer motivierbar, auf andere Software umzusteigen. Hat diese auch noch Nachteile oder deutliche Funktionseinschränkungen gegenüber Dropbox, dann ist ein Umstieg de facto kaum vermittelbar. Ordner teilt man somit also weiter mit Dropbox – ähnlich wie vermutlich die meisten Threema-NutzerInnen auch noch Whatsapp installiert haben, weil dort immer noch die meisten Menschen registriert sind.

tl;dr

Die perfekte Krypto-Cloud wäre wohl eine Mischung aus SpiderOak und Tresorit. Oder sollte ich mir in absehbarer Zeit doch mal Owncloud näher anschauen? Wer Tresorit jedenfalls einmal ausprobieren möchte, kann das auch gerne über meinen Download-Link tun, dann bekomme ich mehr Speicher ;)

AfD Trier: Lehrstunde in Sachen Fremdenfeindlichkeit (update)

Die AfD Trier macht vor, wie einfach es ist, Stimmung gegen die hilflosen BewohnerInnen eines vollkommen überbelegten Flüchtlingsheims zu machen. In der der Trierer Aufnahmeanstalt für Asylbegehrende (AfA) sind über 1000 Menschen einquartiert, jeweils nur für ein paar Wochen, teilweise unter desaströsen Bedingungen. Trotzdem und vor allem wegen der vielen Kinder dort erhalten sie umfassende Hilfe aus der Bevölkerung. Das passt einigen Mitmenschen natürlich nicht. So ziehen die AfD-Verantwortlichen der ältesten Stadt Deutschlands eine Aussage von Integrationsministerin Irene Alt heran, um bei ihren reinlichen deutschen WählerInnen Stimmung zu machen. Selbstverständlich werden alle weiteren Informationen zu dem schwierigen Thema vorenthalten. Naja, seht selbst, wie das funktioniert und mit welchen Reflexen die Anhänger der Partei auf Facebook reagieren:

Screenshot 01.11.2014, Quelle: https://www.facebook.com/afdtrier

Die sanitären Anlagen der AfA sind natürlich eine Katastrophe – sonst würde Frau Alt nicht eine solche Stellungnahme abgeben. Was die AfD geflissentlich ignoriert: Sie wären es ziemlich sicher auch, wenn man in diesen beengten Verhältnissen 1000 Volksdeutsche von der Alternative einquartiert hätte. Ich möchte gar nicht wissen, wie viele Menschen dort auf eine Toilette kommen. Für unsere deutsch-alternativen Reinigungsfachleute ist dieser Umstand in jedem Fall der beste Vorwand, um sich weiter in den Sphären der NPD zu profilieren.

Man möchte brechen.

#Update: Bei der Landesschau des SWR gibt es ein paar Hintergründe zu den Zuständen in den beiden Aufnahmeeinrichtungen Trier und Ingelheim.

Facebook ist besorgt (um seine Werbekunden)

Oder warum startet man sonst eine solche Umfrage? Gerade eben blinkte bei mir dieses Fenster auf:

Facebook-Umfrage

 
Im Anschluss zeigt das Netzwerk wahllos Beiträge von FreundInnen, Seiten und offensichtlichen Anzeigen. Ich stelle mir nun die Frage, ob das wohl mit der Genervtheit vieler UserInnen in Bezug auf die mittlerweile vollkommen willkürliche Facebook-Timeline zusammenhängt… oder ob sie nicht doch eher nach Wegen suchen, Werbung noch mehr „native“ – also nicht mehr als solche erkennbar – zu gestalten.

Facebook-Umfrage

 
tl;dr

Die Facebook-Timeline zieht sich wegen der ganzen gesponsorten Beiträge eh kaum noch jemand rein. Da bringt so ’ne Umfrage auch nichts mehr.

Spideroak: Dropbox-Alternative mit Schwächen

Lässt sich ein nützlicher Dienst wie Dropbox oder Google Drive überhaupt ersetzen? Die bekannten amerikanischen Cloud-Dienste kennen wir ja alle irgendwie – liebgewonnen und vor allem hochgradig praktisch. Man kommt nämlich immer gut an die eigenen Daten ran, egal wo man sich aufhält. Und: Man teilt mit Arbeitskollegen, der Band oder dem Karnevalsverein einen gemeinsamen Dropboxordner, und schon erspart man sich viele umständliche Mails und das Herumreichen von USB-Sticks.

Das Problem: Man teilt sich seine Daten eben nicht nur mit Freunden, sondern auch mit diversen Geheimdiensten.

Kann man das tatsächlich besser machen? Oder zumindest eine ähnliche Leistung verschlüsselt – also sicher und ohne Geheimdienste – nutzen?

Konkurrenz belebt das Geschäft

Die erste einfache, ernüchternde Antwort: Es geht so ein bisschen. Genügend Inspiration für einen Versuch mit SpiderOak fand ich in einem vom britischen Guardian veröffentlichten Interview mit Edward Snowden, in welchem er den amerikanischen (!) Dienst SpiderOak über den grünen Klee lobt. Zudem gibt es auch noch weitere Alternativen, die wohl alle relativ ähnlich funktionieren: Teamdrive, Tresorit und Wuala. Ein wohl ganz brauchbarer Gesamtvergleich der Stärken und Schwächen der einzelnen Dienste ist hier zu finden (etwas scrollen muss man aber schon).

SpiderOak habe ich mir selbst wegen dem guten Herrn Snowden einmal näher angesehen – und bin vorerst daran hängen geblieben. Im Prinzip funktioniert’s genau wie Dropbox: Man lädt sich ein Programm, das auf dem normalen Windows (oder Linux etc.)-Desktop und auch auf dem Smartphone installiert wird. Gebraucht werden dann noch ein Nutzername und ein sicheres Passwort, 2 GB Online-Speicher sind – genau wie bei Dropbox – kostenlos. Wer FreundInnen anwirbt, bekommt pro FreundIn 1 GB umsonst obendrauf – und der oder die jeweilige FreundIn ebenso. Die SpiderOak-Werbemasche ist also eine Win-Win-Situation (Win-Win-Link hier, bitte darüber anmelden ;)). Bis zu 10 GB Speicherplatz lassen sich über das Schneeballprinzip kostenlos erreichen.

SpiderOak-Screenshot
SpiderOak-Screenshot

Ende-zu-Ende-Verschlüsselung gegen NSA und andere „Interessenten“

Was ist nun aber das „Besondere“ bei SpiderOak? Eigentlich wäre der Dienst schon grundsätzlich nicht vertrauenswürdig, da er in den USA sitzt und damit der merkbefreiten FISA-Regelung untersteht. Heißt im Klartext: Möchte ein amerikanisches Geheimgericht, dass SpiderOak Nutzerdaten rausgeben soll, dann kann die Firma nichts dagegen tun. Auch Dropbox, Facebook und wie sie alle heißen sind machtlos gegen diesen Missbrauch und die Sicherheitsparanoia der amerikanischen Regierung. Der Trick heißt daher – wie schon bei den Messengern und den Mails – Ende-zu-Ende-Verschlüsselung: Selbst wenn nun die Firma SpiderOak Daten rausgibt, können die Behörden schlicht nichts anfangen, da nach einer Herausgabe nur Zeichensalat zu sehen wäre. Diese Verschlüsselung übernimmt der Client, man selbst muss nichts dafür tun. So besitzt SpiderOak selbst laut eigenen Angaben dann keine Möglichkeit, die Daten für die Behörden zu entschlüsseln – allerdings können damit nicht einmal verloren gegangene Passwörter ersetzt werden.

Wie schon bei Threema muss allerdings auch die Frage nach der generellen Vertrauenswürdigkeit des Anbieters gestellt werden – da der Dienst aber plant, in der Zukunft zumindest teilweise auf das Open Source – Prinzip zu setzen, scheint das vorerst in Ordnung zu gehen. Oder zumindest schon einmal erheblich besser als Dropbox, zumal in dessen im Verwaltungsrat auch noch Condoleezza Rice sitzt – ehemalige Sicherheitsberaterin von George W. Bush.

Langsamer Client, (noch) keine gemeinsamen Ordner á la Dropbox

Wie schlägt sich SpiderOak nun im Alltag? Ich selber nutze den Dienst seit ein paar Wochen, die Funktionsweise ist tatsächlich weitgehend die selbe wie bei Dropbox. Nur dass man hier aus Sicherheitsgründen besser nicht das Webinterface nutzen sollte (der Dienst weißt selber darauf hin, dass dann nicht mehr für die Sicherheit der Daten garantiert werden kann). Zudem ist die Smartphone-Version leider ein absoluter Griff ins Klo. Bei mir läuft sie instabil und wirkt extrem verbuggt, zudem ist sie nicht in der Lage, Uploads vom Smartphone in die Cloud zu laden. SpiderOak gelobte allerdings in einem Tweet Besserung, mobile Uploads sollen demzufolge bald möglich sein. Ebenso wird laut einem weiteren Tweet alsbald die Möglichkeit geschaffen, vernünftige Gruppenordner zu führen – ein ziemlich entscheidendes Feature, weshalb Dropbox bei mir auch immer noch nicht ganz von der Bildfläche verschwunden ist.

Die Desktop-Software an sich finde ich okay, sie ist allerdings auch ein wenig komplexer als (und feiner einstellbar) als der große Konkurrent. Neben dem Ordner „SpiderOak Hive“, der in etwa dem klassischen Dropbox-Ordner auf dem PC entspricht, lassen sich über den Dienst auch noch weitere Ordner der verwendeten Computer zur Synchronisation hinzufügen. Das ist eine Sache, die ich bei Dropbox bisher immer vermisst habe. Zwei Schwachpunkte gibt es aber momentan auch noch hier: Zum einen ist die Synchronisation der Dateien eher langsam, das heißt: Mal eben schnell von unterwegs was abspeichern, Netbook zuklappen und dann zuhause mit dem Hauptrechner weiter arbeiten funktioniert oft nicht so. Man muss der Krypto-Cloud hier immer ein paar Minuten Zeit einräumen. Auch schnell mal was hochladen und dann direkt mit Kollegen oder Freunden per Link teilen ist wegen der Gemächlichkeit des Clients eher unrealistisch. Zum anderen lässt sich der Speicherort des „Hive“ nicht manuell ändern – dieser liegt immer fest auf dem Systemlaufwerk. Nervig, wenn man Wert auf eine separate Datenpartition legt und dann durch Spideroak doch wieder Daten auf C:\ schieben muss.

Ansonsten tut SpiderOak das, was es soll. Und das bisher auch absolut zuverlässig. Auch eine Funktion zum Bilder teilen ist implementiert, dazu müssen NutzerInnen aber zunächst einmal eine „Share-ID“ kreieren. Über letztere lassen sich dann aus SpiderOak heraus Weblinks mit beispielsweise Bilderordnern erstellen, um sie FreundInnen zu schicken.

Fazit

Die angesprochenen Schwächen, die Desktop-Client und vor allem die nahezu unbrauchbare mobile Version  mitbringen, sind möglicherweise nur Kinderkrankheiten. Auf jeden Fall sind es aber handfeste Nachteile, ein vollwertiger Ersatz für die bis auf ihre Sicherheitsprobleme gut funktionerenden Cloud-Dienste ist SpiderOak damit noch nicht. Die Frage ist, wie lange das amerikanische Unternehmen braucht, um dies einigermaßen auszubügeln und die Clients alltagstauglicher zu gestalten. Denn solange ich nicht mit Arbeitskollegen und Freunden gemeinsame Ordner führen kann, solange bleibt Dropbox zumindest in puncto Funktionalität erst einmal unersetzbar.

The Aftermath

Seit dem Beginn meiner Nutzung von Kryptomessengern wie TextSecure und Threema hat sich für mich kaum etwas geändert – nach wie vor schreibe ich häufig SMS, ebenso häufig benutze ich immer noch Whatsapp. Weil man darauf immer noch am liebsten von anderen kontaktiert wird. (Letzteres werde ich demnächst von meinem Telefon entfernen, aber das wird wohl auch nicht viel ändern.)

Die von mir favorisierten Messenger selbst fristen dagegen entweder ein Nischendasein (Threema benutzen nur ein paar Leute aus meiner Kontaktliste) oder haben sich, wie im Fall von TextSecure, unauffällig und ohne Nutzung der Kryptofunktionen in die Nutzeroberfläche von Android integriert. Das ist das eigentlich Geniale an TextSecure: Man benutzt es die ganze Zeit, da es die gewöhnlich vorinstallierte SMS-App ersetzt. Lediglich der im leeren Textfeld erscheinende Hinweis darauf, dass man „unsichere SMS“ verschickt, verrät einem, dass man seinen Text eigentlich in einen Kryptomessenger tippt. Das macht die App idiotensicher und äußerst unauffällig, Vorkenntnisse sind nicht erforderlich. Wenn nun noch ein paar Leute auf die Idee kämen, TextSecure oder Threema ebenfalls zu installieren, dann wäre zum ersten Mal eine durchgehend sichere Messengerkommunikation möglich. Tja, wenn…

Stattdessen höre ich auch in meinem Umfeld häufig das Argument „ich habe ja nichts zu verbergen / die NSA überwacht sowieso alles und jeden, jetzt ist es eh zu spät“, während man sich die nächste Spiele-App und das nächste Whatsapp- und Facebook-Update zieht.

Schade eigentlich.

Verschlüsselnde + benutzbare Whatsapp-Alternativen: Threema und TextSecure (update)

In zwei vorigen Beiträgen habe ich mich bereits zum Thema Email-Verschlüsselung geäußert – und wie das mit PGP + Thunderbird ganz gut und vor allem einfach machbar ist. Nun geht es um etwas, das viele nutzen, um Nacktbilder zu verschicken wesentlich privatere Gespräche miteinander zu führen: Den Messenger auf dem Handy.

Oder auch: Whatsapp.

Von Facebook gekauft und auf amerikanischen Servern liegend, kann man getrost davon ausgehen, dass alles, aber auch wirklich alles, was darüber verschickt wird, für die Ewigkeit gespeichert und auf absurde Gefahrenmuster gescannt wird. Und wenn man Pech hat, landet man vielleicht nur wegen der falschen Wortwahl in einem privaten Chat auf einer der ominösen schwarzen Listen und darf in nicht allzu ferner Zukunft mit massiven Repressionen rechnen… oder so. Irgendwie jedenfalls nicht schön, wenn man die Konsequenzen der Totalüberwachung einmal zu Ende denkt. Der Gedanke des „Wechsels“  oder zumindest des Alternativen-Ausprobierens liegt daher mehr als nahe. Durch eine gewisse Popularität – auch angeschoben durch bestimmte deutsche Online-Medien – fiel meine erste Wahl auf den Schweizer Messenger mit dem dezent  sperrigen Namen Threema.

Threema vereint im Prinzip das, was z.B. PGP-Verschlüsselung bei Mails nicht leisten kann: Es funktioniert sofort ohne großes Tamtam. Der Messenger baut sich wie Whatsapp auf, nur eben mit dem Unterschied, dass die Nutzerin beim ersten Start automatisch Schlüssel generiert bekommt und dadurch beim Texten in eine sichere Ende-zu-Ende-Verschlüsselung gepolstert wird. Wobei auch hier Sicherheit im Auge des oder der Betrachtenden liegt: Die App ist nicht Open Source, das heißt, der Code bleibt unter Verschluss und kann nicht unabhängig geprüft werden. Das wird möglicherweise zu Recht kritisiert. Allerdings gestatten die Entwickler zumindest die Möglichkeit einer Prüfung der Verschlüsselung – dass diese also Ende-zu-Ende stattfindet und Gesprächsinhalte damit auch für den Anbieter nicht lesbar sind, dürfte als gesichert gelten. (Man korrigiere mich bitte, falls ich hier falsch liege.) Zudem bietet die App noch ein kleines Gimmick: Threema schützt sich nicht nur durch eine Passphrase, sondern erlaubt auch, zusätzlich eine PIN zu definieren: Wer das macht, stellt sicher, dass selbst bei einem gestohlenen Handy mit abgeguckten Entsperrcode die Gesprächsinhalte nicht so einfach abgerufen werden können.

Der Grund, warum diese Schweizer App meine erste Wahl wurde, liegt in ihrer Einfachheit: Sie ist leicht aufgebaut und vor allem intuitiv nutzbar. Es fällt kaum auf, dass man es gerade nicht mit Whatsapp zu tun hat.  Threema funkioniert auch in puncto Adressbuch ähnlich wie Whatsapp und vollautomatisch – wenn man das so möchte. Andernfalls lassen sich auch Kontakte manuell einfügen. Die Usabillity haben die Entwickler wirklich zur Perfektion getrieben – meiner Meinung nach ist das der entscheidende Punkt, Kryptografie massentauglich zu machen und die staatlichen Schnüffler zu ärgern. A pro pos Masse: Threema nutzen in meinem Adressbuch immerhin ein paar Leute, gute 10% meiner aktiven Kontakte. Damit liegt es weit vor dem ebenfalls verschlüsselnden Telegram, was von meinen Kontakten exakt niemand aktiv nutzt und wegen seiner Abstürze von mir nicht weiter berücksichtigt wird.

Eine andere App dagegen scheint mir nach dem Hinweis eines Freundes auch noch erwähnenswert: Es handelt sich um TextSecure, von ausgewiesenen Kryptoexperten entwickelt und im Gegensatz zu Threema komplett Open Source. TextSecure fühlt sich im Gegensatz zu Threema allerdings nicht so an wie Whatsapp, auf den ersten Blick sieht man beispielsweise nicht, wer der Kontakte nun auch die App nutzt. Stattdessen greift das Menü immer auf das vollständige Adressbuch zurück. Das hängt auch mit der Funktion des kleines Programms zusammen, denn tatsächlich stellt es eher einen Ersatz für die klassische SMS-App dar. Im Normalmodus wird diese einfach durch TextSecure ersetzt: Solange die Gesprächspartnerin nicht ebenfalls TextSecure hat, verschickt man damit letzten Endes auch nur normale, unverschlüsselte SMS. Dazu lässt sich auch der gesamte bisherige SMS-Verlauf importieren, was auf meinem Billig-Smartphone keine Probleme bereitete. Interessant wird es aber trotzdem erst, wenn das Gegenüber ebenfalls die (noch) nur für Android erhältliche App nutzt – dann wird statt der SMS die Datenverbindung oder das WLAN für Ende-zu-Ende verschlüsselten Nachrichtenaustausch benutzt. Auch das wohl vollautomatisch. Ausprobieren konnte ich das allerdings nicht, da in meiner Kontaktliste niemand diese App nutzt.

Andererseits stört die TextSecure-Installation bislang auch nicht sonderlich, denn man kann sie ja trotzdem anstelle der normalen SMS-App nutzen. Und obendrein sieht sie zumindest bei meinem Handy auch noch besser aus als die Standard-App.

Wer keine SMS-Flatrate hat, kann diesen sogenannten „SMS-Fallback“ auch einfach in den Einstellungen ausstellen. Damit wird die App vollständig auf die Datenverbindung beschränkt, was für einige wohl deutlich günstiger sein dürfte. Aber dafür müssten dann auch wieder mehr Menschen TextSecure auf ihrem Handy installieren.

Fazit

Wer vom Feeling eher Richtung Whatsapp gehen möchte und vor allem keine SMS-Flatrate hat, der ist bei Threema bestens aufgehoben. TextSecure bietet sich aber genauso an, da es ähnlich einfach ist und die Verschlüsselung ähnlich wie bei Threema kaum auffällt. Threema scheinen jedoch gefühlt deutlich mehr Menschen zu benutzen als TextSecure, weshalb ich bei letzterem mangels Gegenüber auch nicht wirklich testen konnte, wie die eigentliche Krypto-Messengerfunktionalität aussieht.

Fakt ist jedenfalls: In Anbetracht der guten Funktionalität von nur zwei der zahlreichen Whatsapp-Alternativen gibt es eigentlich keinen Grund mehr, sich an dem Produkt aus dem Hause Zuckerberg noch weiter festzukrallen.

#Update 06.11.2014:

Nicht nur Snowden empfiehlt TextSecure, sondern auch die Electronic Frontier Foundation (EFF). In deren Analyse kommt die Software richtig gut weg, Threema dagegen spielt keine Rolle.

#Update 19.11.2014:

Nachdem derweil bekannt wurde, dass die Textsecure-Technik auch in Whatsapp implementiert wird, habe ich mich zu einem drastischen Plädoyer für den Textsecure-Messenger hinreißen lassen. Den mittlerweile auch immerhin zwei Leute aus meiner Kontaktliste nutzen ;)

Email-Verschlüsselung für Totalanfänger II (Video Inside)

Nachdem ich mich in letzter Zeit etwas intensiver mit dem Thema Verschlüsselung beschäftigt habe und der Beitrag dazu ein veritables Interesse verzeichnete, habe ich beschlossen, in diesem Blog so eine Art Reihe zum Thema aufzuziehen. Quasi lernen durch lehren – oder so. Nicht dass es schon genug Seiten dazu gäbe. Nicht Emails, sondern auch andere Bereiche des digitalen Lebens, wie z.B. Festplatten- und Dateiverschlüsselung, sollen hierbei eine Rolle spielen. Ergo werden in nächster Zeit immer mal wieder Beiträge zu diesem Themenbereich erscheinen. Den Anfang macht aber erst einmal eine Fortsetzung der Mailverschlüsselung, denn von Metronaut und Linuzifer gibt es ein ganz wunderbares Video, in dem das Prinzip (absolut idiotensicher) erklärt wird:

Vergleiche ich das nun mit meiner Anleitung von letzter Woche, dann steht das im Video erklärte Schloss, das man seinen Freunden gibt, für den öffentlichen Schlüssel. Das heißt, wenn euch jemand eine verschlüsselte Mail schickt, muss er euer eigenes Schloss (euer  öffentlicher Schlüssel) vorher daran hängen. Und nur ihr selbst könnt die Mail öffnen, da ihr über das Mailprogramm eben einen eigenen Schlüssel dafür habt (den privaten Schlüssel).

Ist zwar schon etwas älter, aber wunderbar erklärt. Dafür vielen Dank auch der Anja Krieger für’s erneute Verbreiten :)

Emails verschlüsseln für Totalanfänger (Update)

Prolog: Es sei darauf verwiesen, dass der ganz unten unter „Update“ beschriebene Weg der effektivere ist, da damit längere Schlüssel erzeugt werden können. Punkt 3 meiner Anleitung wird dadurch ersetzt, der Rest behält seine Gültigkeit.

I. Lange Rede

Seit den Snowden-Enthüllungen ist das ein Thema, was im Prinzip alle angeht: Sobald ich bei GMX oder wem auch immer auf „Senden“ klicke, mache ich nichts anderes, als eine virtuelle Postkarte durch’s Netz zu schicken. Lesbar für jeden, der sich dafür… hmm, „interessiert“. Das ist eigentlich keine Neuigkeit, auch nicht nach Snowden. Was sich allerdings durch den wohl berühmtesten amerikanischen Flüchtling geändert hat, ist die grundlegende Erkenntnis, dass der gesamte Traffic, den wir alle im Netz generieren – also auch die Emails elektronischen Postkarten, die wir verschicken – systematisch gespeichert wird. Und zwar von Leuten, von denen man das eigentlich nicht möchte: Den „Five Eyes“, bestehend aus u.a. der NSA, dem britischen Geheimdienst GHCQ und den mit diesen Diensten verbundenen, unzähligen privaten Firmen. Das öffnet Missbrauch nicht nur Tür und Tor. Denn dass die daraus gestohlenen gewonnenen Daten tatsächlich missbraucht – also gegen Privatpersonen eingesetzt – werden, belegen ebenfalls die Dokumente aus dem Fundus von Edward Snowden. Systematische Verleumdungsaktionen und Pläne, besonders regierungskritische Stimmen durch gezielte Veröffentlichungen gestohlener Privatinformationen zu diskreditieren, sind nur die Spitze des Eisbergs. Diese Praktiken zeugen von der grenzlosen Skrupellosigkeit der Geheimdienste im Post-9/11 Zeitalter. Der „Krieg gegen den Terror“ ist vor allem ein Krieg um den Machterhalt und -Ausbau der beteiligten Exekutivorgane. Um Terrorismusbekämpfung geht es hierbei meistens gar nicht mehr. Die Dienste eignen sich unhinterfragt immer mehr Möglichkeiten an, schöpfen den gesamten Datenverkehr ungehindert ab und tja, unsere Regierungen… sind entweder unwillens oder zu überfordert, um daran etwas zu ändern. Also bleibt für einfache NutzerInnen schlicht nur die Möglichkeit, ihre digitale Kommunikation so weit wie möglich zu chiffrieren. Das aus vielen Medien bekannte Schlagwort „digitale Selbstverteidigung“ ist zwar eine Ultima Ratio, aber leider – wohl auch in Anbetracht der Farce, die das ganze dumme Gelaber um „No-Spy-Abkommen“ und „Email made in Germany“ tatsächlich ist – bitter nötig.

Um mal einen Anfang zu machen, habe ich nun kapiert, wie man seine Emails verschlüsseln kann. Das ist zwar nur ein Tropfen auf den heißen Stein, aber immerhin weiß ich zumindest einen kleinen Teil meiner Kommunikation geschützt. Auch wenn sich die NSA bis zu diesem Blogeintrag wahrscheinlich nicht für mich interessiert, so hatte ich z.B. immer ein mulmiges Gefühl dabei, Teile meiner Examensarbeit zum Korrekturlesen zu verschicken. Darin ging es viel um Terrorismus (eigentlich um den Film „V For Vendetta“ mit einem Terroristen als Superheldenfigur), folgerichtig dürften diese Mails zumindest in den Schlüsselwortsuchen des Geheimdienstes irgendwo auftauchen. Oder auch, wenn man einfach nur im Chat mit anderen Leuten über durchaus kritische Themen diskutieren möchte – wenn man weiß, dass die Kommunikation vollständig gespeichert und auf Schlagworte gefiltert wird, dann drückt man sich (unbewusst) anders aus. Damit ist dann dank der Verschlüsselung jetzt Schluss – vorausgesetzt, mein Gegenüber hat einen öffentlichen PGP-Schlüssel.

II. Kurzer Sinn. Kurzanleitung für Thunderbird

Lange Rede, kurzer Sinn, so funktioniert’s mit dem Mailprogramm Thunderbird unter Windows (mein Weg* – es gibt natürlich noch einige andere Möglichkeiten):

1. GPG4WIN runterladen und installieren.

2. In Thunderbird das Plugin Enigmail runterladen und installieren.

3. Siehe Update am Ende des Beitrags! In Thunderbird nach der Enigmail-Installation im Menü unter „OpenPGP“ -> „OpenPGP-Assistent“ auswählen und sich durch die Erstellung des Schlüsselpaars leiten lassen. Man muss im Prinzip einfach dem Menü folgen und die Email-Konten definieren, für die das Schlüsselpaar gelten soll. Wichtig ist die Passphrase, die braucht man in Zukunft, um verschlüsselte Emails zu entschlüsseln. Das war’s dann auch schon.

4. Schlüssel teilen und Kontakte einrichten:

4.1 Den öffentlichen Schlüssel mit seinen Freunden und Bekannten teilen, ihn ggf. auch hochladen, wo ihn Menschen finden, die lieber verschlüsselt mit einem kommunizieren wollen. Denn diesen Schlüssel braucht jedeR, der/die dir eine sichere Mail schicken möchte. Der eigene öffentliche Schlüssel findet sich unter „OpenPGP“ -> „Schlüssel verwalten“ -> Rechtsklick auf „eigenesMailkonto@hanswurst.narf“ -> „In Zwischenablage exportieren“

4.2 Eigene Kontakte, die einem schon ihren öffentlichen Schlüssel geschickt haben, in die Schlüsselverwaltung eintragen. Geht recht einfach: Einfach den Schlüssel des Gegenübers copypasten und dann unter „OpenPGP“ -> „Schlüsselverwaltung“ -> „Bearbeiten“ -> „aus Zwischenablage importieren“

That’s it. Danach kann man mit den Kontakten, die den eigenen Schlüssel haben (teilen nicht vergessen) wieder digitale 4-Augen-Gespräche führen. Und das geht dank Thunderbird und Enigmail sogar relativ komfortabel. Einzig die Passphrase darf man  nicht vergessen.

*Ich hoffe, das möglichst einfach und klar ausgedrückt zu haben. Sollte jemand Probleme haben, kann man sich gerne bei mir melden. Es sei zudem angemerkt, dass ich bei dem Thema selbst noch ein ziemlicher Anfänger bin. Kritik, konstruktives Feedback und Anmerkungen sind gerne gesehen. Vielleicht per verschlüsselter Mail? ;)

_________________________

#Update 26.06.14:

Nach einem Hinweis des geschätzten Fidepus habe ich meinen PGP-Schlüssel auf 4096 Bit verlängert. Dazu muss man in Thunderbird auf „OpenPGP“ -> „Schlüssel verwalten“ -> „Neues Schlüsselpaar erzeugen“ klicken und unter „Erweitert“ die Maximallänge einstellen. Zudem lässt sich in diesem Menü ein unnötiges Ablaufdatum deaktivieren. Der Rest funktioniert genau so, wie ich bereits erklärt habe. Damit erzeugt man allerdings ein komplett neues Schlüsselpaar, d.h. die Kontakte, die den alten öffentlichen Schlüssel bereits haben, sollten dazu bewegt werden, auf den neuen zu aktualisieren. Besser ist es also, von Anfang an diesen (ebenfalls unkomplizierten) Weg zu gehen statt über den Assistenten.