GnuPG auf dem Androiden

Ich lege bekanntlich Wert auf sichere Kommunikation, wenn es um wichtige Dinge geht. Deshalb verwende ich am PC und Notebook GnuPG zur Verschlüsselung und digitalen Signatur von E-Mails. Was viele nicht wissen: Das geht auch am Smartphone, zumindest wenn es mit Android angetrieben wird.

Ich lege bekanntlich Wert auf sichere Kommunikation, wenn es um wichtige Dinge geht. Deshalb verwende ich am PC und Notebook GnuPG zur Verschlüsselung und digitalen Signatur von E-Mails. Was viele nicht wissen: Das geht auch am Smartphone, zumindest wenn es mit Android angetrieben wird.

Der Dave hat ja vor einiger Zeit hier schon mal beschrieben, wie man GnuPG am PC einrichtet. Deshalb gehe ich da auch nicht weiter drauf ein. Ich beschränke mich hier auf die Einrichtung von K-9 Mail und AGP auf dem Androiden.

APG
Entwickler: Thialfihar
Preis: Kostenlos

Als erstes wird sie App „APG” eingerichtet: APG sorgt für die Kommunikation mit den Keyservern und den Abgleich der Signaturen. Nachdem die App aus dem Play Store installiert ist, kopiert ihr das Verzeichnis .gnupg aus eurem Home-Verzeichnis am PC auf die Speicherkarte des Smartphone, und nehmt per Umbenennen den Punkt am Anfang weg. Jetzt habt ihr alle Schlüssel, eure privaten ebenso wie die ganzen gesammelten öffentlichen, ab Handy verfügbar.

Startet nun APG auf dem Androiden, drückt die Menütaste und wählt dann „Private Schlüssel verwalten”. Wenn ihr jetzt noch mal auf Menü drückt, könnt ihr entweder einen neuen Schlüssel erstellen, wenn ihr am Phone einen eigenen verwenden wollt, oder ihr importiert euren vorhandenen (oder auch mehrere) Schlüssel. Ich bevorzuge den letzten Weg, da meine Kommunikationspartner nur einen Schlüssel von mir benötigen. Im folgenden Dialog wählt das Verzeichnis aus, welches ihr eben vom PC aufs Handy kopiert habt. APG durchsucht das Verzeichnis, und importiert alle gefundenen privaten Schlüssel.

Damit ihr zum Abgleich von Signaturen und zum Versenden von verschlüsselten Mails die öffentlichen Keys eurer Kommunikationspartner zur Verfügung habt, müssen die natürlich auch importiert werden. Kehrt dazu wieder zum Startbildschirm von APG zurück und drückt auf die Menütaste. Jetzt ist die Wahl „Öffentliche Schlüssel verwalten”, die weiteren Schritte sind mit dem Import der privaten Schlüssel identisch.

Damit ist APG soweit abgeschlossen, dass wir es im Normalfall nicht mehr direkt anrühren. Jetzt geht es jetzt an die Integration ins Mailprogramm.

K-9 Mail
Entwickler: K-9 Dog Walkers
Preis: Kostenlos

Sowohl Google Mail, als auch Android-Mail unterstützen keine Drittprogramme oder Plugins, so dass wir auf K-9 Mail umsteigen. Hier lassen sich beliebig viele Mailkonten einrichten und via IMAP oder POP3 abrufen. K-9 unterstützt MS Exchange und WebDAV, beherrscht IMAP Push Mail und eben auch Verschlüsselung und Signatur über Drittanwendungen. Wie z.B. APG.

Ihr findet dazu in den Kontoeinstellungen den Menüpunkt „Kryptographie”. Hier wählt ihr als OpenPGP Provider APG aus und entscheidet, ob ihr Mails standardmäßig signieren und/oder verschlüsseln wollt. Ich signiere automatisch, verschlüssele aber nur manuell bei Bedarf.

K-9 Mail verfassen
K-9 Mail beim Verfassen einer neuen Mail. Bei mir ist sie Signatur ausgewählt, Verschlüsselung nicht.
Beim Verfassen einer neuen Mail findet ihr nun zwei Optionen: Signieren und Verschlüsseln. Wenn sich die Mailadresse des Absenders im Schlüssel wiederfindet, wird zum Signieren automatisch der richtige Schlüssel angeboten. Da ich automatisch signiere, ist hier der Haken bereits gesetzt.

Möchte ich eine Mail verschlüsseln, setze ich den entsprechenden Haken. Wenn anhand der Empfängeradresse ein Key zum Verschlüsseln identifiziert werden kann, wird dieser automatisch eingesetzt. Ansonsten zeigt K-9 einen Dialog, in dem der korrekte Schlüssel ausgewählt werden kann.

Beim Senden der Mail werdet ihr nach der Passphrase für euren privaten Schlüssel gefragt.

Wenn eine signierte Mail kommt, zeigt K-9 in der Mail-Ansicht einen „Verifizieren”-Button, über den APG aufgerufen wird. Ist der Schlüssel des Absenders bereits im eigenen Schlüsselbund vorhanden, wird direkt verglichen und das Ergebnis angezeigt. Also korrekte Signatur oder inkorrekte Signatur.

Ist der Schlüssel noch nicht im eigenen Schlüsselbund, bietet APG an, die Schlüsselserver zu durchsuchen. Wird dort der passende Schlüssel gefunden, wird der Import angeboten, wie man es auch vom PC her kennt. Nach erfolgreichem Import wird sie Signatur wie gewohnt verifiziert und das Ergebnis wie oben beschrieben angezeigt.

Erreicht euch eine verschlüsselte Mail, seht ihr in der Mailansicht von K-9 einen Haufen Buchstabensalat. Normalerweise werdet ihr automatisch nach der Passphrase für euren privaten Key gefragt, um die Mail zu entschlüsseln. Wenn nicht, tappt auf den „Entschlüsseln”-Button. APG sollte nun die Mail entschlüsseln, und K-9 zeigt euch den Klartext an.

Wie ihr seht, ist die vertrauliche Mail-Kommunikation auch am Android-Smartphone recht einfach zu bewerkstelligen, wenn man sich einmal zum Umstieg auf eine andere Mail-App und zur Einrichtung von APG durchgerungen hat. Danach läufts eigentlich von ganz alleine.

Kommunikationsverschlüsselung: GPG

Heute schreibe ich über E-Mails, deren latente Unsicherheit und wie man daraus noch etwas ordentliches macht.

Zunächst einmal sollte man wohl beim Thema E-Mails ansetzen. Eine E-Mail ist, wie der Name schon sagt, eine elektronisch versendete Nachricht. Die Einzelheiten dazu findet ihr hier und hier.

Die Besonderheit dabei ist, dass E-Mails mitnichten mit Briefen gleichzusetzen sind, wie allenthalben angenommen wird. Vielmehr sind E-Mails das digitale Äquivalent zur Postkarte: Billig, schnell und lesbar von jedem, der sie auf dem Weg vom Sender zum Empfänger in die Hände bekommt. Mit ein wenig Geschick sind sie sogar manipulierbar und bergen damit ein großes Potenzial für Misslichkeiten aller Arten.

Dagegen hilft nicht viel, die einzige Möglichkeit um aus einer Postkarte eine sichere (siehe dazu auch einen älteren Eintrag) Möglichkeit zur Kommunikation zu machen ist, sie in einen Umschlag zu stecken und den Umschlag zu versiegeln. Wird das Siegel gebrochen weiß der Empfänger, dass die Nachricht nicht mehr in dem Zustand ist, in dem sie den Sender verlassen hat.

Das gleiche kann man problemlos auch bei E-Mails tun: Umschläge und Siegel benutzen.

Dazu installiert man sich das FOSS-Programm GPG, mit dessen Hilfe man sich die Umschläge und das Siegel selbst bauen kann. In den meisten Linux-Distributionen zählt GPG als Bordmittel und ist dementsprechend vorinstalliert. Der Grund dafür ist, dass GPG weit mehr kann, als nur E-Mails verschlüsseln. Was das ist kann man bei Interesse auf der Projektwebsite nachlesen.

Im Interesse der Benutzerfreundlichkeit empfehle ich außerdem, das Programm „Mozilla Thunderbird“ sowie dessen Extension „Enigmail“ zu installieren. Beides ist in den Debian-Repositories hinterlegt.

Wenn alles installiert ist könnt ihr loslegen. Eine bebilderte Schritt-für-Schritt-Anleitung, die selbst der letzte n00b verstehen sollte findet ihr hier.

Ich möchte gar nicht viel zum eigentlichen Einrichten sagen, da ich finde, dass das die Jungs vom CryptoCD-Team verdammt gut gelöst haben.

Zur Benutzung möchte ich euch allerdings einige Hinweise an die Hand geben.

Stellt euch die Technik vor, als würdet ihr jedem, der euch eine Nachricht schicken möchte, einen Stapel Stahlkisten zuschicken. Jede dieser Stahlkisten hat ein Schloss, das nur mit einem bestimmten Schlüssel zu öffnen ist. Diesen Schlüssel habt ihr allein. Wenn ein Freund euch jetzt eine Nachricht schicken will, nimmt er eine dieser Stahlkisten von seinem Stapel und steckt die Nachricht hinein. Dann schlägt er die Tür zu. Ab jetzt kann die Kiste nur noch mit dem richtigen Schlüssel geöffnet werden. Jetzt setzt sich der Bote ans Steuer seines LKW und fährt die Kiste zu euch. Ihr macht die Kiste auf und  siehe da – die Nachricht hat euch erreicht, ohne, dass jemand anderes sie lesen oder verändern konnte. Und damit ihr sicher sein könnt, dass die Nachricht auch von eurem Freund kommt, hat der sie unterschrieben und sein Siegel auf der Nachricht hinterlassen. Für die Antwort nehmt ihr eine Stahlkiste vom Stapel, den er euch geschickt hat und los gehts.

Prinzip klar? Wunderbar.

Dann noch einige Sicherheitshinweise:

1. Erstellt ein Backup eures geheimen Schlüssels an einem sicheren Ort. Wenn der Schlüssel verloren geht könnt ihr alle damit verschlüsselten E-Mails abschreiben.

2. Gebt den Schlüssel nicht aus der Hand. Jeder, der Zugriff auf den Schlüssel hat, kann in eurem Namen E-Mails verschicken. Und eure E-Mails lesen.

3. Unterstützt das Web of Trust der GPG-Nutzer und geht zu Keysigning-Partys oder veranstaltet selbst welche. Wenn ihr Hilfe braucht meldet euch bei mir.

4. Verschlüsselt so viele Nachrichten wie möglich und helft so, den Umschlag als Standard zu etablieren und die Postkarte zur Ausnahme zu machen.

Falls noch Fragen offen sind meldet euch in den Kommentaren.

Anmerkung: Das Bild zeigt eine graphische Darstellung meines GPG-Web-of-Trust. Erstellt wurde die Darstellung mit sig2dot und springgraph, vielen Dank an Darxus für diese epischen Tools!

So eine Mail ist ne Frechheit

Eben bekam ich Post von Microsoft, weil ich einen Account in deren Live-Portal (u.A. Live Messenger) habe. Nur lesen kann ich diese Mail nicht vernünftig…

Eben bekam ich Post von Microsoft, weil ich einen Account in deren Live-Portal (u.A. Live Messenger) habe. Nur lesen kann ich diese Mail nicht vernünftig, denn mein Thunderbird/Icedove ist auf Reintext eingestellt. So sieht die Mail dann aus:
„So eine Mail ist ne Frechheit“ weiterlesen

E-Mails von entferntem Konto abholen

Es ist soweit! Man hat endlich auf seinem neuen Linux-Rechner sein E-Mail-Konto eingerichtet und möchte auch dieses nur mit seinem Mailprogramm (zum Beispiel Mozilla Thunderbird) abrufen. Bei Freemailern (z. B. web.de, gmx.de, usw.) existiert aber auch noch ein Mailkonto, welches man ebenfalls abfragen möchte.
Dazu sollte man einen Sammeldienst einrichten, der die Mails von entfernten Konten holt und in das eigene Mail-Postfach auf dem lokalen Rechner einordnet.

TuxEs ist soweit! Man hat endlich auf seinem neuen Linux-Rechner sein E-Mail-Konto eingerichtet und möchte auch dieses nur mit seinem Mailprogramm (zum Beispiel Mozilla Thunderbird) abrufen. Bei Freemailern (z. B. web.de, gmx.de, usw.) existiert aber auch noch ein Mailkonto, welches man ebenfalls abfragen möchte.

Dazu sollte man einen Sammeldienst einrichten, der die Mails von entfernten Konten holt und in das eigene Mail-Postfach auf dem lokalen Rechner einordnet.

Das Programm, welches wir hierzu benötigen, heißt fetchmail und wird üblicherweise über die Kommandozeile aufgerufen. Die Konfiguration geschieht über die versteckte (dotted) Textdatei „.fetchmailrc„, die sich im Verzeichnis des Benutzers befinden sollte.

Als Beispiel nehmen wird einen fiktiven User an, der ein Konto bei web.de abfragen möchte. So müsste dann der Inhalt der .fetchmailrc aussehen:

#########################################################################
# Datei   : .fetcmailrc
# Funktion: Die automatische Abholung von Mails auf entfernten
#           Servern.
#########################################################################
 
#############################
# Server und Protokoll #
#############################
 
# Domainname des Mailservers
server pop3.web.de
 
# das verwendete E-Mail Protokoll (POP, POP2, POP3, IMAP4,
# NTLM (MS Exchange Server), Kerberos).
proto pop3
 
#############################
# Benutzername und Password #
#############################
 
# Benutzername
user "ich_der_user"
 
# Password
pass "mein_geheimes_passwort"
 
#############################
# Zielpostfach / Optionen #
#############################
 
# Zielpostfach / Benutzername
to "lokaler_benutzername_auf_dem_linux_pc"
 
# Diese Option bewirkt, dass Mails auf dem Server belassen werden.
# Existiert diese Option nicht, werden alle Mails auf dem
# Quellserver gelöscht.
#keep
 
# Auch bereits im Zielpostfach gelesene Mails abholen.
fetchall
 
# Die Mails verschlüsselt vom Zielserver holen (Wenn vom Zielserver
# unterstützt, dann Port 995).
# Dieses sollte man beim Provider erfragen oder natürlich die FAQ
# lesen!
#ssl
 
#########################################################################
#
#########################################################################

Nun sollte man sich als der User einloggen, in dessen Verzeichnis die Konfigurationsdatei fetchmailrc liegt. Anschließend muss man noch durch den Aufruf von ./fetchmail den Abrufvorgang starten.

Funktioniert nun alles so wie gewünscht, kann der Parameter keep auskommentiert werden. Jetzt ist es sinnvoll, diesen Abrufvorgang automatisch zu starten. Dazu muss fetchmail als Daemon gestartet werden.

fetchmail -–deamon xxx
Der Wert xxx legt die Zeitspanne in Sekunden fest.

fetchmail -–deamon xxx --syslog -f configfile
Alternative: Der Wert xxx legt die Zeitspanne in Sekunden fest. syslog sorgt dafür, das Meldungen in das Systemlog geschrieben werden. Der Parameter „f“ ermöglicht es, eine andere Konfigurationsdatei statt fetchmailrc anzugeben.

fetchmail ––quit
Dieser Aufruf beendet den Daemonmodus. Auch ein Aufruf über einen Cronjob oder der Einsatz eines Initscriptes wäre denkbar.

30 Jahre Dosenfleisch

DosenfleischIch bin eben bei Prinzzess auf einen Artikel bei Spiegel Online aufmerksam geworden. Dort wird ein Computerhändler „gewürdigt“, vor 30 Jahren (am 3. Mai 1978) die erste Spam-Email versendet zu haben. Mit 600 Mails erreichte er 20% der damaligen Nutzer des Internet bzw. dessen Vorläufers „Apranet“. Daraufhin soll er Computer im Wert von 12 Millionen Dollar verkauft haben.

Was so erfolgreich ist, muss doch kopiert werden. Also jagen heute über 100 Milliarden Spam-Mails täglich über die Datenautobahn Vielen Dank, Gary Thuerk :evil: