Kommunikationsverschlüsselung: GPG

Heute schreibe ich über E-Mails, deren latente Unsicherheit und wie man daraus noch etwas ordentliches macht.

Zunächst einmal sollte man wohl beim Thema E-Mails ansetzen. Eine E-Mail ist, wie der Name schon sagt, eine elektronisch versendete Nachricht. Die Einzelheiten dazu findet ihr hier und hier.

Die Besonderheit dabei ist, dass E-Mails mitnichten mit Briefen gleichzusetzen sind, wie allenthalben angenommen wird. Vielmehr sind E-Mails das digitale Äquivalent zur Postkarte: Billig, schnell und lesbar von jedem, der sie auf dem Weg vom Sender zum Empfänger in die Hände bekommt. Mit ein wenig Geschick sind sie sogar manipulierbar und bergen damit ein großes Potenzial für Misslichkeiten aller Arten.

Dagegen hilft nicht viel, die einzige Möglichkeit um aus einer Postkarte eine sichere (siehe dazu auch einen älteren Eintrag) Möglichkeit zur Kommunikation zu machen ist, sie in einen Umschlag zu stecken und den Umschlag zu versiegeln. Wird das Siegel gebrochen weiß der Empfänger, dass die Nachricht nicht mehr in dem Zustand ist, in dem sie den Sender verlassen hat.

Das gleiche kann man problemlos auch bei E-Mails tun: Umschläge und Siegel benutzen.

Dazu installiert man sich das FOSS-Programm GPG, mit dessen Hilfe man sich die Umschläge und das Siegel selbst bauen kann. In den meisten Linux-Distributionen zählt GPG als Bordmittel und ist dementsprechend vorinstalliert. Der Grund dafür ist, dass GPG weit mehr kann, als nur E-Mails verschlüsseln. Was das ist kann man bei Interesse auf der Projektwebsite nachlesen.

Im Interesse der Benutzerfreundlichkeit empfehle ich außerdem, das Programm “Mozilla Thunderbird” sowie dessen Extension “Enigmail” zu installieren. Beides ist in den Debian-Repositories hinterlegt.

Wenn alles installiert ist könnt ihr loslegen. Eine bebilderte Schritt-für-Schritt-Anleitung, die selbst der letzte n00b verstehen sollte findet ihr hier.

Ich möchte gar nicht viel zum eigentlichen Einrichten sagen, da ich finde, dass das die Jungs vom CryptoCD-Team verdammt gut gelöst haben.

Zur Benutzung möchte ich euch allerdings einige Hinweise an die Hand geben.

Stellt euch die Technik vor, als würdet ihr jedem, der euch eine Nachricht schicken möchte, einen Stapel Stahlkisten zuschicken. Jede dieser Stahlkisten hat ein Schloss, das nur mit einem bestimmten Schlüssel zu öffnen ist. Diesen Schlüssel habt ihr allein. Wenn ein Freund euch jetzt eine Nachricht schicken will, nimmt er eine dieser Stahlkisten von seinem Stapel und steckt die Nachricht hinein. Dann schlägt er die Tür zu. Ab jetzt kann die Kiste nur noch mit dem richtigen Schlüssel geöffnet werden. Jetzt setzt sich der Bote ans Steuer seines LKW und fährt die Kiste zu euch. Ihr macht die Kiste auf und  siehe da – die Nachricht hat euch erreicht, ohne, dass jemand anderes sie lesen oder verändern konnte. Und damit ihr sicher sein könnt, dass die Nachricht auch von eurem Freund kommt, hat der sie unterschrieben und sein Siegel auf der Nachricht hinterlassen. Für die Antwort nehmt ihr eine Stahlkiste vom Stapel, den er euch geschickt hat und los gehts.

Prinzip klar? Wunderbar.

Dann noch einige Sicherheitshinweise:

1. Erstellt ein Backup eures geheimen Schlüssels an einem sicheren Ort. Wenn der Schlüssel verloren geht könnt ihr alle damit verschlüsselten E-Mails abschreiben.

2. Gebt den Schlüssel nicht aus der Hand. Jeder, der Zugriff auf den Schlüssel hat, kann in eurem Namen E-Mails verschicken. Und eure E-Mails lesen.

3. Unterstützt das Web of Trust der GPG-Nutzer und geht zu Keysigning-Partys oder veranstaltet selbst welche. Wenn ihr Hilfe braucht meldet euch bei mir.

4. Verschlüsselt so viele Nachrichten wie möglich und helft so, den Umschlag als Standard zu etablieren und die Postkarte zur Ausnahme zu machen.

Falls noch Fragen offen sind meldet euch in den Kommentaren.

Anmerkung: Das Bild zeigt eine graphische Darstellung meines GPG-Web-of-Trust. Erstellt wurde die Darstellung mit sig2dot und springgraph, vielen Dank an Darxus für diese epischen Tools!

Natty Narwhal und Gnome 3

Ich bin ja eigentlich kein Freund des Gnome-Desktops, die GTK-Oberfläche ist mir eigentlich zu kantig. Trotzdem möchte ich hier kurz weitergeben, was ich eben drüben bei Schrottie gefunden habe: Die Schnellanleitung zur Installation von Gnome 3 unter Ubuntu 11.04 „Natty Narwhal”.

Wie unter Linux üblich reichen ein paar wenige Befehle in der Konsole:

sudo add-apt-repository ppa:gnome3-team/gnome3
sudo apt-get update
sudo apt-get dist-upgrade
sudo apt-get install gnome-shell

Für das schicke Design bzw. dessen Einrichtung ist dann noch dieses nötig:

sudo apt-get remove gnome-accessibility-themes
sudo apt-get install gnome-themes-standard
sudo apt-get gnome-tweak-tool

Im oben verlinkten Blog-Artikel gibts ein paar Bilder, wie es fertig aussieht. Auf den ersten Blick muss ich sagen: Hat was… :smoke:

Aptosid installiert

Aptosid-LogoIch habe eben sowohl am PC, als auch am Netbook die Kubuntu-Installation durch Aptosid ersetzt. Aptosid ist der Nachfolger von Sidux, und baut ebenso auf Debian Sid auf. Also habe ich hier immer die aktuellste Software.

Wenn ich das vernünftig zum Laufen bekomme, wird auf beiden Maschinen die parallel installierte Windows 7 Version verschwinden, und zumindest am Netbook gibts dann auch ne Neuinstallation mit verschlüsselten Laufwerken. So wie Dave es hier im Blog beschreibt.

Anyway, ich werde meine Erfahrungen hier posten. WLAN am Eee-PC läuft schon mal problemlos, auch wenn ich die Einrichtung erst suchen musste…

Sicherheit im IT-Bereich

Dies wird der Auftakt zu einer Artikelserie, in der ich euch erklären will, was man tun kann, um seine Sicherheit im Internet aber auch gegenüber physikalischen Zugriffen zu erhöhen.

Bitte beachtet dabei, dass Sicherheit im IT-Bereich genauso wie im echten Leben immer nur eine relative Sicherheit darstellen kann.

Jeder weiß, dass allein die Tatsache, dass eine Haustür vorhanden ist, keinen Einbrecher abhält. Sind dazu noch die Fenster vergittert, wird es zwar schon schwieriger, aber einen entschlossenen Gegner hält auch das nicht auf. Letztendlich kann es keine vollumfängliche Sicherheit geben. Man kann nur dafür sorgen, dass der zu erwartende Aufwand für den Einbrecher höher ist, als der zu erwartende Ertrag.

Genau das gleiche gilt für Computersicherheit. Wenn ihr dafür sorgt, dass der Zugriff auf eure Daten für jeden, den sie nichts angehen, so schwer wird, dass es sich nicht mehr lohnt habt ihr gewonnen.

Deshalb möchte ich euch in den folgenden Artikeln zeigen, wie ihr eure Zierhecken durch Betonmauern ersetzt, die Fenster vergittert und eine Stahltür einbaut.

Wenn ihr das geschafft habt machen wir mit Fallgruben, Selbstschussanlagen und ortsfesten Flammenwerfern weiter, um dafür zu sorgen, dass auch der Letzte die Lust verliert, jemals wieder an eure Besitztümer zu wollen.

Für sämtliche Artikel gilt: YMMV, ich übernehme keine Haftung und wenn jemand Verbesserungsvorschläge hat, nehme ich die gerne in den Kommentaren entgegen und pflege sie nach Prüfung ein. Sämtliche Artikel beziehen sich auf ein Debian GNU/Linux-System und ich werde keine Fragen zu anderen Betriebssystemen beantworten, da ich mich nur auf meinem Heimatsystem gut genug auskenne, um mir kompetente Hilfe zuzutrauen.

Die Reihenfolge wird sein:

Festplattenverschlüsselung: Warum?
Festplattenverschlüsselung: Wie? (Full-Disk-Encryption oder Container)
– Kommunikationsverschlüsselung: GPG
– Kommunikationsverschlüsselung: OpenVPN
– Kommunikationsverschleierung: Aufbau eines Darknet via Freenet
– Gegenangriff: Grundzüge eines erfolgreichen Gegenschlags

Bitte beachtet, dass die Artikel nach und nach erstellt werden. Wenn ihr konkrete Vorschläge zu einem noch nicht bearbeiteten Thema habt nehme ich diese sehr gern per E-Mail entgegen.

Viel Spaß beim Lesen und viel Erfolg beim Umsetzen der Maßnahmen.

Google Earth jetzt auch als .deb und .rpm

Google-EarthWie ich eben im GoogleWatchBlog gelesen habe, gibt es die Linuxversion von Google Earth neben der schon länger erhältlichen .bin-Datei zur Installation nun auch als .deb und .rpm. Beide sollen in einer 32bit- und einer 64bit-Version vorliegen.

Damit sehe ich es nur noch als Frage der Zeit, bis diese nette Software Einzug in irgendeinem Repo auftaucht. Zumindest für Debian/Ubuntu gibt es ja ein Google-Repository, in dem u.A. der Browser Chrome enthalten ist. Das würde sich da ja mal anbieten.

Auf jeden Fall erleichtern die .deb (u.a. Debian, Ubuntu) und .rpm (Fedora, SuSE) die Installation auf einem Linux-System. Mit der .bin-Datei hatte ich nämlich sowohl auf einem 32bit-, als auch auf einen 64bit-System Probleme. Google Earth ließ sich schlicht nicht mehr installieren…

Auf den Download-Seiten von Google sind nun alle Versionen erhältlich.

Nachtrag:
In oben verlinktem Artikel deuten die Kommentare auf Probleme mit dem Download der .deb- und .rpm-Dateien hin. Daher hier mal die direkten Doewnload-Links:

Debian 6 “Squeeze” vom USB-Stick installieren

UNetbootin unter Win7
UNetbootin unter Win7
Wer das neue Debian auf älterer Hardware ohne CD-ROM-Laufwerk, oder auf Netbooks installieren möchte, kann die heruntergeladenen ISO-Images auf CD oder DVD brennen, und dann ein USB-Laufwerk verwenden. Ist auch dieses nicht vorhanden, nimmt man einfach einen USB-Stick.

Zunächst gibt es das Tool „UNetbootin”, welches es für Linux und Windows gibt. Dieses Tool lad die gewünschte Distribution aus dem Netz, und kopiert sie bootfähig auf einen USB-Stick. Alternativ lassen sich auch bereits auf der Festplatte vorhandene ISO-Images auf den Stick befördern. Für Mausschubser ist das die ideale Lösung, schnell und komfortabel.

Natürlich gibt es auch die Option, über die Linux-Konsole einen bootfähigen USB-Stick zu erstellen. Die folgende Lösung fand ich vorhin drüben bei Uwe, der die 32bit-Netinstall-ISO für ein altes Notebook auf den kleinen Speicherfreund packte.

root@host:~# wget -N 
root@host:~# dd if=debian-6.0.0-i386-netinst.iso of=/dev/sdb
387380+0 Datensätze ein
387380+0 Datensätze aus
198338560 Bytes (198 MB) kopiert, 51,5801 s, 3,8 MB/s
root@host:~# sync

In beiden Varianten sind natürlich die Pfade an die lokalen Gegebenheiten anzupassen.

Maverick Meerkat, Eindrücke

Kubuntu-Icon neuJetzt habe ich seit ein paar Tagen Kubuntu 10.10 „Maverick Meerkat” sowohl auf dem PC, als auch auf dem Netbook laufen. Die ersten Eindrücke sind doch recht unterschiedlich.

Auf dem PC

Ich finde im Moment nicht die nötige Motivation, das System neu einzurichten. Dies wäre aber erforderlich, da ich hier eine Neuinstallation durchgeführt habe. Ein Update ließ sich nicht einspielen. Keine Ahnung, was da schief gelaufen ist…

Auf dem Netbook

Hier war ja zuvor keine Linux-Installation vorhanden, also musste hier eh ne Neuinstallation her. Genau wie auf dem PC habe ich Maverick parallel zum vorhandenen Windows 7 installiert. Nur hier werkelt im Gegensatz zum 64Bit-PC die 32bit-Netbook-Version, welche im DVD-Image enthalten ist. Und hier habe ich auch einiges an Einrichtung vorgenommen und Software nachinstalliert.

Das einzige, was mich wundert: Auf beiden Systemen finde ich in den Repos keine deutsche Lokalisierung für „The Gimp”. Eine deutsche Hilfe, die gibt es, das Programm selbst spricht aber nur englisch mit mir O.o

Ansonsten läuft hier mein Firefox, Thunderbird muss ich noch einrichten. TweetDeck funktioniert problemlos, nur Kopete und Skype verlangen noch Konfiguration bzw. Installation. Und ich brauche noch weitere Repos, die z.B. Opera oder die Google-Software (Picasa, Chrome, Earth) enthalten. Und je länger ich darüber nachdenke, desto mehr fällt mir ein, was noch fehlt… :denk:

Nur den UMTS-Stick habe ich hier noch nicht zum Laufen bekommen.

Insgesamt bin ich auf dem Netbook mit der Meerkat zufrieden. Wer tritt mich noch mal in den Hintern, dass ich das Zeug mal auf dem PC einrichte? :mrgreen:

Installation von deb-Paketen

LinuxBei diversen Linux-Distributionen (z. B. Debian, Ubuntu, Knoppix) wird der deb-Standard (Debian Package Manager) zur Installation von Software verwendet. Deshalb möchte ich hier die wichtigsten Optionen für den täglichen Gebrauch präsentieren.

Installation, Deinstallation, Update:

apt-get install archivname.deb
Installiert eine noch nicht vorhandene Software auf deinem Rechner.

apt-get update archivname.deb
Dieses Kommando verwenden ihr, um eine bereits installierte Software zu aktualisieren (Update).

apt-get remove archivname.deb
Hiermit entfernst du eine installierte Software von deinem Rechner.


Weitere Informationen entnimmst du bitte der deb-Manpage, den deb-HowTo’s oder den Informationen auf der Debian Webseite.

Welche Distri für’s Netbook?

Eee-PC-LogoDa ja nun die nächste Version von Ubuntu und dessen Varianten Kubuntu, Xubuntu und Edubuntu (gibt’s das eigentlich noch?) vor der Tür steht, will ich auch mein Netbook, den Asus Eee-PC 1005 HA-M, wieder mit den Pinguin betreiben. Aktuell läuft hier Windows 7.

Nun habe ich die Qual der Wahl der richtigen Distribution. Ubuntu scheidet eigentlich aus, weil ich den Gnome-Desktop nicht mag. Aber Kubuntu… Die normale Version? Oder lieber den Netbook Remix? Oder vielleicht was ganz anderes? Debian? Sidux? Suse? Fedora? O.o

Was meint Ihr? Was habt Ihr laufen? Wie sind Eure Erfahrungen?

Installation von rpm-Paketen

LinuxBei diversen Linux-Distributionen (z. B. Red Hat, OpenSuSE) wird der rpm-Standard (Red Hat Package Manager) zur Installation von Software verwendet. Deshalb möchte ich hier die wichtigsten Optionen für den täglichen Gebrauch präsentieren.

Installation, Deinstallation, Update:

rpm -ivh archivname.rpm
Installiert eine noch nicht vorhandene Software auf deinem Rechner.

rpm -Uvh archivname.rpm
Dieses Kommando verwenden ihr, um eine bereits installierte Software zu aktualisieren (Update).

rpm -ev archivname.rpm
Hiermit entfernst du eine installierte Software von deinem Rechner. Es muss hierbei die Reihenfolge der Abhängigkeiten beachtet werden!


Allgemeine Statusinformationen:

Diese Optionen überprüfen, ob bereits eine ältere Version des Programmes installiert ist und zeigen diverse Infotexte an.

rpm -q archivname.rpm
Diese Option zeigt, ob ein Programm installiert ist und welche Versionsnummer es trägt.

rpm -qi archivname.rpm
Gibt den Infotext des rpm-Archives aus, falls vorhanden.


Weitere Informationen entnimmst du bitte der rpm-Manpage, den rpm-HowTo’s oder den Informationen auf der RPM-Webseite.