Verschlüsselung (Mail / Dateien)

Und Allgemeines zur Sicherheit bei ppm ...

ppm versucht Ihre Kommunikation sicherer und dennoch komfortabel zu machen.

 

Deshalb nutze ich für E-Mails primär meine E-Mail-Adresse bei a. Posteo e.K. (externer Link).

 

ppm-frankfurt@posteo.de

 

Posteo legt gem. deren Darstellung u. A. sehr hohen Wert auf Verschlüsselung, Datenschutz und Nachhaltigkeit (externe Links).

 

Dort würde ihre Mail direkt beim Eintreffen in den Posteo-Mail-Server automatisch mit einem individuellem Passwort verschlüsselt, so dass es angeblich auch für posteo extrem schwer sei, die dort liegenden Daten einzusehen.

 

Um es sicherheitstechnisch noch weiter treiben, könnten Sie mir bspw. auch per PGP / OpenPGP bzw. S/MIME (X.509) asynchron verschlüsselte E-Mails auf meine normalen E-Mail-Adressen ppm-frankfurt@posteo.de oder ppm@ppm-frankfurt.de oder ... zukommen lassen.

 

Allerdings kann man mit diesen Zertifikaten auch normale Dateien für sich oder andere Empfänger (deren öffentliche Schlüssel man besitzt) verschlüsseln. Das kann bspw. bei einem File-Upload auf einen Upload-Server interessant sein.

 

Bitte wenden Sie sich bei Rückfragen ruhig an mich.

 

Voraussetzung für diese Art von Verschlüsselung ist, dass Sie über ein eigenes PGP / OpenPGP-Schlüsselpaar und/oder S/MIME-Schlüsselpaar verfügen, welches üblicherweise jeweils für eine bestimmte E-Mail-Adresse (Ihre E-Mail-Adresse) erzeugt wird.
Dieses besteht aus einem Privaten Schlüssel/Zertifikat und einem Öffentlichen Schlüssel/Zertifikat sowie ggf. über ein Widerrufs-Schlüssel/Zertifikat.

 

Während Sie den den Privaten Schlüssel und das Widerrufszertifikat sicher bei sich verwahren und niemanden Anderen zur Verfügung stellen sollten, sind für die asynchrone Verschlüsselung die öffentlichen Schlüssel zwischen den jeweiligen Parteien auszutauschen.

 

Der Austausch des Öffentlichen Schlüssels erfolgt in der Regel durch Veröffentlichung, wie bspw. durch Anhängen an die E-Mail, Wiedergabe auf der Homepage oder Hochladen auf einen Schlüsselserver (letzteres bei S/MIME eher unüblich, aber auch möglich).

Ser-Nr:     0xE65C9200542D21EC

SHA-1:     EDEC 828E 8E39 40CE 314B 85A6 E65C 9200 542D 21EC

Ser-Nr:     77:FC:84:B7:AA:98:67:F9:92:83:D5:B1:A0:54:AB:35:DC:D5:DD:62

SHA-256: C6:6E:75:5F:79:86:7A:51:74:87:63:D6:85:1C:72:7E:92:83:D8:A8:3C:92:AF:11:2B:C2:6B:6E:2B:AE:0D:A7

SHA-1:     5A:92:FB:21:17:3C:79:C2:DB:65:5B:EF:EC:04:00:6C:63:B9:7B:5A

SwissSign hat einen Link bei Problemen mit deren Signaturen veröffentlicht ("Warum erscheinen bei manchen Kunden Zertifikate nicht als vertrauenswürdig?"):

https://www.swisssign.com/support/faq.html

Ser-Nr:     0xB74CC146EB1C7CA9

SHA-1:     417E 3535 4E6A 1F4F 3304 F4EA B74C C146 EB1C 7CA9

Ser-Nr:     70:CB:61:70:8A:78:13:2A:01:AE:E4:F8

SHA-256: 13:10:66:AB:5B:7A:4B:60:8E:0E:08:1F:BF:1A:CF:08:6A:FC:90:2B:FE:15:23:41:B2:37:83:C4:9A:A2:BF:37

SHA-1:     20:DE:C2:F2:AC:9F:88:13:39:EC:EA:5C:73:6A:15:39:C0:8B:E0:9D

Threema

BXM3USKA

threema://add?id=BXM3USKA

 

Verifiziert von threema über:

ppm@ppm-frankfurt.de

+49 162 2754458

 

Gerne können wir den "richtigen" QR-Code nochmals austauschen, wenn wir uns persönlich treffen.

Es ist geboten, sich von der Echtheit der Zertifikate zu überzeugen. Diese verfügen hierfür über einen oder mehrere digitale "Fingerabdrücke" die man zwischen den Zertifikaten beim Absender und Empfänger abgleichen kann (siehe auch oben).

 

Vorangehend benannte ich Ihnen zwar die Fingerabdrücke meiner Zertifikate, warne aber gleich, dass dies nicht der perfekte Weg zur absoluten Verifikation der Zertifikate ist, denn diese Homepage könnte ja bereits von Dritten manipuliert worden sein.

 

Üblicherweise werden deshalb Fingerabdrücke über einen unabhängigen, sicheren Kommunikationsweg, bspw. per Telefon, Telefax, (sicherem) Messenger (bspw. Threema, Signal, TeleGuard), postalisch oder persönlich abgeglichen, wenn man auf Nummer sicher gehen will.

 

Bei S/MIME (X.509) erfolgt die Überprüfung auch durch hierarchische Vertrauensstrukturen über Trust-Center (über die Installation deren Stamm-Zertifikaten (viele davon sind bereits in aktuellen E-Mail-Clients implementiert)) und OCSP-Abfragen mit Sperrlisten.

OpenPGP-Zertifikate können in der Regel einfach kostenfrei selbst erstellt werden.
Ich verwende hierzu bspw. die internen PGP-Funktionalitäten von Thunderbird.


Alternativ nutze ich bspw. auch das kostenfreie Windows-Tool GPG4Win (https://gpg4win.de/get-gpg4win-de.html), welches vom Bundesamt für Sicherheit und Informationstechnik (BSI) beauftragt wurde und auch mit vielen Outlook-Versionen zusammenarbeiten soll (Ich selbe benutze kein Outlook).

S/MIME (X.509)-Zertifikate werdenin der Regel kostenpflichtig von Trust-Centern erstellt.

 

(Eine private Generierung ist prinzipiell (relativ unkofortabel) möglich, dürfte aber höchstens für die Kommunikation in einem festen, sehr vertrautem Nutzerkreis sinnvoll sein. Ich benutze diese aktuell nur intern innerhalb meiner IT-Struktur.)

 

Allerdings gibt es ggf. auch (aktuell) kostenlose Class1-Zertifikate (bspw.) von DGNCert (externer Link), wenn man es bspow. nur kurz ausprobieren will.

 

Die professionellen S/MIME-Zertifikate werden von den meisten aktuellen E-Mail-Clients sowie einigen Office-Programmen und Betriebssystemen nativ unterstützt, wobei bereits auch viele Trust-Center bereits in die Zertifikat-Listen der meisten aktuellen E-Mail-Clients integriert sind, also am wenigsten technischer Aufwand besteht.


Ich habe deshalb bspw. mein eines Zertifikat über die SwissSign AG (externer Link) und das andere über die GlobalSign nv-sa (externer Link) erstellen lassen, um eine breitere Anerkennungsbasis zu erreichen.


Die Verifikation von S/MIME-Zertifikaten erfolgt hierarchisch über Root-Zertifikate.

Anbei die Verweise auf die Root-Zertifikate, über die meine Zertifikat verifiziert werden:

 

SwissSign AG (externer Link)

 

Gold G2

  • Key-ID: 5B:25:7B:96:A4:65:51:7E:B8:39:F3:C0:78:66:5E:E8:3A:E7:F0:EE
  • Serial: BB:40:1C:43:F5:5E:4F:B0
  • Fingerprint (SHA2): 62:DD:0B:E9:B9:F5:0A:16:3E:A0:F8:E7:5C:05:3B:1E:CA:57:EA:55:C8:68:8F:64:7C:68:81:F2:C8:35:7B:95
  • Download Cert PEM / DER
  • Revocation List PEM / DER

 

SwissSign RSA SMIME Root CA 2021 - 1  (Cross Signed By Gold 2)

  • Key-ID: 09:0C:BF:2A:A2:1D:04:24:0C:B2:F9:40:0A:41:C2:CF:5A:72:AA:80
  • Serial: DE:4C:55:20:F6:DC:F4:02:1B:0F:11:54:F7:8D:10
  • Fingerprint (SHA2): BC:8B:BD:7D:27:9D:2E:5F:07:0B:CE:F6:FA:F3:AA:B1:BE:F3:0D:A3:EB:28:75:42:42:95:AD:14:7F:2A:EF:07
  • Download Cert PEM / DER
  • Revocation List PEMDER

 

SwissSign RSA SMIME LCP  ICA 2021 - 2

  • Key-ID: FA:54:C0:82:A6:FE:96:BD:04:C7:5F:9F:5F:82:0C:3D:C3:95:4F:47
  • Serial: 2C:5A:A9:D9:54:FD:B2:AB:96:AD:17:B6:5F:8C:F4
  • Fingerprint (SHA2): 5C:FF:A8:DB:13:5F:91:33:63:AC:EB:7C:E3:62:D0:98:F3:C1:EB:D2:6C:63:C5:60:C0:95:38:1E:89:65:04:FA
  • Download Cert PEM / DER
  • Revocation List PEMDER

 

GlobalSign nv-sa (externer Link)

 

GlobalSign Root R3 (SHA256 • RSA • 2048)

Valid until: 18 March 2029
Serial #: 04:00:00:00:00:01:21:58:53:08:a2
Thumbprint: d6:9b:56:11:48:f0:1c:77:c5:45:78:c1:09:26:df:5b:85:69:76:ad

 

GlobalSign nv-sa (externer Link)

 

GlobalSign GCC R3 PersonalSign 1 CA 2020 (SHA256 • RSA • 2048)

Valid until: March 18 2029
Serial #: 78:4a:a9:12:18:d1:a4:26:08:51:3c:d3:66:55:43:a3
Thumbprint: 23:9f:82:86:1b:67:67:12:02:52:81:f1:4b:70:56:45:cd:88:b4:c1

Aktuell verwende ich bspw. folgende Software im Kontext von Mail, Signatur/Verschlüsselung:

 

Mozilla Thunderbird als freien E-Mail-Client (Windows, Linux)

(Enigmail als freies Add-on in Mozilla Thunderbird - nun alles in Thunderbird integriert)

GnuPG als freies Kryptographiesystem (Winduws, Linux)

GPG4Win als freies Kryptographiesystem (Windows)

7-Zip als freie Kompressions-Software inkl. synchr. Verschlüsselungsmöglichkeiten

K-9 als freie Android-E-Mail-Client
(In Android nutze ich aus Sicherheitsabwägungen keine Signatur/Verschlüsselung)

 

Das Internet ist voll von schlüssigen und leicht verständlichen Anleitungen hierzu.

 

Mit den vorgenannten Tools und Verfahren können Sie auch einzelne Dateien oder Archive asynchron verschlüsseln.

 

Wenn Ihnen das alles zu kompliziert ist, können wir uns auch gerne unverbindlich über Wege einer vertrauensvollen Kommunikation, bspw. über eine synchrone Verschlüssung mit Standard-Programmen austauschen.

 

Beachten Sie bitte meine Datenschutzerklärung:

Generell versuche ich unter Sicherheits- und Datenschutzaspekten primär freie, quelloffene Open-Source-Software einzusetzen und properitäre Software und Betriebssysteme zu vermeiden bzw. deutlich einzuschränken. Bspw. kommen folgende Systeme, Software, Anbieter zum Einsatz. Alle Rechner sind vollständig verschlüsselt. Dort, wie erforderlich sind die entsprechenden Verträge zur Auftragsverarbeitung gem. DSGVO geschlossen.
Gerne können wir uns auch hierzu austauschen:

 

  • Linux Mint (Desktop / Notebook)
  • Lineage OS (Mobiltelefon)
  • Libre Office (Office-Paket)
  • Firefox (Browser)
  • Chromium Ungoogled (Browser)
  • Fennec (Browser Android)
  • Thunderbird (E-Mail Linux, Windows)
  • K-9 Mail (E-Mail Android)
  • Posteo (Anbieter E-Mail, Kalender, Adressen)
  • mailbox.org (Anbieter E-Mail, Kalender, Adressen)
  • DAVx5 (Kontaktsynchronisation Android)
  • TeamBeam (File-Sharing)
  • Open-Talk (Online-Meeting)
  • Portknox (Next-Cloud, Online-Meeting, File-Sharing)
  • luckycloud (Cloud-Dienste)
  • Cryptomator (Verschlüsselung)
  • KeePassXC (Passwort-Safe)
  • FreeCommander (Dateimanager)
  • 7-Zip (Packer, Verschlüsselung)
  • FileZilla (FTP)
  • ClamAntivirus (Antivirus - Ergänzung)
  • VLC (Medienbetrachtung
  • Signal (Messenger Android, Linux, Windows)
  • Threema (Messenger Android, Linux, Windows)
  • TeleGuard (Messenger Android, Linux, Windows)
  • F-Droid (APK-Store Android)
  • Offline Navigation (eigenes Gerät ohne Internetverbindung)
  • ...

Insbesondere versuche ich auf folgende Systeme, Software, Anbieter zu verzichten bzw. deren Einsatz stark einzuschränken / deren Befugnisse zu reduzieren:

  • Teams und andere Online-Meeting-Tools, ohne (für mich erkennbar) sauberen Datenschutz
  • Microsoft, Apple, Google & Co
  • WhatsApp (und andere Messenger dieser Couleur)
  • GoogleMap (und andere Navigationen dieser Couleur)
  • Soziale Netzwerke wie bspw. Facebook, Instagramm & Co
  • Gmail & Co

Wundern Sie sich also nicht, wenn Sie mir keine WhatsApp schicken können, ich ihre taufrische Adresse nicht in meinem Online-Navi finde, oder ....

 

Gerne biete ich also Alternativen für evtl. anstehende Online-Meetings an.

 

Lassen Sie uns in diesem Falle - oder einfach so - drüber sprechen ....

Hier finden Sie mich

ppm - pure proof münz
Dipl.-Ing. Jürgen Münz
Sachverständiger für Gebäudetechnik

Tannenkopfweg 31
60529 Frankfurt am Main

 

So erreichen Sie mich

Jürgen Münz

+49 69 66 12 41 30+49 69 66 12 41 30

+49 162 27 54 458

Faxen Sie mir unter:

+49 69 66 12 41 31

Mailen Sie mir unter:

ppm-frankfurt@posteo.de

oder nutzen Sie meine Messenger oder das Kontaktformular.

Beachten Sie bitte meine Datenschutzerklärung:

Druckversion | Sitemap
© 06.03.2024 Jürgen Münz
ppm - pure proof münz
Dipl.-Ing. Jürgen Münz
Sachverständiger für Gebäudetechnik

Anrufen

E-Mail

Anfahrt