Verschlüsselung (Mail / Dateien)

Und Allgemeines zur Sicherheit bei ppm ...

ppm versucht Ihre Kommunikation sicherer und dennoch komfortabel zu machen.

Deshalb nutze ich primär meine E-Mail-Adresse bei a. Posteo e.K. (externer Link).

Posteo legt u. A. sehr hohen Wert auf Verschlüsselung, Datenschutz und Nachhaltigkeit (externe Links).

Dort wird ihre Mail direkt beim Eintreffen in den Posteo-Mail-Server automatisch mit einem individuellem Passwort verschlüsselt, so dass es angeblich auch für posteo extrem schwer sei, die dort liegenden Daten einzusehen.

Um es noch weiter treiben, können Sie mir bspw. auch per PGP / OpenPGP bzw. S/MIME (X.509) asynchron verschlüsselte E-Mails auf meine normalen E-Mail-Adressen ppm-frankfurt@posteo.de oder ppm@ppm-frankfurt.de zukommen lassen.

Bitte wenden Sie sich bei Rückfragen ruhig an mich.

Voraussetzung für diese Art von Verschlüsselung ist, dass Sie über ein eigenes PGP / OpenPGP-Schlüsselpaar und/oder S/MIME-Schlüsselpaar verfügen, welche üblicherweise jeweils für eine bestimmte E-Mail-Adresse erzeugt werden.
Dieses besteht aus einem Privaten Schlüssel/Zertifikat und einem Öffentlichen Schlüssel/Zertifikat sowie ggf. über ein Widerrufs-Schlüssel/Zertifikat.

Während Sie den den Privaten Schlüssel und das Widerrufszertifikat sicher bei sich verwahren und niemanden Anderen zur Verfügung stellen sollten, sind für die asynchrone Verschlüsselung die öffentlichen Schlüssel zwischen den jeweiligen Parteien auszutauschen.

Der Austausch des Öffentlichen Schlüssels erfolgt in der Regel durch Veröffentlichung, wie bspw. durch Anhängen an die E-Mail, Wiedergabe auf der Homepage oder Hochladen auf einen Schlüsselserver (letzteres bei S/MIME eher unüblich, aber auch möglich).

OpenPGP-Schlüssel für ppm-frankfurt@posteo.de

Ser-Nr: 0xE65C9200542D21EC

SHA-1: EDEC 828E 8E39 40CE 314B 85A6 E65C 9200 542D 21EC

S/MIME (X.509)-Zertifikat für ppm-frankfurt@posteo.de

Ser-Nr: 77:FC:84:B7:AA:98:67:F9:92:83:D5:B1:A0:54:AB:35:DC:D5:DD:62

SHA-256: C6:6E:75:5F:79:86:7A:51:74:87:63:D6:85:1C:72:7E:92:83:D8:A8:3C:92:AF:11:2B:C2:6B:6E:2B:AE:0D:A7

SHA-1: 5A:92:FB:21:17:3C:79:C2:DB:65:5B:EF:EC:04:00:6C:63:B9:7B:5A

S/MIME (X.509)-Zertifikatskette für ppm-frankfurt@posteo.de

SwissSign hat einen Link bei Problemen mit deren Signaturen veröffentlicht ("Warum erscheinen bei manchen Kunden Zertifikate nicht als vertrauenswürdig?"):

https://www.swisssign.com/support/faq.html

OpenPGP-Schlüssel für ppm@ppm-frankfurt.de

Ser-Nr: 0xB74CC146EB1C7CA9

SHA-1: 417E 3535 4E6A 1F4F 3304 F4EA B74C C146 EB1C 7CA9

S/MIME (X.509)-Zertifikat für ppm@ppm-frankfurt.de

Ser-Nr: 70:CB:61:70:8A:78:13:2A:01:AE:E4:F8

SHA-256: 13:10:66:AB:5B:7A:4B:60:8E:0E:08:1F:BF:1A:CF:08:6A:FC:90:2B:FE:15:23:41:B2:37:83:C4:9A:A2:BF:37

SHA-1: 20:DE:C2:F2:AC:9F:88:13:39:EC:EA:5C:73:6A:15:39:C0:8B:E0:9D

S/MIME (X.509)-Zertifikatskette für ppm@ppm-frankfurt.de

Threema

BXM3USKA

threema://add?id=BXM3USKA

Verifiziert von threema über:

ppm@ppm-frankfurt.de

+49 162 2754458

Gerne können wir den "richtigen" QR-Code nochmals austauschen, wenn wir uns persönlich treffen.

Siehe auch Sichere Messenger

Es ist geboten, sich von der Echtheit der Zertifikate zu überzeugen. Diese verfügen hierfür über einen oder mehrere digitale "Fingerabdrücke" die man zwischen den Zertifikaten beim Absender und Empfänger abgleichen kann.

Vorangehend benannte ich Ihnen zwar die Fingerabdrücke meiner Zertifikate, warne aber gleich, dass dies nicht der perfekte Weg zur Verifikation der Zertifikate ist, denn diese Homepage könnte ja von Dritten manipuliert worden sein.

Üblicherweise werden deshalb Fingerabdrücke über einen unabhängigen, sicheren Kommunikationsweg, bspw. per Telefon, Telefax, postalisch oder persönlich abgeglichen, wenn man auf Nummer 1000% sicher gehen will.

Bei S/MIME (X.509) erfolgt die Überprüfung auch durch hierarchische Vertrauensstrukturen über Trust-Center (über die Installation deren Stamm-Zertifikaten (viele davon sind bereits in aktuellen E-Mail-Clients implementiert)) und OCSP-Abfragen mit Sperrlisten.

OpenPGP-Zertifikate können in der Regel einfach kostenfrei selbst erstellt werden.
Ich verwende hierzu bspw. das Plattformunabhängige Addon Enigmail in meinem E-Mail-Client Thunderbird bzw. ab Version 102 die internen PGP-Funktionalitäten von Thunderbird.

Alternativ nutze ich bspw. auch das kostenfreie Windows-Tool GPG4Win, welches vom Bundesamt für Sicherheit und Informationstechnik (BSI) beauftragt wurde und auch mit vielen Outlook-Versionen zusammenarbeiten soll (Ich selbe benutze kein Outlook).

S/MIME (X.509)-Zertifikate werdenin der Regel kostenpflichtig von Trust-Centern erstellt.

Allerdings gibt es bspw. auch (aktuell) kostenlose Class1-Zertifikate von DGNCert (externer Link).

Diese S/MIME-Zertifikate werden von den meisten aktuellen E-Mail-Clients sowie einigen Office-Programmen und Betriebssystemen nativ unterstützt, wobei bereits auch viele Trust-Center bereits in die Zertifikat-Listen der meisten aktuellen E-Mail-Clients integriert sind, also am wenigsten technischer Aufwand besteht.

Ich habe bspw. mein eines Zertifikat über die SwissSign AG (externer Link) und das andere über die GlobalSign nv-sa (externer Link) erstellen lassen.

Die Verifikation von S/MIME-Zertifikaten erfolgt hierarchisch über Root-Zertifikate.

Anbei die Verweise auf die Root-Zertifikate, über die meine Zertifikat verifiziert werden:

SwissSign AG (externer Link)

Gold G2

Key-ID: 5B:25:7B:96:A4:65:51:7E:B8:39:F3:C0:78:66:5E:E8:3A:E7:F0:EE
Serial: BB:40:1C:43:F5:5E:4F:B0
Fingerprint (SHA2): 62:DD:0B:E9:B9:F5:0A:16:3E:A0:F8:E7:5C:05:3B:1E:CA:57:EA:55:C8:68:8F:64:7C:68:81:F2:C8:35:7B:95
Download Cert PEM / DER
Revocation List PEM / DER

SwissSign RSA SMIME Root CA 2021 - 1 (Cross Signed By Gold 2)

Key-ID: 09:0C:BF:2A:A2:1D:04:24:0C:B2:F9:40:0A:41:C2:CF:5A:72:AA:80
Serial: DE:4C:55:20:F6:DC:F4:02:1B:0F:11:54:F7:8D:10
Fingerprint (SHA2): BC:8B:BD:7D:27:9D:2E:5F:07:0B:CE:F6:FA:F3:AA:B1:BE:F3:0D:A3:EB:28:75:42:42:95:AD:14:7F:2A:EF:07
Download Cert PEM / DER
Revocation List PEM / DER

SwissSign RSA SMIME LCP ICA 2021 - 2

Key-ID: FA:54:C0:82:A6:FE:96:BD:04:C7:5F:9F:5F:82:0C:3D:C3:95:4F:47
Serial: 2C:5A:A9:D9:54:FD:B2:AB:96:AD:17:B6:5F:8C:F4
Fingerprint (SHA2): 5C:FF:A8:DB:13:5F:91:33:63:AC:EB:7C:E3:62:D0:98:F3:C1:EB:D2:6C:63:C5:60:C0:95:38:1E:89:65:04:FA
Download Cert PEM / DER
Revocation List PEM / DER

GlobalSign nv-sa (externer Link)

GlobalSign Root R3 (SHA256 • RSA • 2048)

Valid until: 18 March 2029
Serial #: 04:00:00:00:00:01:21:58:53:08:a2
Thumbprint: d6:9b:56:11:48:f0:1c:77:c5:45:78:c1:09:26:df:5b:85:69:76:ad

GlobalSign nv-sa (externer Link)

GlobalSign GCC R3 PersonalSign 1 CA 2020 (SHA256 • RSA • 2048)

Valid until: March 18 2029
Serial #: 78:4a:a9:12:18:d1:a4:26:08:51:3c:d3:66:55:43:a3
Thumbprint: 23:9f:82:86:1b:67:67:12:02:52:81:f1:4b:70:56:45:cd:88:b4:c1

Aktuell verwende ich bspw. folgende Software im Kontext von Mail, Signatur/Verschlüsselung:

Mozilla Thunderbird als freien E-Mail-Client (Windows, Linux)

(Enigmail als freies Add-on in Mozilla Thunderbird - nun alles in Thunderbird integriert)

GnuPG als freies Kryptographiesystem (Winduws, Linux)

GPG4Win als freies Kryptographiesystem (Windows)

7-Zip als freie Kompressions-Software inkl. synchr. Verschlüsselungsmöglichkeiten

K-9 als freie Android-E-Mail-Client
(In Android nutze ich aus Sicherheitsabwägungen keine Signatur/Verschlüsselung)

Das Internet ist voll von schlüssigen und leicht verständlichen Anleitungen hierzu.

Mit den vorgenannten Tools und Verfahren können Sie auch einzelne Dateien oder Archive asynchron verschlüsseln.

Wenn Ihnen das alles zu kompliziert ist, können wir uns auch gerne unverbindlich über Wege einer vertrauensvollen Kommunikation, bspw. über eine synchrone Verschlüssung mit Standard-Programmen austauschen.

Beachten Sie bitte meine Datenschutzerklärung:

Generell versuche ich unter Sicherheits- und Datenschutzaspekten primär freie, quelloffene Open-Source-Software einzusetzen und properitäre Software und Betriebssysteme zu vermeiden bzw. deutlich einzuschränken. Bspw. kommen folgende Systeme, Software, Anbieter zum Einsatz. Alle Rechner sind vollständig verschlüsselt. Dort, wie erforderlich sind die entsprechenden Verträge zur Auftragsverarbeitung gem. DSGVO geschlossen.
Gerne können wir uns auch hierzu austauschen:

Linux Mint (Desktop / Notebook)
Lineage OS (Mobiltelefon)
Libre Office (Office-Paket)
Firefox (Browser)
Chromium (Browser)
Fennec (Browser Android)
Thunderbird (E-Mail)
K-9 Mail (E-Mail Android)
Posteo (Anbieter E-Mail, Kalender, Adressen)
DAVx5 (Kontaktsynchronisation Android)
TeamBeam (File-Sharing)
Portknox (Next-Cloud, Online-Meeting)
luckycloud (Cloud-Dienste)
Cryptomator (Verschlüsselung)
KeePassXC (Passwort-Safe)
FreeCommander (Dateimanager)
7-Zip (Packer, Verschlüsselung)
FileZilla /(FTP)
ClamAntivirus (Antivirus - Ergänzung)
VLC (Medienbetrachtung
Signal (Messenger Android, Linux, Windows)
Threema (Messenger Android, Linux, Windows)
TeleGuard (Messenger Android, Windows)
F-Droid (APK-Store Android)
Offline Navigation (eigenes Gerät ohne Internetverbindung)
...

Insbesondere versuche ich auf folgende Systeme, Software, Anbieter zu verzichten bzw. deren Einsatz stark einzuschränken / deren Befugnisse zu reduzieren: