Verschlüsselung (Mail / Dateien)

ppm versucht unsere Kommunikation (datenschutz-) sicherer und dennoch komfortabel zu machen.

Deshalb nutze ich für E-Mails primär meine E-Mail-Adresse bei a. Posteo e.K. (externer Link).

ppm-frankfurt@posteo.de

Die Mails über posteo müssen zudem einen positiven SPF- und DKIM-Eintrag aufweisen und sind regelmäßig von mir mit OpenPGP oder S/MIME signiert (wenn diese nicht von meinem Handy verschickt werden).

Posteo legt gem. deren Darstellung u. A. sehr hohen Wert auf Verschlüsselung, Datenschutz und Nachhaltigkeit (externe Links).

Dort würde ihre Mail direkt beim Eintreffen in den Posteo-Mail-Server automatisch mit einem individuellem Passwort verschlüsselt, so dass es angeblich auch für posteo extrem schwer sei, die dort liegenden Daten einzusehen.

Um es sicherheitstechnisch noch weiter treiben, könnten Sie mir bspw. auch per PGP / OpenPGP bzw. S/MIME (X.509) asynchron verschlüsselte E-Mails auf meine normalen E-Mail-Adressen ppm-frankfurt@posteo.de oder ppm@ppm-frankfurt.de oder ... zukommen lassen.

Allerdings kann man mit diesen Zertifikaten auch einzelne normale Dateien für sich selbst oder andere Empfänger (deren öffentliche Schlüssel man besitzt) verschlüsseln. Das kann bspw. bei einem File-Upload auf einen Upload-Server oder Speichern auf einen USB-Stick etc... interessant sein.

Bitte wenden Sie sich bei Rückfragen ruhig an mich.

Voraussetzung für diese Art von Verschlüsselung ist, dass Sie über ein eigenes PGP / OpenPGP-Schlüsselpaar und/oder S/MIME-Schlüsselpaar verfügen, welches üblicherweise jeweils für eine bestimmte E-Mail-Adresse (Ihre E-Mail-Adresse) erzeugt wird.
Dieses besteht aus einem Privaten Schlüssel/Zertifikat und einem Öffentlichen Schlüssel/Zertifikat sowie ggf. über ein Widerrufs-Schlüssel/Zertifikat.

Während Sie den den Privaten Schlüssel und das Widerrufszertifikat sicher bei sich verwahren und niemanden Anderen zur Verfügung stellen sollten, sind für die asynchrone Verschlüsselung die öffentlichen Schlüssel zwischen den jeweiligen Parteien auszutauschen.

Der Austausch des Öffentlichen Schlüssels erfolgt in der Regel durch allgemeine Veröffentlichung, wie bspw. durch Anhängen an die E-Mail, Wiedergabe auf der Homepage oder Hochladen auf einen Schlüsselserver (letzteres bei S/MIME eher unüblich, aber auch möglich).

Ser-Nr:     0xE65C9200542D21EC

SHA-1:     EDEC 828E 8E39 40CE 314B 85A6 E65C 9200 542D 21EC

Ser-Nr:     77:FC:84:B7:AA:98:67:F9:92:83:D5:B1:A0:54:AB:35:DC:D5:DD:62

SHA-256: C6:6E:75:5F:79:86:7A:51:74:87:63:D6:85:1C:72:7E:92:83:D8:A8:3C:92:AF:11:2B:C2:6B:6E:2B:AE:0D:A7

SHA-1:     5A:92:FB:21:17:3C:79:C2:DB:65:5B:EF:EC:04:00:6C:63:B9:7B:5A

SwissSign hat einen Link bei Problemen mit deren Signaturen veröffentlicht ("Warum erscheinen bei manchen Kunden Zertifikate nicht als vertrauenswürdig?"):

https://www.swisssign.com/support/faq.html

Ser-Nr:     0xB74CC146EB1C7CA9

SHA-1:     417E 3535 4E6A 1F4F 3304 F4EA B74C C146 EB1C 7CA9

Ser-Nr:     70:CB:61:70:8A:78:13:2A:01:AE:E4:F8

SHA-256: 13:10:66:AB:5B:7A:4B:60:8E:0E:08:1F:BF:1A:CF:08:6A:FC:90:2B:FE:15:23:41:B2:37:83:C4:9A:A2:BF:37

SHA-1:     20:DE:C2:F2:AC:9F:88:13:39:EC:EA:5C:73:6A:15:39:C0:8B:E0:9D

Es ist geboten, sich von der Echtheit der Zertifikate zu überzeugen. Diese verfügen hierfür über einen oder mehrere digitale "Fingerabdrücke" die man zwischen den Zertifikaten beim Absender und Empfänger abgleichen kann (siehe auch oben).

Vorangehend benannte ich Ihnen zwar die Fingerabdrücke meiner Zertifikate, warne aber gleich, dass dies nicht der perfekte Weg zur absoluten Verifikation der Zertifikate ist, denn diese Homepage könnte ja bereits von Dritten manipuliert worden sein.

Üblicherweise werden deshalb Fingerabdrücke über einen unabhängigen, sicheren Kommunikationsweg, bspw. per Telefon, Telefax, (sicherem) Messenger (bspw. Threema, Signal, TeleGuard), postalisch oder persönlich abgeglichen, wenn man auf Nummer sicher gehen will.

Bei S/MIME (X.509) erfolgt die Überprüfung auch durch hierarchische Vertrauensstrukturen über Trust-Center (über die Installation deren Stamm-Zertifikaten (viele davon sind bereits in aktuellen E-Mail-Clients implementiert)) und OCSP-Abfragen mit Sperrlisten.

OpenPGP-Zertifikate können in der Regel einfach kostenfrei selbst erstellt werden.
Ich verwende hierzu bspw. die internen PGP-Funktionalitäten von Thunderbird.

Alternativ nutze ich bspw. auch das kostenfreie Windows-Tool GPG4Win (https://gpg4win.de/get-gpg4win-de.html), welches vom Bundesamt für Sicherheit und Informationstechnik (BSI) beauftragt wurde und auch mit vielen Outlook-Versionen zusammenarbeiten soll (Ich selbe benutze kein Outlook).

S/MIME (X.509)-Zertifikate werdenin der Regel kostenpflichtig von Trust-Centern erstellt.

(Eine private Generierung ist prinzipiell (relativ unkomfortabel) möglich, dürfte aber höchstens für die Kommunikation in einem festen, sehr vertrautem Nutzerkreis sinnvoll sein. Ich benutze diese aktuell nur intern innerhalb meiner IT-Struktur.)

Allerdings gibt es ggf. auch (aktuell) kostenlose Class1-Zertifikate (bspw.) von DGNCert (externer Link), wenn man es bspw. nur kurz ausprobieren will (Laufzeit 1Jahr).

Auch Posteo.de (externer Link) bietet für seine Kunden die recht unkompliziertze Erstellung eines recht preiswerten S/MIME-Zertifikats (Laufzeit 1 Jahr) an.

Die professionellen S/MIME-Zertifikate werden von den meisten aktuellen E-Mail-Clients sowie einigen Office-Programmen und Betriebssystemen nativ unterstützt, wobei bereits auch viele Trust-Center bereits in die Zertifikat-Listen der meisten aktuellen E-Mail-Clients integriert sind, also am wenigsten technischer Aufwand besteht.

Ich habe deshalb bspw. mein eines Zertifikat über die SwissSign AG (externer Link) und das andere über die GlobalSign nv-sa (externer Link) erstellen lassen, um eine breitere Anerkennungsbasis zu erreichen.

Die Verifikation von S/MIME-Zertifikaten erfolgt hierarchisch über Root-Zertifikate.

Anbei die Verweise auf die Root-Zertifikate, über die meine Zertifikat verifiziert werden:

SwissSign AG (externer Link)

Gold G2

• Key-ID: 5B:25:7B:96:A4:65:51:7E:B8:39:F3:C0:78:66:5E:E8:3A:E7:F0:EE
• Serial: BB:40:1C:43:F5:5E:4F:B0
• Fingerprint (SHA2): 62:DD:0B:E9:B9:F5:0A:16:3E:A0:F8:E7:5C:05:3B:1E:CA:57:EA:55:C8:68:8F:64:7C:68:81:F2:C8:35:7B:95
• Download Cert PEM / DER
• Revocation List PEM / DER

SwissSign RSA SMIME Root CA 2021 - 1  (Cross Signed By Gold 2)

• Key-ID: 09:0C:BF:2A:A2:1D:04:24:0C:B2:F9:40:0A:41:C2:CF:5A:72:AA:80
• Serial: DE:4C:55:20:F6:DC:F4:02:1B:0F:11:54:F7:8D:10
• Fingerprint (SHA2): BC:8B:BD:7D:27:9D:2E:5F:07:0B:CE:F6:FA:F3:AA:B1:BE:F3:0D:A3:EB:28:75:42:42:95:AD:14:7F:2A:EF:07
• Download Cert PEM / DER
• Revocation List PEM / DER

SwissSign RSA SMIME LCP  ICA 2021 - 2

• Key-ID: FA:54:C0:82:A6:FE:96:BD:04:C7:5F:9F:5F:82:0C:3D:C3:95:4F:47
• Serial: 2C:5A:A9:D9:54:FD:B2:AB:96:AD:17:B6:5F:8C:F4
• Fingerprint (SHA2): 5C:FF:A8:DB:13:5F:91:33:63:AC:EB:7C:E3:62:D0:98:F3:C1:EB:D2:6C:63:C5:60:C0:95:38:1E:89:65:04:FA
• Download Cert PEM / DER
• Revocation List PEM / DER

GlobalSign nv-sa (externer Link)

GlobalSign Root R3 (SHA256 • RSA • 2048)

Valid until: 18 March 2029
Serial #: 04:00:00:00:00:01:21:58:53:08:a2
Thumbprint: d6:9b:56:11:48:f0:1c:77:c5:45:78:c1:09:26:df:5b:85:69:76:ad

GlobalSign nv-sa (externer Link)

GlobalSign GCC R3 PersonalSign 1 CA 2020 (SHA256 • RSA • 2048)

Valid until: March 18 2029
Serial #: 78:4a:a9:12:18:d1:a4:26:08:51:3c:d3:66:55:43:a3
Thumbprint: 23:9f:82:86:1b:67:67:12:02:52:81:f1:4b:70:56:45:cd:88:b4:c1

Aktuell verwende ich bspw. folgende Software im Kontext von Mail, Signatur/Verschlüsselung:

Mozilla Thunderbird als freien E-Mail-Client (Windows, Linux)

(Enigmail als freies Add-on in Mozilla Thunderbird - nun alles in Thunderbird integriert)

GnuPG als freies Kryptographiesystem (Winduws, Linux)

GPG4Win als freies Kryptographiesystem (Windows)

7-Zip als freie Kompressions-Software inkl. synchr. Verschlüsselungsmöglichkeiten

K-9 als freie Android-E-Mail-Client
OpenKeyChain als freie Android-PGP-Schlüssel-Verwaltung
(In Android nutze ich aus Sicherheitsabwägungen ggf. keine Signatur/Verschlüsselung)

Das Internet ist voll von schlüssigen und leicht verständlichen Anleitungen hierzu.

Mit den vorgenannten Tools und Verfahren können Sie auch einzelne Dateien oder Archive asynchron verschlüsseln.

Wenn Ihnen das alles zu kompliziert ist, können wir uns auch gerne unverbindlich über Wege einer vertrauensvollen Kommunikation, bspw. über eine synchrone Verschlüssung mit Standard-Programmen austauschen.

Beachten Sie bitte meine Datenschutzerklärung:

Generell versuche ich unter Sicherheits- und Datenschutzaspekten primär freie, quelloffene Open-Source-Software einzusetzen und properitäre Software und Betriebssysteme zu vermeiden bzw. deutlich einzuschränken. Bspw. kommen folgende Systeme, Software, Anbieter zum Einsatz. Alle Rechner sind vollständig verschlüsselt. Dort, wie erforderlich sind die entsprechenden Verträge zur Auftragsverarbeitung gem. DSGVO geschlossen.
Gerne können wir uns auch hierzu austauschen:

• Linux Mint (Desktop / Notebook)
• Lineage OS (Mobiltelefon)
• Libre Office (Office-Paket)
• Firefox (Browser)
• Chromium Ungoogled (Browser Linux, Windows)
• Fennec (Browser Android)
• Thunderbird (E-Mail Linux, Windows)
• K-9 Mail (E-Mail Android)
• Posteo (Anbieter E-Mail, Kalender, Adressen)
• mailbox.org (Anbieter Online-Meeting, E-Mail, Kalender, Adressen)
• DAVx5 (Kontaktsynchronisation Android)
• TeamBeam (File-Sharing)
• Open-Talk (Online-Meeting)
• Portknox (Next-Cloud, Online-Meeting, File-Sharing)
• luckycloud (Cloud-Dienste)
• Cryptomator (Verschlüsselung der Cloud)
• KeePassXC (Passwort-Safe)
• FreeCommander (Dateimanager Windows)
• 7-Zip (Packer, Verschlüsselung)
• FileZilla (SFTP)
• ClamAntivirus (Antivirus - Ergänzung)
• VLC (Medienbetrachtung)
• Signal (Messenger Android, Linux, Windows)
• Threema (Messenger Android, Linux, Windows)
• TeleGuard (Messenger Android, Linux, Windows)
• F-Droid (APK-Store Android)
• Offline Navigation (eigenes Gerät ohne Internetverbindung)
• ...

Insbesondere versuche ich auf folgende Systeme, Software, Anbieter zu verzichten bzw. deren Einsatz stark einzuschränken / deren Befugnisse zu reduzieren:

• Teams und andere Online-Meeting-Tools, ohne (für mich erkennbar) sauberen Datenschutz
• Microsoft, Apple, Google & Co
• WhatsApp (und andere Messenger dieser Couleur)
• GoogleMap (und andere Navigationen dieser Couleur)
• Soziale Netzwerke wie bspw. Facebook, Instagramm & Co
• Gmail & Co

Wundern Sie sich also nicht, wenn Sie mir keine WhatsApp schicken können, ich ihre taufrische Adresse nicht in meinem Offline-Navi finde, oder ....

Gerne biete ich also Alternativen für evtl. anstehende Online-Meetings an.

Lassen Sie uns in diesem Falle - oder einfach so - drüber sprechen ....

EXTERNE LINKS:

https://www.mozilla.org/de/thunderbird

https://www.enigmail.net

https://gnupg.org

https://www.gpg4win.de

https://posteo.de

https://www.bundesdruckerei.de

https://www.dgn.de