ppm versucht Ihre Kommunikation sicherer und dennoch komfortabel zu machen.
Deshalb nutze ich primär meine E-Mail-Adresse bei a. Posteo e.K. (externer Link).
Posteo legt u. A. sehr hohen Wert auf Verschlüsselung, Datenschutz und Nachhaltigkeit (externe Links).
Dort wird ihre Mail direkt beim Eintreffen in den Posteo-Mail-Server automatisch mit einem individuellem Passwort verschlüsselt, so dass es angeblich auch für posteo extrem schwer sei, die dort liegenden Daten einzusehen.
Um es noch weiter treiben, können Sie mir bspw. auch per PGP / OpenPGP bzw. S/MIME (X.509) asynchron verschlüsselte E-Mails auf meine normalen E-Mail-Adressen ppm-frankfurt@posteo.de oder ppm@ppm-frankfurt.de zukommen lassen.
Bitte wenden Sie sich bei Rückfragen ruhig an mich.
Voraussetzung für diese Art von Verschlüsselung ist, dass Sie über ein eigenes PGP / OpenPGP-Schlüsselpaar und/oder S/MIME-Schlüsselpaar verfügen, welche
üblicherweise jeweils für eine bestimmte E-Mail-Adresse erzeugt werden.
Dieses besteht aus einem Privaten Schlüssel/Zertifikat und einem Öffentlichen Schlüssel/Zertifikat sowie ggf. über ein Widerrufs-Schlüssel/Zertifikat.
Während Sie den den Privaten Schlüssel und das Widerrufszertifikat sicher bei sich verwahren und niemanden Anderen zur Verfügung stellen sollten, sind für die asynchrone Verschlüsselung die öffentlichen Schlüssel zwischen den jeweiligen Parteien auszutauschen.
Der Austausch des Öffentlichen Schlüssels erfolgt in der Regel durch Veröffentlichung, wie bspw. durch Anhängen an die E-Mail, Wiedergabe auf der Homepage oder Hochladen auf einen Schlüsselserver (letzteres bei S/MIME eher unüblich, aber auch möglich).
Ser-Nr: 0xE65C9200542D21EC
SHA-1: EDEC 828E 8E39 40CE 314B 85A6 E65C 9200 542D 21EC
Ser-Nr: 77:FC:84:B7:AA:98:67:F9:92:83:D5:B1:A0:54:AB:35:DC:D5:DD:62
SHA-256: C6:6E:75:5F:79:86:7A:51:74:87:63:D6:85:1C:72:7E:92:83:D8:A8:3C:92:AF:11:2B:C2:6B:6E:2B:AE:0D:A7
SHA-1: 5A:92:FB:21:17:3C:79:C2:DB:65:5B:EF:EC:04:00:6C:63:B9:7B:5A
SwissSign hat einen Link bei Problemen mit deren Signaturen veröffentlicht ("Warum erscheinen bei manchen Kunden Zertifikate nicht als vertrauenswürdig?"):
Ser-Nr: 0xB74CC146EB1C7CA9
SHA-1: 417E 3535 4E6A 1F4F 3304 F4EA B74C C146 EB1C 7CA9
Ser-Nr: 70:CB:61:70:8A:78:13:2A:01:AE:E4:F8
SHA-256: 13:10:66:AB:5B:7A:4B:60:8E:0E:08:1F:BF:1A:CF:08:6A:FC:90:2B:FE:15:23:41:B2:37:83:C4:9A:A2:BF:37
SHA-1: 20:DE:C2:F2:AC:9F:88:13:39:EC:EA:5C:73:6A:15:39:C0:8B:E0:9D
BXM3USKA
Verifiziert von threema über:
ppm@ppm-frankfurt.de
+49 162 2754458
Gerne können wir den "richtigen" QR-Code nochmals austauschen, wenn wir uns persönlich treffen.
Es ist geboten, sich von der Echtheit der Zertifikate zu überzeugen. Diese verfügen hierfür über einen oder mehrere digitale "Fingerabdrücke" die man zwischen den Zertifikaten beim Absender und Empfänger abgleichen kann.
Vorangehend benannte ich Ihnen zwar die Fingerabdrücke meiner Zertifikate, warne aber gleich, dass dies nicht der perfekte Weg zur Verifikation der Zertifikate ist, denn diese Homepage könnte ja von Dritten manipuliert worden sein.
Üblicherweise werden deshalb Fingerabdrücke über einen unabhängigen, sicheren Kommunikationsweg, bspw. per Telefon, Telefax, postalisch oder persönlich abgeglichen, wenn man auf Nummer 1000% sicher gehen will.
Bei S/MIME (X.509) erfolgt die Überprüfung auch durch hierarchische Vertrauensstrukturen über Trust-Center (über die Installation deren Stamm-Zertifikaten (viele davon sind bereits in aktuellen E-Mail-Clients implementiert)) und OCSP-Abfragen mit Sperrlisten.
OpenPGP-Zertifikate können in der Regel einfach kostenfrei selbst erstellt werden.
Ich verwende hierzu bspw. das Plattformunabhängige Addon Enigmail in meinem E-Mail-Client Thunderbird bzw. ab Version 102 die internen PGP-Funktionalitäten von
Thunderbird.
Alternativ nutze ich bspw. auch das kostenfreie Windows-Tool GPG4Win, welches vom Bundesamt für Sicherheit und Informationstechnik (BSI) beauftragt wurde und auch
mit vielen Outlook-Versionen zusammenarbeiten soll (Ich selbe benutze kein Outlook).
S/MIME (X.509)-Zertifikate werdenin der Regel kostenpflichtig von Trust-Centern erstellt.
Allerdings gibt es bspw. auch (aktuell) kostenlose Class1-Zertifikate von DGNCert (externer Link).
Diese S/MIME-Zertifikate werden von den meisten aktuellen E-Mail-Clients sowie einigen Office-Programmen und Betriebssystemen nativ unterstützt, wobei bereits auch viele Trust-Center bereits in die Zertifikat-Listen der meisten aktuellen E-Mail-Clients integriert sind, also am wenigsten technischer Aufwand besteht.
Ich habe bspw. mein eines Zertifikat über die SwissSign AG (externer Link) und das andere über die GlobalSign nv-sa (externer Link) erstellen lassen.
Die Verifikation von S/MIME-Zertifikaten erfolgt hierarchisch über Root-Zertifikate.
Anbei die Verweise auf die Root-Zertifikate, über die meine Zertifikat verifiziert werden:
SwissSign AG (externer Link)
Gold G2
SwissSign RSA SMIME Root CA 2021 - 1 (Cross Signed By Gold 2)
SwissSign RSA SMIME LCP ICA 2021 - 2
GlobalSign nv-sa (externer Link)
GlobalSign Root R3 (SHA256 • RSA • 2048)
Valid until: 18 March 2029
Serial #: 04:00:00:00:00:01:21:58:53:08:a2
Thumbprint: d6:9b:56:11:48:f0:1c:77:c5:45:78:c1:09:26:df:5b:85:69:76:ad
GlobalSign nv-sa (externer Link)
GlobalSign GCC R3 PersonalSign 1 CA 2020 (SHA256 • RSA • 2048)
Valid until: March 18 2029
Serial #: 78:4a:a9:12:18:d1:a4:26:08:51:3c:d3:66:55:43:a3
Thumbprint: 23:9f:82:86:1b:67:67:12:02:52:81:f1:4b:70:56:45:cd:88:b4:c1
Aktuell verwende ich bspw. folgende Software im Kontext von Mail, Signatur/Verschlüsselung:
Mozilla Thunderbird als freien E-Mail-Client (Windows, Linux)
(Enigmail als freies Add-on in Mozilla Thunderbird - nun alles in Thunderbird integriert)
GnuPG als freies Kryptographiesystem (Winduws, Linux)
GPG4Win als freies Kryptographiesystem (Windows)
7-Zip als freie Kompressions-Software inkl. synchr. Verschlüsselungsmöglichkeiten
K-9 als freie Android-E-Mail-Client
(In Android nutze ich aus Sicherheitsabwägungen keine Signatur/Verschlüsselung)
Das Internet ist voll von schlüssigen und leicht verständlichen Anleitungen hierzu.
Mit den vorgenannten Tools und Verfahren können Sie auch einzelne Dateien oder Archive asynchron verschlüsseln.
Wenn Ihnen das alles zu kompliziert ist, können wir uns auch gerne unverbindlich über Wege einer vertrauensvollen Kommunikation, bspw. über eine synchrone Verschlüssung mit Standard-Programmen austauschen.
Beachten Sie bitte meine Datenschutzerklärung:
Generell versuche ich unter Sicherheits- und Datenschutzaspekten primär freie, quelloffene Open-Source-Software einzusetzen und properitäre Software und Betriebssysteme zu vermeiden bzw. deutlich
einzuschränken. Bspw. kommen folgende Systeme, Software, Anbieter zum Einsatz. Alle Rechner sind vollständig verschlüsselt. Dort, wie erforderlich sind die entsprechenden Verträge zur
Auftragsverarbeitung gem. DSGVO geschlossen.
Gerne können wir uns auch hierzu austauschen:
Insbesondere versuche ich auf folgende Systeme, Software, Anbieter zu verzichten bzw. deren Einsatz stark einzuschränken / deren Befugnisse zu reduzieren:
Wundern Sie sich also nicht, wenn Sie mir keine WhatsApp schicken können, ich ihre taufrische Adresse nicht in meinem Online-Navi finde, oder ....
Lassen Sie uns in diesem Falle - oder einfach so - drüber sprechen ....
|
|
|