Komisch, dass mir die Netflix-Algorithen erst jetzt Die Brücke – Transit in den Tod hereinpülten. Ganz außergewöhnliche schwedisch-dänische Krimi-Kost! Es gibt schon so viele Rezensionen, dass ich nicht noch mehr das Internet vollschreiben muss.

Nur eines: Die Heldin Saga Norén (Sofia Helin) „leidet“ in der Serie an einer Art Asperger-Syndrom. Das führt zu urkomischen Dialogen. Ich musste manchmal laut auflachen, was mir bei skandinavischen Filmen sonst nie passiert. Der dänische Kommissar Martin Rohde (Kim Bodnia) versucht, fröhlichen Smalltalk zu machen, weil „man das unter Kollegen so üblich ist“. Wenn sich aber jemand daraus nichts macht, wird es kompliziert, weil die Kommunikation irgendwie ins Leere läuft.

Szene: Die Norén und Rohde fahren Auto, minutenlang, und Rohda versucht etwas Nettes zu plaudern, weil man sich noch nicht kennt. Irgendwann fragt er, da seine Kollegin unentwegt stur aus dem Fenster blickt: „Hörst Du mir überhaupt zu?“ Sie: „Ich sitze doch neben Dir, warum sollte ich nicht zuhören?“ Rohde verschlägt es manchmal einfach die Sprache.

Oder: Die schwedische Kommissarin hat plötzlich Lust auf Sex. Sie geht in eine Bar, lächelt einen Kerl an. Der lächelt zurück und fragt: „Möchtest Du etwas trinken?“ Sie: „Nein.“ Er halb beleidigt ab. Sie hinter ihm her: „Warum lässt du mich einfach stehen?“ Er: „Äh?“ Sie: „Möchtest du Sex mit mir?“

Nach dem Liebesspiel setzt sie sich ins Bett und schaut auf dem Laptop zersäbelte Leichenteile an. Er wacht auf und fragt geschockt: „Was machst Du da?“ – „Ich bin bei der Kripo. Arbeit.“ Der Kerl flieht nach kurzer Zeit völlig konsterniert aus der Wohnung.

Natürlich kommt wieder Computer-Voodoo vor. Das Übliche: Wir haben da einen Nerd im Keller, der kann Passwörter knacken. Oder: Wenn etwas nicht funktioniert, ist es garantiert „ein Trojaner“. Da hat vermutlich irgendein Russe mit einer Nadel in ein Püppchen gestochen, und die „Trojaner“ machen sich auf den Weg und demolieren zielgerichtet Bits und Bytes. Vielleicht sollte man Drehbuch-Autoren mal in mein Seminar schicken, aber dann würde es weniger lustig in solchen Filmchen.

Höher, schneller, weiter, besser. Ich habe mir jetzt für meinen Hauptrechner eine Logitech C920 HD Pro Webcam (Link geht zu Amazon) besorgt. Ich war es leid, immer bei Videokonferenzen auf den Bildschirm meines Laptops hinunterstarren oder die Brille rauf- und runterschieben zu müssen. Außerdem ist der Monitor hier größer.

Ich war ein bisschen in Sorge. Bei Logitech kennt man wie gewohnt das Betriebssystem Linux nicht. Daher hatte ich mich vorher erkundigt, ob die Kamera kompatibel sei. Ist sie. Man muss natürlich wissen, wie man so etwas zum Laufen bringt – mit Cheese zum Beispiel.

Will man aber eine Konferenz mit BigBlueButton eröffnen, darf Cheese nicht aktiviert sein, beides zusammen funktioniert nicht. Die Kamera kann Aufnahmen von 2304×1536 Pixel, das ist ganz ordentlich.

Ich brauchte das Erfolgserlebnis , weil ich immer noch damit kämpfe, die App für mein Piano in Betrieb zu nehmen – das Gerät wird per USB-Kabel einfach nicht erkannt. I keep you informed.

Neues Tutorial auf der Website des Vereins German Privacy Fund: E-Mails verschlüsseln [Thunderbird Portable auf einem USB-Stick, Windows].

Liebe Studenten Studierende!
Im heutigen Seminar werde ich lehren, wie man verbirgt, dass man etwas verschlüsselt hat. Die Methode nennt man Steganografie: Steganografie ist die Wissenschaft, Informationen in einem Trägermedium verborgen zu speichern und zu übermitteln. Das Wort lässt sich auf die griechischen Bestandteile στεγανός steganós ‚bedeckt‘ und γράφειν gráphein ‚schreiben‘ zurückführen, bedeutet also wörtlich „bedeckt schreiben“ bzw. „geheimes Schreiben“.

Man kann zum Beispiel einen Text in einer anderen Datei verbergen und dann verschicken. Ich zeige Euch gleich die Paranoia-Version: Wir verstecken einen verschlüsselten Text (den ohnehin nur der Empfänger wieder entschlüsseln kann), in einem Foto.

Man muss sich daran erinnern, dass es immer wieder ahnungslose Politiker gibt, die fordern, man müsse Verschlüsselung verbieten. Sollen Sie das doch tun! Wir würden mit Steganografie glaubhaft abstreiten, dass wir verschlüsselt haben.

Ich installiere zuerst das Programm OpenStego. Die freie Software gibt es für Windows und Linux. Ich führe Euch vor, wie das „geheime Schreiben“ mit der Linux-Version geht.

1. Zuerst schreibe mit einem beliebigen Texteditor eine Botschaft und speichere die ab, in unserem Beispiel als message.txt.

2. Jetzt rufe ich Kleopatra auf und verschlüssele die Datei. In meinem Beispiel habe ich die Botschaft nur an mich selbst verschlüsselt. Der Text heißt jetzt message.txt.gpg.

3. Jetzt wähle ich beliebiges Bild aus, am besten ein sexistisches, das erweckt am wenigsten Verdacht. In unserem Beispiel heisst es bildspaerlichbekleideterpersonen.jpg. [Das obige Foto ist nicht die Original-Datei.]

Das Bild ist 450,5 Kilobyte groß. Das wird gleich noch einen Rolle spielen.

4. Jetzt rufe ich das Programm OpenStego auf. Für das obere Fenster des Menüs message file wähle ich meine verschlüsselte Datei message.txt.gpg. Für das zweite Fenster cover file (die Datei, in der der Text versteckt werden soll), nehme ich das bildspaerlichbekleideterpersonen.jpg. Ich definiere, dass der „Output“ in meinem Ordner „Downloads“ omas_geburtstag.png heißen soll und wähle ein beliebiges Passwort. (Anmerkung: Der Empfänger muss dieses Passwort natürlich kennen.) Dann klicke ich auf hide data!

Der bloße Augenschein, wenn man das Original und das jetzt erzeugte Bild vergleicht, sagt: die sind gleich?! Das Bild rechts ist das neue omas_geburtstag.png. [Beide Bilder sind nicht die Originale.]

Ja und nein. Das neue Bild, das den verschlüsselten Text „covert“, ist jetzt 1,1 Megabyte groß. Woher aber soll jemand, der dieses Bild, etwa als Attachment einer E-Mail, abfängt, wissen, was die Originalgröße war?

5. Ich extrahiere jetzt die versteckte Datei aus dem Bild und wähle dafür den Menüpunkt extract data. Das Ergebnis will ich in meinem Ordner „Dokumente“ speichern, damit die Original-Botschaft, die noch im Ordner „Downloads“ liegt, nicht überschrieben wird.

6. Jetzt der umgekehrte Weg: Die aus dem Bild extrahierte Datei message.txt.gpg muss ich mit Kleopatra entschlüsseln. (Da ich an mich selbst verschlüsselt habe, geht das natürlich sowieso.)

Es hat funktioniert! Die Datei message.txt in meinem Ordner „Dokumente“ kann ich jetzt wieder mit einem Editor lesen.

Als Hausaufgabe bitte ich euch, das Obige mit der Windows-Version von OpenStego zu exerzieren.

Gestern bestätigte sich wieder einmal mein Urteil, dass es besser sei, alle Tutorials zu allen Themen am besten selbst zu schreiben.

Apropos Piano. Das Internet sagte mir, ich könne es per App steuern und damit auch viele schöne Dinge tun. Hört sich gut an, etwa wie: E-Mails zu verschlüsseln ist ganz einfach. Die Gesetze des Universums verlangen daher zunächst nach einem USB-Anschluss. Unter das Klavier kriechend, die Wirbelsäule krümmend, fand ich einen solchen (vgl. Foto), in den nach langem Suchen auch eines meiner zwei Fantastillionen USB-Kabel passte (das wird nicht mitgeliefert).

Was ist das für ein bescheuerter Anschluss? Das andere Ende ist „normal“. Aber wie kriege ich das in ein Gerät, vor allem welches? Für mein Galaxy S8 brauchte ich noch einen Adapter, der zwei UBS-Kabel miteinander verbindet. Klick. Gekauft. Mal sehen, ob der in diesem Jahr noch kommt.

In allen netten und gut gemeinten Videos wird einem erklärt: „Die App kann dann also mit jedem Handy oder Tablet verwendet werden.“ Gelogen! Mein Tablet sagt: Die Smart Pianist App sei mit meiner Android-Version nicht kompatibel. Upgraden auf eine andere geht mit dem Teil auch nicht. Also wieder zurück in die dunkle Schublade damit. Kann man irgendwo lesen, ab welcher Android-Version die App funktioniert? Nein. Das würde den Endverbraucher vermutlich verunsichern.

Das wird noch kompliziert werden. „Um die App zu koppeln muss Bluetooth am Klavier aktiv sein, jedoch nicht der Pairing Modus.“ Hurra! Gut zu wissen!

Übrigens and now for something completely different. Erst gestern, während eines Online-Seminars, fiel mir auf, dass Thunderbird bzw, Enigmail für Linux keine Dateien verschlüsseln kann, sondern nur die Texte von E-Mails. Weist da irgendjemand darauf hin? Nein. In finsteren Nerd-Ecken murmelt jemand etwas von Batch-Skripten. Schon klar. Das mach ich mit links, jeden Tag. (Man muss also Kleopatra nutzen, wie auch bei Windows.)

Zwischendurch erste Sätze von „Anleitungen“, die man gerne weiterliest: „Unter Linux funktioniert Enigmail nur korrekt, wenn die Anwendung (SeaMonkey / Thunderbird) und Enigmail mit der gleichen Compiler-Version erstellt wurden.“

Jaja, ich bin noch ganz entspannt.

Ich habe ein neues Tutorial von der Website des Vereins German Privacy Fund kopiert und bitte das sachverständige Publikum zu kommentieren, zu berichtigen und auf Fehler hinzuweisen.

Lernziele:
– Installieren des Browser-Add-ons Mailvelope
– (einmaliges) Erzeugen eines Schlüsselpaares,
– Export und Import öffentlicher Schlüssel,
– Senden einer verschlüsselten E-Mail.
Dauer: ca. 30 Minuten

Zeitaufwand: fünf Minuten (und etwas Zeit zum Downloaden des Add-ons)
Schwierigkeitsgrad: leicht

Installieren Sie das Browser-Add-on Mailvelope für Chrome (Windows) und Chromium (Linux) – Mailvelope für Firefox (Windows) und Firefox (Linux) – Mailvelope für Microsoft Edge (Windows) – Mailvelope für Opera.

Hinweise:
– Das Add-on funktioniert für alle Browser und Betriebssystem fast identisch.
– Mailvelope gibt es auf für das MacOS-Mail-Programm Mail , aber nur kombiniert mit GPGtools (das jedoch ist nicht gratis).
– Ihr Provider muss das Feature unterstützen, die meisten großen Provider tun das.
– Diejenigen, mit denen Sie verschlüsselt kommunizieren wollen, müssen Mailvelope nicht benutzen, nur GnuPG oder E-Mail-Programme wie Thunderbird, die das Verschlüsselungsprogramm implementiert haben.
– Mailvelope funktioniert nicht bei Browsern mobiler Endgeräte.
– Die „häufig gestellte Fragen“ (FAQ) auf der Website von Mailvelope und das Tutorial sind hervorragend und selbsterklärend. Sie würden jedoch zwei Wochen brauchen, um alles zu lesen. Das Wichtige wird nicht vom weniger Wichtigen getrennt.

Vor- und Nachteile von Mailvelope
Sie sollten dieses Add-on nur benutzen, wenn Sie ihre E-Mails ausschließlich per Webmail, also mit dem Browser lesen. Sie müssen Mailvelope aber auf jedem der von Ihnen genutzten Browser installieren und auch Ihr Schlüsselbund dorthin kopieren – eine Alternative ist nur copy & paste eines schon verschlüsselten Textes in das geöffnete Webmail-Fenster. Das kann mühsam werden. Wenn Sie aber schon GnuPG und dessen Feature Kleopatra installiert haben, können Sie genau das (copy & paste) auch von dort aus tun und brauchten Mailvelope nicht.

^{Die Grafik anklicken, um sie zu vergrößern.}

Erzeugen eines Schlüsselpaares – eines öffentlichen und eines privaten Schlüssels.

Zeitaufwand: fünf Minuten
Schwierigkeitsgrad: leicht

Nur Verschlüsselungssysteme, die mit einem öffentlichen Schlüssel („public key“) und einem privaten Schlüssel („private key“) arbeiten, sind sicher – so wie dieses.

Rufen Sie Mailvelope auf – es versteckt sich oben rechts in der Leiste, wo Sie vielleicht schon andere Add-ons installiert haben und sieht aus wie ein Klecks oder ein Blatt. Sie können alle Menüs bzw. Optionen des Add-ons Mailvelope vorerst ignorieren, außer Schlüssel verwalten“ und „Schlüsselbund“ (zwei Wörter für eine Opion).

Sie erstellen jetzt ein Schlüsselpaar (oder importieren ein schon vorhandenes). Sie können auch einen Testschlüssel erstellen, den sie später wieder löschen.

^{Die Grafik anklicken, um sie zu vergrößern.}

Folgen Sie den Anweisungen, die sind auch für Laien verständlich. Es sind auch Schlüssel ohne Passwort möglich, wir empfehlen das nicht.

^{Die Grafik anklicken, um sie zu vergrößern.}

Sie müssen jetzt nicht (wenn überhaupt) mit dem Schlüsselserver von Mailvelope synchronisieren. Dieses Feature werden Sie vermutlich nie benötigen.

Im Beispiel oben haben wir einen Schlüssel „testname“ mit der E-Mail-Adresse seminar@burks.de erzeugt. In der Grafik unten sehen Sie dessen Eigenschaften, zum Beispiel den „Fingerprint“, eine Art unveränderliche „Quersumme“.

Exportieren des eigenen öffentlichen Schlüssels – Importieren „fremder“ öffentlicher Schlüssel

Zeitaufwand: fünf Minuten
Schwierigkeitsgrad: leicht

Um starten zu können, müssen Sie jetzt den öffentlichen Schlüssel derjenigen Person, mit der sie verschlüsselte E-Mails tauschen wollen, importieren sowie Ihren eigenen exportieren und den offen verschicken. Den Fehler, den geheimen Schlüssel zu exportieren und zu versenden, können Sie nicht machen, weil Mailvelope davor warnt. (Das Feature brauchen Sie nur für eine Sicherheitskopie Ihres Schlüsselpaares.)

^{Die Grafik anklicken, um sie zu vergrößern.}

Bei diesem Beispiel haben wir den öffentlichen Schlüssel von burks@burks.de genommen, Sie können aber auch den von unserem Impressum nehmen (rechte Maustaste, speichern unter).

Senden einer verschlüsselten E- Mail

Zeitaufwand: fünf Minuten
Schwierigkeitsgrad: leicht

^{Die Grafik anklicken, um sie zu vergrößern.}

Sie können Dateien verschlüsseln (vgl. Grafik oben) und per Attachment versenden oder einen Text im Webmail-Fenster Ihres Browsers (unten).

Das Feature, den Text einer E-Mail zu verschlüsseln, verbirgt sich leider unter „Datei verschlüsseln“ und dann unter dem Button „möchtest du auch einen Text verschlüsseln?“ Dann erst öffnet sich ein Textfeld.

^{Die Grafik anklicken, um sie zu vergrößern.}

Wenn Sie den Klartext geschrieben haben, wählen Sie den Empfänger anhand seiner E-Mail-Adresse aus. Dessen Schlüssel müssen Sie schon vorher in ihr Schlüsselbund importiert haben. Dann drücken Sie auf den roten Button „verschlüsseln“ – und der Text verwandelt sich in Datensalat.

^{Die Grafik anklicken, um sie zu vergrößern.}

Den verschlüsselten Text kopieren Sie in das Webmail-Feld Ihres Browsers. Nur derjenige, der im Beispiel (Grafik unten) den geheimen Schlüssel des Empfängers info@german-privacy-fund.de hat, könnte die Nachricht wieder entschlüsseln.

^{Die Grafik anklicken, um sie zu vergrößern.}

Last update: 08.12.2020

Neu auf der Website des Vereins German Privacy Fund: Tutorial: Daten verschlüsseln mit Veracrypt I.

Ich bitte die kryptoaffine Leserschaft um Verbesserungsvorschläge und Korrekturen, falls nötig.

Bis jetzt hatte ich einen PC und zwei Laptops an meiner Fritzbox. Plötzlich erkennen sowohl das Linux- als auch das Windows-Laptop das jeweilige LAN-Kabel nicht mehr. (Fehlerquelle Betriebssystem sollte damit ausgeschaltet sein.) Im Fucking Manual habe ich alles ausprobiert – LAN 5 gibt es übrigens bei mir nicht. Router habe ich auch schon neu gestartet (neueste Version Betriebssystem), auch andere LAN-Kabel ausprobiert.

Witzigerweise funktioniert es, wenn ich das LAN-Kabel von meinem PC (Linux, hat kein WLAN) in einer der beiden Laptops stecke. Das ist doch total unlogisch?

Das WLAN funktioniert einwandfrei. Hat jemand kurzfristig eine Idee? Ich lege mich mittlerweile verzweifelt aufs Sofa.

[Update] Jetzt geht es wieder, nachdem ich eine smarte Steckdose entfernt habe, die aber über Wlan mit dem Router kommuniziert. Ich habe hier nur ca. 20 Geräte angeschlossen – die Fritzbox müsste doch mehr schaffen? Der Windows-Rechner erkennt weiterhin das LAN-Kabel nicht, obwohl ich sein ganzes Netzwerk schon resettet habe.

Neues Tutorial: Verschlüsseln mit dem Smartphone.

Ich halte das für schwierig, kompliziert und für Laien nicht zu empfehlen. Das Feature „Signieren“ ist zum Beispiel zwar enthalten, funktioniert aber nicht. („This is not a supported use case.) Auch die Ausdrucksweise ist eher verwirrend: Statt OpenKeychain taucht plötzlich OpenPGP App auf (womit de facto dasselbe gemeint ist). Statt signieren eines Schlüssels (beglaubigen anhand des digitalen Fingerabdrucks) schreiben die verschlüsseln. Verschlüsseln einer Signatur? Geht’s noch?

Die gute Nachricht: andere Tutorials sind noch schwieriger – das tut sich niemand an, der das Prinzip begreifen will. Auf der OpenKeychain-Website werden die meisten Fragen beantwortet, aber nur in Englisch.

Wenn ich alle Features erwähnt und erklärt hätte (wann ist ein Schlüssel „gesund“?), säße ich noch in einer Woche hier.

Man kann es natürlich noch schlimmer machen – wie das BSI: „Wie bereits in der Beschreibung von APG eingeführt, entstand OpenKeychain als Fork von APG im März 2012.“ Schon klar. Zeige ich gleich dem nächsten Deutschlehrer, der gern verschlüsseln möchte.

Ich weiß, was ich heute getan habe.

– Update der Startseite des Vereins German Privacy Fund.
– Update des Tutorials Verschlüsseln mit Thunderbird 78.0 (Windows),
– Neu: Tutorial Dateien verschlüsseln mit Kleopatra (Windows),
– Update des Tutorials E-Mails verschlüsseln [Alternative 1 für Windows 7 – 10],
– Update der Seite Journalistische Recherche | Werkzeuge.

Die sachkundigen Leserinnen und die Kryptografie-affinen Leser mögen sich frei fühlen, mir alle Fehler mitzuteilen und/oder Vorschläge einzureichen, was man verbessern könnte.

Aus der Rubrik „einmal mit Profis arbeiten“: Von einem Journalistenverband sollte man Grundkenntnisse in E-Mail-Sicherheit erwarten. Aber dem ist nicht so.

Fragen wir das Bundesamt für Sicherheit in der Informationstechnik: „Im so genannten Quellcode einer HTML-formatierten E-Mail lauert die Gefahr: Denn dort kann schädlicher Code versteckt sein, der bereits beim Öffnen der HTML-E-Mail auf dem Computer des Empfängers ausgeführt wird, ohne dass dafür ein Anhang angeklickt werden muss. Auch Spammer greifen gerne auf HTML-E-Mails zurück, um die Gültigkeit einer E-Mail-Adresse zu verifizieren. Dies erfolgt über sogenannte „Webbugs“, kleine meist unsichtbare Bilder, welche beim Öffnen der E-Mail von einem Server der Spammer geladen werden und diesen damit den Empfang der E-Mail signalisieren. Deshalb sollten Nutzer in ihrem E-Mail-Programm die Anzeige von E-Mail im HTML-Format deaktivieren.“

Wer „Newsletter“ im HTML-Format verschickt, zeigt, dass mein Seminar nötig ist. Das Problem ist nur, dass solche Leute absolut belehrungs- und beratungsresistent sind und auch nicht beabsichtigen, das zu ändern. Wer nichts taugt, kann aber noch als schlechtes Beispiel dienen – kommt in meine Seminarunterlagen: „wie man es nicht machen soll“.

Die Berliner Datenschutzbeauftragte empfiehlt BigBluebutton. Ich werde mich natürlich weigern, falls externe Bildungsträger mich anheuern wollten, Zoom zu benutzen – allein schon aus Daffke.

Gestern hat das hier schon angekündigte Seminar „Investigative Recherche und Datensicherheit“ von meinem „Home Office“ aus stattgefunden. Ich war sehr zufrieden.

Ich muss vermutlich das Seminar von fünf auf sechs Stunden ausdehnen, der Stoff ist sehr umfangreich. Am Schluss gerieten wir ein wenig ins Galoppieren. Mir wurde aus anderen Seminaren berichtet, dass die Teilnehmer nie länger als fünf Stunden aushielten. Das glaube ich nicht – es kommt auch auf den Dozenten an. Ich mache ohnehin in jeder Stunde zehn Minuten Pause.

Ich werde in Zukunft auch Einzelunterricht anbieten. Es ist sehr schwierig, schon bei drei Interessenten, einen gemeinsamen Termin zu finden. Wenn jemand nur am Abend Zeit hat, was oft bei Berufstätigen vorkommt, und am Wochenende sich nicht fortbilden will, könnte man die sechs Module des Seminar in zwei dreistündige Teile splitten und es an zwei Abenden stattfinden lassen.

Ich ärgere mich jedes Mal auf’s neue, wie unverständlich Anleitungen zu diesem und jenem sind. Ich werde viel Zeit brauchen, die auf der Website des Vereins German Privacy Fund zu aktualisieren, vor allem für die in den gängigen manuals nie erwähnten Fälle, wenn etwas nicht funktioniert. Ich habe zum Beispiel vergessen zu erwähnen, dass Thunderbird meckert – versucht man, eine erste verschlüsselte E-Mail zu verschicken -, wenn der verwendete Schlüssel nicht vorher signiert worden ist. Das war früher besser. Das ist ein unsinniges Feature, weil es erschwert, den Teilnehmern zu Testzwecken ein schnelles Erfolgserlebnis zu verschaffen.

Ich habe gerade eine Stunde meiner kostbaren Lebenszeit verwendet, um auf meinem kleinen Laptop, das – zu Demonstrationszwecken – mit Windows läuft, das E-Mail-Programm Claws Mail zu installieren. Witziges und pädagogisch wertvolles Feature: Claws Mail akzeptiert keine Mails in HTML – womit eine zentrale Gefahrenquelle ausgeschaltet ist. Man muss den meisten Leuten erst einmal umständlich erklären, dass sie nicht voraussetzen können, dass HTML im body gestattet ist. Die nehmen das als selbstverständlich hin. Mein Linux-Thunderbird ist ebenfalls so konfiguriert, dass HTML in E-Mails nicht angezeigt wird.

Ich verzweifele aber daran, mit Claws Mail zu verschlüsseln und zu entschlüsseln. (Ja, GPG4win und Kleopatra sind installiert. Typisch: Wenn man auf der GPG4win-Seite auf „Kleopatra“ klickt, kommt error 404 – sehr „ermutigend „für Anfänger!) Braucht man nun ein Plugin oder nicht und welches und wo könnte man es herunterladen? (Auf der Claws-Mail-Plugin-Seite kann man nichts downloaden.) Soll ich PGP/Inline oder PGP/Core nehmen und warum? Es funktioniert einfach nicht.

Wer sich solche Anleitungen antut, ist doch Masochist. In Claws Mail gibt es in den Konteneinstellungen ein Feature, das sich mit dem Thema beschäftigt, aber nicht verrät, wie vorhandene (!) Schlüsselpaare eingebunden werden können. Das Programm scheint auch weder mit GPG noch mit Kleopatra zu kommunizieren, was sinnvoll wäre. Falls ich das irgendwann hinbekomme, schreibe ich eine verständliche Anleitung auf Deutsch.

In der nächsten Woche wird der Relaunch der Website vermutlich abgeschlossen werden können; auch die Seite zum Seminar erstrahlt dann in neuem Glanz.

Das fachkundige Publikum verrät mir bestimmt, um welche Software es sich hier handelt?!

Ich wurde gerade gefragt, warum mir Shitstorms nicht ausmachten. (Kennt jemand noch das Usenet?) Die Antwort steht ein bisschen in einem Artikel auf Timeline: „Remembering the 90s flame wars: a simpler time of cyberbullying“.

Die Bundesregierung hat das Internet als extremistisches Auffangbecken im Visier. #verlesen

Über diese Textbausteine könnte man stundenlang räsonnieren. Jedes Wort bleibt mir quer (mit nur einem „e“) im Hals stecken. Rechtsextremisten nutzen grundsätzlich die verschiedensten Arten von Plattformen“, schreibt die Regierung in einer jetzt veröffentlichten Antwort auf eine Anfrage der FDP-Bundestagsfraktion. Dabei sei eine „Tendenz zu einer stärkeren Absicherung in der Szene festzustellen“. Insbesondere würden Messenger-Dienste genutzt, die – wie Telegram – eine „Ende zu Ende-Verschlüsselung“ anböten.

Jaja, da wissen wir alles seit 1993. Die bösen [bitte selbst ausfüllen] nutzen grundsätzlich [bitte selbst ausfüllen, im Zweifel „das Internet“].

^{Netz (Symboldbild)}

Gibt es irgendwo eine verständliche und einfache Anleitung, wie man Linux- und Windows-Rechner in seinem eigenen Netzwerk verbindet, ohne dass man mit der Kommandozeile arbeiten muss?

Beispiele, wie es nicht funktioniert, habe ich jetzt gefühlt 20 Fantastilliarden Mal gelesen. Chip: „Die Verbindung zu Netzwerkfreigaben stellen Sie unter den verschiedenen Systemen am einfachsten über den jeweiligen Dateimanager her. Linux-Benutzer gehen auf „Netzwerk“ und dann auf „Netzwerk durchsuchen“. Bei mir gibt es diesen Menüpunkt „durchsuchen“ nicht, obwohl hier vier Rechner im Netz hängen.

Samba ist auf allen Linux-Rechnern installiert, aber ich kapiere es nicht. Kein Rechner kann auf den anderen zugreifen – nur per ssh und Kommandozeile. Oder sollte ich etwas installieren? Ich habe wirklich keine Lust mehr, mich mit den Mist zu beschäftigen, vor allem, wenn ich in den zahllosen fucking manuals das Wort einfach lesen muss.

^Symbolbild

Nur für den Fall, dass ihr wissen wollte, was man an einem letzten Sonntag im Urlaub nach dem Frühstück so macht: Man überarbeitet Websites und Tutorials.

[Update] By the way: Interessiert sich jemand für Mathematik? Oder dafür, dass der Besitz bestimmter Zahlen illegal sein kann?

Am 13.10.20 schrieb ich hier über die Grundlagen der Verschlüsselung und die verschiedenen Methoden – mit und ohne E-Mail-Programm oder gar per Browser. Nun folgt ein Tutorial, wie man E-Mails verschlüsselt ab Version 78 des E-Mail-Programms Thunderbird. Im Gegensatz zu den älteren Versionen bringt Thunderbird jetzt sein eigenes Verschlüsselungsprogramm „ab Werk“ mit. Wir benötigen also weder GnuPG noch ein Add-on wie Enigmail. Auf der obigen Skizze ist das heutige Thema grau unterlegt.

Alle Funktionen, die man braucht, in nur einem Programm – die Sache sollte also einfacher sein als vorher. Überraschenderweise stimmt das auch. Es gibt natürlich wie immer ein paar Fallstricke.

1. Schritt: Ein Schlüsselpaar erzeugen

Die Funktionen zum Ver- und Entschlüsseln verstecken sich in den Konteneinstellungen unter dem Menü Ende-zu-Ende-Verschlüsselung (vgl. Screenshot oben – zum Vergrößern klicken). Bevor wir loslegen, müssen wir ein so genanntes Schlüsselpaar erzeugen. Wer so etwas schon hatte, kann diese Schlüssel per Button OpenPGP-Schlüssel verwalten importieren. Wählen wir den Button Schlüssel hinzufügen – womit erzeugen gemeint ist (aber warum sollte man sich verständlich ausdrücken?) -, erzeugt das Programm einen geheimen und einen öffentlichen Schlüssel – das Schlüsselpaar. [Das sind schlicht zwei Dateien im ascii-Format: American Standard Code for Information Interchange.]

Die verschiedenen Optionen, die angeboten werden (vgl. Screenshot unten, wie lange gültig usw.), sind Kür – man kann alles so lassen, wie es schon eingestellt ist. Ich bin sportlich-paranoid und nehme natürlich immer den „längsten“ Schlüssel – hier 4096 Bit.

Das Ergebnis – hier nur ein „Dummy“: Ein Schlüssel (aus zwei Teilen), der eine unverwechselbare Kennung hat – die ID 0x5CA16D3685BD02F8. Diese ID kann man nicht fälschen. Man erkennt einen Schlüssel an der E-Mail-Adresse, die man zu Beginn definiert hat und an der Kennung.

Ich kann natürlich einen Schlüssel Olga_Kurylenko@007.com nennen und ihn benutzen, aber die ID kann man nicht selbst bestimmen – das ist reine Mathematik. Wir sehen schon, dass die Authentizität eines Schlüssels nicht so einfach festgestellt werden kann. Das Problem können und müssen wir sofort lösen, weil das Programm später meckerte, wenn wir eine verschlüsselte E-Mail schreiben wollten.

Wir gehen wieder in Konteneinstellungen zum Menü Ende-zu-Ende-Verschlüsselung und schauen uns OpenPGP-Schlüssel verwalten an. Da dürfte nur das gerade von uns erzeugte Schlüsselpaar zu sehen sein. Ein Mausklick zeigt uns dessen Akzeptanz – wir müssen noch einmal kräftig virtuell nicken und bestätigen, dass wir diesen Schlüssel verwenden wollen.

2. Schritt: Den öffentlichen Schlüssel exportieren und importieren

Wer blutiger Anfänger ist und jetzt die Sache mit den „Schlüsseln“ (einer? mehrere? Paare?) nicht versteht, sollte kurz in das Tutorial „E-Mails verschlüsseln in 30 Minuten“ schauen – ab Schritt 5. Dort wird das Prinzip kurz und bündig erklärt.

In der Schlüsselverwaltung unter dem Menü Datei haben wir alles hübsch beisammen: Importieren, exportieren, ein Widerrufszertifikat erzeugen (wenn unser Schlüssel später ungültig wird und wir ihn optional auf einen Schlüsselserver hochgeladen hatten) usw.. Wir brauchen nur den Export und den Import, alles andere kann warten. Export: unseren offentlicher Schlüssel müssen alle diejenigen bekommen, mit denen wir verschlüsselte E-Mails austauschen wollen. (Vorsicht: Nicht den geheimen exportieren – der bleibt immer schön auf unserem Rechner – nur für ein Backup des Schlüsselpaares ist dieses Feature nützlich).

Wir müssen auch jeweils deren öffentliche Schlüssel importieren. Haben wir das getan, erscheinen „fremde“ öffentliche Schlüssel in unserem „Schlüsselbund“ (OpenPGP-Schlüssel verwalten).

3. Schritt: Eine verschlüsselte E-Mail schreiben und versenden

Mehr müssen wir nicht tun. Wir schreiben jetzt eine schrecklich geheime E-Mail im Klartext, drücken dann im Menü Optionen und aktivieren dort nur mit Verschlüsselung senden. Später kann man so genannte Empfängerregeln erstellen, mit wem man im Klartext schreibt und mit wem nicht – um nicht immer wieder die Optionen bemühen zu müssen.

In diesem Beispiel hat der Dummy mit der E-Mail-Adresse seminar@burks.de an mich (burks@burks.de) geschrieben, nachdem er sich meinen öffentlichen Schlüssel vom Impressum meiner Webseite geholt und importiert hat. Das Ergebnis kann sich sehen lassen. Der Screenshot unten zeigt mein Thunderbird (Linux). Ich musste nur mein Passwort eingeben (was optional ist) und der kryptische Datensalat verwandelte sich in Klartext. Der öffentliche Schlüssel des Dummys ist als Attachment auch gleich mitgekommen, falls ich den noch nicht hatte. Den brauche ich, um zu antworten.

Man kann dazu noch Stunden dozieren, aber zuerst sollte man ein Erfolgserlebnis haben, bevor man zum Kleingedruckten und zu Features kommt, die etwas komplizierter sind als oben Gezeigte.

Immer ist irgendetwas. Ich plante, an diesem ruhigen Tag in der letzten Woche meines Urlaubs viel zu schreiben, wie immer eben. Jetzt habe ich nach dem Frühstück zwei Stunden meiner kostbaren Lebenszeit verplempert, um bei meinem neu eingerichteten Focal Fossa (Linux Ubuntu 20.04) wieder E-Mails verschlüsseln zu können. Man sollte denken, das sei einfach, zumal ich das seit exakt einem Vierteljahrhundert praktiziere. Aber das gilt nur theoretisch. Praktisch hat man dann mehrere Schlüssel, mehrere involvierte Programme, mehrere Rechner, mehrere Betriebssysteme, mehrere Versionen derselben, mehrere Backups, und schon bricht Chaos aus.

Die gute Nachricht: Nutzt man als E-Mail-Programm Thunderbird, braucht man bei Linux weiterhin das Add-on Enigmail. Das hört sich auf den verschiedenen Support-Websites ganz anders an: „Thunderbird’s built-in OpenPGP support is not an exact copy of Thunderbird with Enigmail. Thunderbird wants to offer a fully integrated solution, and is no longer using GnuPG by default to avoid licensing issues. (This document explains the differences).“ Bedeutet das, man braucht das eigentliche Verschlüsselungsprogramm GnuPG gar nicht mehr installieren? Und für welches Betriebssystem gilt das? (Wie das neue Thunderbird unter Windows verschlüsselt, beschreibe ich später in einem anderen Tutorial.)

Unter Linux stellt sich die Frage anders, da GnuPG bzw. OpenPGP „ab Werk“ ohnehin implementiert ist. Aber eben nicht komplett (vgl. Sceenshot unten). Das Paket scdaemon musste ich von Hand nachinstallieren, nachdem ich mir die gewohnte Benutzeroberfläche Kleopatra geholt hatte. Auch das Programm ist nicht automatisch in Focal Fossa enthalten. (Dann gibt es noch den zum Glück jetzt irrelevanten Unterschied zwischen GPG und GPG2.) Die glauben offenbar im Ernst, ich würde per Kommandozeile ein Programm bedienen wollen! Mach ich aber nicht.

Ich musste also, da ich kein Update von Ubuntu gemacht hatte, sondern eine komplette Neuinstallation, zunächst alle Schlüssel, inklusive des eigenen aktuellen Schlüsselpaars, mit Kleopatra importieren. Will man keine E-Mails, sondern Dateien verschlüsseln, braucht man eine grafische Oberfläche (Seahorse geht auch). Thunderbird kann das nicht, oder ich habe das Feature noch nicht gefunden.

Danach installiert man das Add-on Enigmail. Die Wikis und Manuals sind aber noch nicht für das neueste Ubuntu Focal Fossa; man muss also raten und vermuten. Wie aus dem vergrößerten Screenshot ganz oben ersichtlich sind alle Features an gewohnter Stelle.

Ich frage mich, warum die Thunderbird-Entwickler S/Mime ab Werk implementiert haben, aber nicht OpenPGP? Die können mir doch nicht erzählen, S/Mime würden mehr Leute nutzen? Die usability von S/MIME ist das Schlimmste, was man sich vorstellen kann – Finger weg! – es sei denn, man liebte die drohende Gefahr, in die Psychiatrie eingeliefert zu werden.

By the way: Außerdem habe ich mir das Leben schwer gemacht. Menschliches Versagen eben. Ich war am Rande des Nervenzusammenbruchs, als ich das halbe Dutzend meiner eigenen, zum Teil abgelaufenen Schlüsselpaare vor mir hatte, aber die Key-ID des aktuellen Schlüssels in meinem Impressum nicht wiederfand. Mein Konzept war und ist: alles Geheime sowie die Schlüssel sind in Veracrypt-Containern. Darin wiederum liegt eine verschlüsselte Datei, die KeepassXC anlegt. Dummerweise hatte ich bei der Neuinstallation ein veraltetes Backup genau jenes wichtigen Veracrypt-Containers benutzt, in dem mein aktueller geheimer Schlüssel nicht vorhanden war. Zum Glück habe ich noch ein kleines Netbook mit Linux Mint, auf dem ich erleichtert den „richtigen“ Container fand.

Jetzt brauch ich erst einmal noch mehr Kaffee… Vielleicht komme ich heute auch noch dazu, etwas nützliches zu tun.

Fefe schreibt etwas über BigBlueButton, mit dem ich auch arbeite. „Wer da Präsentationen hochladen darf, hat Admin-Zugriff.“

Hanno Böck erklärt das näher: „BigBlueButton has a feature that lets a presenter upload a presentation in a wide variety of file formats that gets then displayed in the web application. This looked like a huge attack surface. The conversion for many file formats is done with Libreoffice on the server. Looking for ways to exploit server-side Libreoffice rendering I found a blog post by Bret Buerhaus that discussed a number of ways of exploiting such setups. One of the methods described there is a feature in Opendocument Text (ODT) files that allows embedding a file from an external URL in a text section. This can be a web URL like https or a file url and include a local file.“

Ich halte das in der Praxis nicht für dramatisch. Das schreibt Fefe auch: „Aber in diesem Fall musste gar kein Exploit her, denn die Dateiformate haben (völlig ohne Not, möchte ich anmerken!) ein Feature, über das man externe Ressourcen über eine URL einbinden kann“. Ein Dozent, der anderen erlaubt, Dateien zu nutzen und hochzuladen, die bekannte Risiken haben, ist selbst schuld, wenn ihm die Sache um die Ohren fliegt.

[Update] Der beste aller Provider teilte mir mit, dass das Leck inzwischen abgedichtet sei.