Schlagwort: Computer

Verschlüsselte Kommunikation in Thunderbird mit EnigMail

Vor 21 Jahren (1991) hat der Amerikaner Phil Zimmermann mit PGP den Grundstein für verschlüsselte E-Mail Kommunikation gelegt. Nachdem ich in den letzten Jahren mich immer wieder um das Thema E-Mail Verschlüsselung herausgeredet habe, nehme ich nun einen neuen Anlauf.
Die Idee ist nämlich gar nicht schlecht. Man verhindert effektiv, dass geheimer oder auch trivialer Inhalt einer E-Mail komplett offen übertragen wird. Stell dir doch einmal vor, du schreibst eine Postkarte mit persönlichen Worte an deine Angebetete oder auch ein Angebot an einen Kunden. Was fällt dir sofort auf? Richtig, jeder der die Postkarte in die Hände bekommt kann sie lesen. Und das kann der Postbote oder im schlimmsten Fall auch ein Konkurrent (der die Angebetete oder den Kunden für sich haben will) sein.
In der Post ist man seit Jahren weiter und hat den Briefumschlag erfunden. Dieser stellt sicher, dass man ohne größeren Aufwand nicht so leicht an den Inhalt des Briefumschlages herankommt. Früher gab es sogar noch ein Siegel, dass die Unversehrtheit des Briefumschlages sichergestellt hat. Damit konnte man ganz sicher gehen, dass nur der Absender und der Empfänger über den Inhalt Bescheid wussten.

Für die E-Mail Kommunikation fehlt bis heute ein "Briefumschlag". Im Prinzip kann jeder, die E-Mail auf dem Weg durchs Internet abgreifen und den Inhalt betrachten. Die Möglichkeit, dass dies in freier Wildbahn passiert ist vermutlich eher gering, da die eigene E-Mail im Rauschen der anderen E-Mails untergeht. Aber stell dir vor, du bist Waffenhändler und wirst vom BKA überwacht. Dann würdest du wohl sehr schnell Besuch von den Beamten bekommen und hättest einen Platz hinter schwedischen Gardinen sicher.

Deshalb setzen die Profis von heute GnuPG oder OpenPGP (freie Alternativen zum Original PGP, dass leider kommerziell geworden ist) ein um die E-Mail Kommunikation verschlüsselt durchführen zu können. Dann gucken die BKA Beamten ohne starke Hardware und spezielle Knacksoftware und ohne richterlichen Beschluss erstmal in die Röhre.
Doch auch für Privatanwender kann es durchaus sinnvoll sein, seine eigenen E-Mails mit Freunden oder Familie zu verschlüsseln. Denn der Inhalt der eigenen E-Mails ist mitunter doch auch vertraulich einzuschätzen und muss nicht gleich jeder wissen. (Gut die moderne Facebook Generation kennt ja keine Grenzen mehr, wenn man die ganzen Pinnwände so anschaut!)

Ein kleines Video von Netzpolitik.org zur Funktionsweise der Verschlüsselung:
[vimeo]http://vimeo.com/17610424[/vimeo]

Kommen wir also zur Anwendung:
Da ich momentan noch Ubuntu 11.04 einsetze, gilt die Anleitung für Ubuntu. Andere Linux Derivate dürften sich aber ähnlich verhalten.

Was man benötigt:
1. Einen E-Mail Client (Beispielsweise Thunderbird)
2. Die Verschlüsselungssoftware: GnuPG (die findet man im Paketmanager "Ubuntu Software Center")
3. Ein Plugin für Thunderbird "Enigmail"

Nachdem man alle 3 Programme installiert hat und ein konfiguriertes E-Mail Konto in Thunderbird eingerichtet hat, geht man am besten her und erstellt sich ein Schlüsselpaar. Das kann eine Weile dauern. Dazu geht man unter Thunderbird auf OpenPGP -> Schlüssel verwalten und dort auf Erzeugen -> Neues Schlüsselpaar
Am besten den Schlüssel mit unbegrenzter Gültigkeit erstellen //Hinweis eines Kommentators: Am besten wird die Gültigkeit auf 2 Jahre beschränkt (falls man den Schlüssel doch mal widerrufen muss, gibt es ja ein Widerrufszertifikat). Siehe auch hier im Wiki.

//Update vom 17.10.13: Hinweise auf gute und schlechte Schlüssel gibt es hier.

Hat man das eigene Schlüsselpaar erzeugt ist es sinnvoll das Widerrufszertifikat und die Schlüssel zu exportieren und an einem sicheren Ort aufzubewahren. Das Passwort sollte auch sicher aufbewahrt werden. Hat man es verloren ist der ganze Schlüssel verloren, da ohne Passwort keine Entschlüsselung funktionieren kann. Das Widerrufszertifikat wird nach dem Erstellen sofort in einen Ordner gespeichert, den man vorher festgelegt hat.
Zum Export geht man wie folgt vor: OpenPGP -> Schlüssel verwalten und dort auf das eigene Zertifikat rechts klicken: In Datei speichern -> Geheime Schlüssel exportieren. Damit wird der öffentliche und der private Schlüssel in eine Datei exportiert.
Wichtig: Diese Dateien sollte man wirklich an einem sicheren Ort aufbewahren, damit sie nicht in falsche Hände gerät. Also am besten auf eine CD brennen oder auch Diskette und in einen Schrank wegschließen. Man braucht die Dateien eigentlich nur noch, wenn mal der eigene Rechner die Grätsche macht und man den Schlüssel zurückexportieren möchte.

Nun geht es weiter mit der E-Mail Kommunikation:
Am besten man tauscht den öffentlichen Schlüssel mit seinen potentiellen E-Mail Partnern aus, damit diese die Nachricht wieder entschlüsseln können. Dazu geht man wieder wie folgt vor:
OpenPGP -> Schlüssel verwalten und dort auf das eigene Zertifikat rechts klicken: "Öffentliche Schlüssel per E-Mail senden"

Hat man einen Schlüssel per E-Mail erhalten, klickt man mit rechts auf den Anhang und sucht im Kontextmenü "OpenPGP Schlüssel importieren". Damit hat man schon den Schlüssel des Empfänger in seiner Verwaltung und muss nicht jedes Mal neu den Absender checken und den Schlüssel heraussuchen.
Am besten schaut man auch hier im Wiki nochmal nach, wie das mit EnigMail so funktioniert.

Bisher konnte ich noch keine verschlüsselte Mail senden, aber das wird schon noch kommen.

Für Outlook Benutzer und Windows Leute, gibt es übrigens Gpg4win. Netzwelt.de hat darüber geschrieben.

Noch ein paar Gedanken zum Einsatz von GnuPG / OpenPGP:

Vorteile:
- Nur der Empfänger kann die E-Mail lesen

Nachteile:
- Man braucht zwingend einen E-Mail Client
- Webmail funktioniert nicht

Der Artikel ist keineswegs genau und vollständig. Verbesserungsvorschläge werden gerne angenommen und bei Notwendigkeit auch eingepflegt.

//Update vom 17.10.2013:
Weiterführende Links:
- Schneller Einstieg mit Thunderbird und Enigmail bei Spiegel (Fotostrecke)
- Gute und schlechte Schlüssel
- Warum überhaupt Verschlüsselung? Antworten für Anfänger
- KDE Wiki: Beitrag zu OpenPGP
- OpenPGP Schulungen Projektseite mit vielen hilfreichen Seiten (wenn auch manchmal etwas verwirrend in der Navigation)

Von Ubuntu wieder zurück auf Windows 7

Manchmal wünsche ich mir einfach wieder ein gutes System, dass auch daheim richtig gut funktioniert. Da ich aufgrund eines iPhones mehr oder weniger auf Windows Programme angewiesen bin um Sachen drauf zu bekommen habe ich mir damals sogar eine VM mit Windows XP eingerichtet. Doch die ist neuerdings aufgrund ungewisser Gründe abgestürzt und startet nun nicht mehr. Gut in der VM sind glücklicherweise keine wichtigen Daten gespeichert, daher ist es nicht weiter tragisch.
Ich hatte auch lange Zeit mal Office 2007 unter Ubuntu zum Laufen gebracht. Doch mit den ganzen Updates kommen nun leider auch immer wieder Probleme und die Integration von Office 2007 ins Ubuntu hat dann nicht mehr richtig geklappt. Da ich nun aber gerade wieder ein paar Spendenbescheinigungen ausstellen muss, brauche ich eben ein gescheites Office. Da ist Open Office einfach der letzte Scheiß. Open Office ist für normale User, die kein Office von M$ kennen sehr gut zu gebrauchen, aber für "Profis" wie mich einfach nicht zu gebrauchen.

Weiter habe ich nun wieder einen MSDNAA Zugang und somit eine freie Windows 7 Pro Lizenz bekommen. Also wäre es doch mal wieder an der Zeit meinen Rechner wieder zu einer Windows 7 Maschine zu machen. Denn damit läuft wenigstens mein iPhone ohne Probleme, ich kann wieder Dateien mit meinem Bruder teilen und kann meine Steuererklärung endlich wieder am eigenen Rechner machen. :)

Ubuntu ist zwar schön und gut und hat auch so seine schönen Seiten, besonders das Terminal für "wget -O ..." aber letztendlich will ich nun doch wieder Windows 7. Linux ist eben doch ein Bastel-OS, wo vieles anders ist und nicht richtig klappt. Vielleicht haben auch die letzten Microsoft Kurse mich dazu gebracht, dass Windows trotz allem Gemecker seit Windows 7 ein sehr leistungsfähiges System geworden ist. Man installiert es einfach und dann tut es auch. Bei Linux ist man da nie so ganz sicher. Übrigens hat Windows die cooleren Apps:
Phase 5
Irfan View
Winamp
Visual Studio
und nicht zuletzt die ganzen herrlichen Spiele wie DOOM 1 & 2!
UND: Der Remote Desktop läuft um einiges flüssiger, als unter Ubuntu.

P.S.: Ich muss ja nicht so wie mein Bruder werden und alle halbe Jahre das OS neu aufsetzen. Das ist nämlich gar nicht notwendig. :)

Neue Server und Telefonleitungen

Nachdem ich letzten Herbst einige Windows Server 2k8 R2 Kurse besucht habe, wurden anfang November einige Angebote angeholt um neue Server zu beschaffen. Die Angebotsphase war dann kurz vor Weihnachten endlich entschieden und letzten Mittwoch kamen die Dinger endlich an. Ein recht dicker Schinken in einem 3HE Gehäuse von Chembro und zwei schöne Pizzaschachteln von Supermicro. Nach anfänglichen Schwierigkeiten beim Einbau, die ich dank handwerklich geschickten Kollegen (Elektromeister und ehemaliger Schaltschrankbauer) gut lösen konnte, kam dann die Installation. Nach kurzer Treibersuche für den RAID Controller war dann auch alles recht schnell überstanden. Windows war dann nach gut ner halben Stunde (oder vielleicht auch noch kürzer) installiert. Danach kamen dann die Treiber, die dann leider wieder einige Neustart gefordert haben. Doch besonders die Supermicroserver finde ich recht klasse. Einfache Installation und ein sprechendes Managementinterface um zu sehen, wie die Lüfter drehen und sich der Strom und die Temperatur gerade so verteilt.
Im Gegensatz dazu war die Installation der Treiber beim Chenbroserver mit reinem Intelboard eher eine Qual. Da musste man erstmal die Teileliste studieren um die richtigen Treiber zu finden. Doch auch das war dann recht schnell geschafft.
Nach der Ersteinrichtung und obligatorischen Windows Updates Durchlauf wurde am Wochenende mal Backup Exec auf dem neuen Server ausprobiert. Da habe ich als Backupmethode nun B2D2T (also Backup auf Platte und von Platte aufs Band) ausgedacht und ich bin vor Freude fast explodiert als ich die Datenrate sah. 100 GB Datenvolumen innerhalb 1 Stunde gesichert. Na gut, beim ersten Test liefen noch ein paar Fehler durch. Aber nach ein paar Konfigurationsänderungen war auch das behoben. Nun ist das zu sichernde Datenvolumen auf 60 GB zusammengeschrumpft, aber er braucht immer noch nur eine Stunde. Der alte Server (auf dem übrigens auch der DC, die Shares und ein paar Apps laufen) sichert die Daten direkt aufs Band und braucht dafür inklusive Überprüfung schlappe 9 Stunden. Da reicht die Nacht einfach nicht mehr.

Gestern habe ich dann nach Rücksprache mit meinem Händler mal die Platten herausgezogen und ausprobiert ob die Hot-Spares auch einspringen. Das ging alles recht gut. Das Rebuilding ging auch recht fix. Bei den 300 GB SAS Platten war das Rebuilding nach gut einer Stunde fertig. Bei den 1 TB SATA Platten war das Rebuilding nach gut 2 Stunden fertig. Also im Ernstfall noch anzunehmende Werte. Allerdings muss ich nun noch die Platten formatieren lassen, da mir ansonsten die RAID Controller um die Ohren fliegen.

Dieses Wochenende nutze ich dann noch um den DC einzurichten und die Daten zu übernehmen und anschließend die Dateifreigaben umzuziehen. Ich bin da mal optimistisch und hoffe, dass ich hinterher nicht das Backup vom alten Server brauchen werde. Allerdings verschieben sich 30 GB bis 40 GB sicher nicht so schnell. Der alte Server ist nämlich trotz RAID 5 immens langsam. Da kann ich bei den neuen Servern echt aufatmen. Vor allem sind nun endlich mal ordentliche Geräte im Serverschrank, wo die Last auch gut verteilt ist.

Heute kam dann auch noch die Telekom vorbei und hat zusätzliche NTBAs und einen zweiten DSL Anschluss in Betrieb genommen. Ich hab die NTBAs dann auch an der Telefonanlage verkabelt, aber mir dadurch dummerweise selbst in den Fuß geschoßen. Denn ein Anschluss war auch die Dose vom Serverraum womit der ganze ISDN Kram gemanaged wird. Dumm nur, dass ich nicht mehr wusste welche 4 von den 8 Adern die richtigen waren. Aber auch hier haben sich meine Kollegen bewährt. Zusammen wurden geschwind die richtigen Adern durchgepiepst. Anschließend war die Verdrahtung auch kein Problem mehr.
Dafür macht mir der DSL-Anschluss ein wenig Ärger. Eigentlich wollte ich den zweiten Anschluss für die ganzen Remotezugriffe nutzen, doch die Portweiterleitungen scheinen noch nicht ganz zu funktionieren. Das ist noch etwas nervig und der AVM Support stellt sich in diesem Fall leider auch etwas quer. Aber wo ein Kabel ist, muss auch ein Durchkommen sein. ;)
Man will ja auch mal wieder spannende Aufgaben haben und nicht immer nur die Kollegen mit Updates von unserer Warenwirtschaft zur Weißglut bringen.
"Dabei mein ich es doch eigentlich nur gut mit den Kollegen!"

Joa, damit sind meine größten Sorgen wieder aus der Magengegend verschwunden und ich kann wieder beruhigt schlafen. Wenn man so große Sachen planen muss und anfangs erstmal kaum Ahnung hat, tut man sich eben schwer. Aber nach den letzten beiden Monaten ist alles etwas leichter geworden.

Ubuntu läuft mit niedrigen Grafikeinstellungen

So dele, nachdem ich am Mittwochabend mal wieder mit der Paketverwaltung in Ubuntu 10.10 herumgespielt habe ging plötzlich der Xserver weg. Ich habe eigentlich nur ein paar Pakete rund um "libimobiledevice1" löschen lassen und habe damit scheinbar auch ein paar wichtige andere Pakete erwischt.

Danach lief Ubuntu zwar hoch, aber eben mit niedrigen Grafikeinstellungen. Die Lösungsvorschläge: "Grafik neu konfigurieren" - "Xserver neustarten" haben alles nichts genutzt.
Dann gab es ja noch die Möglichkeit eben zu versuchen ob wenigstens mit der "xorg.conf_failsafe" aus /etc/X11/ alles glatt läuft. Aber Pustekuchen.

Das ist wirklich das erste Mal nach fast einem Jahr, wo ich nicht mehr weiter weiß. Die verschiedenen Foren habe ich abgeklappert, aber nichts hilft weiter.
Dann wird wohl das einzig vernünftige sein: Daten sichern (geht ja hoffentlich mit einer Live-CD) und anstatt 10.04 mit Upgrade auf 10.10 direkt 10.10 drauf installieren. 11.04 ist ja leider noch nicht fertig und eine Beta installiere ich nicht. Soviel mal dazu. Einmal mit Profis arbeiten, dann passiert sowas gar nicht.

Und was lernen wir daraus: Jede Anweisung genau durchlesen und nicht immer OK klicken. :)

Nun lohnt es sich sogar, dass ich mir die ganzen Tipps und Tricks wegen Office 2007 und so alle mal gebloggt habe. :)

Aber wie sagt so schön: "Linux für alle, die wissen wollen, warum der Computer funktioniert."
Wenn wieder Ubuntu frisch installiert ist, weiß ich auch wieder, warum es funktioniert. Und warum es nicht funktioniert, liegt an meiner Unaufmerksamkeit beim Löschen von Paketen.