Apple verteidigt iPhone Verschlüsselung

Das FBI bekommt scheinbar das iPhone eines Terroristen ™ von San Bernadino nicht auf. Deshalb haben sie Apple gebeten eine neue iOS Version zu entwickeln, damit beispielsweise die PIN Abfrage unendlich mal durchprobiert werden kann und die Daten nach der 10. Fehleingabe nicht gelöscht werden.
Apple stellt sich nun klar, dass sie das nicht machen werden. Das finde ich erstmal ein klarer Statement und überrascht mich nun auch ein bisschen. Bisher bin ich immer davon ausgegangen. Alle amerikanischen Firmen schnorcheln zwangsläufig alle Daten ab, deshalb sollte man da nur die Daten auslagern, die einem nicht so wichtig sind.
Und die NSA kann ja nun tatsächlich überall rein. Sollte man zumindest denken. Sollte es also tatsächlich so sein, dass das FBI tatsächlich an der Verschlüsselung vom iPhone scheitert? Also schön fände ich es ja schon. :)
Fefe hat dazu allerdings wieder eine ganz andere Meinung:

Und jetzt sollen wir denen ernsthaft glauben, dass sie ein gammeliges Iphone nicht entsperrt kriegen?!

Für wie blöde halten die uns eigentlich!?

Nein, liebe Leser, lasst euch da mal nicht verarschen.

Das ist Theater, dieser offene Brief von Apple. Selbstverständlich kann alles entsperrt werden.

Wir reden hier von der Regierung der USA auf der anderen Seite. Die Emails und SMSsen sind eh an der Schnorcheln der NSA vorbei gekommen, die Telefonat-Metadaten stehen in der Datenbank der Telcos, die mit der Polizei kooperieren.

Ich kenn mich jetzt nicht damit aus, wie Apple ihren Cloud-Scheiß technisch macht, aber ich würde mal vermuten, dass man da an die Daten wieder rankommt, wenn man genug Zeit zum PINs durchprobieren hat und an den Computer mit dem Itunes drankommt.

Wenn nicht eh die PIN als Textdatei auf besagtem Computer liegt.

Oder die NSA benutzt einen ihrer Baseband- oder Jailbreak-0days. Oder man wartet halt ein bisschen, bis die 0days von heute die bekannten Lücken von morgen sind, und dann benutzt man eine bekannte Lücke.

Ein Heise Kommentar dazu.

FBI Chef will „Vordertür“ in iOS und Android

Die Verbrechensbekämpfung ist wirklich schwierig geworden. Während man früher die Verbrecher anhand der Haarfarbe, Gang und Sprache erkannt hat und sie danach einfach verbrannt hat muss man heute nach Beweisen suchen. Zu dumm dass auch Kriminelle auch Smartphones verwenden (Wirklich? In Filmen verwenden die doch immer so alte Knochen und vor allem Prepaidkarten. ). Aktuell haben Google und Apple angekündigt in künftigen Versionen den Inhalt des Smartphones zu verschlüsseln. Aus meiner Sicht eine legitime und sehr sinnvolle Option, da keinen etwas angeht was ich mit dem Gerät alles mache. Ein guter Grund um mal wieder einen geheimen Zugang zu fordern.
Doch mit der Verschlüsselung kommen dann auch die Strafverfolgungsbehörden nicht mehr an die Daten und können damit gar nicht mehr nachweisen, dass ich etwas getan habe. Na und? Deshalb die ganze Menschheit und Generalverdacht zu stellen ist genauso scheiße. Wir hatten das schon mal ein großes Problem mit dem A.H. aus Ö.! Hätte er und seine Mithelfer damals die Technik von heute gehabt, wären vermutlich nicht nur 6 Millionen Juden tot sondern wirklich alle und sicherlich auch ein paar Menschen die unglücklicherweise zur falschen Zeit am falschen Ort standen. Nun ist das ja nun Geschichte und seit bald 70 Jahren haben wir nun endlich Frieden. Aber Überwachung brauchen wir nicht! Entweder ich behandle mein Volk anständig und gebe genug zu Essen, Trinken und Arbeit oder die Krawalle sind vorprogrammiert.

Zur Belustigung zum Thema noch ein Kommentar der die Forderung sehr gut zusammen fasst:

Die Internationale Gewerkschaft der Diebe und Berufseinbrecher (IGdDuBe) wollen sich nicht damit abfinden, dass Einfamilienhäuser künftig standardmäßig mit einem Schloss versehen werden sollen. Fritz Langfinger hat das nun noch einmal scharf kritisiert und fordert einen „Diebeszugang“.

Der Chef der der Internationalen Gewerkschaft der Diebe und Berufseinbrecher Fritz Langfinger hat mit deutlichen Worten vor den Plänen der Türen- und Schlosshersteller gewarnt. Wenn Einfamilienhäuser standardmäßig verschlossen werden, könnten Frauen und Kinder sterben, die Bildungsaussichten ganzer Generationen zerstört und ein altes Handwerk nicht mehr ausgeübt werden. Das erklärte Langfinger auf einer Veranstaltung der Lügner-Gesellschaft in Dortmund. Zwar könnte weiterhin Eigentum fremder Menschen auf öffentlichen Wegen durch geübte Taschendiebe entwendet und verkauft werden, aber angesichts der wachsenden Vorsicht der Menschen sei es technisch nicht möglich genügend Taschendiebe bereitzustellen.

Verschlüsselte Kommunikation in Thunderbird mit EnigMail

Vor 21 Jahren (1991) hat der Amerikaner Phil Zimmermann mit PGP den Grundstein für verschlüsselte E-Mail Kommunikation gelegt. Nachdem ich in den letzten Jahren mich immer wieder um das Thema E-Mail Verschlüsselung herausgeredet habe, nehme ich nun einen neuen Anlauf.
Die Idee ist nämlich gar nicht schlecht. Man verhindert effektiv, dass geheimer oder auch trivialer Inhalt einer E-Mail komplett offen übertragen wird. Stell dir doch einmal vor, du schreibst eine Postkarte mit persönlichen Worte an deine Angebetete oder auch ein Angebot an einen Kunden. Was fällt dir sofort auf? Richtig, jeder der die Postkarte in die Hände bekommt kann sie lesen. Und das kann der Postbote oder im schlimmsten Fall auch ein Konkurrent (der die Angebetete oder den Kunden für sich haben will) sein.
In der Post ist man seit Jahren weiter und hat den Briefumschlag erfunden. Dieser stellt sicher, dass man ohne größeren Aufwand nicht so leicht an den Inhalt des Briefumschlages herankommt. Früher gab es sogar noch ein Siegel, dass die Unversehrtheit des Briefumschlages sichergestellt hat. Damit konnte man ganz sicher gehen, dass nur der Absender und der Empfänger über den Inhalt Bescheid wussten.

Für die E-Mail Kommunikation fehlt bis heute ein „Briefumschlag“. Im Prinzip kann jeder, die E-Mail auf dem Weg durchs Internet abgreifen und den Inhalt betrachten. Die Möglichkeit, dass dies in freier Wildbahn passiert ist vermutlich eher gering, da die eigene E-Mail im Rauschen der anderen E-Mails untergeht. Aber stell dir vor, du bist Waffenhändler und wirst vom BKA überwacht. Dann würdest du wohl sehr schnell Besuch von den Beamten bekommen und hättest einen Platz hinter schwedischen Gardinen sicher.

Deshalb setzen die Profis von heute GnuPG oder OpenPGP (freie Alternativen zum Original PGP, dass leider kommerziell geworden ist) ein um die E-Mail Kommunikation verschlüsselt durchführen zu können. Dann gucken die BKA Beamten ohne starke Hardware und spezielle Knacksoftware und ohne richterlichen Beschluss erstmal in die Röhre.
Doch auch für Privatanwender kann es durchaus sinnvoll sein, seine eigenen E-Mails mit Freunden oder Familie zu verschlüsseln. Denn der Inhalt der eigenen E-Mails ist mitunter doch auch vertraulich einzuschätzen und muss nicht gleich jeder wissen. (Gut die moderne Facebook Generation kennt ja keine Grenzen mehr, wenn man die ganzen Pinnwände so anschaut!)

Ein kleines Video von Netzpolitik.org zur Funktionsweise der Verschlüsselung:

Kommen wir also zur Anwendung:
Da ich momentan noch Ubuntu 11.04 einsetze, gilt die Anleitung für Ubuntu. Andere Linux Derivate dürften sich aber ähnlich verhalten.

Was man benötigt:
1. Einen E-Mail Client (Beispielsweise Thunderbird)
2. Die Verschlüsselungssoftware: GnuPG (die findet man im Paketmanager „Ubuntu Software Center“)
3. Ein Plugin für Thunderbird „Enigmail“

Nachdem man alle 3 Programme installiert hat und ein konfiguriertes E-Mail Konto in Thunderbird eingerichtet hat, geht man am besten her und erstellt sich ein Schlüsselpaar. Das kann eine Weile dauern. Dazu geht man unter Thunderbird auf OpenPGP -> Schlüssel verwalten und dort auf Erzeugen -> Neues Schlüsselpaar
Am besten den Schlüssel mit unbegrenzter Gültigkeit erstellen //Hinweis eines Kommentators: Am besten wird die Gültigkeit auf 2 Jahre beschränkt (falls man den Schlüssel doch mal widerrufen muss, gibt es ja ein Widerrufszertifikat). Siehe auch hier im Wiki.

//Update vom 17.10.13: Hinweise auf gute und schlechte Schlüssel gibt es hier.

Hat man das eigene Schlüsselpaar erzeugt ist es sinnvoll das Widerrufszertifikat und die Schlüssel zu exportieren und an einem sicheren Ort aufzubewahren. Das Passwort sollte auch sicher aufbewahrt werden. Hat man es verloren ist der ganze Schlüssel verloren, da ohne Passwort keine Entschlüsselung funktionieren kann. Das Widerrufszertifikat wird nach dem Erstellen sofort in einen Ordner gespeichert, den man vorher festgelegt hat.
Zum Export geht man wie folgt vor: OpenPGP -> Schlüssel verwalten und dort auf das eigene Zertifikat rechts klicken: In Datei speichern -> Geheime Schlüssel exportieren. Damit wird der öffentliche und der private Schlüssel in eine Datei exportiert.
Wichtig: Diese Dateien sollte man wirklich an einem sicheren Ort aufbewahren, damit sie nicht in falsche Hände gerät. Also am besten auf eine CD brennen oder auch Diskette und in einen Schrank wegschließen. Man braucht die Dateien eigentlich nur noch, wenn mal der eigene Rechner die Grätsche macht und man den Schlüssel zurückexportieren möchte.

Nun geht es weiter mit der E-Mail Kommunikation:
Am besten man tauscht den öffentlichen Schlüssel mit seinen potentiellen E-Mail Partnern aus, damit diese die Nachricht wieder entschlüsseln können. Dazu geht man wieder wie folgt vor:
OpenPGP -> Schlüssel verwalten und dort auf das eigene Zertifikat rechts klicken: „Öffentliche Schlüssel per E-Mail senden

Hat man einen Schlüssel per E-Mail erhalten, klickt man mit rechts auf den Anhang und sucht im Kontextmenü „OpenPGP Schlüssel importieren„. Damit hat man schon den Schlüssel des Empfänger in seiner Verwaltung und muss nicht jedes Mal neu den Absender checken und den Schlüssel heraussuchen.
Am besten schaut man auch hier im Wiki nochmal nach, wie das mit EnigMail so funktioniert.

Bisher konnte ich noch keine verschlüsselte Mail senden, aber das wird schon noch kommen.

Für Outlook Benutzer und Windows Leute, gibt es übrigens Gpg4win. Netzwelt.de hat darüber geschrieben.

Noch ein paar Gedanken zum Einsatz von GnuPG / OpenPGP:

Vorteile:
– Nur der Empfänger kann die E-Mail lesen

Nachteile:
– Man braucht zwingend einen E-Mail Client
– Webmail funktioniert nicht

Der Artikel ist keineswegs genau und vollständig. Verbesserungsvorschläge werden gerne angenommen und bei Notwendigkeit auch eingepflegt.

//Update vom 17.10.2013:
Weiterführende Links:
– Schneller Einstieg mit Thunderbird und Enigmail bei Spiegel (Fotostrecke)
Gute und schlechte Schlüssel
– Warum überhaupt Verschlüsselung? Antworten für Anfänger
– KDE Wiki: Beitrag zu OpenPGP
OpenPGP Schulungen Projektseite mit vielen hilfreichen Seiten (wenn auch manchmal etwas verwirrend in der Navigation)