SMIME Zertifikat zum Verschlüsseln von Emails

S/MIME ist neben PGP ein weiterer Standard, um Emails digital zu signieren und / oder zu verschlüsseln. Die digitale Signatur wird verwendet, um die Authentizität zu gewährleisten. Dies bedeutet, dass die Email auf dem Versandweg nicht manipuliert wurde. Verschlüsselt wird der Inhalt der Email, damit Dritte den Inhalt nicht lesen können. Wichtig ist hier zu wissen, dass ausschließlich der Nachrichteninhalt verschlüsselt wird. Betreff sowie die Metadaten bleiben wie auch bei PGP unverschlüsselt. Daher ist es immer ratsam den Betreff einer Email so zu wählen, dass der Inhalt nicht automatisch ableitbar ist, wenn dieser geheim bleiben soll. Genau wie auch bei PGP hat S/MIME diverse Vor- aber auch Nachteile. Ein klarer Vorteil ist die bessere Unterstützung der Mailclients. Gängige Programme wie Thunderbird, Outlook, Apple Mail etc. unterstützen S/MIME nativ, ohne zusätzliche Plug-Ins zu benötigen. Ein deutlicher Nachteil ist der Bezug der öffentlichen Schlüssel, die zur Verschlüsselung benötigt werden. Auch bei S/MIME kommt das asymmetrische Verfahren zum Einsatz.

„SMIME Zertifikat zum Verschlüsseln von Emails“ weiterlesen

Webserver Zertifikate mit Let’s Encrypt erzeugen

Let’s Encrypt hat nun nach langer Vorbereitungszeit damit begonnen, kostenlose SSL / TLS Zertifikate für Webserver auszustellen. Informationen dazu sind auf der offiziellen Seite zu finden. Klick Die erzeugten X.509 Zertifikate werden von allen gängigen Browsern akzeptiert, so dass keine Warnmeldungen beim Aufruf einer verschlüsselten Seite erscheinen. Die reine Prozedur, ein Zertifikat zu erstellen, ist jedoch bei Let’s Encrypt nicht alles. Es besteht auch die Möglichkeit, die Webserver Apache oder Nginx so zu konfigurieren, dass kein manuelles Eingreifen für den Einsatz von „https“ mehr nötig ist. Persönlich stehe ich diesem Punkt jedoch skeptisch gegenüber. Um die automatische Konfiguration zu ermöglichen, muss auf dem entsprechenden Webserver das komplette Let’s Encrypt Paket installiert werden. Dies bringt jedoch automatisch ein gewisses Sicherheitsrisiko mit sich. Auch wenn die Entwickler höchst wahrscheinlich mehr Ahnung von Webservern haben wie ich, möchte ich dennoch die vollständige Hoheit über das System haben. Desweiteren funktioniert der Automatismus nicht auf Shared Hosting Systemen.

„Webserver Zertifikate mit Let’s Encrypt erzeugen“ weiterlesen

Emails mit PGP verschlüsseln

Erst in diesem Jahr hat sich das Innenministerium dagegen ausgesprochen, eine „Ende zu Ende Verschlüsselung“ für Emails vorzuschreiben. Grund genug sich selbst darum zu kümmern. Zum Verschlüsseln von Emails gibt es zwei Verfahren: S/MIME und PGP. Beide setzen auf unterschiedliche Verfahren, die jeweils ihre eigenen Vor- bzw. Nachteile haben. Gleich vorweg: Emails mit PGP zu verschlüsseln ist nicht gerade die innovativste Sache, jedoch gut zu verstehen, wenn man es ein paar Mal in der Praxis angewendet hat. Emailverschlüsselung mit PGP geht heute mit allen gängigen Mailclients (Outlook, Thunderbird…). Diese Anleitung basiert auf Thunderbird mit dem Addon „Enigmail“ welches sowohl für Windows als auch für Linux zur Verfügung steht. Für Windows müssen noch zusätzlich die GnuPG Binaries zur Verfügung gestellt werden. Ein fertiges Installationspaket gibt es bei GPG4Win zum Herunterladen: Klick. Wie die benötigten Schlüssel für PGP erstellt werden, habe ich in diesem Beitrag beschrieben: Klick.

„Emails mit PGP verschlüsseln“ weiterlesen

PGP Zertifikate für Emailverschlüsselung erzeugen

Um Emails zu verschlüsseln gibt es zwei gängige Verfahren. Diese sind S/MIME und PGP. Die beiden Verfahren sind nicht untereinander kompatibel. S/MIME hat den großen Vorteil, dass es in jedem gängigen Mailclient (Outlook, Thunderbird, iOS Mail, Android Mail…) integriert ist. Die für S/MIME verwendeten X.509 Zertifikate werden in der Regel durch eine Public CA unterschrieben. Solange der Private Key unter eigener Hoheit bleibt, ist alles in Ordnung. Falls nicht, ist die Vertraulichkeit des Zertifikats zu bezweifeln.

„PGP Zertifikate für Emailverschlüsselung erzeugen“ weiterlesen

Festplatte mit BitLocker verschlüsseln

Microsoft bietet seit Windows Vista mit BitLocker eine eigene Lösung, um Festplatten zu verschlüsseln. Mit „BitLocker to Go“ ist es auch möglich, USB Sticks zu verschlüsseln. Dies funktioniert natürlich nur in einem entsprechenden Windows Umfeld. Wer eine plattformunabhängige Lösung zum Verschlüsseln von Datenträgern sucht, könnte bei VeraCrypt fündig werden. Zu VeraCrypt habe ich bereits einige Beiträge geschrieben: Klick
Damit BitLocker sauber funktioniert, ist einiges zu beachten. Um eine ordentliche Verschlüsselung zu erreichen, müssen erstmal einige Gruppenrichtlinien bearbeitet werden. Dies geschieht über das MMC Snap-in „Gruppenrichtlinienobjekt-Editor“.

„Festplatte mit BitLocker verschlüsseln“ weiterlesen

VeraCrypt Teil 3: TrueCrypt Volumes migrieren

Die Verschlüsselungssoftware VeraCrypt ist ein aktueller TrueCrypt Fork, mit der es möglich ist, Daten u.a. containerbasiert zu verschlüsseln. In den vorherigen Beiträgen wurde beschrieben, wie sich VeraCrypt installieren lässt und wie Container bzw. Partitionen verschlüsselt werden können. Bestehende TrueCrypt Volumes lassen sich auch mit VeraCrypt öffnen. Soll ein Volume dauerhaft mit VeraCrypt gemountet werden, ohne den dafür bereitgestellten TrueCrypt Mode zu nutzen, ist eine VeraCrypt Migration möglich. Danach ist das Volume zu 100% VeraCrypt kompatibel und lässt sich nicht mehr mit TrueCrypt mounten.

„VeraCrypt Teil 3: TrueCrypt Volumes migrieren“ weiterlesen

VeraCrypt Teil 2: Container verschlüsseln

Im ersten Teil der „VeraCrypt“ Reihe ging es um die Einleitung zu VeraCrypt und deren Installation. Der Beitrag ist hier zu finden: https://blog.doenselmann.com/veracrypt-teil-1-installation
In diesem Beitrag wird gezeigt, wie mit VeraCrypt ein verschlüsselter Container angelegt werden kann. Ein Container liegt auf einem beliebigen Dateibereich und hat eine fest definierte Größe. Der Inhalt des Containers ist hierbei komplett verschlüsselt. Ob der Container selbst auf einem verschlüsselten Bereich liegt oder nicht ist prinzipiell erstmal egal. Der Vorteil von Containern ist, dass diese portabel sind und leicht von „A“ nach „B“ transportiert werden können. Ein weiterer Vorteil ist, dass der Container nur dann gemountet werden muss, wenn auch tatsächlich Zugriff auf die verschlüsstelten Daten erforderlich ist. Somit bleiben die Daten bei einem Angriff zumindest dann geschützt, wenn der Container gerade nicht im Zugriff ist.

„VeraCrypt Teil 2: Container verschlüsseln“ weiterlesen

VeraCrypt Teil 1: Installation

Die wohl sehr weit verbreitete und bekannte Verschlüsselungssoftware „TrueCrypt“ wurde am 28.05.2014 eingestellt. Die tatsächlichen Gründe dafür sind nach wie vor nicht bekannt. Es gibt nur diverse Gerüchte über die Beweggründe der Entwickler. Trotz offizieller Beendigung des Projekts wurde der Quellcode der OCAP „https://opencryptoaudit.org/“ auditiert. Geprüft wurde auf Backdoors und gravierende Sicherheitslücken. Die zweite Phase des Audits wurde am 02.04.2015 abgeschlossen. Das Ergebnis ist durchaus positiv. Es wurden weder Backdoors noch gravierende Sicherheitslücken entdeckt. Nur ein „paar Kleinigkeiten“. Somit spricht erstmal nichts gegen einen Einsatz von TrueCrypt. Ein fader Beigeschmack bleibt jedoch. Gerade wenn man den Blick ein wenig in die Zukunft richtet. Was passiert mit neuen Betriebssystemversionen? Funktioniert die Software hier noch? Oder wie geht es weiter, wenn neue Algorithmen bzw. kryptographische Verfahren veröffentlicht werden? Die Antwort darauf ist relativ simpel. Es wird keinerlei Änderungen mehr am TrueCrypt Quellcode geben und somit passiert hier auch nichts mehr.

„VeraCrypt Teil 1: Installation“ weiterlesen

Home und swap mit ecryptfs verschlüsseln

Unter Linux gibt es mehrere Möglichkeiten, Datenbereiche zu verschlüsseln, um die Daten zu schützen. Die sinnvollste Möglichkeit ist meiner Meinung nach ein verschlüsselter LVM. Dadurch werden alle Bereiche komplett abgedeckt. Außerdem lassen sich im Nachgang die Partitionen leicht verwalten. Es ist jedoch auch möglich, ausschließlich /home zu verschlüsseln. Dazu gibt es fertige Skripte in den „ecryptfs-utils“, die diesen Schritt automatisieren. Die vorgefertigten Pakete haben jedoch einen kleinen Nachteil. Es wird „nur“ mit AES-128 verschlüsselt. Dies sollte – Stand Heute – für den privaten Gebrauch ausreichend sein. Wer mehr will, muss den manuellen Weg wählen oder gleich ein System mit verschlüsseltem LVM aufbauen.

„Home und swap mit ecryptfs verschlüsseln“ weiterlesen

OpenVPN Zertifikate unter Linux erzeugen

In einem älteren Blogpost habe ich die Erzeugung von OpenVPN Zertifikaten unter Windows beschrieben. Klick. Heute geht es darum, die benötigte CA inkl. Zertifikate unter Linux zu erzeugen. Auch unter Linux gibt es dank Easy-RSA bereits vorgefertigte Skripte, die den Job sehr gut erledigen. Die Easy-RSA Skripte können auch auf Github eingesehen und bei Bedarf direkt von dort bezogen werden. https://github.com/OpenVPN/easy-rsa/

„OpenVPN Zertifikate unter Linux erzeugen“ weiterlesen