Freitag, 13. Februar 2015

Anonyme E-Mail Provider

Update:
Nach interessanten Konversationen habe ich die Bewertung angepasst. ------------------------------------------------------------------------------------------------------------

Auswertung


Erläuterung


Anonymität

Name nicht notwendig

Für die Anmeldung sind keine Angaben bezüglich des Names notwendig.

Anschrift nicht notwendig

Für die Anmeldung sind keine Angaben bezüglich der Anschrift notwendig.

Erreichbar mit Tor

Der Provider ist über das Tor Netzwerk erreichbar, einige Dienste sperren oder erschweren  einen solchen Zugriff z.B. mit CloudFlare.

Tor (Hidden Service)

Der Provider bietet einen eigenen Hidden Service an. https://www.torproject.org/docs/hidden-services.html.en

Verschlüsselungs-Gateway

S/MIME

Das Gateway unterstütze S/MIME (Secure / Multipurpose Internet Mail Extensions), dies hat zum Vorteil dass einige E-Mail Programm und Smartphone dies nativ unterstützen.

SelfSigned S/MIME

Um ein hohes Maß an Anonymität zu gewährleisten kann es sinnvoll sein ein solches Zertifikat selber auszustellen.

PGP

Das Gateway unterstütze (PGP) Pretty Good Privacy.

PGP Inline

mailbox.org hängt den verschlüsselten Content als Anlage an, posteo.de mach dies Inline.
http://de.wikipedia.org/wiki/PGP/INLINE

mailbox.org

posteo.de

Anhänge PGP Inline

Auch Anhänge werden mit PGP Inline verschlüsselt.

Funktioniert mit Sammeldiensten

Abgerufende Emails werden auch verschlüsselt.

Weiterleitung (verschlüsselt) nach Gateway

Können eingegangene Emails nach dem Verschlüsseln weitergeleitet werden.

Verschlüsselter Content

Postfach

Verschlüsselung von Metadaten, wer wann mit wem.

Adressbuch

Verschlüsselung des Adressbuches.

Kalender

Verschlüsselung des Kalenders.

SSL Labs Score

Webportal

posteo.de
https://www.ssllabs.com/ssltest/analyze.html?d=posteo.de
mailbox.org
https://www.ssllabs.com/ssltest/analyze.html?d=mailbox.org


dogado.de
https://www.ssllabs.com/ssltest/analyze.html?d=hex2013.com

Bezahlmethoden

BitCoin

Kann mit BitCoin bezahlt werden.

Bar

Kann Bar bezahlt werden.

Zwei-Faktor-Authentifizierung 

TOTP bzw. OATH

Wiki:
Time-based One-time Password Algorithm (TOTP) is an algorithm that computes a one-time password from a shared secret key and the current time.

U2F-Standard

Wiki:
Universal 2nd Factor (U2F) is an open authentication standard[1] that strengthens[2] and simplifies[3] two-factor authentication using specialized USB or NFC devices[4] based on similar security technology found in smart cards.[5] While initially developed by Google, the standard is now hosted by the FIDO Alliance.[3][6]

Transparenzbericht

Es wird jährlich (oder andere Turnus) ein Transparenzbericht veröffentlicht.

Verschlüsselter Versand

Dane only

Die Vorraussetzung für die Vebindung mit einem anderen Mailserver ist die Unterstützung von Dane.

Wiki:
DNS-based Authentication of Named Entities (DANE) ist ein Netzwerkprotokoll, das dazu dient, den Datenverkehr abzusichern. Das Protokoll erweitert die verbreitete Transportwegverschlüsselung SSL/TLS in der Weise, dass die verwendeten Zertifikate nicht unbemerkt ausgewechselt werden können und erhöht so die Sicherheit beim verschlüsselten Transport von E-Mails und beim Zugriff auf Webseite

SSL/TLS only

Die Vorraussetzung für die Vebindung mit einem anderen Mailserver ist die Unterstützung von SSL/TLS.

Beispiel

Bei mailbox.org kann man das Verhalten genau festlegen.

Erklärung von mailbox.org:
Echte Mailserver-Profis können im Verwaltungsmenü nicht nur den normalen sicheren Mail-Alias aktivieren, sondern darüber hinaus auch eine sogenannte TLS-Policy festlegen. Wenn Ihnen “einfach so” verschlüsselte SSL/TLS-Verbidungen nicht ausreichen, können Sie hier weitergehende Sicherheitsstufen festlegen:
  • encrypt: Die Mail muß mindestens ganz normal mit SSL/TLS-verschlüsselt sein. Lediglich normale Plaintext-Übertragungen sind verboten.
  • dane-only: Eine einfache SSL/TLS-Verbindung reicht nicht aus, das SSL-Zertifikat der Gegenstelle muß mittels DANE verifizierbar sein.
  • verify: Versendet E-Mails nur an die Provider, deren SSL-Zertifikat wir besonders gespeichert haben.


Web-Frontend


S/MIME im Browser entschlüsseln

PGP im Browser entschlüsseln

Mit dem Plugin Mailvelope https://www.mailvelope.com/ kann man bei Posteo.de und mailbox.org mit PGP verschlüsselten Mails arbeiten. (verschlüsseln, entschlüsseln, signieren)

Funktioniert ohne JavaScript

Der Zugang funktioniert auch ohne Javascript. Negativ ist leider mailbox.org aufgefallen, mit deaktivierten JS hat man nach dem Anmelden nur eine weiße Seite angezeigt bekommen. Posteo weißt einem zumindest daraufhin, dass JS benötigt wird.

optional only Web-Frontend 

Man kann den Zugang über das Web-Frontend einschränken.

Verschiedenes

Serverstandort Deutschland

Anwendungspasswörter

Man kann für Clients separate Passwörter (meist generiert) vergeben. So ist auch die Verschlüsselung vom Postfach, Adressbuch, Kalender gesichert.

z.B. Google  https://support.google.com/accounts/answer/185833?hl=de
z.B. Microsoft http://windows.microsoft.com/de-de/windows/app-passwords-two-step-verification
z.B. Facebook https://de-de.facebook.com/help/249378535085386



Sonntag, 8. Februar 2015

Anonymes und verschlüsseltes Emailkonto mit S/MIME Gateway und Tor

Der Emailhoster Posteo https://posteo.de/de hat ein neues Feature vorgestellt.

Posteo bietet jetzt ein S/MIME und PGP Gateway an!

Dies hat den großen Vorteil, dass sich eingehende Emails nur in verschlüsselter Form auf dem Emailhoster Server landen. D.h. sobald eine E-Mail eingeht, wird diese mit dem hinterlegten öffentlichen Schlüssel (PGP oder S/MIME) verschlüsselt. Mein Focus liegt hier bei S/MIME.

Ich habe heute nicht so viel Zeit, wenn Klärungsbedarf besteht, weil ich nicht alles bis ins Detail erkläre, schreibt einfach in die Kommentare.

Wieso Posteo?

  1.  Posteo bietet
    1.  Zwei-Faktor-Authentifizierung
    2. Zusätzlicher Postfachschutz für Webmail-Nutzer
    3. Bis zu 20 E-Mail-Aliase
    4. E-Mail-Sammeldienste
    5. gelebte Datensparsamkeit
      1. Zur Anmeldung sind keinerlei personenbezogene Daten notwendig
      2. siehe https://posteo.de/site/bezahlung
      3. siehe https://posteo.de/site/verschluesselung
      4. siehe https://posteo.de/site/datenschutz
      5. siehe https://posteo.de/site/transparenzbericht_2013
    6. Adressbuch- und Kalenderverschlüsselung
    7.  Eingangs-Verschlüsselung 
      1. Diese S/MIME Gateway werde ich hier behandeln
    8. Günstig mit 1€/Monat
  2. Posteo bietet nicht
    1. Tor Hidden Service
    2. (noch nicht) eine Postfach-Verschlüsselung
    3. Mechanismus um Metadaten zu verschlüsseln/verschleiern (Wer wann mit wem)
    4. App (am besten in Kombination mit Tor ö.ä.)
    5. Exchange Kompatibilität (Sync von Kontakten, Terminen und Aufgaben) 
Wenn ihr auch andere Hoster kennt, die ein solchen Funktionsumfang haben, bittet scrhreibt das in die Kommentare.
Mein bisheriger Email-Hoster Dogado https://www.dogado.de/ ist leider nicht so stark aufgestellt, was S/MIME Gateway und Verschlüsselung angeht. Ich kann leider nicht bewerten, wie viel davon technisch mit Exchange Server möglich wäre. Aber S/MIME Gateway zählt auf jeden Fall zu den Möglichkeiten.

Einleitung


Einstellung auf der Webfrontend Seite von posteo:


Nun kann man die EMails auch weiterhin im Browser anschauen, dazu ist das Plugin Mailvelope notwendig


Aber man kann auch weiterhin Outlook


oder Thunderbird benutzen


Ansätze S/MIME Zertifikat beziehen

Selbst erstellen

Im Kontext anonym zu sein, ist dies der empfehlenswerte Weg. Wenn man dieses Beitrag umsetzen möchte, aber auf die anonyme Komponente verzichten möchte, weil einem in erster Linie die Privatephäre zu sichern ausreicht, kann auch ein S/MIME Zertifikat gekauft werden.

Um die Zertifikate selber zu erstellen, habe ich unten ein kleines PowerShell Script angehangen.

Kaufen

Ist auf jeden Fall einfacher in der Handhabung, da alle Parameter richtig eingestellt sind und die Client diesem auch Vertrauen.


Los geht's

  1. Software beschaffen
    1. Tor Browser https://www.torproject.org/projects/torbrowser.html.en
    2. Portable Thunderbird
      1. mit TorBirdy Plugin https://addons.mozilla.org/en-us/thunderbird/addon/torbirdy/
  2. Portable Thunderbird in einem verschlüsselten Ordner ablegen (BitLocker, TrueCrypt, etc.)
  3. Mit dem Tor Browser ein Konto bei Posteo eröffnen https://posteo.de/de
    1. Kostet dich 1€/Monat, kann Bar bezahlt werden. Man hat dazu 6 Wochen Zeit. Mehr Infos über das anonyme bezahlen bei Posteo: https://posteo.de/site/bezahlung
    2. Je nach dem wie wichtig einem Anonymität ist empfehle ich 
      1. das Konto mit einer GUID zu benennen z.B. bd469f2e-89c5-4de7-84c3-3dc11b5a3929@posteo.de (PowerShell [System.Guid]::NewGuid()) und dann
      2. zwei (kostenlose) Aliase vergeben mit einer kleineren GUID z.B. 5a2c6050@posteo.ch. So gibt es keine Rückschlüsse über den Namen der Emailadresse. Und die Aliase kann man in gewissen Zeitabständen auswechseln.
  4.  Mit dem Portable Thunderbird mit TorBirdy die Adresse einrichten
    1. Wenn auch gesendet werden soll, einen Alias unter SMTP hinterlegen
    2. SMTP und POP natürlich über SSL/TLS ansprechen
    3. Unter Einstellungen -> Erweitert -> Zertifikate
      1. Das Zertifikat importieren, wenn das Zertifikat mit dem Script s.u. erstellt wurden ist, auch die CA importieren und vertrauen.
    4. Je nach dem wie wichtig einem Anonymität ist empfehle ich 
      1. POP einzurichten und EMails nach dem Empfang vom Server zu löschen
  5. In der Posteo Weboberfläche erhält man unter dem Menü Punkt Einstellungen -> Verschlüsselung -> Eingangs-Verschlüsselung eine private Adresse sehen. z.B: Key+XYZ@posteo.de
    1. An diese Adresse senden wir nun eine signierte Email
    2. Danach kann in der Weboberfläche die Eingangverschlüsselung aktiviert werden.
  6. Zusätzlich kann man noch folgendes machen
    1. Weboberfläche Einstellung -> Passwort und Sicherheit die Zwei-Faktor-Authentifizierung aktivieren. Natürlich auf dem Handy nicht die Emailadresse erwähnen.
    2. Bei anderen Freemailern ein Konto mit dem TorBrowser erstellen und dadurch die Emails weiterleiten. z.B. Posteo -> GoogleMail -> GMX -> XYZ. Da es sich ja um eine Message-Secruity handelt können die "Hops" die Emails nichts lesen.

Folgende Punkte sind noch zu klären

  1. Wie kann man ein selbst signiertes Zertifikat im Outllook verwenden um eine EMail zu verschlüsseln (entschlüsseln funktioniert einwandfrei) ggf. interessant http://blogs.technet.com/b/pki/archive/2008/12/17/outlook-s-mime-certificate-selection.aspx
  2. Was passiert wenn ich eine verschlüsselte Nachricht an einen Alias sende, wird diese Nachricht nochmal verschlüsselt? (IMHO, wahrscheinlich nicht, siehe S/MIME Beschränkung)
  3. Wenn ich eine signierte Email an Posteo sende, wird diese bei Posteo trotzdem verschlüsselt. Ist die Signierung nach außen hin sichtbar? (IMHO, wahrscheinlich nicht)

PowerShell Script um die Zertifikate selber zu erstellen



Mittwoch, 18. Juni 2014

Threema vs. Super vs. WhatsApp vs.Telegram


Artikel ist in Arbeit ! Letzte Änderung 20.06.2014 16:00


Mit dem heutigen Release von der App Super habe ich die Gelegenheit genutzt um einen Vergleich von ChatsApps aufzustellen.

Sollten falsche Angaben von mir gemacht wurden sein, bitte eine kurze Email an mich. Ich werde die Angabe dann sofort korrigieren.

Apps 

Super

Webseite: http://www.shape.ag/de/

App Store
Google play
Windows Phone Store

Threema


Webseite: https://threema.ch/de/

App Store
Google play
Windows Phone Store
  

WhatsApp 


Webseite: http://www.whatsapp.com/?l=de

App Store
Google play
Windows Phone Store

Telegram 


Webseite: https://telegram.org/

App Store
Google play
Windows Phone Store

Vergleich






Leseempfehlung
Kryptographische Verfahren: Empfehlungen und Schlüssellängen Teil 1
Kryptographische Verfahren: Empfehlungen und Schlüssellängen Teil 2
NIST Recommendation for Key Management (Seite 64)

Samstag, 31. Mai 2014

Bitlocker Passwordabfrage beim Starten einrichten (BitLocker StartUp Key and PIN)

Mit dem "Ende" von TrueCrypt, siehe Golem: Rätsel um das Ende von Truecrypt, kommt man vielleicht auf die Idee auf BitLocker umzusteigen.

Hier beschreibe ich wie man einen PIN in BitLocker einrichtet, siehe auch Best Practice von Microsoft.

Der Auslieferungszustand von BitLocker ist leider über Cold Boot, Firewire and BIOS Keyboard Buffer angreifbar. (Wenn man nur auf den TPM Chip setzt, also kein Hardwaretoken benutzt)

Eines der tollen Feature von TrueCrypt ist die PreBoot Authentication.
Diese Feature ist auch unter Windows in Kombination von Bitlocker möglich.
BitLocker Passwort beim booten

Am einfachsten geht dies, wenn deine Hardware ein TPM Chip eingebaut hat. Dieser funktioniert wie eine SmartCard, d.h. es reicht ein recht einfacher PIN von 4 Zahlen um den Rechner zu schützen. (Bis zu 20 Stellen sind als PIN möglich)

  1. Zuerst muss der TPM Chip ggf. im Bios aktiviert werden.
  2. Dann muss der TPM Chip eingerichtet werden

3. Festplatte verschlüsse
4. Lokale Sicherheitsrichtlinie anpassen
5. PIN setzen


BitLocker lässt sich relativ einfach starten, einfach nach BitLocker im StartMenü eingeben und schon kann man die Festplatte teilweise (nur Userdaten) oder komplett verschlüsseln.

Ich würde auf jeden Fall eine komplette Verschlüsselung bevorzugen, mit einem Hardware AES Chip, z.b. in den meisten Intel Core i5 und i7 macht es eh kein Performance unterschied.

Bei einem Datendurchsatz von 1,4 GB/s (auf meinem i7) hat man mit BitLocker IMHO keinen Perfomanceeinbruch.

Also wir haben nun die Verschlüsseln durch BitLocker aktiviert, jetzt wird schon im Hintergrund die Festplatte verschlüsselt.
Man merkt von dieser Verschlüsselung erstmal nichts, den Bitlocker arbeiter ziemlich transparent. Nur das Laufwerk-Icon hat nun ein kleines Schloß.
Achtung, damit ist die Festplatte an das aktuelle System gebunden!

Mir persöhnlich reicht das jedoch nicht, ich möchte vor dem Starten von Windows erstmal ein Passwort eingeben.

Um dies zu bewerkstelligen muss man in der lokalen Gruppenrichtlinie die Funktion StartUp key and PIN aktivieren.


Und kann man schon den PIN einrichten, leider nur über ein CLI


C:\Windows\system32>manage-bde -protectors -add c: -TPMAndPIN
BitLocker Drive Encryption: Configuration Tool version 6.3.9600
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Type the PIN to use to protect the volume:
Confirm the PIN by typing it again:
Key Protectors Added:

    TPM And PIN:
      ID: {XXXXXXXXXXXXXXXXXXXXX8}
      PCR Validation Profile:
        0, 2, 4, 8, 9, 10, 11

Key protector with ID "{XXXXXXXXXXXXXXXXXX}" deleted.


Nun erscheint auch im Kontext Menu der Punkt PIN ändern.
Wenn man nun den Computer hochfährt wird man mit der folgenden Eingabe begrüßt.
Sollte man den PIN nicht mehr wissen, gibt es folgende Recover Funktion
bzw.


Wenn du gar nichts mehr hast, hast du ein Problem und deine Daten sind alle weg! Aber so ist es nunmal mit der Verschlüsselung.

Donnerstag, 17. April 2014

Windows Phone 8.1 VPN IKEv2

Mit dem Update Windows Phone 8.1 steht nun endlich VPN zur Verfügung.
Aber leider wird entweder SSL VPN über Drittanbieter oder 'richtiges' VPN über IKEv2 angeboten.

Und es scheint nicht einfach zu sein einen VPN Anbieter zu finden, welcher IKEv2 unterstützt.
Folgende Anbieter haben ich gefunden

Siehe Details: http://technet.microsoft.com/en-us/windows/dn673608

Erste Erfahrungen

Der kostenlose Modus hat das limit von einem Gerät, d.h. wenn man sich aus einem WLAN entfernt kann man erstmal nicht reconnecten. Bis diese alte Connection in einen serverseitige Timeout läuft, das Protokoll läut über UDP was dieses Verhalten begünstigt.

Ob sich dieses Verhalten bei der kostenpflichte hide.me Varaiente auch so zeigt, kann ich noch nicht sagen.

Die Akkulaufzeit ist merklich kürzer, aber die Netzwerkgeschwindigkeit ist nicht wirklich beeinträchtigt.

Geschwindigkeit Hide.Me

Von meinen heimischen WLAN aus getestet mit dem Server free-nl.hide.me (kostenloser VPN Endpunkt)


Über Hide.Me auf torrentfreak


Which VPN Services Take Your Anonymity Seriously? 2014 Edition
https://torrentfreak.com/which-vpn-services-take-your-anonymity-seriously-2014-edition-140315/3/

1. Do you keep ANY logs which would allow you to match an IP-address and a time stamp to a user of your service? If so, exactly what information do you hold and for how long? 

1. We have developed our system with an eye of our customer’s privacy, so we created a distributed VPN cluster with independent public nodes that do not store any customer data or logs at all. Link: https://hide.me/en/legal#privacy

2. Under what jurisdictions does your company operate and under what exact circumstances will you share the information you hold with a 3rd party?

2. We’re a Malaysian incorporated company which is not subject to any mandatory data retention laws. We strictly do not log any personal data to avoid legal liability, and to ensure your online privacy. Furthermore we do not store any logfile on our VPN servers, it’s not our job to monitor or filter your data.

3. What tools are used to monitor and mitigate abuse of your service?

3. We only offer our services based on our ToS, and we have a zero tolerance on any kind of abuse. Nevertheless it is not our job to monitor or control our user’s activities, that’s also a main reason why we don’t throttle or block any kind of traffic.

4. In the event you receive a DMCA takedown notice or European equivalent, how are these handled?
 
4. Since we don’t store any logs and/or host copyright infringing material on our services, we’ll reply to these notices accordingly.

5. What steps are taken when a valid court order asks your company to identify an active user of your service?
 
5. The company is incorporated in Malaysia. If a court order is received from a recognized legal authority with jurisdiction over hide.me then the company shall comply with that order. However, the company cannot be compelled to hand over information which it does not have. When a customer signs up we request as little information as possible; a valid email address. If it ever becomes required by law for us to keep a persistent log of our customers connections or any personal data relating to their network activity, we will immediately notify our customers and do everything in our power to move jurisdictions or close the service to protect those who entrust their privacy to us.

6. Is BitTorrent and other file-sharing traffic allowed on all servers? If not, why?
 
6. BitTorrent is allowed on all locations without restrictions. However, we encourage our users to avoid the US/UK locations for their filesharing activities.

7. Which payment systems do you use and how are these linked to individual user accounts?
 
7. We support over 80 international payment methods, including Paypal, Credit Cards, Bank transfer, PaySafeCard and UKash.
All payments are handled by external payment providers and are linked to a temporary payment ID. This temporary payment ID can not be connected to the users VPN account/activity. After the payment is completed, the temporary payment ID will be permanently removed from the database.

8. What is the most secure VPN connection and encryption algorithm you would recommend to your users?
 
8. Our most secure VPN connection is IPsec over IKEv2 (AES-256 / SHA-512) and OpenVPN with AES-256 using a 4096-bit SHA-512 HMAC authentication. We strongly recommend IKEv2 since it’s performaning really fast and is more reliable than OpenVPN.
We are one of the few providers that support a wide range of protocols: OpenVPN, IPSec (IKEv1 & IKEv2), L2TP/IPSec and PPTP.
Link: https://hide.me/en/features/protocols
 

Samstag, 2. November 2013

Dateien mit dem nPA (neuer Personalausweis) signieren und verschlüsseln [In Arbeit]

Viele haben schon den neunen Personalausweis (nPA), jedoch gab es noch keine Möglichkeit die Online-Unterschrift zu verwenden. Durch das Projekt sign-me von der Bundesdruckerei ist dies nun möglich. siehe: http://www.bundesdruckerei.de/de/199-sign-me

Ich erkläre hier mal nicht den Bestelleprozess, da dieser selbsterklärend ist. Durch die Entscheidung des Bundes die AusweisApp in Java zu entwickeln, ist der Prozess das Zertifikat zu laden mit etwas Frust verbunden. Ich habe mehr als 10mal den gleichen Prozess vollzogen bis es funktioniert hat.

Aber, wenn es geklappt hat zeige ich hier wie man mit dem nPA Dateien signieren und verschlüsseln kann.

Artikel ist gerade in Arbeit!


Montag, 21. Oktober 2013

Über mich