Sonntag, 8. Februar 2015

Anonymes und verschlüsseltes Emailkonto mit S/MIME Gateway und Tor

Der Emailhoster Posteo https://posteo.de/de hat ein neues Feature vorgestellt.

Posteo bietet jetzt ein S/MIME und PGP Gateway an!

Dies hat den großen Vorteil, dass sich eingehende Emails nur in verschlüsselter Form auf dem Emailhoster Server landen. D.h. sobald eine E-Mail eingeht, wird diese mit dem hinterlegten öffentlichen Schlüssel (PGP oder S/MIME) verschlüsselt. Mein Focus liegt hier bei S/MIME.

Ich habe heute nicht so viel Zeit, wenn Klärungsbedarf besteht, weil ich nicht alles bis ins Detail erkläre, schreibt einfach in die Kommentare.

Wieso Posteo?

  1.  Posteo bietet
    1.  Zwei-Faktor-Authentifizierung
    2. Zusätzlicher Postfachschutz für Webmail-Nutzer
    3. Bis zu 20 E-Mail-Aliase
    4. E-Mail-Sammeldienste
    5. gelebte Datensparsamkeit
      1. Zur Anmeldung sind keinerlei personenbezogene Daten notwendig
      2. siehe https://posteo.de/site/bezahlung
      3. siehe https://posteo.de/site/verschluesselung
      4. siehe https://posteo.de/site/datenschutz
      5. siehe https://posteo.de/site/transparenzbericht_2013
    6. Adressbuch- und Kalenderverschlüsselung
    7.  Eingangs-Verschlüsselung 
      1. Diese S/MIME Gateway werde ich hier behandeln
    8. Günstig mit 1€/Monat
  2. Posteo bietet nicht
    1. Tor Hidden Service
    2. (noch nicht) eine Postfach-Verschlüsselung
    3. Mechanismus um Metadaten zu verschlüsseln/verschleiern (Wer wann mit wem)
    4. App (am besten in Kombination mit Tor ö.ä.)
    5. Exchange Kompatibilität (Sync von Kontakten, Terminen und Aufgaben) 
Wenn ihr auch andere Hoster kennt, die ein solchen Funktionsumfang haben, bittet scrhreibt das in die Kommentare.
Mein bisheriger Email-Hoster Dogado https://www.dogado.de/ ist leider nicht so stark aufgestellt, was S/MIME Gateway und Verschlüsselung angeht. Ich kann leider nicht bewerten, wie viel davon technisch mit Exchange Server möglich wäre. Aber S/MIME Gateway zählt auf jeden Fall zu den Möglichkeiten.

Einleitung


Einstellung auf der Webfrontend Seite von posteo:


Nun kann man die EMails auch weiterhin im Browser anschauen, dazu ist das Plugin Mailvelope notwendig


Aber man kann auch weiterhin Outlook


oder Thunderbird benutzen


Ansätze S/MIME Zertifikat beziehen

Selbst erstellen

Im Kontext anonym zu sein, ist dies der empfehlenswerte Weg. Wenn man dieses Beitrag umsetzen möchte, aber auf die anonyme Komponente verzichten möchte, weil einem in erster Linie die Privatephäre zu sichern ausreicht, kann auch ein S/MIME Zertifikat gekauft werden.

 Um die Zertifikate selber zu erstellen, habe ich unten ein kleines PowerShell Script angehangen.

Kaufen

Ist auf jeden Fall einfacher in der Handhabung, da alle Parameter richtig eingestellt sind und die Client diesem auch Vertrauen.


Los geht's

  1. Software beschaffen
    1. Tor Browser https://www.torproject.org/projects/torbrowser.html.en
    2. Portable Thunderbird
      1. mit TorBirdy Plugin https://addons.mozilla.org/en-us/thunderbird/addon/torbirdy/
  2. Portable Thunderbird in einem verschlüsselten Ordner ablegen (BitLocker, TrueCrypt, etc.)
  3. Mit dem Tor Browser ein Konto bei Posteo eröffnen https://posteo.de/de
    1. Kostet dich 1€/Monat, kann Bar bezahlt werden. Man hat dazu 6 Wochen Zeit. Mehr Infos über das anonyme bezahlen bei Posteo: https://posteo.de/site/bezahlung
    2. Je nach dem wie wichtig einem Anonymität ist empfehle ich 
      1. das Konto mit einer GUID zu benennen z.B. bd469f2e-89c5-4de7-84c3-3dc11b5a3929@posteo.de (PowerShell [System.Guid]::NewGuid()) und dann
      2. zwei (kostenlose) Aliase vergeben mit einer kleineren GUID z.B. 5a2c6050@posteo.ch. So gibt es keine Rückschlüsse über den Namen der Emailadresse. Und die Aliase kann man in gewissen Zeitabständen auswechseln.
  4.  Mit dem Portable Thunderbird mit TorBirdy die Adresse einrichten
    1. Wenn auch gesendet werden soll, einen Alias unter SMTP hinterlegen
    2. SMTP und POP natürlich über SSL/TLS ansprechen
    3. Unter Einstellungen -> Erweitert -> Zertifikate
      1. Das Zertifikat importieren, wenn das Zertifikat mit dem Script s.u. erstellt wurden ist, auch die CA importieren und vertrauen.
    4. Je nach dem wie wichtig einem Anonymität ist empfehle ich 
      1. POP einzurichten und EMails nach dem Empfang vom Server zu löschen
  5. In der Posteo Weboberfläche erhält man unter dem Menü Punkt Einstellungen -> Verschlüsselung -> Eingangs-Verschlüsselung eine private Adresse sehen. z.B: Key+XYZ@posteo.de
    1. An diese Adresse senden wir nun eine signierte Email
    2. Danach kann in der Weboberfläche die Eingangverschlüsselung aktiviert werden.
  6. Zusätzlich kann man noch folgendes machen
    1. Weboberfläche Einstellung -> Passwort und Sicherheit die Zwei-Faktor-Authentifizierung aktivieren. Natürlich auf dem Handy nicht die Emailadresse erwähnen.
    2. Bei anderen Freemailern ein Konto mit dem TorBrowser erstellen und dadurch die Emails weiterleiten. z.B. Posteo -> GoogleMail -> GMX -> XYZ. Da es sich ja um eine Message-Secruity handelt können die "Hops" die Emails nichts lesen.

Folgende Punkte sind noch zu klären

  1. Wie kann man ein selbst signiertes Zertifikat im Outllook verwenden um eine EMail zu verschlüsseln (entschlüsseln funktioniert einwandfrei) ggf. interessant http://blogs.technet.com/b/pki/archive/2008/12/17/outlook-s-mime-certificate-selection.aspx
  2. Was passiert wenn ich eine verschlüsselte Nachricht an einen Alias sende, wird diese Nachricht nochmal verschlüsselt? (IMHO, wahrscheinlich nicht, siehe S/MIME Beschränkung)
  3. Wenn ich eine signierte Email an Posteo sende, wird diese bei Posteo trotzdem verschlüsselt. Ist die Signierung nach außen hin sichtbar? (IMHO, wahrscheinlich nicht)

PowerShell Script um die Zertifikate selber zu erstellen



um

Keine Kommentare:

Kommentar veröffentlichen

Abonnieren Kommentare zum Post (Atom)

Über mich

Düsseldorf, NRW, Germany