Kategorie-Archiv: Anleitung

Wie man wirklich auf PGP umsteigt

Wirklich PGP nutzen

Das Problem

Ich treffe oft Menschen auf Kryptopartys die sich zwar PGP eingerichtet haben,  es dann im Alltag aber doch nicht nutzen weil das Umfeld seine e-mails nicht verschlüsselt. Denn zum verschlüsseln gehören immer zwei.

Die Lösung

 

Hinweis:Die im folgenden Lösungen richten sich an Leute, die erstens bereits PGP eingerichtet haben und zweitens jetzt wirklich umsteigen wollen.Falls erstens noch nicht der Fall ist haben die Piraten BW eine gute Anleitung für dich.

Einstellungssache

Wo ein Wille ist, da ist auch ein Weg. Es gibt immer Situationen in denen wir etwas von anderen wollen:  von unseren Kunden, Arbeitgebern oder irgendwelchen Firmen. Aber wenn jemand etwas von mir will entscheide ich wie und ob er es bekommt. Genauso wie ich keinen ungeschützten Sex mit Fremden habe akzeptiere ich keine ungeschützten Nachrichten.

Auf Klartext-Emails reagiere ich dann nur mit diesem Standardschreiben:

Betreff:  mail rejected - use encryption| Nachricht abgelehnt - Verschlüsselung verwenden

This address only accepts encrypted messages. Your message has not been read. Please use the PGP key 0x9E2CCDB9, or this contact form: https://encrypt.to/0x9E2CCDB9

Diese Adresse akzeptiert nur verschlüsselte Nachrichten. Ihre Nachricht wurde nicht gelesen. Bitte den PGP-Key 0x9E2CCDB9 verwenden, oder dieses Kontaktformular: https://encrypt.to/0x9E2CCDB9

Natürlich ist das gelogen, ich lese alles trotzdem, aber es bewirkt Wunder sein Recht auf Informationelle Selbstbestimmung ein zu fordern. Die Werbeagentur will etwas von mir? Entweder verschlüsselt oder per Post.

Erreichbar bleiben

Jetzt wollen wir uns natürlich nicht vollkommen von der Außenwelt abschotten, deshalb verwenden wir den tollen Dienst encrypt.to als verschlüsseltes Kontaktformular. Falls dein Key noch nicht im großen Aluhut-Telefonbuch (Keyserver) steht, kannst du dein PGP Programm verwenden oder hier deinen öffentlichen Key hochladen . Gib dem ganzen wenigstens 10 Minuten Zeit um sich zu aktualisieren. Und dann einfach encrypt.to/0xDeinekeyid verteilen.

Sicherheitshinweis: Das ist eine Übergangslösung , ein Kompromiss zulasten der Sicherheit zugunsten der Bequemlichkeit.

Mehr Details anzeigen(Achtung Nerdsprech)

Die drei wichtigsten Kontakte

Es gibt für die meisten Leute eine handvoll Menschen mit denen sie sich regelmäßig austauschen. Suche dir die drei wichtigsten aus und bekehre sie dazu PGP zu nutzen. Das sollte nicht weiter schwer sein, weil diese Menschen dir ja wichtig sind und das auf Gegenseitigkeit beruht (wünschte ich dir zumindest).

Nett Nachfragen

Jede größere Firma muss von Gesetzeswegen her eine(n) Datenschutzbeauftragte(n) haben.(Das stellt keine Rechtsberatung da, ich bin kein Anwalt.  Aber der Wikipedia-Artikel zu dem Thema ist bestimmt interessant für dich). In aller Regel weiß dieser Mensch sehr genau, dass man eigentlich für Kunden verschlüsselt erreichbar sein sollte. Leider werden Bemühungen die Richtung mit „zu teuer“ und „die Kunden fragen das nicht nach“ abgeschmettert. Und hier kommen wir ins Spiel: Frage doch mal nett nach! „Seit der letzten Veröffentlichungen in der Presse mache ich mir verstärkt sorgen um den Schutz meiner Daten, ich bin sehr gerne Kunde bei Ihnen und konnte leider keinen PGP Key von Ihnen finden. mit freundlichen Grüßen… “ Nicht bei der Pressestelle sondern direkt bei der beauftragten Person. Falls die nicht im Internet steht einfach nachfragen „Ich würde gern mit dem Datenschutzbeauftragten sprechen“ , bisher waren die MitarbeiterInnen sehr hilfsbereit und fangen an emsig umher zu telefonieren um herauszufinden wer das eigentlich ist. Bisher habe ich das genau einmal versucht, bei meiner Krankenkasse.

Der Verlauf war etwa so:

Von: **Nivatius**
Gesendet: Samstag, 8. Februar 2014 01:20
An: ********
Betreff: e-mail sicherheit

* PGP Signed by an unknown key

Sehr geehrter Herr ******,
ich bin ein sehr glücklicher Kunde der BKK Pfalz, Sie zeichnen sich durch ausgezeichneten Service aus.
Um so mehr bin ich darüber verwundert, dass Sie keinen PGP-Schlüssel oder ein SMime Zertifikat auf Ihrer Seite präsentieren. Habe ich diese Information nur übersehen? Mir ist der Schutz meiner personenbezogenen Daten ein Anliegen, deshalb bitte ich Sie mich hier eingehend zu informieren.

mit freundlichen Grüßen,
**Nivatius**

 

Gesendet: Am 19.02.2014 13:08, schrieb
An: **Nivatius**
Betreff: RE: e-mail sicherheit
Guten Tag Herr **Nivatius**,
es freut mich, Ihnen mitzuteilen, dass wir Ihnen eine verschlüsselte E-Mail Kommunikation anbieten können.
Anbei erhalten Sie unseren öffentlichen PGP Schlüssel, mit der Bitte, uns Ihren öffentlichen Schlüssel zur Verfügung zu stellen.
Sobald wir diesen erhalten haben, richten wir die Verschlüsselung ein. Sie können damit alle Mitarbeiter der BKK Pfalz (Domäne)
verschlüsselt kontaktieren. 

Ich hoffe, Sie sind weiterhin mit dem Service unserer BKK zufrieden und bedanke mich nochmals für Ihren Hinweis.  

Freundliche Grüße aus der Pfalz
******
---------
Anhang: Dieser PGP Key

Spiel,Satz und Sieg.  🙂

Argumente gegen „Ich habe nichts zu verbergen“

Die Nonsens Aussage „Wer nichts zu Verbergen hat hat auch nichts zu Befürchten“ und ähnliche bekommen wir oft zu hören, wenn wir versuchen anderen zum Aktiven Widerstand gegen Überwachung, zum Beispiel durch Verschlüsselung, zu bewegen.

Ungeübten kann es schwer Fallen dagegen zu halten. Dies ist mein Versuch eine Gegenargumentation darzustellen:

Ein Video sagt mehr als Tausend Worte

Falls du in Konkreten Fall Zugang zum Internet hast, zeige der Person doch zuerst dieses zehn-minütige Video auf Youtube.

Link zum Video "Überwachungsstaat - Was ist das?" auf Youtube
Quelle: youtube-video von Manniac

Mit guten Beispielen macht Manniac klar, dass es auch viele unschuldige Opfer von Überwachung gibt. Habe damit schon eine sehr skeptische Schulklasse überzeugen können. 

Von „Ich habe nichts zu verbergen“ zu „Ich will Verschlüsselung lernen“ in fünf Minuten

Einleitung

Die eigene Meinung ist auch immer ein bisschen Selbstbild. Niemand gibt gerne seine Meinung auf und gesteht ein, dass die Überzeugung falsch war. Deshalb trenne ich gerne zwischen

  1. „Ich habe nichts zu verbergen“ und
  2. „Ich muss nicht verschlüsseln“.

Die erste Überzeugung muss der Gesprächspartner gar nicht aufgeben, nur die Schlussfolgerung (2).

 

Schritt 1. Zustimmen

A: „Ich habe nichts zu verbergen“

Du: Das glaube ich dir gerne, du bist ja auch ein guter Mensch.

Schritt 2 . Es geht um Kommunikation

Du: Zu Kommunikation gehören immer zwei. Ich verschlüssele nicht für mich, sondern für die Menschen, die mir wichtig sind. Damit die Leute die Privatsphäre brauchen nicht auffallen.

Schritt 3. Es gibt legitime Gründe für Privatsphäre

Beispiele:

  • Eine gute Freundin ist schwer erkrankt. Sie möchte auf gar keinen Fall, dass das irgendjemand mitbekommt. Schon gar nicht möchte sie, dass andere genau wissen, was sie hat, weil ihr das unangenehm ist, oder weil sie zum Beispiel berufliche Konsequenzen befürchtet. Damit wir trotzdem darüber frei reden können, obwohl wir uns nicht oft sehen, benutzen wir verschlüsselte E-Mails und Chats
  • Es gibt Familien, in denen sich alle einen Computer teilen. Da wäre es ja toll, wenn die eigenen E-Mails vor Papas neugierigen Blicken geschützt sind.

Du kennst bestimmt auch Leute, die aus gutem Grunde Geheimnisse haben wie zum Beispiel Anwälte und Ärzte. Oder Verwaltungen, die mit Kundendaten umgehen. Wäre es nicht gut, wenn dein Anwalt auf sicherem Wege mit dir reden könnte?

Schritt 4. Es geht darum seine Meinung ändern zu dürfen.

Jeder macht mal Fehler. Wenn meine alten Irrtümer mich für immer verfolgen würden, dann würde ich mich gar nicht mehr trauen meine Meinung zu sagen. Sonst werde ich ja für immer darauf fest genagelt.

Weitere Quellen

 

Eine ältere Version dieses Textes findet sich auch im Piratenwiki