Share
Bildnachweise: E-Mail-Selbstverteidigung - die Free Software Foundation.
Nach den Snowden-Enthüllungen im Jahr 2013 begann ich, die Privatsphäre meiner E-Mail-Kommunikation zu verbessern. Anfangs habe ich mir die Installation meines eigenen privaten E-Mail-Servers (Tuts +) vorgenommen. Letztendlich habe ich gelernt, dass die Sicherung Ihres E-Mail-Servers schwierig ist, und dass es für jetzt entscheidend ist, sich auf die Verschlüsselung von Nachrichten zu konzentrieren.
Dies ist das erste Tutorial einer Serie, in der ich mich auf die Verschlüsselung Ihrer E-Mails konzentrieren werde. In diesem Lernprogramm werde ich die allgemeinen Konzepte der Verschlüsselung vorstellen und deren Verwendung zum Sichern und Überprüfen unserer E-Mails erläutern. Im zweiten Tutorial werde ich Sie durch die Installation der Verschlüsselungssoftware auf Ihrem Computer führen und mit dem Senden Ihrer ersten Nachrichten beginnen.
Wir werden auch das Verschlüsseln von browserbasierten E-Mails und die Stärkung des "Vertrauensnetzes" erkunden. Anschließend werden wir die Themen etwas ändern und Ihre Internetaktivitäten mithilfe eines VPN verschlüsseln. Schließlich verwenden wir im Rahmen der Serie zur Verwaltung Ihrer digitalen Assets nach Ihrem Tod das Gelernte, um im Notfall einen sicheren Cache mit wichtigen Informationen für Ihre Nachkommen zu erstellen.
In dieser Serie werde ich wiederholt auf eine großartige Ressource verweisen, die von der Electronic Frontier Foundation (EFF) mit dem Namen The Surveillance Self Defense Defense Guide eingerichtet wurde. Vielleicht möchten Sie auch einen ihrer Erklärungen lesen, Eine Einführung in die Kryptografie mit öffentlichen Schlüsseln und PGP, die diesem speziellen Lernprogramm ähneln. Ich habe versucht, dieses Tutorial etwas einfacher zu lesen.
Ehrlich gesagt, die Architektur unseres globalen E-Mail-Systems ist nicht für Datenschutz oder Authentifizierung ausgelegt. Tatsächlich würde ich argumentieren, dass es grundlegend in einer Art und Weise gebrochen ist, die wir für das moderne Zeitalter der digitalen Kommunikation überarbeiten müssen. Bis dahin ist Pretty Good Privacy, auch PGP genannt, der beste Weg, unsere Privatsphäre zu schützen und unsere Kommunikation zu authentisieren.
Der Aktivist und Technologieexperte Phil Zimmerman hat 1991 PGP erfunden. Die US-Regierung verfolgte ihn wegen seiner Arbeit, und es lohnt sich, über seine Arbeit und die Geschichte zu lesen.
In diesem Lernprogramm werde ich die Grundlagen von PGP erläutern und erläutern, wie Sie es verwenden können, um die Vertraulichkeit Ihrer Kommunikation in einer Überwachungsgesellschaft zu gewährleisten und wie Sie die Identität der Personen authentifizieren können, mit denen Sie kommunizieren.
Denken Sie daran, ich nehme an den folgenden Diskussionen teil. Wenn Sie eine Frage oder ein Thema haben, schreiben Sie bitte einen Kommentar. Sie können mir auch auf Twitter @reifman folgen oder mich direkt per E-Mail kontaktieren.
PGP ist ein Verschlüsselungssystem, das mit einem Schlüsselpaar arbeitet, das symmetrisch arbeitet. Ein Schlüsselpaar wird als privater Schlüssel und öffentlicher Schlüssel bezeichnet. Die Menschen müssen ihren privaten Schlüssel jederzeit sicher aufbewahren und nicht an Dritte weitergeben. Sie können jedoch ihren öffentlichen Schlüssel an seriösen öffentlichen Schlüsselaustausch und persönlich weitergeben.
Normalerweise installieren PGP-Benutzer eine Art kommerzieller oder Open Source-Verschlüsselungssoftware, die mit dem OpenPGP-Standard kompatibel ist. GnuPG ist eine gemeinsame Implementierung von OpenPGP. Einige der Bilder, die ich in diesem Lernprogramm verwende, stammen aus der GnuPG Email Self Defense-Infografik der Free Software Foundation.
Sie können Ihre PGP-Software verwenden, um verschlüsselte Nachrichten zu senden. Ihre Software verschlüsselt die ausgehende Nachricht mit dem öffentlichen Schlüssel Ihres Empfängers.
Die Nachricht selbst wird als Kauderwelsch im Internet herumgespielt und kann von niemandem ohne den privaten Schlüssel des Empfängers erkannt werden.
Jede Überwachungsbehörde, die die Nachricht abfängt, kann ihren Inhalt nicht entschlüsseln.
Wenn der Empfänger die Nachricht erhalten hat, verwendet er seine PGP-Software mit seinem privaten Schlüssel und Ihrem öffentlichen Schlüssel, um die Nachricht zu entschlüsseln.
Wenn Sie zulassen, dass Ihr privater Schlüssel in die falschen Hände gerät, können andere Personen Sie durch das Senden verschlüsselter Nachrichten in Ihrem Namen als Person aufnehmen. Sie können auch vertrauliche Nachrichten lesen, die mit Verschlüsselung an Sie gesendet wurden.
Ihr privater Schlüssel könnte gestohlen werden, ohne dass Sie es merken. Wenn sich beispielsweise Malware auf Ihrem Computer befindet, können Kriminelle oder Regierungsspione sie illegal erhalten. Du würdest es nie erfahren.
Es ist sehr wichtig, Ihren privaten Schlüssel mit einem unglaublich sicheren Kennwort zu schützen. Wenn Edward Snowden in Citizenfour unter einer Decke sein Kennwort eingibt, schützt er sein Kennwort für den privaten Schlüssel vor einer möglichen Videoüberwachung.
Wenn Ihr privater Schlüssel gestohlen wird, der möglicherweise auf einem Laptop oder einem USB-Stick gespeichert ist, verlangsamt Ihr Passwort den Zugriff der Täter. Aber letztendlich können sie darauf zugreifen.
Wenn Sie feststellen, dass Ihr privater Schlüssel gefährdet wurde, können Sie andere Personen benachrichtigen, um das Netz des Vertrauens zu erhalten, über das wir weiter unten sprechen werden.
PGP verschlüsselt weder die Betreffzeile noch die To: -Adresszeile verschlüsselter Nachrichten, die manchmal auch als Nachrichtenumschlag bezeichnet werden. Daher verdeckt PGP nicht, wen Sie kennen, es sei denn, Sie haben die Möglichkeit, anonyme öffentliche Schlüssel mit Personen auszutauschen, die anonyme E-Mail-Adressen verwenden und nur über Tor auf ihre E-Mails zugreifen, um ihre IP-Adresse zu verschleiern.
Digitale Signaturen können authentifizieren, dass eine Nachricht von der Person gesendet wurde, die den privaten Schlüssel des Absenders besitzt, und sicherstellen, dass die Nachricht nicht manipuliert wurde.
In der Regel wird dazu ein kryptografischer Hash der ursprünglichen Nachricht generiert und der Hash anschließend mit dem privaten Schlüssel des Absenders (die Umkehrung der Verschlüsselung des Nachrichtentexts) verschlüsselt. Dies wird als Signieren der Nachricht bezeichnet. Das Bild unten ist von Wikipedia.
Selbst geringfügige Änderungen an der Nachricht ändern den Hash grundlegend.
Wenn der Empfänger die Nachricht erhält, entschlüsselt er den Hash mit dem öffentlichen Schlüssel des Absenders und überprüft das Ergebnis. Wenn der Hash korrekt ist, zeigt er, dass die Person, die den privaten Schlüssel des Absenders besitzt, die Nachricht gesendet hat. Wenn der Hash falsch ist, wurde die Nachricht manipuliert oder der mutmaßliche Absender hat sie nicht gesendet.
Ihre Fähigkeit, PGP zu vertrauen, hängt von der Vertrauenswürdigkeit des öffentlichen Schlüssels ab, den Sie vom Absender erhalten haben. Wenn ich Ihnen beispielsweise meinen öffentlichen Schlüssel per E-Mail zusandte und der NSA die Nachricht abfing und durch ihren öffentlichen Schlüssel ersetzte, könnten sie damit beginnen, verschlüsselte Nachrichten an Sie zu senden, von denen Sie glauben, dass sie von mir sind. Wenn Sie verschlüsselte Nachrichten mit Ihrem Freund ausgetauscht haben und deren privater Schlüssel gefährdet ist, könnten andere Personen Ihre privaten Nachrichten lesen.
Dies kann sehr bedeutsam sein, wenn Sie ein Spion oder Aktivist sind.
Die Vertrauenswürdigkeit von Schlüsseln wird als Web of Trust bezeichnet.
Wenn Sie über PGP lesen, werden Sie sagen, dass mythologische "Schlüsselpartys" (wahrscheinlich von Jake Applebaum) organisiert wurden. Sie werden wahrscheinlich nie zu einem eingeladen. (Ich habe Jake tatsächlich ein paar Mal getroffen, aber ich bin nicht cool genug, um zu seinen Schlüsselpartys eingeladen zu werden.)
Die meisten von uns kleinen Leuten verwenden Schlüsselserver, um unsere Schlüssel auszutauschen. Benutzer, denen wir vertrauen, können die öffentlichen Schlüssel von anderen Personen, denen wir eine Nachricht senden möchten, digital signieren. Dies gibt uns die Gewissheit, die Gültigkeit bestimmter öffentlicher Schlüssel zu gewährleisten.
Letztlich besteht der einzige Weg, um sicherzustellen, dass Sie den tatsächlichen öffentlichen Schlüssel eines Benutzers haben, darin, ihn persönlich auszutauschen.
Es gibt jedoch einige interessante neue Dienste, die versuchen, das Netz des Vertrauens zu verbessern, das ich in den nächsten Episoden besprechen werde.
Ich hoffe, Sie fühlen sich inspiriert, um Ihre E-Mail zu sichern. Im nächsten Tutorial werde ich Sie durch die Installation der Verschlüsselungssoftware auf Ihrem Computer führen, das erste Schlüsselpaar erstellen und mit dem Senden der ersten sicheren Nachrichten beginnen.
Bitte zögern Sie nicht, unten Ihre Fragen und Kommentare zu posten. Sie können mich auch auf Twitter @reifman erreichen oder mich direkt per E-Mail kontaktieren. Meine anderen Tutorials finden Sie auf meiner Tuts + Instructor-Seite.
Accentsconagua