Etwas mehr Privatsphäre durch DNScrypt

Vor einiger Zeit beschrieb ich die sichere Kommunikation untereinander. Ein kleines Einfallstor bleibt dazu aber immer noch, über DNS-Anfragen ist es zumindest dem Provider möglich eure angesteuerten Server mitzuprotokollieren. Es ist zwar dem Provider auch anders möglich mitzuprotokollieren, aber eine Kontrolle des DNS-Servers ist hier die einfachste und günstigste Methode.

Enigma (Wikimedia Commons)
Wikimedia Commons – Greg Goebel – Four-rotor-enigma.jpg

Alle bisherigen Konzepte zur deutschen Internetzensur bzw. dem genialen Wort „Zugangserschwerungsgesetz“ basierten auf einen Eingriff in die DNS-Anfragen der Kunden. Dass diese aber von den Kunden frei gewählt werden können bzw. Windows schon von vornherein sich Anfragen speichert um diese nicht erneut stellen zu müssen fiel keinem auf.
Genau hier setzen wir also an. Es gibt unzählige andere DNS-Server im Netz, der bekannteste und am einfachsten zu merkende wird wohl Google Public DNS sein. Mit den IPs 8.8.8.8 und 8.8.4.4 als DNS könnt Ihr völlig freiwillig Google das geben was der deutsche Staat gerne von den Providern haben möchte. Das einzige Problem dabei, diese Anfragen sind nicht verschlüsselt. Euer Provider erkennt also dass ihr diese Daten freiwillig an Google gebt und kann diese genau so mitprotokollieren wie eigene.
Hier kommt dann DNScrypt ins Spiel. Dies verschlüsselt eure DNS-Anfragen so, dass ihr aus Sicht des Providers gar keine DNS-Anfragen mehr macht. Verschlüsselt laufen diese dann in UDP-Paketen zum DNS-Server, der sie dann entschlüsseln und beantworten kann.

Realisieren kann man das ganz einfach, zuerst muss hier das aktuelle Archiv für Windows (erkennbar an win32 und dem .zip am Ende) heruntergeladen werden. Danach noch den Windows Servicemanager für DNScrypt.
Beides in einem Ordner entpackt kann dann dnscrypt-winservicemgr.exe gestartet werden. Nach Auswahl der Netzwerkkarte (meist wird nur die verwendete angezeigt) muss ein Server ausgewählt werden.
Hier sollte dann darauf geachtet werden, dass die ausgewählten Server nichts protokollieren. OpenDNS tut dies ganz öffentlich und bietet das auch als Feature an. Aber auch Cisco oder „Nawala“ wird nachgesagt klammheimlich doch zu protokollieren. Die DNScrypt.eu Server sollten allerdings in Ordnung sein, da dies DNS-Server sind die extra für DNScrypt geschaffen worden sind.

Nach einem klick auf „Enable“ habt ihr die Verschlüsselung dann aktiviert und der lokal eingestellte DNS-Server sollte sich auf 127.0.0.1 geändert haben, da ab sofort die DNScrypt-Prozesse das Ansteuern der Server übernehmen.

Protonmail und die sichere Kommunikation untereinander

Hochsichere Kommunikation ist nicht ganz einfach und vor allem unbequem. Trotz allem kann man Kommunikation noch so verschlüsseln, dass auch jemand der mit liest wenig Zusammenhang erkennt. Dies möchte ich einmal am Beispiel ProtonMail erklären, das gleiche ist aber auch auf „normale“ E-Mail-Kommunikation über OpenPGP möglich.

Four Rotor Enigma, Wikimedia. Sinnbildlich für ProtonMail und seine Verschlüsselung
Wikimedia Commons – Greg Goebel – Four-rotor-enigma.jpg

Unverweigerlich dazu ist erst mal ein persönliches Treffen unter vier Augen. Dort kann z.B. schon einmal die Threema ID verifiziert werden in dem ihr gegenseitig QR-Codes von euren Smartphones scannt. (Das ist natürlich grundsätzlich auch mit Signal oder Surespot möglich, allerdings verschlüsselt nicht jeder Messenger gleich. In diesem Beitrag halte ich mich daher an das Beispiel von Threema, das zwar nicht ganz OpenSource ist, aber im Gegensatz zu anderen „made in swizerland“ tragen kann).
Das alles reicht aber noch lange nicht. Euer Smartphone läuft vermutlich mit Android und hat irgendwann nach dem Scan Zugang zum Internet, damit kann man ausgehen, dass alleine dieser Kommunikationsweg zwar verschlüsselt, aber unsicher ist.
Idealerweise habt ihr beim gleichen treffen auch public PGP-Keys für eure E-Mail Adressen ausgetauscht. Ist kein PGP-Key vorhanden ist das für Protonmail allerdings auch nicht zwingend notwendig.
Bei dem Treffen einigt ihr euch auf ein gemeinsames Kennwort, welches ihr später verwendet. Idealerweise hat dieses Passwort variable Komponenten, wird aus dem letzten gesprochenen Wort untereinander gebildet oder etwas einfacher, abgeleitet aus dem Datum oder der Uhrzeit. Allerdings darf ein Passwort natürlich nicht nur aus dieser Komponente bestehen, selbst dies wäre bereits unsicher.

Ausgehende ProtonMails können per Passwort verschlüsselt werden. Protonmail erlaubt es auch einen Hinweis zu setzen, dieser sollte allerdings sofern möglich vermieden werden.
Jetzt heißt das Zauberwort Steganografie. Sprich: das verstecken von Information in Bildern durch leichtes abändern der Pixelfarben. Das geht zum Beispiel mit dem Programm „S-Tools“ (Archivlink). Dieses benötigt euer abgesprochenes Passwort um innerhalb eines gerade zufällig aufgenommenen Fotos Informationen zu verstecken. Da dieses Passwort nun beiden bekannt ist, sollte dies kein Problem mehr darstellen. Ihr nehmt also ein Foto auf und versteckt über S-Tools euer Passwort, welches ihr für Protonmail nutzt. Das veränderte Bild geht nun über Threema an eure Kontaktperson, die wissen sollte das in dem Bild etwas sein könnte.
Der allerwichtigste Teil der Verschleierung beginnt allerdings erst jetzt. Es ist unbedingt notwendig, dass ihr in Threema über das Bild redet. Nicht über den versteckten Inhalt, sondern über das sichtbare Bild. Haltet eine ernst gemeinte Konversation über entsprechendes Bild wie es jeder normale Mensch auch tun würde.
Kurz vor dem Absenden des Bilds sendet ihr eure ProtonMail ab, beim Empfänger kommt dann eine E-Mail mit einem recht nichtssagenden „diese Nachricht ist verschlüsselt“ inkl. Link zur Passworteingabe an.
Nachdem Mail und Bild beim Empfänger angekommen sind und die Konversation über Threema abgeschlossen ist, kann der Empfänger in Aktion treten.
Mit dem gleichen Tool kann man die versteckte Information aus dem Bild wieder lesen. Dazu braucht der Empfänger allerdings euer abgesprochenes Passwort. Mit dem entschlüsselten Passwort aus dem Bild kann nun die ProtonMail gelesen werden.

Die beschriebene Methode gilt für alle Mails die ProtonMail verlassen, Mails die nur innerhalb von ProtonMail versendet werden sollten einen solchen Aufwand nicht benötigen da diese bereits genügend verschlüsselt sind.
Diese Weise garantiert nahezu die Vertraulichkeit der Informationen in der ProtonMail, allerdings kann ich keine Garantie übernehmen.
Wenn z.B. Geheimdienste an eure Informationen wollen, dann können sie das auch ohne Probleme erreichen (z.B. durch direkten Eingriff in euer Netzwerk und euren Computer). Der entscheidende Faktor ist allerdings, dies zu dem größtmöglichen Aufwand zu machen damit Eingriffe für Geheimdienste unrentabel werden. Verschlüsselt ihr z.B. grundsätzlich alles mögliche untereinander, werden Geheimdienste erst nach den Aufwendungen feststellen, dass erlangte Information irrelevant für das eigene Ziel ist und damit ist Zeit die man für andere Tätigkeiten verbrauchen könnte bereits verstrichen. Eine über beschriebene Methode verschlüsselte Frage nach einem Zeitpunkt für gemeinsames Multiplayer-Gaming wäre z.B. eine Information, die Geheimdiensten recht wenig nutzen würde. Um allerdings an diese Information zu kommen muss der Dienst allerdings schon sehr viel Aufwand betrieben haben, was simpel gesagt jede Kosten/Nutzen Rechnung völlig durcheinander wirft.

ProtonMail mit neuer Betaversion der Website

ProtonMail, der inzwischen größte Dienst für verschlüsselte E-Mail Kommunikation hat ein kleines Redesign der Weboberfläche vorgestellt und einiges neues angekündigt.

protonmail 3

Die App für Android und iOS ist beinahe fertig. Seit Mitte letzten Jahres wurde diese in einer closed Beta getestet, in einigen Wochen soll es soweit sein und die App wird an Google und Apple für die Aufnahme in die App Stores übermittelt. Am 26. Januar verlässt Protonmail insgesamt dann die closed Beta Phase und wird ohne Invite-System offen für alle Nutzer sein. Zu dem Zeitpunkt werden auch Premium-Accounts eingeführt, dessen Preis und Funktionsumfang weiterhin unbekannt ist.
Die neu angekündigte Weboberfläche wurde ein wenig umgestyled und ist nun laut Protonmail intuitiver und zeitgemäßer.
Die neue Weboberfläche steht bisher nur in einer Alpha-Version ausgewählten Nutzern zur Verfügung. Diese wird nach ausreichenden Tests für alle Nutzer in Zukunft ausgerollt.

Unter der Haube nutzt ProtonMail für Mails die nicht den Anbieter wechseln OpenPGP, netterweise vollständig transparent im Hintergrund. Für alle anderen nutzt Protonmail eine HMTL-Mail mit einem Link zum eigentlichen Mailtext der erst nach Passworteingabe sichtbar ist. Damit bleibt der eigentliche Inhalt ebenfalls permanent auf den Servern unter der Obhut von ProtonMail und kann nicht auf Empfänger-Seite oder auf dem Weg dorthin kopiert werden.
Im gleichen Atemzug sucht ProtonMail stetig Spenden um das Team von Mitarbeitern finanzieren zu können, die tagtäglich auftretende größer dimensionierte DDoS Attacken abzuwehren. Neben dem üblichen Serverbetrieb sollen solche Attacken später auch durch die Premium-Accounts finanziert werden.

via

Google warnt vor unverschlüsselten Mails

Google Mail bekommt eine neue Funktion, die es beim Nutzer anzeigt, wenn eine E-Mail unverschlüsselt eingegangen ist.

Damit will Google bezwecken nach den Enthüllungen von Snowden bei den Nutzern noch ein wenig mehr Bewusstsein für Sicherheit zu schüren.
Die Statistik spricht allerdings eher für wenige Einblendungen, 80% aller E-Mails sollen bereits per TLS-Verschlüsselung übertragen worden sein – Tendenz steigend.

Bleibt nur abzuwarten, ob Google irgendwann OpenPGP a la Mailvelope nativ in Gmail einbaut. Durch verschlüsselte Übertragung ist eine Mail natürlich noch lange nicht sicher, weil alle Server die für Empfang und Versand zuständig sind natürlich noch mitlesen können. Erst über stärkere Verschlüsselung wird auch dies verhindert, das kommt allerdings leider immer mit Nachteilen im Komfort für die Endnutzer daher.

via