Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eine Bundesbehörde, die für IT-Sicherheitsfragen zuständig ist. Seit vielen Jahren gibt das BSI Sicherheitshinweise für Behörden sowie für die Bürger der...
Die eBrief Verschlüsselung
Die eBrief-Verschlüsselung wird verwendet, um vertrauliche Informationen per eBrief vom Absender zum Empfänger zu schicken. Möglich ist die Verschlüsselung zwischen den Endgeräten von Absender und Empfänger als Ende-zu-Ende-Verschlüsselung.
Das Ziel eines verschlüsselten eBrief ist es, Informationen so vom Absender zum Empfänger zu schicken, dass niemand den eBrief unbemerkt auf dem Weg vom Sender zum Empfänger manipulieren kann.
Leitfaden
Wie wichtig eine abhörsichere Kommunikation ist, kann am Beispiel der Enigma demonstriert werden. Welche geschichtlichen Konsequenzen es haben kann, wenn der Feind die Nachrichten entschlüsseln und in Klartext lesen kann, verdeutlicht der Absatz "Geschichtliche Konsequenzen" desselben Artikels. Die übliche Übermittlung eines eBrief geschieht unverschlüsselt und kann von jedermann gelesen oder verändert werden. Die Übermittlung der Nachricht geschieht ähnlich einer Postkarte im wirklichen Leben. Das Geschriebene wird auf einem Stück Papier ohne Umschlag weitergereicht und kann folglich von jedem, der die Postkarte in die Hand nimmt, gelesen oder auch verändert werden. Die Übermittlung der Nachricht per Rechner geschieht auf eine ähnliche Weise, die Nachricht wird einfach in Klartext von Server (Rechner im Weltnetz) zu Server weitergegeben, bis sie den Empfänger erreicht hat.
Die Verschlüsselung ist also der Umschlag für die Postkarte. Auch die Anhänge an einem eBrief können auf die Weise verschlüsselt übertragen werden.
Es gibt seit längerem für die sichere Kommunikation über den eBrief ausgereifte Verfahren und benutzerfreundliche Programme. Als abhörsicherer Standard hat sich GnuPG durchgesetzt. Das Programm ist für alle Betriebssysteme verfügbar und der Programmtext liegt offen vor, was heißt, dass keine Hintertürchen oder allgemeingültige Schlüssel eingebaut sind. Somit entspricht das Programm dem Grundsatz jeder Verschlüsselung, wonach "die Sicherheit eines Kryptosystems" nicht von der Geheimhaltung des Algorithmus abhängen darf. Die Sicherheit darf sich nur auf die Geheimhaltung des Schlüssels gründen.
Um eBriefe verschlüsseln zu können, werden einige kleine aber mächtige Programme benötigt, die nach erfolgreicher Einrichtung das Versenden von sicheren eBriefe bewerkstelligen. Thunderbird ist dabei der Klient der die Nachrichten versendet. GnuPG ist ein freies Programm und übernimmt die eigentliche Ver- und Entschlüsselung unseres eBriefes und Enigmail ist ein Add-On für den Thunderbild der die Verschlüsselung mit dem Klient kompartibel macht ...
Was ist PGP/GnuPG/OpenPGP?
PGP (Pretty Good Privacy) wurde von Phil Zimmermann entwickelt um allen Personen die Möglichkeit zu geben, ihre Privatsphäre zu schützen. Die im folgenden verwendete Open-Source Version des Programms wurde unter dem Namen GnuPG von Werner Koch entwickelt. Um die Interoperabilität zu gewährleisten wurde das von PGP verwendete Dateiformat festgehalten und Erweiterungen definiert. Dieses Format nennt sich OpenPGP und wird von PGP und GnuPG größtenteils eingehalten. PGP und GnuPG ist für viele Plattformen verfügbar, wie z.B. DOS, Windows, Macintosh oder Unix.
Das Verfahren von PGP und GnuPG beruht auf einem Public Krypto Keysystem. Die Ver-/ Entschlüsselung wird mit Hilfe der zwei Schlüssel realisiert: öffentlichem und geheimen. Diese beiden Schlüssel zusammen bilden ein Schlüsselpaar. Mit dem öffentlichen Schlüssel kann die Nachricht an den Besitzer des geheimen Schlüssels nur verschlüsselt werden. Entschlüsselt werden kann diese Nachricht nur mit dem geheimen Schlüssel. Der öffentliche Schlüssel kann nach belieben und frei verteilt werden. Der geheime Schlüssel muss dagegen auf das Sorgfältigste aufbewahrt werden.
Was kann GnuPG?
GnuPG ist ein Programm, das primär der Verschlüsselung des Klartexts von eBriefen, Instant Messaging Chats und Kurznachrichten in Ciphertexte dient, so dass nur Sender und Empfänger einer Nachricht, die im Besitz der passenden Schlüssel sind, den Ciphertext wieder in lesbaren Klartext entschlüsseln können. Neben der Nachrichtenverschlüsselung wird GnuPG auch zur Verschlüsselung von Dateien verwendet, die zum Beispiel lokal auf der eigenen Festplatte gespeichert sind.
Darüber hinaus kann man mit GnuPG Klartexte, Dateien oder Programme mit einer digitalen Signatur versehen, um auch im elektronischen Bereich, in dem eine handschriftliche Unterschrift nicht möglich ist, die Überprüfung der Authentizität elektronisch vorliegender Texte und Daten zu ermöglichen.
Sowohl zur Verschlüsselung als auch zur Signierung setzt GnuPG mathematische Verschlüsselungsfunktionen ein. Kryptografische Algorithmen, die in der Welt der Kryptografie als anerkannt sicher vor Entschlüsselung, bzw. errechnen der originalen Daten (z. B. des Klartexts einer eBrief) aus der verschlüsselten Form durch nicht autorisierte, dritte Parteien eingestuft werden. Ein kurzer Blick auf die Struktur und Funktionsweise des Weltnetzes reicht aus, um sich die Notwendigkeit der Verschlüsselung und Signierung vor Augen zu führen.
Beispiel eBrief Überwachung
Wenn ein eBrief versendet wird, werden die Datenpakete des eBriefes zum eBriefserver des Providers übertragen, von dort versendet der eBriefserver den eBrief an den Ziel-eBriefserver des Empfängers. Dabei wird der eBrief meistens mehrere Rechner im Weltnetz passieren, bis dieser am Zielserver ankommt. Der eBriefserver des Empfängers überträgt schließlich den eBrief auf den Rechner des Empfängers. Während des ganzen Transportweges werden die Datenpakete stets in lesbarem Klartext übertragen.
Das heißt an verschiedenen Stationen des Weges kann der eBrief abgefangen und auch verändert werden: Auf dem Weg vom eigenen Rechner zum eBriefserver, zwischen den einzelnen Rechnern während des Transportes und vom Ziel-eBriefserver zum Empfänger. Verschafft sich eine Person einen illegalen Zugang zu einem der beteiligten Rechner, kann auch dort direkt der eBrief abgefangen werden. Zu diesem Zweck gibt es spezielle Programme wie die Paket-Sniffer, mit denen Datenpakete abgefangen werden können. Die abgefangenen Pakete können auch in ihrem Inhalt verändert und wieder in den Datenstrom eingespeist werden.
Zusätzlich können Geheimdienste und Polizeibehörden aufgrund gesetzlicher Befugnisse und mit richterlicher Erlaubnis eBriefe von dem Provider, der den eBrief-Account zur Verfügung stellt, zu Überwachungszwecken anfordern.
eBrief - Verschlüsselung mit GnuPG
Im Folgenden möchten wir dir nur die wesentlichen Funktionen von GnuPG erläutern, ohne dabei aus unserer Sicht unwichtige Funktionen und Anwendungen näher zu beleuchten. Wir werden nicht auf die technischen Hintergründe verschiedener Anwendungen eingehen, sondern dir nur kurz und knapp den Umgang bzw. die Nutzung mit GnuPG zum sicheren Datenverkehr unter Kommunikationspartnern aufzeigen.
Für uns als nationale Sozialisten, die unter permanenter staatlicher Beobachtung stehen, ist es von enormer Bedeutung, einen verhältnismäßig sicheren eBrief-Verkehr gewährleisten zu können. Auch linke Kreise bedienen sich dieser Verschlüsselung und der BRD-Apparat hat große Schwierigkeiten diese Verschlüsselung zu knacken und somit Informationen über die politische Opposition zu sammeln. Die 100%ge Sicherheit im Weltnetz bzw. dem elektronischen Datenverkehr kann und wird es nie geben. Man muss leider immer von der Möglichkeit ausgehen, dass der Feind mit liest.!
Eine Bemerkung vorweg: Das hier behandelte Verschlüsselungstool heißt GnuPG (Gnu Privacy Guard). Die dazugehörige graphische Benutzeroberfläche nennt sich Kleopatra. Im Folgenden wird der Einfachheit halber immer von GnuPG gesprochen.
GnuPG installieren
GnuPG oder GPG ist ein freies Kryptographiesystem. Es dient zum Ver- und Entschlüsseln von Daten sowie zum Erzeugen und Prüfen elektronischer Signaturen.
Hier gezeigte Programmversion: 3.1.7
Die von uns verwendete Version kannst du unter www.gpg4win.org runterladen.
Natürlich wollen die Entwickler dieses Programms Spenden sammeln um damit ihr Projekt finanzieren zu können. Du kannst ihnen etwas Spenden, musst es aber nicht. Ohne Spenden zu wollen klickst du auf Bitcoin statt PayPal. Hier siehst du unter dem QR-Code den Hinweis: Download Gpg4win 3.1.7

Nachdem du die Datei heruntergeladen hast startest du mit einem Doppelklick auf die Datei die Installation. Wähle natürlich die Sprache Deutsch.

Klicke auf Weiter und im darauffolgendem Fenster siehst du die Komponenten die gleich installiert werden. Auch hier bestätigst du mit Weiter.

Nun wähle das Zielverzeichnis, in das du GnuPG installieren möchtest, aus. Wir empfehlen das Verzeichnis nicht zu ändern, so wird es später von Enigmail besser gefunden. Du kannst alles mit einem Klick auf Installieren bestätigen.

Die Installation beginnt. Wenn das Programm fertig installiert ist, bestätigst du dies mit einem Klick auf Weiter.

In diesem Fenster entfernst du das Häckchen bei Kleopatra starten und klickst auf Fertig stellen.

Thunderbird installieren
Wir verwenden das Open-Source eBrief-Programm Thunderbird. Es gibt dieses eBrief-Programm in zwei Varianten:
- die normale Installation
- die Portable Version
Wir entscheiden uns in diesem Leitfaden für die Portable Version. In dieser Version des Programmes wird das gesamte Programm in nur einem einzigen, von dir bestimmten Ordner ausgeführt und kann somit bei bedarf ganz leicht komplett und sicher gelöscht werden.
Hier gezeigte Programmversion: 60.7.0
Die von uns verwendete Version kannst du unter www.portableapps.com runterladen.

Du startest die Installation mit einem Doppelklick auf die gerade heruntergeladene Datei und bestätigst im ersten Fenster mit Weiter.

Nun wähle das Zielverzeichnis, in das du Thunderbird installieren möchtest, aus. Wir empfehlen den Desktop, so kannst du das Progamm schnell finden. Bestätige deine Einstellung mit einem Klick auf Installieren.

Die Installation beginnt. Wenn das Programm fertig installiert ist, bestätigst du dies mit einem Klick auf Fertig stellen und das Programm wird sich automatisch öffnen.

Sobald Thunderbird gestartet ist wirst du aufgefordert eine eBrief-Adresse anzulegen.
Hast du alle Daten eingegeben bestätigst du sie mit einem Klick auf Weiter.

Jetzt überprüft Thunderbird deine eingegebenen Daten und sucht nach den Postein- und Ausgangsserver deines eBrief-Anbieters. Die Server werden bei Erfolg angezeigt.

Ist dies passiert klickst du auf Weiter. Nun überprüft Thunderbird dein eingegebenes Passwort. Hast du alle Daten richtig eingegeben schließt sich das Fenster und du landest wieder im Thunderbird Hauptfenster. Links siehst du die erfolgreich hinzugefügte eBrief-Adresse.

Enigmail installieren
Enigmail ist ein ganz normales Add-On für Thunderbird. Du Navigierst auf die 3 Balken, dort klickst du dann auf Add-Ons.

Es öffnet sich das Add-On-Fenster. Hier gibst du Enigmail in das Suchfenster ein und Bestätigst mit einem Klick auf die Enter-Taste.
Jetzt öffnet sich ein neuer Reiter und du wirst an der ersten Position das Add-On Enigmail finden.

Nach einem Klick auf zu Thunderbird hinzufügen öffnet sich ein weiteres Fenster in dem 3 Sekunden heruntergezählt werden. Ist dies geschehen klickst du auf Jetzt installieren.

Du kannst jetzt alle Reiter schließen. Im Thunderbird Hauptfenster navigierst du wieder auf die 3 Balken -> Enigmail. Dort klickst du auf den Pfeil und gelangst so ins Untermenü in dem du die Schlüsselverwaltung aufrufen kannst.

In der Schlüsselverwaltung angekommen solltest du erstmal gar nichts sehen. Bei uns sind schon ein paar Schlüssel vorhanden. Hier klickst du jetzt auf Erzeugen und erstellst so ein neues Schlüsselpaar.

In dem sich öffnenden Fenster suchst du dir deine erstellte eBrief-Adresse heraus. Im zweiten Punkt gibst du ein sicheres Passwort ein.
Das Ablaufdatum von 5 Jahren kann belassen werden. Jetzt klickst du auf Erweitert und gibst als Schlüsselart RSA ein und als Schlüssellänge 4096

Hast du alles eingetragen und eingestellt klickst du auf Schlüssel erzeugen. Es öffnet sich ein kleines Fenster in dem du noch einmal auf Schlüssel erzeugen klickst. Enigmail erstellt dir jetzt deinen öffentlichen und den privaten Schlüssel. Dies kann einige Augenblicke dauern. Ist der Vorgang abgeschlossen öffnet sich wieder ein Fenster in dem dir mitgeteilt wird dass der Schlüssel erfolgreich erstellt wurde und es wird dir geraten ein Widerrufszertifikat zu erstellen.

Du klickst also auf Zertifikat erzeugen. Jetzt musst du dein oben gewähltes Passwort eingeben und erhälst als Bestätigung das fertige Zertifikat.

PGP verschlüsselt schreiben
Nachdem du im letzten Abschnitt GnuPG, Thunderbird und Enigmail - Installation alles wichtige installiert und eingestellt hast, kannst du jetzt in wenigen Schritten verschlüsselte eBriefe versenden.
Du musst den öffentlichen Schlüssel der Person mit der du schreiben möchtest in deine Schlüsselverwaltung importiert haben. Dies ist ganz leicht. Im Thunderbird Hauptfenster navigierst du wieder auf die 3 Balken -> Enigmail. Dort klickst du auf den Pfeil und gelangst so ins Untermenü in dem du die Schlüsselverwaltung aufrufen kannst.
In der Schlüsselverwaltung kannst du die öffentlichen Schlüssel auf verschiedene Wege in das Programm importieren.
- Hast du unseren Public Key [email protected] (0x48E93598475DF8F2) pub heruntergeladen, kannst du ihn mit einem Klick auf Datei -> Importieren auswählen und in das Programm einfügen.
- Ein zweiter Weg ist der Import durch die Zwischenablage deines Computers. Du kannst auf unserer Seite Kontakt PGP eine Textversion des öffentlichen Schlüssels der SfN Netzseite sehen. Diesen "Text" kopierst du mit klick auf die rechte Maustaste und klickst dann in der Schlüsselverwaltung auf Bearbeiten -> Aus Zwischenablage importieren.

Hier kannst du jetzt ganz normal die Empfänger Adresse, den Betreff und deinen eBrief schreiben.
Hast du dies getan klickst du auf auf das Schloss. Das Schloss ändert die Farbe und statt einem X siehst du einen Haken.



Lies dir bitte den Abschnitt Der “Man-in-the-middle” Angriff genau durch.
Wenn du Bedenken hinsichtlich der Vertraulichkeit deiner eBriefe hast, solltest du einen Dienst in Betracht ziehen, der deine Nachrichten für ein Höchstmaß an Sicherheit und Datenschutz verschlüsselt. Herkömmliche Verschlüsselungsmethoden sind "symmetrisch", da der zum Verschlüsseln von Daten verwendete Schlüssel, z. B. ein Kennwort, auch zum Entschlüsseln verwendet werden kann. In der asymmetrischen Kryptographie werden Daten mit einem separaten "öffentlichen" Schlüssel verschlüsselt und mit einem "privaten" Schlüssel entschlüsselt.
Dies wurde von Programmen wie PGP (Pretty Good Privacy) genutzt, um das sichere Versenden von eBriefen zu ermöglichen, da Benutzer ihren öffentlichen Schlüssel mit jedem teilen können, den sie kennen, um nur Nachrichten zu erhalten, die sie entschlüsseln können.
Der Bitmessage-Client geht noch einen Schritt weiter, indem er dir ermöglicht, eine beliebige Anzahl von Adressen zu generieren, an denen du Nachrichten empfangen kannst. Da die Krypto-Verschlüsselung mit öffentlichen Schlüsseln integriert ist, sind sie selbst dann unlesbar, wenn jemand deine Nachrichten abfangen würde. Besser noch, Nachrichten werden automatisch digital signiert, bevor sie über das Netzwerk übertragen werden, was es für jemanden fast unmöglich macht, sich als jemand anderes auszugeben.
In diesem Leitfaden zeigen wir dir, wie du Bitmessage einrichtest, deine eigenen digitalen Adressen generierst und deine ersten Nachrichten sendest.
Bitmessage herunterladen
Hier gezeigte Programmversion: 0.6.1
Zuerst öffnest du deinen Netzbetrachter und navigierst zur Netzseite Bitmessage.org. Dort siehst du den Abschnitt "Download" und kannst hier auf den richtigen Verweis für deinen Prozessor (wenn du dir nicht sicher bist, wähle 64-Bit) klicken und somit das Programm herunterladen.
Die Bitmessage-Programmdatei muss nicht installiert werden. Das fertige Programm kann an einem beliebigen Ort wie einem Ordner oder einem USB-Laufwerk ausgeführt werden. Beachte jedoch, dass die Bitmessage-Konfiguration standardmäßig in '% APPDATA% \ PyBitmessage' platziert wird. Diese Dateien können im selben Verzeichnis wie Bitmessage abgelegt werden, indem du den "Portable Mode" aktivierst. Mehr dazu im weiteren Text.
Konfiguriere die Netzwerkeinstellungen
Beim ersten Start fragt der Bitmessage-Client, wie du dich mit dem Internet verbinden möchtest. In den meisten Fällen können kannst du sicher "Jetzt verbinden" auswählen und dann auf die Schaltfläche "OK" klicken.
Wenn dein Computer über einen Proxyserver oder das Tor-Netzwerk mit dem Netz verbunden ist, wähle "Lassen Sie mich zuerst spezielle Netzwerkeinstellungen konfigurieren", um deine Netzwerkeinstellungen einzugeben.
Wir empfehlen Bitmessage immer über das Tor-Netzwerk laufen zu lassen. Du musst dafür in den Netzwerkeinstellungen den Verbindungstyp von "keiner" auf "SOCKS5" verändern. Dazu gibst du als Servername "localhost" an und als Port "9150". Mit "OK" bestätigst du diese Einstellung und startest das Programm neu.
In dieser Phase zeigt Windows 10 möglicherweise eine Warnung. Aktiviere das Kontrollkästchen, damit Bitmessage eine Verbindung zu privaten Netzwerken herstellen kann, und wähle "Zugriff zulassen".
Es öffnet sich das Bitmessage Hauptfenster und das Netzwerkstatus-Symbol unten rechts wird rot, gelb oder grün angezeigt, um anzuzeigen, dass es keine Verbindung zu anderen Peers herstellen kann, nur mit ausgehenden Peers verbunden ist oder sowohl eingehende als auch ausgehende Verbindungen annehmen kann. Ein gelbes Symbol reicht aus, damit Bitmessage funktioniert.
Konfiguriere Portable Bitmessage
Um Bitmessage nur in einem einzigen Ordner ausführen zu können sind nur 3 Klicks nötig. Du öffnest die Einstellungen des Programms und navigierst zum Reiter Benutzerinterface. Dort aktivierst du das Kontrollkästchen bei: Im portablen Modus arbeiten und bestätigst mit einem Klick auf "OK".
Erstelle eine 'Identität'
Der Schlüssel zur Sicherheit von Bitmessages liegt in deiner Fähigkeit, neue "Identitäten" zu generieren. Dies sind Adressen, die deine Kontakte verwenden können, um dich sicher zu benachrichtigen. Um zu beginnen, klickst du auf die Schaltfläche "Neue Identität" unten links im Bitmessage-Client-Fenster.
Du kannst die Adressen auf eine oder zwei Arten generieren. Die erste Möglichkeit besteht darin, einen Zufallszahlengenerator zum Erstellen deiner Adressen zu verwenden. Dies ist der schnellste und einfachste Weg, um mit Bitmessage zu beginnen, weshalb es die Standardoption ist. Alternativ kannst du mit einer Passphrase 'deterministische Adressen' erstellen.
Wähle also entweder den Zufallszahlengenerator zum Erstellen einer Adresse oder Benutzen einen Kennwortsatz um eine Adresse Erstellen zu lassen. Im Feld Bezeichnung kannst du einen Namen eintragen, der nur dir angezeigt wird. Klicke anschließend auf "OK", um fortzufahren.
Sichere die Bitmessage-Schlüssel
Wenn du dich für die Erstellung einer Bitmessage-Identität mit dem Zufallszahlengenerator entschieden hast, werden die Konfigurationsdaten in der Datei "keys.dat" in dem von dir erstellten Ordner auf dem Desktop gespeichert. Hast du nicht wie oben beschrieben die portable Version aktiviert, findest du die "keys.dat" unter "% APPDATA% \ PyBitmessage".
Stelle sicher, dass die Datei "keys.dat", oder zumindest ein Backup der Datei an einem sicheren Ort gesichert wird, um deine Nachrichten sicher zu halten. Denke daran, dass diese Datei in den falschen Händen dazu verwendet werden kann, sich für dich auszugeben. Erwäge daher das Kopieren auf ein mit VeraCrypt verschlüsseltes Laufwerk.
Wenn du eine deterministische Adresse gewählt hast, notiere dir die Passphrase an einem sicheren Ort, zum Beispiel im Keepass - Passwort-Manager.
Verwalte deine Bitmessage-Adressen
Alle Identitäten, die du erstellst, werden in dem weißen Feld "Identitäten" aufgelistet. Die Adressen sind so konzipiert, dass sie maschinenlesbar sind. Wenn du nicht schon beim Erstellen der Adressen einen Namen angegeben hast, kannst du auf die Adresse doppelklicken und eine Beschriftung festlegen, um einen einprägsamen Namen zu erhalten.
Um den Zugriff zu erleichtern, kannst du die Adresse auch mit einem Bild versehen. Klicke auf eine Adresse und wähle "Avatar festlegen". Hier kannst du ein passendes Bild auswählen.
Um Nachrichten anzuzeigen, die an einzelne Adressen gesendet wurden, klicke einfach auf die betreffende Identität. Um eine Adresse zu deaktivieren, klicke mit der rechten Maustaste darauf und wähle "Deaktivieren". Um optimale Sicherheit zu gewährleisten, sollten regelmäßig neue Adressen generieren, da dies das Abfangen deiner Nachrichten erschwert.
Verwalte deine Kontakte
Wenn du deine eigene Identität erstellt hast, bitte deine Freunde und Kameraden, die vorhergehenden Schritte durchzugehen und dasselbe zu tun. Ihr könnt dann eure Bitmessage-Adressen miteinander teilen indem die jeweilige Adresse zum Beispiel per Messenger verschickt wird und manuell in Bitmessage eingetragen wird. Dafür musst du einfach auf die Registerkarte "Senden" klicken und unten links im Fenster auf "Kontakt hinzufügen". Es öffnet sich ein weiteres kleines Fenster in dem die Bitmessage-Adresse und der Name eingegeben werden kann.
Unsere Adresse zum Beispiel lautet: BM-2cTokeJSa9f8ioFiCv6EGDn9aNdYo2vqLo
Wie bei deinen eigenen Identitäten kannst du auch bei Adressbuch-Kontakten Bilder festlegen indem du mit einem Rechtsklick auf "Avatar festlegen" klickst.
Sende deine erste Nachricht
Nachdem sich die Kontakte in deinem Adressbuch befinden, klicke wieder auf die Registerkarte "Senden", um deine erste Nachricht zu verfassen.
Verwende das Dropdown-Menü neben "Von", um deine Identität auszuwählen, von der du die Nachricht senden möchtest. Im Feld "An" gibst du die ersten Buchstaben eines Kontaktnamens ein, z. "N0" für "N0Rdic". Der Bitmessage-Client wird die Adresse automatisch für dich vervollständigen.
Die anderen Felder unten sind selbsterklärend, du gibst eine Betreffzeile bzw. einen Nachrichtentext ein. Jetzt kannst du noch die Haltbarkeit der Nachricht angeben. Der Empfänger muss die Nachricht innerhalb dieser Zeitspanne empfangen und lesen, andernfalls wird sie wieder automatisch vom Netzwerk gelöscht.
Ist alles eingetragen und die Zeitspanne angegeben, klicke unten rechts auf die Schaltfläche "Senden".
Die Nachricht befindet sich zunächst in der Warteschleife. Es kann die ein oder andere Minute dauern, bis sie auch wirklich versandt wurde. Sicher gehen kannst du, indem du auf die Registerkarte "Nachrichten" klickst und dort bei deinem Account auf den Nachrichtenausgang "sent" klickst. Hier wird dir angezeigt ob sich die Nachricht noch in der Warteschleife befindet, oder ob sie bereits an den Empfänger übermittelt wurde und ob der Empfänger die Nachricht gelesen hat.
Blacklists und Whitelists
Das Bitmessage-Protokoll bietet einen leistungsstarken Schutz gegen Spammer, da der Client bei jeder gesendeten Nachricht einen "Proof-of-Work" -Algorithmus durchführen muss. Je länger und häufiger die Nachrichten sind, desto mehr Systemressourcen werden benötigt.
Du kannst Spam auch verhindern, indem du regelmäßig deine alten Identitäten deaktivierst und neue erstellst, sodass nur vertrauenswürdige Kontakte deine Adresse haben. Wenn alles andere fehlschlägt, klicke auf die Registerkarte "Blacklist". Hier kannst du ausgewählte Adressen blockieren oder eine exklusive Whitelist einrichten, sodass nur Nachrichten von zuvor genehmigten Adressen durchgehen.
Um zu beginnen, wähle zwischen "Blacklist verwenden" oder "Whitelist verwenden". Klicke anschließend auf "Neuen Eintrag hinzufügen". Gebe einen aussagekräftigen Namen und dann die Adresse ein, die du filtern möchtest. Klicke zum Speichern auf "OK". Die Adresse wird im Feld "Liste" angezeigt.
Abonnements
Das Senden von Nachrichten auf die Art und Weise, wie in den vorherigen Schritten beschrieben, ist eine großartige Methode für die Eins-zu-Eins-Kommunikation, aber es ist nicht gut, mehrere Personen gleichzeitig zu benachrichtigen.
Der Bitmessage-Client unterstützt Abonnements (auch als "Broadcast-Adressen" bezeichnet), um dieses Problem zu umgehen. Diese funktionieren ähnlich wie ein eBrief-Abonnement. Wähle zunächst die Registerkarte "Abonnements". Standardmäßig hat der Client "Atheros" abonniert, das Updates zu Bitmessage enthält, z. B. wenn neue Versionen verfügbar sind. Eine Liste der Abonnements für andere Themen findest du im Bitmessage-Forum.
Klicke auf die Schaltfläche "Neues Abonnement hinzufügen" und füge die Adresse deiner gewählten Liste in das Feld "Adresse" ein. Jetzt kannst du jederzeit die Registerkarte "Abonnements" aufrufen, um neue Nachrichten anzuzeigen.
Chans verwenden
Bitmessage unterstützt die Verwendung von Chans (Channels). Diese werden von Personen erstellt, die denselben 'Beschreibungsschlüssel' verwenden, z. 'HalloSfN', so dass sie Nachrichten im Stil eines Message Boards anzeigen und darauf reagieren können.
Um zu beginnen, gehe zum Tab "Chans" und klicke auf die Schaltfläche "Add Chan". Nehme dir die Zeit, um das Dialogfeld zu lesen, in dem die Funktionsweise von Chans beschrieben wird. Gebe dann die Adresse ein und klicke auf "OK". Wenn du dich von einem Chan abmelden möchtest, klickst du mit der rechten Maustaste und wählst "Löschen"..
Es gibt tatsächlich einen Pferdefuss - in einem Punkt ist das PGP-System leicht angreifbar, aber auch leicht zu schützen, wenn man weiß wie.
Wir haben dir in den letzten Abschnitten gewosagt, dass der Vorteil des public-key-Verfahrens darin liegt, das man seinen Verschlüsselungs-Schlüssel, also den, den die anderen bekommen, nicht geheimhalten muss. Der Nachteil ist die Kehrseite davon:
Er ist ja nur an seiner Bezeichnung, seiner User-ID, erkennbar, die aus Name und eBrief-Adresse des Schlüsselinhabers besteht. Und diese beiden Angaben werden bei der Schlüsselherstellung ganz normal eingetippt. Jeder kann daher Schlüssel unter einem beliebigen Namen erstellen.
Daher kannst du dich zunächst einmal nicht darauf verlassen, dass ein Schlüssel wirklich echt ist - außer du warst bei der Erzeugung dabei und hast ihn selbst transportiert.
Das Problem: Schlüssel Echtheit
Stellen wir uns zwei Leute vor, Anja und Martin. Die wollen sich PGP-Verschlüsselte eBriefe schicken. Anja erzeugt also einen Schlüssel, den wir mal Anja-1 nennen, und schickt ihn per eBrief an Martin. Martin erzeugt auch einen - Martin-1, den er per eBrief an Anja schickt. So weit die Theorie. Die Schlüssel wurden abgeschickt und liegen auf irgendeinem eBrief-Server bei einem eBrief-Anbieter im Netz. Und jetzt wirds spannend.
Der "Man-in-the-middle" Angriff
Nehmen wir mal an, bei Martins eBrief-Anbieter sitzt jemand, der alle eBriefe von und für Martin abfängt und speichert, um Informationen über Martins Privatleben zu sammeln. Der sieht jetzt Martins eBrief mit dem Schlüssel drin und denkt sich:
Weil dieser Typ (in Wirklichkeit wird das natürlich ein automatisch arbeitendes Softwareprogramm sein, aber bleiben wir mal dabei) sehr raffiniert ist, blockiert er den Weitertransport des eBriefes (mit dem Schlüssel) an Anja, startet dann PGP auf seinem Computer und erzeugt einen neuen Schlüssel, wobei er als Benutzerkennung Martins Namen und eBrief-Adresse eingibt, die er ja aus Martins Schlüssel kennt.
Nennen wir dieses komplett neue Schlüsselpaar mal Martin-2. In Martins eBrief an Anja ersetzt er den originalen Martin-1-Schlüssel durch den neuen Martin-2 und schickt diesen geänderten eBrief an Anja. Anja freut sich - sie hat wie verabredet von Martin einen eBrief bekommen, in der ein Schlüssel war, der Martins Name und Adresse trägt.
Dasselbe macht der Fälscher natürlich auch mit Anjas Schlüssel. Und jetzt mach dir mal klar, wer welche Schlüssel hat. Der "Man-in-the-middle" (so heißt dieser Fälscher im PGP-Jargon) hat nämlich jetzt schon die komplette Verschlüsselung ausgehebelt!
Wie dieser Angriff funktioniert
Machen wir es uns an einem Beispiel klar: Anja schickt einen (wahrscheinlich sehr persönlichen) eBrief an Martin, die sie natürlich mit dem Schlüssel Martin-2 verschlüsselt - einen anderen Schlüssel hat sie ja nicht. Der Fälscher fängt den eBrief ab, entschlüsselt ihn (das kann er ja - er hat den private key zu Martin-2), archiviert den Klartext, verschlüsselt ihn wieder mit Martin-1 (er tut also Martin gegenüber so, als wäre er Anja) und schickt das an Martin weiter. Der kann das entschlüsseln, und alles scheint in Ordnung zu sein - keiner der beiden merkt, dass noch ein Entschlüsselungs-Verschlüsselungs-Vorgang dazwischen liegt!
Weil das natürlich auch andersherum geht (mit Anjas Schlüsseln), ist die gewollte Geheimhaltung komplett im Eimer.
Schlüssel-Integrität ist der Dreh- und Angelpunkt!
Wir hoffen, du bist gedanklich einigermaßen mitgekommen. Es kommt alles darauf an, dass die beiden zuallererst überprüfen, ob der Schlüssel, den sie vom anderen erhalten haben, auch wirklich der ist, den der andere erzeugt hat.
Dass man diese Prüfung nicht per eBrief, sondern auf einem anderen Kommunikationskanal vornimmt, sollte klar, sein, oder? Sonst kann der Man-in-the-middle ja wieder dazwischenfunken ...
Das musst du natürlich nicht jedes Mal machen; es genügt, einen per eBrief empfangenen Schlüssel einmalig auf seine Echtheit zu prüfen. Denn dass der Man-in-the-middle direkt auf Anjas Rechner einen bereits überprüften Schlüssel austauschen kann, ist sehr unwahrscheinlich.
Wie oft ein Man-in-the-middle-Angriff vorkommt, wissen wir nicht. Aber darauf kommt es überhaupt nicht an - dieser Angriff ist die bei weitem leichteste und billigste Methode, ein public-key-Verfahren auszuhebeln. Es ist systembedingt der größte Schwachpunkt von PGP, doch wenn du das Thema ernst nimmst, dann hast du dieses Loch schon gestopft. PGP ist sicher, wenn man richtig damit umgeht.
Davon überzeugt sein kannst du auf verschiedenen Wegen, der beste ist die persönliche Überprüfung. Und jetzt willst du bestimmt wissen, wie man das machen kann.
Echtheit von Schlüsseln überprüfen
Das Beste ist natürlich:
Eine weitere Möglichkeit ist: Die beiden schicken sich die Schlüssel zwar per eBrief, rufen sich aber dann sofort an und buchstabieren sich gegenseitig die Textversionen (Fingerabdruck) ihrer Schlüssel vor.
"Groß Q klein L klein A Vier Klein Ypsilon Zwei Fünf Klein X Klein f ..."
Du suchst den Fingerabdruck deines Schlüssels? Kein Problem...
Rufe im Thunderbird über "Enigmail -> Schlüssel verwalten" die Schlüsselverwaltung auf. Mit einem Doppelklick auf deinen Schlüssel öffnet sich ein Fenster mit dem Fingerabdruck.