original Pad: https://pad.zombofant.net/p/fsfw-dd-20150401
*Links
warum PGP? http://www.pgpi.org/doc/whypgp/ video: https://www.youtube.com/watch?v=MpwkB-F5dvg
lowlevel howto pgp mit sven: https://guckes.titanpad.com/11 faq pgp, kryptoparty mit sven: https://guckes.titanpad.com/16
riseup email: https://help.riseup.net/de/email riseup verschlüsselung: https://help.riseup.net/de/security/message-security riseup pgp best practices: https://help.riseup.net/en/security/message-security/openpgp/best-practices riseup howto enigmail: https://help.riseup.net/en/security/message-security/openpgp/enigmail
fsf emailselfdefense (12 lang): http://emailselfdefense.fsf.org/ deutsch: https://EmailSelfDefense.FSF.org/de enigmail quick start guide: https://www.enigmail.net/documentation/quickstart-ch1.php Video: Thunderbird auf Windows: http://www.kryptowissen.de/enigmail-thunderbird-windows-tutorial.html Spiegel online“Schritt für Schritt Anleitung” http://www.spiegel.de/fotostrecke/openpgp-so-verschluesseln-sie-ihre-e-mails-fotostrecke-98718-2.html GPG-Plugin für Apple Mail: https://gpgtools.org/ Video als Stift-Film: https://www.youtube.com/watch?v=inxNRA4xK1Q
- Zusammenfassung: Grundsäztliche Infos,
e2e-encr bei posteo: https://posteo.de/site/verschluesselung#ende-zu-ende pgp auf Websites mit Mailforms: http://s.hanewin.net/contact/de.htm (https://github.com/vv01f/apgpjs )
(Für dieses Jahr) Nicht relevant pEp: pgp ganz einfach, auch mit Outlook und Support für Unternehmen: http://pep-project.org/ Vorstellung bei Datenspuren 2014: http://www.c3d2.de/news/ds14-mitschnitte-online.html
CMS (Chaos macht Schule) Folien (für den C3D2): https://github.com/c3d2/cms/ Krypto allgemein: http://www.oemg.ac.at/DK/Didaktikhefte/2007%20Band%2040/VortragDorfmayr.pdf
SmartCarts PGP 4096 RSA http://shop.kernelconcepts.de/
TU Dresden S/MIME Link: https://tu-dresden.de/die_tu_dresden/zentrale_einrichtungen/zih/dienste/datennetz_dienste/pki/nutzerzertifikat/email/email_encryption/document_view?set_language=de Antrag und andere Infos: https://tu-dresden.de/die_tu_dresden/zentrale_einrichtungen/zih/dienste/datennetz_dienste/pki/
Schritt-für-Schritt-Video für Windows und Thunderbird: https://www.youtube.com/watch?v=ieuHHu4MoMo (das ist wirklich sehr ausführlich und IMO sehr zu empfehlen) Linksammlung dazu: http://www.investigativerecherche.de/digitale-sicherheit/
*Diskussion
Wahrscheinlich läuft es darauf hinaus, eine Liste zusammenzustellen der Form: 0. Wenn Du bisher nur Web-Mail nutzt: installiere ein Mailprogramm (Vorteile: ….)
- Nachteile:
- Du musst die Installation (denkbar auch portabel auf USB-Stick) dabei haben
- Durchsuchen mehrerer verschlüsselter Mails gleichzeitig nicht möglich → Inwiefern ist das ein Nachteil gegenüber Webmail? Webmail unterstützt verschlüsselte Mails gar nicht. → Zustimmung! Dann zu Besonderheiten (habe ich eben zu 'Nachteile' und 'Vorteile' ergänzt) verschieben?
- Schlechter Support (für Firmen kritisch) → Die Kampagne richtet sich an Privatpersonen.
- dauerhafte Entschlüsselung nicht nutzungsfreundlich implementiert → Siehe Punkt 2. → Zustimmung!
- Vorteile:
- Abrufen der Mails aller Mailaccounts zur gleichen Zeit
- leichtere Suche nach bestimmter Mail
- Lokale Speicherung (auch nur als icherheitskopie) möglich
- offline-Verfügbarkeit
- vergleichsweise einfachere Möglichkeiten zur Anpassung (Aussehen bis Zusammenfassungen)
- Besonderheiten:
- Wenn du Windows verwendest…
- mit Outlook → Link 1
- mit Thunderbird → Link 2
- Wenn du freies *nix-OS verwendest… → Link 3
- Nur Thunderbird oder auch KMail, mutt und Evolution? (Ich würde sagen, wer schon einen Mailclient != Thunderbird verwendet, ist mit guter Wahrscheinlichkeit technisch kompetent genug, um das selber einzurichten mit einigen allgemeinen Pointern.)
- Wenn du Mac und Apple Mail verwendest: GPG-Plugin für Apple Mail: https://gpgtools.org/
- Wenn du Kommandozeilenfetischist bist …
- funktioniert Link 4 auf beinahe allen Systemen gleich
- Smartphone
- iOS
- iPGMail
- oPenGP
- Android (und darauf basierende)
- K-9-Mail mit APG
*Arbeitspakete
- Hintergrund-Infos (hierfür kann wahrscheinlich vieles von emailselfdefense.org adaptiert werden)
- Warum Verschlüsselung,
- kurzer technischer Hintergrund
- öffentlicher und privater Schlüssel,
- Unterschied zwischen Signieren und Verschlüsseln
- Rolle von Keyservern, und Signierung
- Wozu dient ein “Wiederufs-Zertifikat”
- Definition des exakten Umfangs des Gewinnspiels (Welche Schritte sind auszuführen?)
- (Jonas) Zieladresse einrichten
- (Johannes) Schritt für Schritt Anleitung von der Installation bis zum Abschicken und Empfangen von verschlüsselten Mails
- Installation von Thunderbird
- Einrichtung von Thunderbird für gängige Provider (web.de, gmx, gmail) → Da ist nicht viel zu tun, Thunderbird hat selbst ne Provider-Datenbank, sodass Eingabe von Mailadresse und Passwort reicht.
- (Für uns Testaccount bei @posteo.de)
- Problematik mit Virenscanner von Avast beachten
- Installation von GPG4Win → nur unter Windows
- Installation von Enigmail mittels Thunderbird-Plugin-Manager
- Erzeugung eines Schlüsselpaars (Empfehlung für Schlüsselpasswort) – Geht das direkt in Enigmail oder muss man sich dafür zwingend an das GPG-Tool der jeweiligen Plattform halten? Das geht direkt in Enigmail.
- Widerrufszertifikat? - Es wird eine Datei zum Speichern angeboten, auch wenn kein korrektes Passwort für den Schlüssel eingegeben wurde.
- Import von unseres öffentlichen Schlüssels
- Keyserver direkt aus Enigmail
- Mittels Copy-Paste (+ Links zu (z.B.) http://pgp.uni-mainz.de/pks-commands.html )
- Versenden und Verschlüsseln von E-Mails
- Empfangen und Entschlüsseln von E-Mails
- Test der Anleitung durch Leute aus dem Bekanntenkreis (werden alle für das Gewinnspiel erforderlichen Schritte erfolgreich eingerichtet?)
- Kampagnenwebseite bauen
- Stefan wird erstmal ein Webseiten-Design konzipieren, das ist auf jeden Fall ne Vorbedingung.
- Der Umfang der Kampagnenwebseite ist dann davon abhängig, ob das Wiki zum Kampagnenstart für öffentliche Besucher vorzeigbar ist.
- (Carsten) Organisation der Preise
- Öffentlichkeitsarbeit
- Flyer erstellen, drucken, verteilen
Wir sollten irgendwo darauf Bezug nehmen, dass die von uns empfohlene Variante zur Email-Verschlüsselung (PGP) nicht die ist, die die TU empfiehlt (S/MIME). Unterschied: S/MIME setzt Vertrauen einer (fremden) Organisation voraus. Das könnte auch unser zentrales Argument sein. Warum können wir einer zentralen Stelle nicht vertrauen?
- Ohne dein Einverständnis kann der Schlüssel gesperrt werden.
- Dein Sperrantrag kann ignoriert werden.
- Die Zentrale kann korrumpiert sein und du hast dort keinen Einfluss.
- Es ist nicht nur *eine* zentrale Stelle. Das Betriebssystem vertraut sofort erstmal dutzenden zentralen Stellen, auch aus China oder Iran.