Schlagwort-Archive: Verschlüsselung

Mail-Verschlüsselung für Outlook und iPhone via S/MIME

Bis vor kurzem war das Verschlüsseln von Mails eher eine Sache für Nerds und große Firmen. Ich zumindest konnte wenige meiner nicht-IT-Freunde davon überzeugen Nachrichten verschlüsselt zu übertragen. Dank PRISM wird das langsam besser. Immer mehr meiner Bekannten fragen mich wie man seine Mails schützen kann. Zum Glück ist die Technik dafür sehr ausgereift und zwischenzeitlich auf vielen Endgeräten verfügbar. Wenn man sich ran hält ist das ganze auch in ca. 5 Minuten erledigt.

Schritt 1 – Wir brauchen ein Zertifikat

Viele Wege führen hier zum gewünschten Ziel. Für eine reine private Nutzung würde ich jedoch den einfachsten Weg wählen und ein Klasse 1 Zertifikat (die meist kostenlos sind) beantragen. Höhere Klassen bedingen eine Identitätsprüfung und kosten damit mehr Zeit und natürlich auch Geld (Klasse 2 Zertifikate kosten ca. 60 – 100 € und sind i. d. R. 2 Jahre gültig). Ich habe mich für mein HowTo für StartSSL und deren kostenloses Klasse 1 Zertifikat entschieden.

snaghtml3d678ce6_thumb-3932671image_thumb1-6444567

Nachdem man das Einstiegsformular ausgefüllt hat bekommt man das entsprechende Zertifikat für die hinterlegte Mail ausgestellt. Dieses Zertifikat wird auch gleichzeitig dafür verwendet um sich an der Seite anzumelden.

Technisch wird der private Schlüssel im Browser generiert und liegt somit dem Anbieter nicht vor. Die NSA sollte somit nicht auf direktem Weg einen Zweitschlüssel bekommen…

Hat man das Zertifikat nicht mit dem Internet Explorer generiert, so wird dieses auch nicht automatisch in den Zertifikatsspeicher des Betriebssystems geladen. Um dies z. B. im Firefox nachzuholen, öffnet man dort das Optionsmenü – wählt dort Erweitert aus und wechselt auf den Reiter Verschlüsselung. Über Zertifikate anzeigen, kann man sich diese ausgeben lassen und dann recht komfortabel exportieren:

snaghtml3d6ea0e3_thumb-2300049snaghtml3d6faf92_thumb-5471020

Die exportierten Zertifikate kann man direkt auf einen USB Stick kopieren und als Backup an einem sicheren Ort hinterlegen. Gleichzeitig klickt man die Erstellte Backup Datei (Endung ist *.p12) doppelt an und befördert das Zertifikat auch in den Windows Schlüssel Manager.

Schritt 2 –  Zertifikat Verwenden

Schritt 2.1 – Outlook 2013

Nachdem das Zertifikat in Windows eingebunden wurde, ist es mit wenigen Klicks auch für die Verwendung in Outlook bereit. Hierzu wählt man Datei – Optionen – und wechselt dann in das Trust Center (ist das ist Deutsch Vertrauens Center?). Von dort aus geht es über die Einstellungen links unten direkt an den Ort an den wir wollen – die E-mail Sicherheit. Ein weiteres Mal wählt man Einstellungen und wählt  hier aus der drop down Liste sein Zertifikat aus. Das wars schon. Ab jetzt kann man mit jedem Zertifikatsinhaber dessen öffentlichen Schlüssel man besitzt verschlüsselt Mails austauschen.

snaghtml3d4ed1d1_thumb-5390915snaghtml3d4f3322_thumb-8434016snaghtml3d506643_thumb-8053417snaghtml3d51e0af_thumb-6743999

 

Schritt 2.2 – iPhone

Produkte von Apple und Google können bereits ab Werk ebenfalls mit S/MIME arbeiten. Hierzu muss man den exportierten Schlüssel jedoch auf das Endgerät bekommen. Der unsicherste Weg wäre, es sich einfach zu mailen… (geht aber technisch auch). Der für das iPhone richtige Weg geht über ein von Apple bereitgestelltes Tool – das iPhone-Konfigurationsprogramm.

Nachdem Ihr iPhone in der Liste erscheint wählen Sie dieses aus und gehen zu dem Reiter “Konfigurationsprofil”. Wählen Sie danach Datei – Neues Konfigurationsprofil und geben Sie in dem sich öffnenden Fenster einen frei wählbaren Namen und Identifier für das Profil ein. Danach wechseln Sie auf die Option Zertifikate und fügen dieses hinzu. (Es werden alle Zertifikate im Zertifikatsspeicher von Windows angezeigt – das kann ggf. etwas unübersichtlich sein). Nun wechseln Sie in der linken Navigationsleiste zurück zu Ihrem iPhone, wählen dort den Reiter Konfigurationsprofile und klicken hinter dem soeben erstellten Profil auf installieren.

P. S. Das Tool ist an sich dafür gedacht Konfigurationsprofile zu erstellen die man auf viele Geräte verteilen kann. Es kann also z. B. auch dafür verwendet werden um neuen Geräten auf einen Schlag alle notwendigen WLan’s der Familie bekannt zu machen etc.

snaghtml3d7f57e2_thumb-9756369snaghtml3d8558eb_thumb-6029010snaghtml3d85c718_thumb-7036294snaghtml3d9163e4_thumb-6172968

Auf dem Endgerät selbst aktiviert man S/MIME wie folgt: Einstellungen – “Mail, Kontakte, Kalender” und dort wählt man seine Mailbox aus und danach direkt wieder. Auf der darauf folgenden Seite ganz unten kann man S/MIME aktivieren und danach das dafür zu verwendende Zertifikat auswählen (wenn man mehr als eines hat).

snaghtml3da4767a_thumb-9837563snaghtml3da6168f_thumb-4633735image_thumb2-7056809snaghtml3da85e39_thumb-2762883

MS-CHAPv2 – cracken in der Cloud

Auf der BlackHat in Las Vegas hat Moxie Marlinspike seinen neuen Cloud Dienst CloudCrack vorgestellt. Dieser ermöglichst mit speziel modifizierter Hardware das knacken von mitgeschnittenen MS-CHAPv2 verschlüsselten Verbindungen innerhalb von etwas 24 h und das für einen moderaten Preis von ca. 200 $.

MS-CHAPv2 wird heute noch recht oft zum verschlüsseln von VPN Verbindungen im privaten und geschäftlichen Umfeld eingesetzt, da es für fast alle Betriebssysteme inkl. solchen für mobile Geräte eine Implementierung gibt. Die Schwächen von MS-CHAPv2 sind zwar schon einige Zeit bekannt an der Verbreitung / Verwendung hat sich jedoch wenig geändert und bei vielen Produkten ist MS-CHAPv2 sogar noch der Standard.

Mit Hilfe des frei verfügbaren Linux Tools chapcrack kann zwischenzeitlich jeder die für das Cracken notwendigen Hashes aus einem Datenstrom extrahieren und dann mit dem Cloud Dienst den Schlüssel dafür berechnen. Jeder der heute also MS-CHAPv2 für kritische Komponenten einsetzt sollte dies zeitnah ändern.

BitLocker und der Frauenhofer-Angriff

Die Pressemitteilung des Frauenhofer Institut SIT haben in den letzten Tagen einige Medien zum Anlass genommen um die Windows eigene Verschlüsselung BitLocker als geknackt zu bezeichnen. Leider haben die Journalisten hier die Pressemittelung nicht sehr aufmerksam gelesen. Es wird lediglich ein sehr unwahrscheinlicher Angriff (nicht auf die Verschlüsselung) von BitLocker beschrieben.

Nils Kaczenski hat dazu einen sehr schönen Artikel in seinem Blog veröffentlich.

TrueCrypt in Version 6.2 erschienen

Die Entwickler haben heute die neuste Version von TrueCrypt frei gegeben welche folgende neuen Funktionen / Verbesserungen mit bringt:

New features:

  • The I/O pipeline now uses read-ahead buffering, which improves read performance especially on solid-state drives, typically by 30-50%.  (Windows)

Improvements, bug fixes, and security enhancements:

  • The boot loader now supports motherboards with BIOSes that reserve large amounts of base memory (typically for onboard RAID controllers). Note: In order to be able to take advantage of this improvement under Windows Vista, you will have to install Service Pack 1 or higher first. Service Pack 1 for Windows Vista resolved an issue causing a shortage of free base memory during system boot.  (Windows Vista/XP/2008/2003)
  • Mounting using the ‚Auto-Mount Devices‚ feature may take significantly less time as partitions containing unencrypted filesystems are now skipped.  (Windows)
  • When volumes that are mounted as read-only or removable are saved as favorite volumes, they are mounted as read-only and/or removable when ‚Mount Favorite Volumes‚ is used.
  • When a multiple-pass wipe algorithm is selected when performing in-place encryption of a non-system volume, the header areas will be wiped before the encrypted headers are written to the disk. Note: On an existing volume, you can perform such an operation by changing its password and/or keyfiles.  (Windows)
  • Many other minor improvements, bug fixes and security enhancements.  (Windows, Mac OS X, and Linux)