Portables Ver- / Entschlüsselungstool WinGPG

WinGPG

GPG gibt es schon lange, nur hat es den Nachteil, dass man es installieren muss und nicht jeder hat sein Netbook immer dabei. Außerdem sollte in der Zwischenzeit jedem klar sein, dass es nicht unbedingt sicher ist, bestimmte Sachen auf dem eigenen Rechner zu machen, wenn es kein AirGAP (zu keiner Zeit jemals Verbindung zum Internet) ist. Nein es geht dabei nicht nur um die Gefahr durch Staatstrojaner (die ja nach aktuellen Bestrebungen demnächst auch zur Strafverfolgung eingesetzt werden sollen (also wird er bald auch in Händen des Staatschutzes sein)) sondern auch um den Informationsgehalt von Metadaten. Metadaten die verraten wer mit wem wann Kontakt hatte.

 

Ich bin mir ziemlich sicher, dass bei den im Moment stattfindenden polizeilichen Aktionen gegen die Islamistenszene der Focus auf Beteiligte erst durch die Metadaten von überwachten Personen gerichtet wurde. Viele haben einfach immer noch nicht verstanden, dass und wie aussagekräftig solche Metadaten sind. In dem Artikel „What’s in Your Metadata?“ – Mehr als du ahnst bei Netzpolitik.org steht dazu z.B.
 
Eine der ersten Erkenntnisse der Forscher war, dass sie schon nach zwei Wochen relativ sicher ermitteln konnten, wer mit wem eine Beziehung führt. Kurz darauf gelang es auch, zu zeigen, dass 65% der Teilnehmer um vier oder weniger Ecken miteinander in Verbindung gebracht werden können. Das ist deshalb wichtig, da die NSA die Befugnis hat, die Telefonverbindungen einer begründet überwachten Zielperson und diejenigen ihrer Kontaktpersonen bis zum dritten Grad nachzuverfolgen.


Der Knackpunkt liegt in Diensten, die von einer großen Menge an Nutzern kontaktiert werden und auch in diese Definition fallen wie Mailboxabruf-Nummern oder die Nummer des eigenen Providers. Oder umgekehrt: Dienste die selbst Nutzer kontaktieren – Spam-SMS zum Beispiel. Das Märchen vom begrenzten Personenkreis wird da schnell entzaubert.

Natürlich kann man sich der Überwachung / Gefahr des entdeckt werden dadurch entziehen, dass man bestimmte Sachen im Internetcafé, am Unirechner usw. macht, doch hier gab es das Problem, dass Mails nicht verschlüsselt werden konnten. Natürlich gibt es X Tools mit denen man auch ohne GPG Texte / Files verschlüsseln kann, doch es kann schon schwierig werden, wenn die Gegenseite ein anderes System verwendet auf dem es das Tool nicht gibt.  GPG gibt es für Linux genauso wie für Mac oder Android.

In der Zwischenzeit gibt es neben der Installversion eine portable open Source Lösung unter dem Namen WinGPG für x32 und x64 die hier http://scand.com/products/wingpg/index.html runtergeladen werden kann.

Das Tool funktioniert fehlerfrei, birgt aber eine nicht unerhebliche Gefahr, denn in dem Verzeichnis gibt es einen Ordner Keys, was bei öffentlichen Schlüsseln unproblematisch ist, aber nicht beim eigenen privaten Key. Man muss also unbedingt verhindern, dass Menschen Zugriff auf die Keys bekommen die in nicht haben sollen. Im einfachsten Fall tritt sowas ein, wenn man den USB Stick verliert und im schlimmsten Fall sind es die Staatsdiener bei einem unerwarteten Zugriff.

Natürlich gibt es verschiedene Wege auch das zu verhindern und viele denken dabei sicher an den verschlüsselten Container, doch hier ist das Problem, dass das aktuelle Programm Veracrypt Adminrechte braucht und deshalb nicht wirklich als portables Tool verwendet werden kann. Eine Lösung ist auf die letzte von Heise als sicher bezeichnete Version 7.1a von TrueCrypt zurück zu greifen die es auch in einer portablen Version gab.

Die portable Version von TrueCrypt 7.1a kann hier https://www.heise.de/download/product/truecrypt-25104/download bei Heise runtergeladen werden. Für diejenigen die TrueCrypt gerne in deutscher Sprache verwenden will, kann sich das deutsche Sprachfile Truecrypt-7.1a langpack-de-1.0.1.rar hier http://www35.zippyshare.com/v/SfqVlEhD/file.html runterladen, da es den offiziellen Download unter www.truecrypt.org/localizations nicht mehr gibt.

Wer sichergehen will, dass das File nicht verändert wurde kann den Hash


MD5: 705E22467D650327F7EC8388C233969E
SHA-1: 9B3C745A0EC6920C5A1F40EE340A0A4A889310F1
SHA-256: 1DEBEE7A117FC9669C2C5E85C51D7ACE8547FC9C0F47A541132A7409712337DE
SHA-512: 4AD40093A749C109B7133C7126907DF98228CD457024E0B26B9678F5CCA186397F9D53121A219FB093D8D29E0831EC57D9C717BD708802C836041FAE3C49C96C
SHA-512/224: B8EF9B3FB20DE9DE2A26E4EF405E14138F5C9364A25CB49FAE077038
SHA-512/256: 1696088FAA8D0C63978377C358C17308FAB4E6C9B0F738B8EF7A2328FFA0D4F0

kontrollieren.

Zeige Kommentare: ausgeklappt | moderiert

Es ist ein gefährlicher Irrglaube zu hoffen an einem PC, über den ich keine Kontrolle habe, sicher kommunizieren zu können. In einem durchschnittlichen Internet-Cafe haben sich in der Regel mehrere Trojaner und co auf den PCs eingenistet. Häufig ist es möglich den Bildschirminhalt unbermerkt von einer zentralen Stelle aus zu überwachen. Zu allem Überfluss bleiben auch auf einem PC ohne Trojaner und co regelmäßig Spuren in temporären Dateien zurück. Spätestens wenn die Bullen auf den PC Zugriff bekommen, ist die Gefahr hoch, dass sie (Teile) der unverschlüsselten Kommunikation oder gar den PGP-Key inkl. Passwort auf dem PC finden.

 

Wer sich vor Metadaten schützen will und anonym kommunizieren / recherchieren / Texte schreiben will, sollte lieber auf Tails auf einem PC unter seiner Kontrolle zurückgreifen. Tails verschleiert dank TOR die IP-Adresse zuverlässiger als ein Internet-Cafe oder öffentliches WLan und bringt alle Tools für sichere Kommunikation wie GnuPG, Pidgin mit OTR, Tor Browser und ein zur Nutzung von Tor vorkonfigurierten Thunderbird mit. Daten und Einstellungen (z.B. privaten PGP-Key) könnt ihr bei Bedarf verschüsselt (!) in einem persistenten Bereich ablegen.

 

Die Angriffsszenarien reduzieren sich für Bullen und Geheimdienste damit weitgehend auf Staatstrojaner, die sich sehr tief in der Hardware versenken (BIOS o.ä.) oder gleich als Teil der Hardware verbaut werden. Beides ist schweineteuer, benötigt einiges an Spezialwissen und meist einen physischen Zugriff auf den PC.

 

Wenn es um Meta-Daten geht, ist neben der IP-Adresse vor allem die genutzte Mail-Adresse ein Problem. Verschleiern könnt ihr das ein wenig, wenn ihr für verschiedene Zwecke verschiedene Mail-Adressen nutzt. Also z.B. eine Adresse für die Politgruppe, eine Adresse für private politische Aktivitäten, eine für Freund*innen, eine für Familie, eine für Uni / Schule / Ausbildung / Arbeit. Dann wird die Big Data-Analyse schon mal ordentlich erschwert - zumindest solange ihr die Mail-Adressen sauber trennt.

 

Und noch ein Hinweis: Spätestens wenn ihr Mails signiert, solltet ihr höllisch auf euren privaten Schlüssel aufpassen. Dass ist nämlich auch ein sehr guter Beweis dafür, dass ihr die Mail geschrieben habt. Und wenn ihr den schon unverschlüsselt mit euch rumtragt, dann nehmt ein seeeeeehr langes und komplexes Passwort und gebt diese nicht an PCs ein, wo die Wahrscheinlichkeit von Trojanern (die mit Keyloggern gerne alle Eingaben mitschneiden) relativ hoch ist.

Tails gibt es übrigens hier: https://tails.boum.org/

Für Tails brauchst Du gut Arbeitsspeicher.

2 GByte reichen. Gute Restchenverwertung für ansonsten schwachbrüstige Altlaptops mit ausgebauter Festplatte.....

Eine empfehlenswerte Einführung in Tails gibt diese Broschüre, die mittlerweile in der dritten, überarbeiteten Auflage erschienen ist: https://capulcu.blackblogs.org/neue-texte/bandi/

Auch wer kein Computer-Profi ist, kann mit Tails sicher kommunizieren, recherchieren und Texte schreiben. Genau dafür ist es gemaht! Aber bitte die Hinweise lesen und beachten, was mensch lieber lassen sollte. Entspricht aber auch dem guten Menschenverstand - zumindest bei Leuten, die sich um staatliche Überwachung sorgen.

Was Truecrypt vs. Veracrypt betrifft, auch Truecrypt braucht, selbst im portablen Modus, soweit ich mich erinnern kann, Admin-Rechte (sollte sich in der TC-Dokumentation finden).

Mittlerweile gibt es, wenn man plattformübergreifend vom Stick über einzelne Volumes, Partitionen ggf. bis zum kompletten System seine Kisten verschlüsseln will, nur noch wenig gute Argumente, um das bei 7.1a zur Leichenstarre gefrorene Truecrypt gegenüber dem inzwischen bei 1.19 angelangten Veracrypt (oder meinetwegen anderen gut gepflegten Forks) vorzuziehen.

These:

Ein Bekenner_innenschreiben mittels Tails vom heimischen PC zu verschicken, ist 1000x sicherer als eine zusammengebastelte (observierbare) Außer-Haus-Lösung. Gleiches trifft auf die Recherche zu.

machen!

 

lieber zweistunden fahrrad fahren und sich dann in die bibliothek setzen als deinen gefährlichen tipp nachzugehen!!!

An einem öffentlichen Rechner wirst Du, wenn dessen Betreiber nur ein Bruchteil des Sicherheitsbewußtseins an den Tag legt, das hier in der "Branche" nötrig ist, garantiert kein eigenes OS (Tails & Co) booten können. Isofern ist da vermutlich nix gewonnen.

Dein Versuch, Möglichkeiten und Problematik in der (verschlüsselten) digitalen Kommunikation aufzuzeigen, in allen Ehren.

Aber es ist wahrscheinlich wirksamer, zur Not auch Passagen aus bereits bekannten RFC's und Papieren miteinzubauen und detailierter aber auch genauer zu schreiben.

Es ist zwar klar, wohin die Reise gehen soll, folgen, kann diesem Post aber kaum jemand, der sich nicht bereits auskennt. Und diese jenige braucht es dann auch nicht.

Keep up!

wer noch 2016 noch windows benutzt und denkt er lebt damit sicher, dem ist nicht mehr zu helfen.

also ob ein portables programm irgendwas sicherer macht. sicherheit leidet immer unter faulheit und luxus.