Tim Schlotfeldt 🐧⚓

Tim Schlotfeldt 🐧⚓

ts-new@hub.tschlotfeldt.de

Produktmanager Open Source bei Dataport. Arch Linux User. „Digitalisierung im Kopf, Open Source im Herzen!“

Location:: 24582 Bordesholm (Kiel)

Schleswig-Holstein

Deutschland

Hometown:: Bordesholm

Gender:: Männlich

Homepage:: https://www.tschlotfeldt.de/

Kiel Fri, 07 Oct 2022 10:41:04 +0200

Tim Schlotfeldt 🐧⚓

ts-new@hub.tschlotfeldt.de

Gesprächspartner heute im Business-Meeting: "Wenn wir E-Mails verschicken, können wir die dann bitte auch verschlüsseln?"

Danke, spätestens da ist mein Herz aufgegangen. #OpenPGP #SMIME #Privacy #EMail

show all 23 Comments

Fri, 07 Oct 2022 10:48:26 +0200 last edited: Fri, 07 Oct 2022 10:48:37 +0200

Thorsten

thorsten@hochminuseins.net

Das war bestimmt als Scherz gedacht

Fri, 07 Oct 2022 10:56:04 +0200

Tim Schlotfeldt 🐧⚓

ts-new@hub.tschlotfeldt.de

Ganz sicher nicht.

Fri, 07 Oct 2022 11:12:45 +0200

Kutscher Tom

Thornas@norden.social

@ts-new
Ich empfinde die Anmerkungen in meiner dienstlichen Signatur, dass verschlüsselte Mails nicht verarbeitet werden können, als ein Armutszeugnis. Sie offenbart nicht nur die technische Rückständigkeit der öffentlichen Verwaltung sondern auch die mangelnde Ausbildung und Fortbildung der in ihr tätigen Menschen. Wie soll sichere und vertrauliche Kommunikation per Mail ohne Verschlüsselung funktionieren???

Fri, 07 Oct 2022 11:50:45 +0200

𝗝𝗮𝗸𝗼𝗯 :𝗳𝗿𝗶𝗲𝗻𝗱𝗶𝗰𝗮: 🇦🇹 ✅

jakob@soc.schuerz.at

Ich frag mich ja... Wenn die reinschreiben, dass verschlüsselte Mails nicht verarbeitet werden können... mit welchem Schlüssel konnten die dann überhaupt verschlüsselt werden?

Aber ich muss ganz ehrlich sagen, dass ich verschlüsselte Emails auch für Käse halte.

pgp/gpg ist nicht Multidevice-Fähig. Die Anwendung ist extrem kompliziert und alles andere als Intuitiv.

Folgendes Szenario:
Es gibt auf der Website eine "Amts-Email" angegeben. Das ist ein Postfach auf das vielleicht 1 Person oder gar 30 Zugriff haben.
Das heißt, ich muss den Private-Key zum Entschlüsseln auf einem oder 30 PC verteilen... was wiederum überhaupt nicht dem Prinzip entspricht, dass der Private-Key das Gerät nicht verlassen darf, auf dem er erzeugt wurde.

Meine Versuche, einen Hauptkey zu publizieren, und 2, 3 oder 4 Subkeys dazu auf verschiedene Geräte verteilen, und dann mit einem Subkey ein mit dem Pubkey des Hauptkeys verschlüsseltes Email aufzusperren, scheiterten (entweder bin ich zu blöd für gpg, oder es muss auch bei Main/Subkeys immer mit genau dem Schlüssel aufgesperrt werden, dessen zugehöriger Pubkey zu verschlüsseln verwendet wurde...)
Sollte ich zu blöd dafür gewesen sein, dann ist Lieschen Müller vom Amt erst recht überfordert damit. Damit ist Verschlüsselung von Emails in einer 1->n Kommunikation ungeeignet. Noch viel mehr in einer n->n oder m->n Kommunikation.

Wenn es um wirklich vertrauliche Daten im Amtsverkehr geht, dann sind dort Ticketsysteme, wo ich Transportverschlüsselt etwas (Dokumente) hoch/runterladen kann sicher die deutlich praktikablere Lösung.

Als Bürger habe ich ja kein Geheimnis mit einem einzelnen Mitarbeiter im Amt, sondern mit dem Amt selbst.
Dass vertrauliche Kommunikation (also nicht nur Dokumente) dann AUCH über dieses Ticketsystem abgewickelt werden sollten, versteht sich dann von alleine.

Was die Kommunikation von Gruppen untereinander (nicht mit Amt) angeht... und wenn diese wirklich vertraulich bleiben soll, so sind Messenger (hier sind die Freien wie XMPP, Matrix oder dann eben auch Signal und von mir aus Threema) deutlich zu bevorzugen. Verschlüsselte Gruppen-Chats, die geeignet sind, sowohl Gespräche als auch Dokumente und Bilder/Videos auszutauschen... alles besser als Email, welches nicht für die Belange der heutigen Zeit gebaut wurde... Schließlich kommt Email aus einer Zeit, wo sich ALLE Internet-Teilnehmer noch persönlich kannten, und das DNS/das Internet noch in /etc/hosts "lebte"

Fri, 07 Oct 2022 12:12:51 +0200

Kutscher Tom

Thornas@norden.social

@ts-new @jakob
Ich stimme dem zu, dass E-Mail nicht die geeignete Form sind aus denen von dir genannten Gründen. Mir fehlt das Angebot einer sicheren Kommunikation und dann ein Hinweis darauf.
Bequemlichkeit ist noch höher bewertet als Vertraulichkeit. Ich fürchte, dass wir das irgendwann bitter bezahlen müssen…

Fri, 07 Oct 2022 12:30:58 +0200

𝗝𝗮𝗸𝗼𝗯 :𝗳𝗿𝗶𝗲𝗻𝗱𝗶𝗰𝗮: 🇦🇹 ✅

jakob@soc.schuerz.at

Auch wenn ich selbst so meine Bauchweh mit Jira habe...

Aber gerade im Umfeld von Behörden, wenn es um vertraulichen Datenaustausch und Kommunikation in "Fällen" geht, ist ein Jira mit Servicedesk garantiert die 1000x bessere Kommunikationsform als Email.

Wenn es um die 1:1-Kommunikation mit einem beamteten Menschen geht, wäre möglicherweise Matrix die nächste Stufe.
In einen 1:1-Kommunikations-Raum kann man auch weitere Kollegen (Urlaubsvertretung z.b.) hinzuholen. Der Raum kann so konfiguriert werden, dass die Chat-Historien für Mitglieder, Mitglieder ab Einladung oder Mitglieder ab Betreten sichtbar sind...

So kann die (1. Option gewählt: Mitglieder) Kommunikation auch zwischen Bearbeitern "weitergereicht" werden, und sie bleibt dennoch verschlüsselt.

Und wenn die Behörde wirklich möchte, kann sie auch eine Signal- und Telegram- und Whatsapp-Bridge einrichten... und noch einige andere auch, damit mehrere Kommunikationskanäle nach außen geöffnet sind.

Fri, 07 Oct 2022 23:55:54 +0200

Tim Schlotfeldt 🐧⚓

ts-new@hub.tschlotfeldt.de

Moin @Jakob :friendica:!

pgp/gpg ist nicht Multidevice-Fähig. Die Anwendung ist extrem kompliziert und alles andere als Intuitiv.

OpenPGP hat eigentlich keine Probleme mit mehreren Devices.
Dass PGP „extrem kompliziert sei“ wage ich zu bestreiten. Wenn PGP sauber ins Interface integriert ist, ist es ähnlich kompliziert wie die Verwendung von E-Mail. Du musst halt wissen, dass man eine Empfänger-Adresse in das entsprechende Feld eintragen muss und dazu einen Betreff.

Folgendes Szenario:
Es gibt auf der Website eine "Amts-Email" angegeben. Das ist ein Postfach auf das vielleicht 1 Person oder gar 30 Zugriff haben.
Das heißt, ich muss den Private-Key zum Entschlüsseln auf einem oder 30 PC verteilen... was wiederum überhaupt nicht dem Prinzip entspricht, dass der Private-Key das Gerät nicht verlassen darf, auf dem er erzeugt wurde.

Es gibt auf technischer Ebene verschiedene Möglichkeiten, ein Funktionspostfach mit PGP-Verschlüsselung zu betreiben. Beispielsweise so wie du es beschrieben hast. Darüber hinaus kann man vereinbaren, dass alle Mitarbeiter ein eigenes Schlüsselpaar haben und dass diese eine Nachricht auch für das Funktionspostfach mit verschlüsselt wird.

Wenn es um wirklich vertrauliche Daten im Amtsverkehr geht, dann sind dort Ticketsysteme, wo ich Transportverschlüsselt etwas (Dokumente) hoch/runterladen kann sicher die deutlich praktikablere Lösung.

Generell könne ein Ticketsystem ein sehr gutes Hilfsmittel für einen solchen Funktionsaccount sein. Unabhängig vom Thema Verschlüsselung.

Was die Kommunikation von Gruppen untereinander (nicht mit Amt) angeht... und wenn diese wirklich vertraulich bleiben soll, so sind Messenger (hier sind die Freien wie XMPP, Matrix oder dann eben auch Signal und von mir aus Threema) deutlich zu bevorzugen. Verschlüsselte Gruppen-Chats, die geeignet sind, sowohl Gespräche als auch Dokumente und Bilder/Videos auszutauschen... alles besser als Email, welches nicht für die Belange der heutigen Zeit gebaut wurde... Schließlich kommt Email aus einer Zeit, wo sich ALLE Internet-Teilnehmer noch persönlich kannten, und das DNS/das Internet noch in /etc/hosts "lebte"

Ich glaube, du malst das Bild der Messenger-Welt etwas zu rosarot. Ein Beispiel: Ich habe ganz praktisch gesprochen nur wenige Möglichkeiten, wie sich empfangene und gesendete Daten in Messengern strukturieren und ablegen lassen (Systeme wie Slack lasse ich einmal außen vor).

Aber vor allem glaube ich, dass viele Menschen bei den Messengern das Thema Sicherstellung der Authentizität zu leicht nehmen. Authentizität ist eines der großen Herausforderungen in der Kryptografie. Moderne Messenger haben hier zugunsten der Nutzbarkeit Abstriche in der Sicherheit gemacht.

Sat, 08 Oct 2022 09:29:23 +0200

𝗝𝗮𝗸𝗼𝗯 :𝗳𝗿𝗶𝗲𝗻𝗱𝗶𝗰𝗮: 🇦🇹 ✅

jakob@soc.schuerz.at

Du schreibst

OpenPGP hat eigentlich keine Probleme mit mehreren Devices.

Und ich sag doch.
Vielleicht hab ich s ja auch nicht verstanden.

Ein Private-Key verlässt das Gerät nicht, auf dem er erzeugt wurde. Ein Prinzip der cryptografischen Sichereit.
Jedes "Verlassen" birgt die Gefahr des Stehlens. Ob Versand online oder auf USB-Stick... der Privatekey kann kompromittiert werden.

Also benötige ich für jedes Device einen eigenen Key.

Damit ist aber auch schon das Problem besiegelt.

Mit welchem Key verschlüssle ich also eine Nachricht an dich?

Wer von den mehreren Pubkeys bist jetzt wirklich du, die ich zu deinem Namen im Keyserver finde?

Wie gesagt, es gibt auch die Möglichkeit, zu einem Mainkey mehrere Subkeys zu erzeugen.
Zum Authentifizieren, zum Signieren und zum Verschlüsseln.

Damit kann ich für jedes Device einen Subkey erzeugen, der mir zum Verschlüsseln dient und diese dann auf die Devices verteilen.

Verlässt wieder ein Privkey das Device
Wenn eine Nachricht mit dem Pubkey des Mainkeys verschlüsselt wurde, kann ich diese mit den Subkeys nicht öffnen.

Ich kann also wiederum nur wieder für genau ein Gerät verschlüsseln. Oder ich verteile meinen Privatekey auf mehrere Geräte, sonst kann ichs nur auf genau diesem einen öffnen.

Oder ich bürde meinen Kommunikationspartnern auf zu entscheiden, für welche Geräte mir der die Nachricht verschlüsselt... aber dann musst du dich immer und jedesmal erklären, welche Schlüssel deine sind. Und wsrum er alle verwenden soll...

Zum Funktionspostfach:
Eine Emailadresse, ein Schlüssel.

Als Bürger nehme ich genau eine Adresse fürs Amt. Damit wird verschlüsselt. Das ist hinzukriegen.

Dann muss aber der zugehörige Privatkey auf jeden PC und jeden Laptop und jedes Diensthandy der Bearbeitenden verteilt werden. Sonst können die es nicht lesen.

Und dann geht ein Handy verloren. Der Key ist kompromittiert...

Oder die Entsorgungsfirma der PCs hat die Festplatten doch nicht mit Magneten gelöscht und ungelöscht weiterverkauft... (passierte in Österreich vor Jahren mit PCs aus dem Finanzamt!!! Und danach war die Anweisung immer noch beim PC-Tausch, die Daten in den Mistkübel zu schieben und den dann zu leeren... auf Windows... noch Fragen zur Awareness?)

Klar, ist strafrechtlich relevant... dennoch ist der Key kompromittiert.

Subkeys verwalten... geht das mittlerweile auch im GUI?
Die Anzeige ist für meinen Geschmack auch immer noch ein Graus. Ich finde mich nie zurecht, welcher Key welcher ist. Und dann gnupg und Thunderbird verwendet eine eigene Implementierung... auf einmal hab ich Splitbrain am eigenen Rechner...

Für mich ist es unbenützbarer Kram. Ich verwends nur mehr für pass.

Sat, 08 Oct 2022 10:20:35 +0200 last edited: Sat, 08 Oct 2022 12:40:06 +0200

neue medienordnung plus

nmoplus@realtime.fyi

Ich habe den Eindruck, dass die Kommentatoren versuchen, geeignete Lösungen für ein gesamtgesellschaftliches Problem auf der technischen Ebene "Welches Werkzeug YX ist für die Realisierung der Funktionalität XY geeignet?" zu finden. Ich bin der Meinung, dass man bessere Chancen hat praxistaugliche Lösungsansätze und Lösungen zu entwickeln, wenn man im Vorfeld versucht einen Konsens zu erreichen:

Was ist das Problem?
Welche Maßnahmen sind dazu geeignet, um das Problem zu lösen bzw. abzumildern?
Im nächsten Schritt wird ermittelt, welche Eigenschaften, Funktionen müssen Instrumente haben, um diese Maßnahmen umzusetzen.
Anhand von Kriterien aus dem Pkt. 3 wird dann eine Vorauswahl und dann die Auswahl der geeigneten Instrumente getroffen.

Wenn die Kommentatoren sich jeweils im Vorfeld auf ein Tool festgelegt haben, dann - meiner Meinung nach - ist das Risiko groß, dass man sich in den Auseinandersetzungen über die technische Details verzettelt und die Chancen sich verringern, dass der Überblick über das Ganze, über das Endergebnis entwickelt wird bzw. erhalten bleibt.

Sat, 08 Oct 2022 15:51:06 +0200

Tim Schlotfeldt 🐧⚓

ts-new@hub.tschlotfeldt.de

@Jakob :friendica:
Kurz nur vorweg: Auch wenn ich verschlüsselte E-Mail-Kommunikation als unbedingt erforderlich ansehe, bin ich mir der großen und kleinen Probleme in der praktischen Anwendung bewusst. Aber ich sehe eben auch keine echten Alternativen. Und dann nicht zu verschlüsseln kann in meinen Augen auch nicht die Lösung sein.

Du schreibst

OpenPGP hat eigentlich keine Probleme mit mehreren Devices.

Und ich sag doch.
Vielleicht hab ich s ja auch nicht verstanden.

Ich vermute eher, wir unterscheiden uns in der Risikobetrachtung.

Ein Private-Key verlässt das Gerät nicht, auf dem er erzeugt wurde. Ein Prinzip der cryptografischen Sichereit.
Jedes "Verlassen" birgt die Gefahr des Stehlens. Ob Versand online oder auf USB-Stick... der Privatekey kann kompromittiert werden.

Also benötige ich für jedes Device einen eigenen Key.

Das wird leider nicht funktionieren. Siehe https://wiki.debian.org/Subkeys?action=show&redirect=subkeys.

Wie im Debian-Wiki beschrieben würde ich zusätzlich zum Hauptschlüssel zwei Unterschlüssel erstellen. Der Hautschlüssel bleibt in sicherer Verwahrung bei einer verantwortlichen Person, die auch das Schlüsselmanagement übernimmt. Die Unterschlüssel werden dann auf die Rechnern der betroffenen Personen verteilt.

Mit welchem Key verschlüssle ich also eine Nachricht an dich?

Wer von den mehreren Pubkeys bist jetzt wirklich du, die ich zu deinem Namen im Keyserver finde?

Man könnte hier mit dem Modell arbeiten, dass neben dem Schlüssel zum Funktionspostfach noch jede Mitarbeiter:in einen persönlichen Schlüssel hat. Nachrichten kann man mit beiden Schlüsseln verschlüsseln und signieren.

Wie gesagt, es gibt auch die Möglichkeit, zu einem Mainkey mehrere Subkeys zu erzeugen.
Zum Authentifizieren, zum Signieren und zum Verschlüsseln.

Laut Debian-Wiki verwendet GnuPGP jedoch immer nur den aktuellsten Encryption-Key. Man kann zwar mehrere dieser Keys erstellen aber nur einen einzigen, den aktuellen, in GnuPG verwenden.

Subkeys verwalten... geht das mittlerweile auch im GUI?

Ich kenne da leider nichts, das ist ein schmerzhafter Punkt.

Für mich ist es unbenützbarer Kram. Ich verwends nur mehr für pass.

Cool, #pass verwende ich auch.

Bei mir funktioniert Verschlüsselung ganz einfach. Ist in den MUA gut integriert. Ich verwende Mutt, andere in meiner Familie verwenden Claws oder KMail. Das funktioniert gut.

Sat, 08 Oct 2022 16:02:31 +0200

𝗝𝗮𝗸𝗼𝗯 :𝗳𝗿𝗶𝗲𝗻𝗱𝗶𝗰𝗮: 🇦🇹 ✅

jakob@soc.schuerz.at

Funktionspostfach noch jede Mitarbeiter:in einen persönlichen Schlüssel hat. Nachrichten kann man mit beiden Schlüsseln verschlüsseln und signieren.

Also muss ich als Bürger/Kunde zwei Schlüssel verwenden, wenn ich ans "Amt" schreibe...

Es ändert nix an der Tatsache, dass 1 verlorenes/gestohlenes Handy der Funktionsfachbearbeiter eine echte Katastrophe sind.

Wenns vertraulich sein soll... ganz einfach: kein Email.

Sat, 08 Oct 2022 16:24:57 +0200

Tim Schlotfeldt 🐧⚓

ts-new@hub.tschlotfeldt.de

@Jakob :friendica:

Also muss ich als Bürger/Kunde zwei Schlüssel verwenden, wenn ich ans "Amt" schreibe...

Nein. Wenn du an das Funktionspostfach schreibst, reicht der eine Schlüssel.

Sat, 08 Oct 2022 16:55:41 +0200

𝗝𝗮𝗸𝗼𝗯 :𝗳𝗿𝗶𝗲𝗻𝗱𝗶𝗰𝗮: 🇦🇹 ✅

jakob@soc.schuerz.at

Und wie entschlüsseln die anderen?

Da braucht dann JEDE/R den Privatekey des Funktionspostfaches... das halte ich für ein Sicherheitsrisiko.
Auch bei sicherheitsüberprüftem Personal.

Sat, 08 Oct 2022 17:25:22 +0200

𝗝𝗮𝗸𝗼𝗯 :𝗳𝗿𝗶𝗲𝗻𝗱𝗶𝗰𝗮: 🇦🇹 ✅

jakob@soc.schuerz.at

Jetzt aber!

Ich dachte auch lange Zeit, dass gpg/pgp eine gute Lösung sei...

Aber die ist - nachdem ich mich intensiver und im Alltag damut auseinandergesetzt hatte (ein Email-Account, mehrere Emailaccounts, mehrere Devices + Webmail, wie Menschen eben so Email benutzen...) dann erst festgestellt, dass das nicht handlebar ist.

Ich tu mir als IT-ler schon schwer.
Wenn ich die Regel befolge, dass ein Privatekey das Gerät niemals verlässt, geht es multidevice gar nicht.

Und ohne Privatekey-transfer funktionierts nicht. Per Design.

Man merkt halt durch und durch, dass Email und pgp schon alt ist und für moderne Anwendungsfälle nicht gebaut wurde. Entweder ich habe für jedes Device einen Key, dann benötige ich für jedes Device eine eigene Mailadresse, oder ich habe eine (1) "Identität" mit einem gpg-key.

Irgendwo muss ich Abstriche machen.

Matrix z.b. könnte da schon ein Ersatz sein. Aber die Strukturierung der Nachrichten in Threads ist nicht vorhanden.

Vielleicht wärs mit einem entsprechend angepassten Client möglich.

Xmpp könnte hier sicher auch was schaffen.

Deltachat klappt mit Gmail einfach nicht vernünftig. Ich hab es getestet.

Ich müsste im Mailaccount einen Key haben, der meine Identität bildet. Und mit subkeys pro device kann ich dann Mails entschlüsseln, die mit dem Mainkey verschlüsselt werden. Und der Client holt sich beim Abruf einen "Token" zum Aufsperren beim Mailserver...

Damit ich auch einzelne Devices widerrufen kann, wenn z.b. das Handy gestohlen wurde.

So ähnlich macht es Matrix. Der zentrale Keyserver ist dort allerdings ungünstig. Aber der Ansatz gefällt mir viel besser, als gpg/pgp.

Mon, 10 Oct 2022 10:03:33 +0200 last edited: Tue, 11 Oct 2022 05:19:04 +0200

neue medienordnung plus

nmoplus@realtime.fyi

@Kutscher Tom Ich gehe davon aus, dass die Wahrscheinlichkeit, dass mehr Bewegung in der Sache "Zeitgemäße Kommunikation im digitalen Raum" kommt, höher wäre, wenn - ungeachtet der technischen Rückständigkeit und mangelnder Ausbildung der in ihr tätigen Menschen - wenn Aussagen:

Ich empfinde die Anmerkungen in meiner dienstlichen Signatur, dass verschlüsselte Mails nicht verarbeitet werden können, als ein Armutszeugnis. Sie offenbart nicht nur die technische Rückständigkeit der öffentlichen Verwaltung sondern auch die mangelnde Ausbildung und Fortbildung der in ihr tätigen Menschen. Wie soll sichere und vertrauliche Kommunikation per Mail ohne Verschlüsselung funktionieren???

nicht in einer gemütliche Runde wie diese hier, sondern:

in einem Brief an die Vorgesetzten - vlt. anonym :-|
auf der Versammlung des Betriebsrates
bei einem Treffen mit einem Politiker (Wahlveranstaltung, ein selbst initiierter Termin bei einem Abgeordneten, ...)
...

gemacht werden. Dass dieses - in dieser Diskussion von Kommentatoren scheinbar als technisch eingestuftes Problem - seit Jahrzehnten in bestimmten Kreisen ein Dauerbrenner ist und bleibt, ist vlt. der Tatsache geschuldet, dass in der öffentlichen Verwaltung eine Kultur sich etabliert hat, die es verhindert, dass wichtige Probleme öffentlich thematisiert und entsprechende Maßnahmen eingeleitet, ausreichend Ressourcen bereitgestellt werden, um praxistaugliche Lösungsansätze und Lösungen zu entwickeln.

#ÖffentlicheVerwaltung #Whistleblower

Mon, 10 Oct 2022 13:53:40 +0200

𝗝𝗮𝗸𝗼𝗯 :𝗳𝗿𝗶𝗲𝗻𝗱𝗶𝗰𝗮: 🇦🇹 ✅

jakob@soc.schuerz.at

Ist doch bei den "privaten" nicht besser.

Mein Arbeitgeber setzt nicht nur nicht auf Verschlüsselung von Emails, sondern nutzt die Google-Services INTENSIV. Email, Docs, Polls...

Da gibts auch keine Genierer oder gar Zweifel, heikle Kundendaten in Google Docs zu speichern... Alles in die Cloud! Weil es praktisch und billig ist.

Ich habe ihn schon mehrfach darauf hingewiesen...

Aber nichtmal die ISO27001 Zertifizierungs-Auditoren hatten da groß was dagegen... Linux... ja das darf man nicht verwenden, weil es nicht nach 10 Minuten per Gruppenrichtline automatisiert und sicher sperrbar ist... aber die Netzwerkrules haben die nicht angeschaut... Da reichte in Wisch echtes Papier, wo die Rules aufgeschrieben waren... als "Ja, haben Firewall"... nichtmal nachgeschaut wurde, ob die aufgeschriebenen Rules Sinn ergeben oder gar implementiert wurden...

Ein Kasperltheater wohin man schaut.

Und im "Amt" sitzen auch nur Menschen, die dann solche Kasperln vielleicht als Berater konsultieren (müssen)...

Woher soll es kommen? Werden doch Generationen von IT-Fachkräften und deren Entscheidungsträger seit Jahrzehnten auf Microsoft-Produkte geschult...

Tue, 11 Oct 2022 07:50:17 +0200

Tim Schlotfeldt 🐧⚓

ts-new@hub.tschlotfeldt.de

@Jakob :friendica:

Ein Kasperltheater wohin man schaut.

*seufz* Ja, häufig geht es im Business nur darum, sich rechtlich abzusichern und die erforderlichen minimalen Anforderungen zu erfüllen.

Tue, 11 Oct 2022 08:28:18 +0200 last edited: Tue, 11 Oct 2022 13:00:37 +0200

neue medienordnung plus

nmoplus@realtime.fyi

häufig geht es im Business nur darum, sich rechtlich abzusichern und die erforderlichen minimalen Anforderungen zu erfüllen.

Und die Politiker schaffen es jahrelang nicht für einen robusten Rechtsrahmen, für einen Schutz der elementaren Menschenrechte zu sorgen. S. never end Eiertanz rundum "Max Schrems"-Klagen: Safe-Harbor-Abkommen, Privacy Shield, ...

#MaxSchrems #Menschenrechte #Datenschutz #PrivacyShield #PRISM #SafeHarbor #Politik

Sat, 31 Dec 2022 09:05:19 +0100

Tammo

toe@norden.social

@jakob @ts-new
(Gerade via #pass hier im alten Thread gelandet)

#Schleuder (schleuder.org) ist ein Ansatz, um verschlüsselte Mailinglisten umzusetzen. Dabei werden die Mails zentral empfangen und entschlüsselt. Anschließend werden sie an die Mitglieder verteilt, verschlüsselt mit den individuellen Schlüsseln.

Das fügt zwar Angriffsfläche hinzu (Schlüssel auf zentralem Server... HSM?), reduziert aber auch Angriffsfläche bei den Listenmitgliedern.

Sat, 31 Dec 2022 09:24:39 +0100

𝗝𝗮𝗸𝗼𝗯 :𝗳𝗿𝗶𝗲𝗻𝗱𝗶𝗰𝗮: 🇦🇹 ✅

jakob@soc.schuerz.at

@neue medienordnung plus
Und mit der Chatkontrolle ist dann sowieso alles, was "sichere Kommunikation" bedeutet für die Fische.
Wahrscheinlich ist der Schas sogar das Ende freier Software überhaupt.

Microsoft freut sich riesig.

Wed, 04 Jan 2023 13:48:01 +0100 last edited: Wed, 04 Jan 2023 13:52:39 +0100

neue medienordnung plus

nmoplus@realtime.fyi

Deltachat klappt mit Gmail einfach nicht vernünftig. Ich hab es getestet.

Ich bin auf https://de.wikipedia.org/wiki/Delta_Chat dank der Sendung "Anders sozial vernetzt – Alternativen zu Twitter, TikTok, Facebook und Co." https://www.deutschlandfunk.de/marktplatz-29-12-2022-alternativen-zu-twitter-tiktok-facebook-und-co-dlf-b9ae9ddc-100.html aufmerksam geworden. Die in DeltaChat mit IMAP und SMTP ermöglichte Kommunikation mit allen Nutzern, die eine EMail haben, gefällt mir. Nicht zuletzt deswegen, weil die Kommunikation in Hubzilla immer wieder dadurch scheitert, dass die Größe der übermittelten Dateianhänge auf den jeweiligen Hubs (hubspezifisch) eingeschränkt ist.

@Jakob :friendica: 🇦🇹 ✅ Was meinst du, mit "Deltachat klappt mit Gmail einfach nicht vernünftig."? Hast du über die von dir festgestellte Probleme/ Fehler die Deltachat-Entwickler informiert?

#Deltachat #IMAP #SMTP #EMail #Chatkontrolle

Wed, 04 Jan 2023 15:38:47 +0100

𝗝𝗮𝗸𝗼𝗯 :𝗳𝗿𝗶𝗲𝗻𝗱𝗶𝗰𝗮: 🇦🇹 ✅

jakob@soc.schuerz.at

@neue medienordnung plus

Ich muss es jetzt mit der neuen Version von Deltachat nochmal testen.

Aber Nachrichten kamen nicht an, oder waren total durcheinander...

Weit weg von einem "freudigrn Chaterlebnis".

Und mangels Kontakten die Bereit wären, Deltachat mit mir zu nutzen, hab ich auch keinen Bugrepirt verfasst.

Hab genug Projekte, wo ich mich per Bugreport einbringe.

Wed, 04 Jan 2023 16:55:24 +0100

PepeCyB

pepecyb8806@hub.pericles.hu

Ich komme mit Deltachat sehr gut zurecht. Nutze es allerdings mit einer extra dafür eingerichteten Mailadresse auf dem eigenen Server. Wenn man eine Mailadresse verwendet, die man auch für die tägliche Kommunikation außerhalb von Delta nutzt, dann kommt das "Chatgefühl" aus dem Tritt.

Kiel Thu, 15 Sep 2022 11:19:07 +0200

Tim Schlotfeldt 🐧⚓

ts-new@hub.tschlotfeldt.de

*grummel* Bei der Online-Veranstaltung „Digitalisierung in der Öffentlichen Verwaltung in Schleswig-Holstein“ an der Fachhochschule für Verwaltung und Dienstleistung in Altenholz (FHVD) haben die Granden festgestellt, das E-Mail-Verschlüsselung niemand will.

Das ist natürlich eine schlichte Sicht auf die Dinge. #OpenPGP #GPG #Privacy

show all 4 Comments

Thu, 15 Sep 2022 12:26:13 +0200

Tim Schlotfeldt 🐧⚓

ts-new@hub.tschlotfeldt.de

Frag' mal, wer heute noch selbst einen Mail-Client einrichten kann. Will sagen, das ist alles eine Frage der gelebten Praxis.

Fri, 16 Sep 2022 07:41:34 +0200

Tim Schlotfeldt 🐧⚓

ts-new@hub.tschlotfeldt.de

@Malte Mailverschlüsselung wird aktuell von so gut wie niemandem verwendet, das sehe ich auch so. Ich bestreite aber, dass das niemand haben möchte oder das es zu komplex sei.

Die zentralen Messenger-Anbieter haben nach Snowden alle ganz schnell Verschlüsselung eingeführt. Das wollte auch niemand, hat man aber dennoch gemacht.

Mailverschlüsselung ist etwas komplizierter und muss darum erklärt, verstanden und geübt sein. Wenn Mailclients standardmäßig mit aktiviertem S/MIME oder OpenPGP daherkommen würden, ein zu befragender Schlüsselserver konfiguriert ist, dann ist es gar nicht so kompliziert. Man schreibt eine E-Mail, das Mailprogramm holt sich den Key vom Server und verschickt dann die E-Mail.

Ich kenne Abteilungen von öffentlichen Einrichtungen, die sind aus unterschiedlichen Gründen gezwungen, S/MIME oder OpenPGP in der E-Mail-Kommunikation zu verwenden. Da sitzen keine Nerds sondern Verwaltungsangestellte mit ganz bestimmten Fachhgebieten. Und was soll ich sagen, die benutzen verschlüsselte E-Mails in ihrer täglichen Kommunikation. Es funktioniert dort.

Mein Punkt ist, dass seit mehr als 20 Jahren von Organisatoren, Mailanbietern, Cliententwicklern und anderen die Mantra verbreitet wird, Mailverschlüsselung sei zu kompliziert, darum verwendet das niemand. Das ist eine Darstellung, die sachlich einfach nicht richtig ist.

Fri, 16 Sep 2022 08:44:52 +0200

Thorsten

thorsten@hochminuseins.net

ich muss zugeben, ich habe keine Ahnung, warum ich es nicht nutze. Aber irgendwie habe ich immer die Sorge, dass ich meinen privaten Schlüssel verliere und dann meine Mails alle nicht mehr lesbar sind.

Kiel Wed, 06 Apr 2022 14:51:53 +0200

Tim Schlotfeldt 🐧⚓

ts-new@hub.tschlotfeldt.de

Ach wie cool. Mit der AusweisApp2 kann man sich seinen OpenPGP-Schlüssel beglaubigen lassen!?!

#OpenPGP

show all 17 Comments

Wed, 06 Apr 2022 14:54:25 +0200

Mark Nowiasz

buckaroo@hub.netzgemeinde.eu

Ja klar, geht problemlos, hatte ich schon vor zwei Jahren oder so gemacht

Wed, 06 Apr 2022 15:01:50 +0200

Waitman Gobble

wago@libertious.com

AusweisApp2 is Open Source?

Wed, 06 Apr 2022 15:09:37 +0200

Tim Schlotfeldt 🐧⚓

ts-new@hub.tschlotfeldt.de

Yep: European Union Public Licence, EUPL.

Die Android-Variante ist auch auf F-Droid.

Wed, 06 Apr 2022 15:10:55 +0200

Tim Schlotfeldt 🐧⚓

ts-new@hub.tschlotfeldt.de

@Mark Nowiasz

Ja klar, geht problemlos, hatte ich schon vor zwei Jahren oder so gemacht

Ich hatte das bisher ignoriert. Morgen habe ich einen Termin im Bürgeramt um eine neue PIN zu bekommen.

Wed, 06 Apr 2022 15:16:34 +0200

Mark Nowiasz

buckaroo@hub.netzgemeinde.eu

@Tim Schlotfeldt ⚓ 💉💉💉 AusweisApp2 und nPA funktioniert super, mit Smartphone als Lesegerät (NFC). Ich rufe damit immer die Gehaltsabrechnung (via DATEV) ab, hab schon mal ein polizeiliches Führungszeugnis darüber bestellt, GPG Key signieren lassen und ab und zu im Kraftfahrtbundesamt geschaut was so alles über mich gespeichert wurde.

Ich habe auch schon - ich meine bei der DKB war es - mich für irgendwas autorisiert via nPA statt das vollkommen umständliche Verfahren via VideoIdent zu durchlaufen

Wed, 06 Apr 2022 15:18:22 +0200

Waitman Gobble

wago@libertious.com

That's good. Having a government issued smart card can improve security as long as the software is open source! :)

I think in the future, probably after my time, people will be able to revolt by simply burning their smart cards. No guns required.

Wed, 06 Apr 2022 15:19:26 +0200

Tim Schlotfeldt 🐧⚓

ts-new@hub.tschlotfeldt.de

@Mark Nowiasz Ich entdecke gerade die Möglichkeiten und in Zukunft wird ja noch viel mehr gehen.

Wed, 06 Apr 2022 15:20:42 +0200

Tim Schlotfeldt 🐧⚓

ts-new@hub.tschlotfeldt.de

@Waitman Gobble

I think in the future, probably after my time, people will be able to revolt by simply burning their smart cards. No guns required.

🤣

Wed, 06 Apr 2022 17:08:46 +0200 last edited: Wed, 06 Apr 2022 20:09:15 +0200

Tanja

tanja@hz.lazyteddy.eu

@Tim Schlotfeldt ⚓ 💉💉💉

Morgen habe ich einen Termin im Bürgeramt um eine neue PIN zu bekommen.

Soll wohl inzwischen auch ohne Bürgeramt gehen:
https://www.heise.de/news/Einfacher-zum-Online-Personalausweis-6657237.html

Ich habe meinen kürzlich auch freischalten lassen; das hatte ich damals nicht gemacht, als ich ihn bekommen habe (2015), und ich war sowieso da wegen einer anderen Sache. Bisher hält sich meine Begeisterung in Grenzen. Ich habe mich bei Elster damit mal testweise angemeldet, und es funktioniert auch, aber ich finde die Fiddelei mit dem Handy und der Desktop-App eher umständlich. Hier ist die Anmeldung mit Zertifikatsdatei viel flotter.

Die Schlüsselsignierung sehe ich eher als für mich nutzloses Gimmick an - meine aktuellen Schlüssel sind nur noch über keys.openpgp.org und, bei Adressen unter meinen eigenen Domains, per WKD zu finden. Der Keyserver von openpgp.org strippt die Signaturen.

Wed, 06 Apr 2022 17:09:58 +0200

Tanja

tanja@hz.lazyteddy.eu

@Waitman Gobble One of the few things they did right here on that front.

Wed, 06 Apr 2022 17:10:30 +0200

Alexander Goeres

jabgoe2089@hub.netzgemeinde.eu

hmm, ohne amt klingt verlockend ...

Wed, 06 Apr 2022 17:13:36 +0200

Alexander Goeres

jabgoe2089@hub.netzgemeinde.eu

@Mark Nowiasz hmm, mein phone hat kein normales android, insofern würde ich ein lesegerät brauchen. gibts so was für linux? also ohne wine und dergleichen?

Wed, 06 Apr 2022 17:19:00 +0200

Tanja

tanja@hz.lazyteddy.eu

@Alexander Goeres Was läuft denn bei dir? Unter gerootetem LineageOS läuft die AusweisApp problemlos (im Gegensatz zur TAN-App fürs Onlinebanking und der dämlichen DAK-App, ohne die man sich auf der Website nicht mehr anmelden kann...)

Wed, 06 Apr 2022 17:21:14 +0200

Mark Nowiasz

buckaroo@hub.netzgemeinde.eu

@Alexander Goeres Es gibt USB-Lesegeräte die auch für die höchste Authentifizierung des nPAs zertifiziert sind, z.B. Reiner SCT Cyberjack, aber die sind teuer - über 100 Euro. Funktionieren zwar unter Linux, aber besagter Kartenleser kann nur unter Windows ein Firmware-Update erhalten: https://shop.reiner-sct.com/chipkartenleser-fuer-die-sicherheitsklasse-3/cyberjack-rfid-komfort-usb (bei Amazon günstiger)

Wed, 06 Apr 2022 17:22:34 +0200

Alexander Goeres

jabgoe2089@hub.netzgemeinde.eu

@Tanja sailfish os, linuxbasiert mit einer android-adaption namens aliendalvik in nem container. viele android apps funktionieren, aber leider viele auch gar nicht. aber wenn es unter lineage os läuft, werde ich es mal testen, das könnte funktionieren

Wed, 06 Apr 2022 17:31:25 +0200

Tanja

tanja@hz.lazyteddy.eu

@Alexander Goeres Es scheint mir zumindest den Versuch wert, jedenfalls wenn ich mir @Mark Nowiasz's Preisbeispiel anschaue...

Wed, 06 Apr 2022 20:22:21 +0200

Tim Schlotfeldt 🐧⚓

ts-new@hub.tschlotfeldt.de

@Mark Nowiasz @Alexander Goeres

Es gibt USB-Lesegeräte die auch für die höchste Authentifizierung des nPAs zertifiziert sind, z.B. Reiner SCT Cyberjack, aber die sind teuer - über 100 Euro

Ich hatte mir so einen mal über eBay besorgt. War dann nicht ganz so teuer.

Kiel Mon, 03 Jan 2022 10:14:59 +0100

Tim Schlotfeldt 🐧⚓

ts-new@hub.tschlotfeldt.de

Werner Koch, the principal author of the #GnuPG has some nice informations about the usage of GNU Privacy Guard and the #OpenPGP protocol in the german government: 20220102-a-new-future-for-gnupg

We estimate that a quarter million workplaces will be equipped with GnuPG VS-Desktop and provide the users state of the art file and mail encryption. Our longer term plan is to equip all public agency workplaces with end-to-end encryption software - not only those with an immediate need for an approved VS-NfD solution. This should also fit well into the announced goal of the new German government to foster the development of Open Source.

#Privacy #cryptography

PGP und Subkeys

Kiel Fri, 20 Aug 2021 16:19:10 +0200 last edited: Fri, 20 Aug 2021 16:41:27 +0200

Tim Schlotfeldt 🐧⚓

ts-new@hub.tschlotfeldt.de

Ich hadere gerade mit dem Schlüsselmanagement von #GnuPG

Der #OpenPGP -Standard sieht die Erstellung von Unterschlüsseln (dem #subkey) vor. Das sind eigene Schlüssel, die aber zu dem eigentlichen Schlüsselpaar, nennen wir das das Hauptschlüsselpaar, gehören. Die Idee ist nun, dass man dieses Hauptschlüsselpaar sicher wegschließt und hauptsächlich mit den Subkeys arbeitet. Damit kann man Nachrichten ver- und entschlüsseln sowie signieren. Man kann damit allerdings keine anderen Schlüssel signieren (das Web of Trust) und kein revocation certificate erzeugen. Dafür benötigt man immer den Hauptschlüssel.

Die Empfehlung ist nun, mit solchen Subkeys zu arbeiten. In einer sicheren Umgebung erstellt man das Hauptschlüsselpaar sowie Subkeys, die man dann für die tägliche Arbeit nutzen kann: ein Subkey auf Laptop, ein Subkey auf Smartphone und so weiter.

Prinzipiell würde ich da gerne mitgehen, habe aber noch zwei „Aber“ im Raum stehen:

a) Signieren von anderen öffentlichen Schlüsseln
Es kommt nicht täglich vor, aber es passiert doch gelegentlich, dass man einen anderen Schlüssel signieren möchte oder sogar muss. Das ist aber relativ umständlich, wenn man seinen Hauptschlüssel so weggesperrt hat, wie empfohlen.

b) Management der Subkeys
Die Erstellung der Subkeys ist relativ einfach, aber der Export aus der abgesicherten Umgebung mit dem Hauptschlüsselpaar ist überaus umständlich. Außerdem kann man die Subkeys nicht benamen oder mit einer Anmerkung kenntlich machen, für welches Device ein Subkey bestimmt ist.

Weiterführende Informationen:
https://wiki.debian.org/Subkeys
https://alexcabal.com/creating-the-perfect-gpg-keypair

Macht sich jemand von euch die Mühe und arbeitet mit Subkeys?

#GPG #PGP

Fri, 20 Aug 2021 16:32:38 +0200

Alexander Goeres

jabgoe2089@hub.netzgemeinde.eu

gute frage, deren anwort mich auch interessiert

Kiel Tue, 06 Jul 2021 12:03:21 +0200

Tim Schlotfeldt 🐧⚓

ts-new@hub.tschlotfeldt.de

Mmh, Jürgen Schmidt aus der c't-Redaktion ist ja nicht so ganz glücklich mit der Existenz von PGP. Das kommt auch wieder in diesem Beitrag zu den Signatur-Problemen von #RPM durch. Dabei ist das Problem, das signieren und validieren der Signaturen von Software-Paketen, kein kryptografisches Problem sondern eine Anforderung der Softwareverteilung. #ArchLinux hat es beispielsweise so gelöst, dass über das Repository die gültigen Schlüssel verteilt und ungültige zurückgezogen werden.

Kommt es nur mir so vor, dass Jürgen Schmidt mitunter nicht so ganz fundiert gegen die Existenz von PGP argumentiert?

heise.de: RPM mit Schlüsselproblemen