Zum warrant canary von riseup

Ein Update des warrant canary von Riseup ist inzwischen schon seit geraumer Zeit überfällig. Zunächst war unklar, ob Riseup überhaupt eine Regierungsanfrage (National Security Letter, kurz NSL) mit einer gag order, also dem Verbot über die Anfrage zu informieren, bekommen hat oder das Update des canary einfach verspätet erscheinen würde. Mittlerweile gilt es als sicher, dass Riseup eine Regierungsanfrage bekommen hat, jedoch keine Daten herausgegeben hat und noch im Besitz des Zugriffs auf die Server ist. Riseup kann also nach wie vor als sicher betrachtet werden. Nutzer von Riseup sollten aber dennoch ihre Mails sichern, wenn sie sie nicht ohnehin (wie empfohlen) mittels POP3 abrufen. Eine ausführliche Analyse zum Fall liefert der Artikel „Something Happened to Activist Email Provider Riseup, but It Hasn’t Been Compromised“ von Micah Lee bei The Intercept.

Best Practice: E-Mails

stamps-1289074_640Gerade für Einsteiger ist die Frage, wie E-Mail-Kommunikation möglichst sicher gestaltet werden kann, oft kompliziert. Mit diesem Übersichtsartikel will ich das Problem zumindest eindämmen und eine best practice zum Umgang mit E-Mails für Einsteiger vorstellen. Euer E-Mailkonzept sollte (neben Backups, die immer anzufertigen sind) zumindest die folgenden Punkte umfassen:

1. Lokale Speicherung der E-Mails: E-Mails sollten lokal immer verschlüsselt gespeichert werden. Es hat sich als sehr sinnvoll erwiesen hierfür einen TrueCrypt- bzw. VeraCrypt-Container zu verwenden und in diesen Thunderbird-Portable zu installieren. Die Verwendung eines zusätzlichen verschlüsselten Containers ist je nach Sicherheitsbedürfnis auch für Geräte mit Vollverschlüsselung zu empfehlen, da die E-Mails dann nur zugänglich sind, wenn man sie wirklich braucht.

„Best Practice: E-Mails“ weiterlesen

Vertrauenswürdige Emailanbieter

Email_läuft_bei_dirEine Bemerkung gleich zu Anfang: Ein vertrauenswürdiger Emailanbieter ist nur ein Baustein für die Sicherheit euer Emails. Wer sicher per Email kommunizieren will, muss seine Emails Ende-zu-Ende verschüsseln, z.B. mit PGP. Klar dürfte auch sein, dass man seine Emails nicht über Anbieter wie GMX, Yahoo & Co. abwickeln sollte, denn diese Anbieter kooperieren mit Strafverfolgungsbehörden und Geheimdiensten. Was bedeutet, dass diese im Zweifelsfall, neben den Inhalten von unverschlüsselten Emails, auch die Metadaten von verschlüsselten Emails (Wer hat wann mit wem geschrieben?) auswerten und gegen euch verwenden können. Außerdem können sie sehen, welche Daten bei der Registrierung des Dienstes hinterlegt wurden. Lässt also von GMX, Yahoo & Co. besser die Finger!

Bessere Möglichkeiten (mit absteigendem Schwierigkeitsgrad) sind beispielsweise: „Vertrauenswürdige Emailanbieter“ weiterlesen

E-Mailverschlüsselung mit PGP

asymPGP verstehen, installieren und benutzen? Dafür hat die Free Software Foundation eine hervorragende Infoseite erstellt, die zum einem die Funktionsweise der assymetrischen Verschlüsselung erklärt und zum anderen eine detaillierte Schritt für Schritt-Anleitung zur Installation und Verwendung von PGP hat. Die Anleitung gibt es für Apple, Mac und Windows.

Besonderes Feature: Ob man alles richtig gemacht hat, kann man gleich testen, indem man mit „Edward“, einem Computer der FSF, testweise, verschlüsselte Emails austauscht.