LZ20 Paradox

In dieser Folge beleuchten wir Sicherheit, Freiheit und Privatsphäre aus verschiedenen Blickwinkeln. Wir hören was Max Mehl von der FSFE dazu meint und geben euch sicherlich Tipps.

Links

Feedback

Thema

Interview Max Mehl Projektleiter bei der Free Software Foundation Europe (FSFE)

Max Mehl ist Projektleiter bei der Free Software Foundation Europe (FSFE) und koordiniert Initiativen im Bereich Politik, Öffentlichkeitsarbeit und Lizenzierung, ist aber auch häufig im virtuellen Serverraum der FSFE zu finden. Freie Software sieht er als eine wichtige Komponente, um akute technische und gesellschaftliche Probleme zu lösen. Dabei fasziniert ihn jeden Tag, wie viele Vorteile Softwarefreiheit für verschiedenste Aspekte birgt – von Ethik über Politik und Wirtschaft bis hin zur Sicherheitstechnik.

Tipps

Events

Danke an Beteiligte

Feedback

Musik von MDK
Intro: Snowdown
Outro: Mega

Zurück

LZ19 Die Nexte bitte

Nächster Beitrag

LZ21 Resilienz

  1. Thomas Maaß

    Hallo!
    Die serverseitige Verschlüsselung hat auf meiner Nextcloud ständig zu Problemen geführt. Sehr oft kam es zu Fehlern beim Syncen zwischen meinen Geräten, was ich durch neues Kopieren von einem Gerät wieder hinbekommen habe. Diese Frickelei konnte ich den anderen Benutzern aber nicht zumuten. Ich verschlüssele sensibele Daten, die ich in der Cloud haben will, vorher mit GPG, was ich auch zusätzlich tat, als ich die serverseitige Verschlüsselung noch im Einsatz hatte. Ich kann die serverseitige Verschlüsselung von Nextcloud absolut nicht empfehlen.
    Sehr schön für GPG ist das offizielle GUI GPA, was eine Schlüsselverwaltung und eine einfache Möglichkeit zur Dateiverschlüsselung mitbringt. Seahorse und Kleopatra sind meiner Meinung nach zu stark an ihre Desktops gebunden, was die Nutzung unter anderen Desktops, die nicht Gnome oder KDE heissen, stark einschränkt.

    Gruss
    Thomas

    • Andreas Pfuhl

      Hallo,
      ich habe ähnliche Erfahrungen wie Thomas bei der Verschlüsselung in Nextcloud gemacht, was allerdings schon eine Weile her ist und ich nicht beurteilen kann, ob es sich inzwischen gebessert hat. Seither setze ich auch auf externe Tools zum verschlüsseln, wie bspw. Veracrypt-Container.

      Das leidige Thema der verschlüsselten Kommunikation endet bei mir seit geraumer Zeit nur noch in Resignation. In meiner IT-Filterblase ist das noch händelbar aber außerhalb dieses Kreises und auch bei Behörden und vielen Unternehmen ist verschlüsselte E-Mail-Kommunikation per PGP/GPG einfach nicht möglich. Schlussendlich steckt man sensible Daten weiterhin in einen Umschlag und verschickt sie per Einschreiben.

      Gleiches gilt natürlich für die Einigung auf einen sicheren Messenger. Das Thema habt ihr in eurem Podcast und ebenfalls die Kollegen von Nerdzoom ja auch schon zur Genüge besprochen.

      Zuletzt möchte ich aber gerne noch die Einstiegshürde der Datenverschlüsselung unter Linux einreißen. Ich habe mich auch lange davor gedrückt und mich erst vor zwei Jahren intensiver damit beschäftigt, wie ich meine Daten bei Verlust meines Notebooks effektiv und ohne übermäßige Einschränkung der Benutzerfreundlichkeit schützen kann. Man sieht ja, dass selbst bei einer homogenen Veranstaltung wie dem Chaos Communication Congress gerne mal das ein oder andere Gerät entwendet wird. Und wer möchte schon gerne seine privaten Dokumente, E-Mails, Fotos, etc. in fremden Händen wissen.

      Die bevorzugte Verschlüsselung auf Linux ist dm-crypt (luks). Eine gute Übersicht bietet das Archlinux-Wiki https://wiki.archlinux.org/index.php/Dm-crypt . Aber es gibt auch jede Menge weitere ausführliche Anleitungen.
      Man kann sein System komplett verschlüsseln oder, wie in meinem Fall, separate Partitionen. Ich habe meine Home-Partition und die Swap-Partition verschlüsselt. Eine vollständige Verschlüsselung hätte nicht zu meiner Backup-Strategie gepasst. So kann ich meine Root-Partition mit dem Tool Fsarchiver offline sichern und die Daten in $HOME werden im laufenden Betrieb per rsync gesichert.
      Meine externen Festplatten für die Sicherung habe ich auch per dm-crypt (luks) verschlüsselt.
      Wenn man es einmal verstanden hat, ist die Verschlüsselung in wenigen Minuten erledigt. Bei Bedarf schreibe ich euch gerne die einzelnen Schritte zur Erstellung einer verschlüsselten Partition auf.
      Einen Hinweis zur Verschlüsselung habe ich aber noch. In dm-crypt (luks) wird AES als Verschlüsselungsmethode eingesetzt. Um die Performance seines Systems nicht übermäßig einzuschränken, sollte man einen Prozessor einsetzen, der die Befehlssatzerweiterung AES-NI unterstützt. Das gilt nicht nur für dm-crypt sondern auch für andere Verschlüsselungsmethoden die AES einsetzen.

      Gruß
      BastelAndi

      • Vielen Dank für Deinen Kommentar, Andi.

        Ich gebe Dir mit allem Recht. Die Technologie ist da nur die Nutzung macht keinen Spass. Das ist meiner Ansicht nach das Hauptproblem.

        Die Bequemlichkeit steht “mal wieder” der Sicherheit im Weg.

        Tatsächlich finde ich auch, dass die Entwickler da durchaus auch einmal an Endbenutzer denken sollten.

    • Vielen Dank für Deinen Kommentar, Thomas.

      Wenn ich Dateien verschlüssele, dann ganz ohne GUI. Das Tool spielt ja auch in letzter Konsequenz keine Rolle, es sind alles nur Wrapper für GPG.

      Wobei ich mich nicht erinnern kann, wann ich das letzte Mal verschlüsselt habe bis auf die Textdateien, die ich mit der Vim-internen Verschlüsselung (vim -x) verschlüssele.

  2. Hallo ihr zwei,
    auch ich befinde mich derzeit im Homeoffice und finde es spannend, wie andere diesen Umstand empfinden.
    Als Prozessadministrator und Entwickler ist hier neben der Entfernung zu den Kollegen relativ wenig zu spüren.
    Einziges “Problem”, dass ich hier habe ist, dass unsere Secunet-Firewall keinen Linux-Client zur Verfügung stellt. Ich habe hier also eine Windows-VM, unter der ich mich mit einem VPN-Client in unser Netzwerk einhänge und darüber agiere.
    Webex-Konferenzen funktionieren unter Arch Linux ohne Probleme, mit Skype-Business muss ich mich allerdings noch ein wenig beschäftigen, damit das funktioniert.
    Da wir eine IP-Telefonanlage haben, kann ich hier ebenfalls ganz elegant über den Browser Telefonate führen.

    Zum Thema Nextcloud: Ich als IT-affiner Mensch sehe das Thema als spannend an. Allerdings empfinde ich es auch als ein Produkt, dass auch nur in diesen Kreisen wirklich bekannt ist. Ein normaler Endbenutzer, der sich nicht mehr als nötig in technische Themen einarbeiten möchte hat denke ich nur ganz am Rande etwas von Nextcloud gehört.

    Vielen Dank für euren Podcast, macht weiter so!

    Coronafreundliche Grüße aus dem Schwabenländle,

    Dominik

    • Hallo Dominik,

      vielen Dank für Dein Feedback.

      Bei mir zu Hause musste ich auch etwas basteln und bin letzten Endes auch bei einer Windows VM gelandet. Skype for Business funktioniert darüber, aber bei mehreren Teilnehmern klinge ich abgehackt (ich kann leider die Datenrate der Webcam nicht runter regulieren).

      Skype for Business mache ich jetzt über App auf Telefon oder Tablet, das geht wirklich gut.

  3. Kurzer Nachtrag zum Thema Signal, zumindest für Android sind die Builds reproduzierbar:

    https://github.com/signalapp/Signal-Android/blob/master/ReproducibleBuilds.md

    Das heißt, dass man heimliche Änderungen durchaus erkennen kann, wenn die Änderungen nicht veröffentlicht werden, weil dann beim eigenen Build mit dem öffentlichen Code ein anderes Binary heraus kommt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

NerdZoom Media | Impressum & Datenschutz