Doomshammer's Weblog

Ich hatte mir vor ein paar Tagen ja schon ueber die Sicherheit einiger WLANs ausgelassen und das brachte mich dann doch nochmal ins Gruebeln. WPA2 mit 63-byte Key schoen und gut, aber das gelbe vom Ei ist es dennoch nicht. Nicht nur, dass man den Key auf Grund der laenge sehr schlecht behalten kann, es ist ausserdem ein "Shared Secret". Sprich wenn ich irgendeinem Gast mal den Key zu meinem WLAN gegeben habe und dann wird ihm z. B. das Laptop geklaut, dann ist der Key in fremden Haenden und kann zumindest theoretisch missbraucht werden (und der Boesewicht kann damit in meinem LAN rumschnuefflen). Klar klingt das jetzt ziemlich paranoid und sehr theoretisch, aber die Moeglichkeit besteht.

Also bin ich hingegangen und habe mein Netz etwas mehr abgesichert um solche Faelle auszuschliessen. Zuerst habe ich mein Netz in 2 VLANs unterteilt. Einmal das LAN- sprich die physikalischen Netzwerk-Ports die ich ja ueberwachen kann und dann noch das WiFi VLAN. Die beiden VLANs sind in versch. Subnetze unterteilt und nochmal via Firewall-Regeln komplett von einander abgeschirmt. Wer im LAN ist kann alles- wer im WLAN ist kann surfen, aber mehr auch nicht. Das LAN Netz ist fuer User im WLAN-Subnetz ueberhaupt nicht moeglich (ausser DNS Requests). Man kann sich allerdings via OpenVPN ins LAN einwaehlen und hat dann den kompletten Zugriff aufs LAN.

Das hat natuerlich schonmal 'ne Menge gebracht, denn zumindest mein LAN ist jetzt voellig autak und auch wenn jemand es ins WLAN schafft, hat er keine Chance ins LAN zu kommen.... Schoen! Aber ich habe trotzdem noch immer das Problem mit dem Shared-Key. Also habe ich meinen OpenWRT Router noch um einen FreeRadius Server erweitert und 802.1x WPA Authentifizierung aktiviert. Somit kann ich jetzt einzelne User einrichten und habe eine Zertifikat-basierte Authentifizierung. Wenn da jetzt noch jemand rein kommt, weiss ich auch nicht mehr weiter

Ich fuehle mich jetzt um einiges sicherer in meinen Netzen

• Comments (6)
• Trackbacks (0)

It seems as if my "call for encryption" (german version) made an impact. In the last 4 5 days, I received about 7 11 public gpg keys from people I am in contact with. At least for me, this is a success and I hope that my article will convince some more people

Additionally, today I got an assistance request via jabber. Another user who found the amenities of security

• Comments (0)
• Trackbacks (0)

deifl hat mich gebeten, meinen Text ueber PGP/GPG und allgemeine Verschluesselung ins Deutsche zu uebersetzen. Dem will ich hiermit Folge leisten

In Zeiten oeffentlicher Videoueberwachung und staatlich geforderter Emailkontrolle frage ich mich, warum so wenig Leute in meinem Umfeld Software wie PGP (oder noch besser die freie Alternative GPG) einsetzen um Ihre Mails digital zu signieren und zu verschluesseln.

Ich kenne und nutze GPG seit nunmehr ueber 10 Jahren und die Liste der Leute, denen ich verschluesselte Mails via GPG senden kann ist kleiner als 20 Personen. Ich weiss, dass in den Anfangszeiten von GPG die Bedienung nicht gerade die einfachste war und das die Integration in alltaegliche Software (wie Mailprogramme) kaum bis garnicht vorhanden war. Aber Heutzutage gibt es sehr viele verschiedene Programme/Plugins die die Integration von PGP/GPG in viele Mailprogramme ermoeglichen und erleichtern. Viele Mailprogramme (wie TheBat! oder Mutt - welche ich selbst Zuhause nutze) haben sogar direkte GPG Unterstuetzung. Ich hab' heute auch noch nach einem Outlook-Plugin gesucht, da viele Freunde von mir es benutzen und ich hab' ein Projekt gefunden welches auch mit Outlook 2003 arbeitet: http://www.gpg4win.org. Ich benutze GPG unter anderem auch zum digitalen signieren meiner Mails, so das der Empfaenger die Moeglichkeit hat zu kontrollieren, dass die Mail wirklich von mir stammt. Warum sollte man dieses Feature nicht nutzen? SPAMer, Viren und Trojaner- dieser ganze Mist nutzt Mails um sich selbst von Benutzer zu Benutzer zu verteilen. Wenn Du eine Mail bekommst, die so aussieht als kaeme sie von mir, die aber nicht digital signiert ist, schau zumindest mal in den Mailheader, da ich mir angewoehnt habe, fast alle meine Mails zu signieren.

Eine andere Software, die es auch erlaubt die Kommunikation zu verschluesseln ist Jabber. Das XMPP (oder besser das Jabber Protokoll (das ja auch XMPP aufsetzt)) erlaubt PGP/GPG Verschluesselung wenn der Client es erlaubt. Ich nutze PSI als Client, welcher eine ziemlich gute GPG Integration hat und "Out-Of-The-Box" mit GPG (auch unter Windows XP) arbeitet. Trotzdem habe ich nur sage und schreibe 3 (von 60) Benutzer in meiner Kontaktliste, mit denen ich verschluesselt kommunizieren kann und ich frage mich warum?

Daher hier mein Aufruf: Leute verschluesselt eure Mails, Chats, Kommunikationen/Nachrichten und wichtige Dateien, so dass ihr bessere Kontrolle darueber habt, wer eure Nachrichten, Chats und Dateien lesen kann. Du bist eingeladen mir Deinen oeffentlichen Schluessel zu schicken, so dass ihn in meine GPG Liste aufnehmen kann. Und Du darfst mir auch gerne Fragen zu GPG schicken, wie Du GPG auf Deinem System zum laufen bekommst (ich werde zumindest versuchen sie zu beantworten).

Und um einen kleinen Einblick zu gewaehren wer Dich beobachtet/wer mitliest, hier ein paar Links zum Thema:
- Die schoene Welt der Ueberwachung
- Abhoerverpflichtung von Mailhostern
- TKUEV
- Bundestrojaner
- Ermittlungsverfahren "Mikado"

Und ein paar Links zum Thema PGP/GPG:
- Kai Raven's Einfuehrung in PGP/GPG
- Wie benutze ich Jabber und GPG (Kai Raven)
- "GPG? Was?!"
- Warum Du PGP brauchst

Meinen oeffentlichen Schluessel findest Du uebrigends in der Navigationsleiste unter "Contact". Dort findest Du einen Link zu meinem oeffntlichen Schluessel sowie den Schluessel direkt als Download und den Fingerabdruck meines Schluessels.

• Comments (4)
• Trackbacks (0)

In times of public observation of people and governmental forced email inspection, I am wondering why so many people in my environment don't use tools like PGP or better the free alternative GPG for signing and encrytion of their mails.

I know and am using GPG since over 10 years now, and the list of people I am able to send GPG encrypted mails, is less than 20. I know that in the beginning of GPG it was very complicated to use it with common tools like you MUA. But today there are so many different tools, that assist you with it or a lot of MUAs that have direct GPG integration (like TheBat! or Mutt which I am using at home). Today I searched for a Outlook Plugin, as a look of my friends are using it and I found this project which seems to work as well with Outlook 2003: http://www.gpg4win.org. I also use GPG to sign mail, so that the recipient has the posibility to verify that it is me who sent the mail. Why not use this feature. SPAMers, viruses, trojans- all this shit is using mail to send out their crap to other people. If you get a mail which seems to be sent by me but isn't digitally signed, be sure to at least have a closer look at the mail header, as I am used to sign nearly every mail.

Another tool that allows you to encrypt your communication is Jabber. The XMPP (or better- the Jabber protocol) allows PGP/GPG encryption if your client allows it. I am using PSI which has a pretty nice GPG integration and works out-of-the-box with GPG (even on a Windows XP box). But in my roster there are only 3 (of about 60) people which are using encryption, and I am wondering why?

So here is my appeal: People encrypt you mails, chats, communications and important files so that you have better control of who is able to read you communications and your files. You are welcome to send me your public keys so that I can add it to my client. And you are welcome to send me questions for assistance with getting GPG running on your system as well.

And to give you a little insight who is watching/reading you, find some links below:
- Die schoene Welt der Ueberwachung
- Abhoerverpflichtung von Mailhostern
- TKUEV
- Bundestrojaner
- Ermittlungsverfahren "Mikado"

And some links about PGP/GPG:
- Kai Raven's introductions into PGP/GPG
- Using GPG with Jabber (Kai Raven)
- "GPG? Was?!"
- Why you need PGP

Update: As deifl mentioned- encryption should be easy. So here is how you can access my public key: Just click in the navigation bar on "Contact" to see my contact-details. There you can find my Key ID with a link to the keyservers that hold my public key, plus you can directly download it from my webserver as well as you can find the fingerprint.

• Comments (2)
• Trackback (1)