Ihr habt es sicherlich schon in den News gelesen: WhatsApp hat die Verschlüsselung der Chatnachrichten nun flächendeckend für alle Geräte eingeführt. Nachdem mein Hauptkritikpunkt an WhatsApp bisher die fehlende bzw. unzureichende Verschlüsselung der Inhalte war, fragt der ein oder andere in meinem Umfeld vermutlich: „Thomas – jetzt, wo WhatsApp doch alle Nachrichten verschlüsselt: Holst du dir endlich WhatsApp?“
Nein. Es gibt für mich immer noch mehr als genug Gründe, auf WhatsApp zu verzichten.
Die Telekom hat zusammen mit dem Fraunhofer-Institut für Sichere Informationstechnologie (SIT) die Initiative „Volksverschlüsselung“ gestartet. Ziel ist es, die End-to-End E-Mail Verschlüsselung in Deutschland zum Standard zu machen und den Bürgern benutzerfreundliche, einfache Software dafür zur Verfügung zu stellen. Ein guter Freund hat mich gestern auf die Initiative aufmerksam gemacht, also habe ich mir das mal angesehen. Was zuerst einen vielversprechenden Eindruck gemacht hat, hat mich allerdings schnell enttäuscht, denn bereits jetzt halte ich das Projekt für ungeeignet, um die E-Mail Kommunikation ernsthaft abzusichern. Dafür gibt es natürlich auch einen Grund – und der heißt X.509.
Die Initiative will Public-Key-Infrastruktur (PKI) auf Basis des X.509-Standards zur Beglaubigung ihrer Zertifikate nutzen. Wem X.509 etwas sagt, der kennt sehr wahrscheinlich auch die große Schwäche des Standards: Zentrale Beglaubigungsstellen – auch „Certificate Authorities“, CAs, genannt. Ich will im Folgenden erklären, was X.509 bedeutet und wieso ich es für ungeeignet halte. Wer die Probleme kennt, für den wird hier nichts neues zu lesen sein … ;)
Das Let’s Encrypt Projekt (hinter dem unter anderem Mozilla, Facebook und Cisco als Sponsoren stecken) ist gestern in den Public Beta Betrieb übergegangen. Von nun an können nach belieben kostenlose TLS (aka SSL)-Zertifikate für die eigenen Domains erstellt werden. Für den Erhalt eines Zertifikats sind nur wenige, einfache Schritte erforderlich, die ich im Folgenden erkläre:
Gestern habe ich die Arch Linux Installation auf meinem Asus UX31a Ultrabook erneuert. Eine Schwierigkeit bei dem Ultrabook ist dabei das UEFI System. Mein vorheriges Arch Linux Setup auf dem Gerät war ziemlich kompliziert (wie sich herausgestellt hat: unnötig kompliziert), aber inzwischen habe ich einfachere Wege gefunden, die ich mit diesem Beitrag mit euch teilen will. Das UEFI Setup ist gar nicht mehr so schwierig, wenn man die richtige herangehensweise gefunden hat. Statt 4 Partitionen werden nur noch 2 benötigt und das Setup ist wesentlich kompakter. Der Großteil des Betriebssytems (alles außer /boot) wird via LUKS verschlüsselt auf der SSD abgelegt.
OpenSSL bringt umfassende Werkzeuge mit, um eine eigene, kleine Certificate Authority (CA) betreiben zu können. Die Nutzung einer eigenen CA ist besonders dann sinnvoll, wenn mehrere Dienste über SSL/TLS kostenlos abgesichert werden sollen. Neben dem Nachteil, dass die eigene CA vor Benutzung zuerst auf den Clientrechnern bekannt gemacht werden muss, gibt es aber auch einen Vorteil: Mit einer CA unter der eigenen Kontrolle ist man im Zweifel auf der sicheren Seite: In den letzten Jahren wurden immer wieder Fälle bekannt, in denen große Certificate Authorities falsche Zertifikate ausgestellt haben. Es gibt Grund genug, die Vertrauenswürdigkeit großer CAs anzuzweifeln.
Mit dieser Anleitung werdet ihr in der Lage sein, beliebig viele Zertifikate für eure Dienste ausstellen zu können, die in jedem Browser als gültig erkannt werden, sofern vorher das Root-Zertifikat eurer CA importiert wurde.
In den letzten Monaten ist mir aufgefallen, dass die Leistung meines Ultrabook mit der Zeit stark abnahm. Vorher war es kein Problem, 1 oder 2 virtuelle Maschinen nebenher laufen zu lassen – inzwischen war die Leistung aber so gering, dass es noch nicht einmal mehr möglich war, eine einzige VM laufen zu lassen und flüssig weiter zu arbeiten.
Natürlich habe ich die Systemauslastung beobachtet – mir ist aber nichts besonderes aufgefallen. Alle Werte lagen im mittleren Bereich mit Luft nach oben. Weder CPU noch RAM waren voll ausgelastet. Und trotzdem konnte man nicht mehr vernünftig arbeiten, wenn eine virtuelle Maschine in Hintergrund lief.
Seit dem Bekanntwerden der flächendeckenden, verdachtslosen Überwachung durch die NSA und andere Geheimdienste gewinnt Verschlüsselung im Internet an Bedeutung. Vor allem die Kommunikation zwischen Browser und Webserver wird verstärkt gesichert, um privates privat zu halten. Eine solche SSL-Verschlüsselung kann auch für den eigenen Apache Server eingerichtet werden. Benötigt wird dafür das Apache Modul „ssl“:
Dieser Blogpost zeigt euch, wie ihr euer SSL härtet und gleichzeitig Kompatibilität zu älterer Software wahrt: Hardening Your Web Server’s SSL Ciphers Auf diese Cipherkette setze ich schon ein paar Wochen. Anleitungen zum Einrichten mit Apache und Nginx sind mit dabei.
