world of cryptosteve

Punk, Nerd, Atheist, Skeptiker, Misanthrop, .....

in eigener Sache: neue Zertifikate und Wechsel zu Let's Encrypt

Ohne Kommentare

Das Jahr ist schon wieder rum und es wurde Zeit für neue SSL-Zertifikate. Während ich diese bisher immer unter eher großem Aufwand von Startcom geholt habe, besteht jetzt die Möglichkeit, diese über das noch relativ junge Projekt Let's Encrypt zu beziehen. Um das Rad nicht mehrfach neu zu erfinden, habe ich mir die notwendigen Infos zum Erstellen, Beziehen und Verwalten der Zertifikate von unterschiedlichen Seiten geholt, unter anderem von:


Damit sollten ab sofort neue Zertifikate ausgeliefert und in allen verwendeten Programmen ohne weitere Rückfrage akzeptiert werden. Der SSL-Test auf Qualys SSL Labs gibt mir nach wie vor ein gutes A+.

Wer Fehler bemerkt, darf sie mir dennoch gerne mitteilen ....

Geschrieben von cryptosteve | Kommentieren
Translate article to english

05/24/16 um 18:16:39

Krebs ist ein Arschloch - hilfst du mir? ?

Ohne Kommentare

Der 38-jährige Claudius Holler ist an Hodenkrebs erkrankt. Als wäre das ohnehin nicht schon schlimm genug, hat er darüber hinaus ein weiteres großes Problem: er nicht ist krankenversichert.

Die Behandlung wird größere Summen Geld verschlingen und auch andere Töpfe wollen noch bedient werden. Was zunächst nach maßlosem Selbstverschulden und einem "Abmelden aus der Solidargemeinschaft" klingt, ist bei genauerer Betrachtung auch die Verkettung unglücklicher Umstände. Dabei ist Claudius vieles, aber sicher kein egoistischer Typ.

Wenn Ihr Zeit und Nerv habt, guckt Euch seinen Hilferuf auf YouTube an:



Nachdem ich gestern der erste war, der sein Video mit "Gefällt mir" markiert hat, hat es sich mittlerweile quer durchs Netz gefressen.

Wer ist Claudius Holler? In aller Kürze:




Weitere aktuelle Berichte:

Geschrieben von cryptosteve | Kommentieren
Translate article to english

03/31/16 um 12:19:00

Abgelegt in Allgemeines, Internet

IPFire löst die FRITZ!Box 7270v2 ab

Ohne Kommentare

Seit Jahren verrichtet die FRITZ!Box 7270v2 hier treu ihren Dienst. Auf das Gerät selbst kann ich nicht verzichten, weil ich im Consumerbereich bislang keine vergleichbare Telefonanlage gefunden habe. Der netzbasierte Teil der Box geriet in den letzten Wochen und Monaten allerdings vermehrt in die Kritik, als zunehmend Sicherheitslücken auftraten. Zudem ist die Box mittlerweile in einem Alter, in dem ich nicht nur mit technischen Problemen zu kämpfen habe (das integrierte DSL-Modem verweigert in unregelmäßigen Abständen den Dienst), sondern auch die Intervalle für Software-Updates zunehmend größer werden. Klar. AVM ist ein gewinnorientiertes Unternehmen und die Flagschiffe werden zuerst bedient.

Wie durch Zufall kam gerade der Roland des Weges und erzählte von einer Firewalldistribution namens IPFire, die er demnächst mal testen wolle. Ich hatte gerade Urlaub und nichts besseres vor und so war eine Hardwarebestellung schnell zusammen geklickt. Einige Tage später wurden die Einzelteile geliefert und trotz der recht knappen Abmessungen der Komponenten stand die fertige Kiste eine Stunde später vor mir. Die aktuelle Konfiguration könnt ihr übrigens meinem fireinfo.ipfire.org-Profil entnehmen.

Die Installation von IPFire gestaltet sich in einem ncurses-basierten Installer recht zügig. Es ist allerdings von Vorteil, wenn man grundlegende Kenntnisse von Netzwerktopologie hat und schon vorher eine ungefähre Idee hat, wie sein zukünftiges Setup aussehen soll.

So betreibe ich meine IPFire-Box mit vier Zonen, green0 für das interne Netzwerk, blue0 für den WLAN-Accesspoint, orange0 für die DMZ und natürlich red0 für den Internet-Zugang (=DSL-Modem). Durch die Bezeichnung der Devices mit Farbnamen läuft man gerade in der anfänglichen Konfiguration nicht so leicht Gefahr, mit den IPs der Netze und Subnetze durcheinander zu geraten.

Dabei trennt die IPFire-Box die Netze vernünftig auf und verhindert, dass beispielsweise Zugriffe aus der DMZ auf die internen Netze möglich sind. Der exakte Default kann dem IPFire default zone ruleset entnommen werden. IPFire bietet dabei diverse Dienste an, wie z.B. einen dhcp-Server, leicht zu konfigurierenden (auf Wunsch transparenten) Proxy, QoS und vieles mehr. Durch ein Addon-System können die Dienste darüber hinaus erweitert werden. So konnte ich meinen transparenten Proxy reicht einfach um einen Virenschutz via squidclamav erweitern. Da ich das Setup squid + squidclamav bereits manuell auf meinem Heimserver laufen hatte, kann ich nur sagen: das Setup via IPFire ist echt einfach und narrensicher.

Meine alte FRITZ!Box ließ sich zudem glücklicherweise als reiner IP-Client betreiben, sodass diese an orange0 in der DMZ noch immer ihren Dienst versieht und einige der alten WLAN-Geräte mit Netzzugang versorgt.

Der Aufbau meiner Netzwerke hier ist überdies noch deutlich komplizierter, weil auch noch andere Devices wie z.B. mein Freifunk-Router ihren Platz abgekommen haben. All diese Aufgaben erledigt die IPFire-Box aber bislang völlig anstandslos und zur vollen Zufriedenheit.

Geschrieben von cryptosteve | Kommentieren
Translate article to english

09/02/14 um 10:28:42

Abgelegt in Internet, Linux

Warum Threema für mich trotzdem eine Alternative zu WhatsApp ist

Ohne Kommentare

Nachdem kürzlich bekannt wurde, dass der bekannte Messenger WhatsApp für die unfassbar große Summe von 19 Milliarden Dollar an Facebook geht, keimt die Diskussion um alternative Messenger wieder auf.

Derer gibt es sich reichlich ... schlechte, bessere und auch gute. Einen guten Beitrag über die Alternativen findet ihr z.B. bei netzpolitik.org.

Ich nutze seit längerem den Messenger Threema, der - gemessen an der Verbreitung innerhalb meiner Kontakte, bis dato eher ein Nischendasein fristete. Threema führt derzeit die Liste der Alternativen an und auch auf Twitter gibt es viel zum Hashtag #threema zu lesen. Gleichwohl ist Threema aufgrund seines nicht offen liegenden Quellcodes in der Kritik. Fefe hat eine umfangreiche Kritik zu Threema verfaßt.

Für mich ist Threema trotzdem eine (wenn nicht sogar DIE!) Alternative zu WhatsApp, da:

  • Threema einfach zu installieren und zu handhaben ist,
  • Ende-zu-Ende-Verschlüsselung beherrscht,
  • sehr kostengünstig ist (Android: einmalig(!) 1,60€),
  • der Server in der Schweiz und damit außerhalb der U.S.A. steht,
  • aufgrund des Protokolls, anders als bei OTR keine persistente Verbindung zum Gegenüber benötigt und daher mobilfähig ist,
  • das Gegenüber zum Schlüsselaustausch nicht online sein muss (anders als bei OTR),
  • 99% meiner Kontakte weder in der Lage sind noch Lust dazu haben, einen eigenen Messenger-Server zu betreiben,
  • nicht (und schon gar nicht zwangsläufig) das vollständige Telefonbuch zum Server hochlädt,
  • sich auch außerhalb von google-Play bezahlen läßt,
  • sich via Bitcoin vollständig anonym bezahlen läßt.

Wer aber ganz sicher gehen möchte, setzt sich vielleicht besser gleich einen Alu-Hut auf und verzichtet komplett auf Kommunikationselektronik.

Geschrieben von cryptosteve | Kommentieren
Translate article to english

02/20/14 um 21:51:45

Abgelegt in Android, Datenschutz, Internet

Spotify Premium - Ein Erfahrungsbericht

Ohne Kommentare

In der Presse habe ich schon oft von Spotify gelesen. Dabei handelt es sich um einen Audio-Streaming-Dienst, der einem Musik sowohl in einer kostenlosen, dafür aber werbeunterstützten, als auch in einer höherwertigen Bezahlvariante liefert.

Nachdem ich die kostenlose 30-Tage-Premium-Test-Variante wochenlang umkreist habe, entschloss ich mich gestern dazu, den Dienst tatsächlich zu testen. Die Angabe von Bezahldaten (z.B. Kreditkartendaten) sind für den 30-Tage-Test notwendig - das man den potentiellen neuen Kunden hier ans Unternehmen binden möchte und an eine längerfristige Bindung denkt, ist offensichtlich. Nachdem ich den Registrierungsprozess durchlaufen hatte, stand mir der Premium-Service auch sofort zur Verfügung.

Nachdem ich jetzt 24 Stunden mit Spotify rumgespielt und den Dienst erkundet habe muss sagen ... ich bin mittelschwer begeistert. Ich höre relativ viel Musik, gerne auch neue Sachen und erkunde gerne neue Bands, Alben und Stilrichtungen. Bislang musste ich dafür vielfach auf YouTube zurückgreifen, was sich jedoch als relativ umständlich erweist.

Mit Spotify kann man sich einfach CDs als Playlist speichern und sie so in einem geeigneten Audioplayer (hier: Clementine mit Spotify-Plugin unter Linux, sowie der originale Spotify-Client unter Android) oder auch im Webplayer direkt auf spotify.com anhören. Wer nicht ausreichend Bandbreite zur Verfügung hat, um die Songs (unterwegs) fortwährend zu streamen, kann einzelne Songs oder ganze Playlists zur Offlinenutzung markieren. Der Client lädt die Songs dann runter, sodass zum späteren Anhören keine Onlineverbindung mehr notwendig ist. Alle bisher getesteten Varianten unterstützten übrigens das Scrobbling an last.fm.

Ähnlich wie bei last.fm bietet auch Spotify eine Funktion an, die einem passend zum eigenen Musikgeschmack neue Bands vorschlägt, sodass man sich nach einigen Stunden Spotify-Nutzung bequem von Band zu Band hangeln und immer wieder neue CDs an seine Clients senden kann.

Nach dieser kurzen Testzeit kann ich also sagen, dass ich mit Spotify für den Moment sehr glücklich bin. Die 10 Euro, die es mich monatlich kosten wird, sind für die extrem große Musikdatenbank nicht zu viel verlangt und ich erspare mir den Kauf von CDs, die sich im Nachhinein als Flop erweisen, weil zwar ein Song richtig gut war, der Rest aber nichtmal im Hintergrund zu ertragen ist. Und sogar CDs in meinem vom Mainstream abweichenden Musikgeschmack (z.B. The Toten Crackhuren im Kofferraum, Turbostaat und siehe auch mein last.fm-Profil) ist in Hülle und Fülle vorhanden.

Und der größte Kritikpunkt an Spotify, nämlich das einem die Musik nicht gehört und wieder weg ist, wenn man den Dienst kündigt oder dieser die Hufe nach oben reißt, ist für mich keiner, weil ich schon jetzt den ganzen Schrank voller CDs habe, die mir zwar gehören, die ich aber trotzdem wohl nie wieder ziehen werde, weil mir die Musik auf den Keks geht und mich nicht (mehr) interessiert.

Einen weiteren (älteren, aber guten) Artikel zum Thema gibt es bei Nils Schneider zum Nachlesen ....

Und in einem letzten Nachsatz sei noch erwähnt, dass Spotify für mich nur ein Mittel ist um neue Künstler zu entdecken. Wenn mir etwas richtig gut gefällt, werde ich mir die CD-Version davon kaufen und sie im Schrank platzieren.

Geschrieben von cryptosteve | Kommentieren
Translate article to english

01/12/14 um 18:55:52

Abgelegt in Akustisches, Internet, Linux

in the poche - read-it-later-Service selber hosten

Ohne Kommentare

Bislang habe ich keinen read it later-Service gebraucht. Ich habe meine Artikel entweder sofort gelesen, die Browsersitzung bis dahin offen gelassen oder ein Lesezeichen angelegt. Entsprechende Services, wie z.B. Pocket blieben von mir daher vollständig ungenutzt.

Durch einen Beitrag in Caschys Blog bin ich kürzlich jedoch auf poche aufmerksam geworden. Poche ist bislang sicher nicht so vollumfänglich wie Pocket, ist dafür aber OpenSource, deutlicher übersichtlicher und lässt sich problemlos selber hosten. Zudem bleiben die Daten der read-it-later-Historie damit in eigenem Besitz und nicht bei einem weiteren Webdienst.

Zu poche selbst kann im Beitrag von Caschys Blog (Link siehe oben) einiges lesen. Wer Schwierigkeiten mit der (durchaus einfachen) Installation hat, möchte darüber hinaus ggf. einen Blick in Poche das openSource Read it later werfen.

Bei der Installation hatte ich jedoch merkwürdige Schwierigkeiten, die ich heute zu allem Überfluß in Zusammenarbeit mit dem Entwickler nicht mehr nachvollziehen konnte. Da es aber mindestens mindestens einen weiteren User mit dem gleichen Problem gibt, scheint der Fehler aber tatsächlich irgendwo versteckt zu liegen. Wir bleiben da definitiv am Ball.

Übrigens, seit heute ist Poche offiziell in Calibre integriert.

Geschrieben von cryptosteve | Kommentieren
Translate article to english

12/26/13 um 23:06:33

Abgelegt in Gentoo, Internet, Linux

[WLAN] Werbefilter für Android ohne root

Mit 4 Kommentaren

Ich mag keine Werbung. Sie nervt mich, sie lenkt mich von eigentlichen Inhalten ab und speziell in Apps schreckt es mich ab, wenn ich durch ein versehentliches Klicken auf Werbung aus der App in den Browser gepushed werde. Daher blockiere ich unerwünschte Werbung, wo es nur geht. Das mag man für unsozial halten - wer mit meiner Nutzung Geld generieren will, soll mir die App halt zum Kauf anbieten. Ich bin ein User, der sich bei der Wahl zwischen werbeverseuchter und kostenpflichtiger Angebote immer für die Kostenpflicht entscheiden wird.

Bei Androiden stellt sich im Vergleich zur Computernutzung leider das Problem, dass sich Werbung hier nicht so einfach blockieren lässt. So habe ich meine ersten Androidgeräte grundsätzlich gleich am ersten Tag gerootet und Werbefilter installiert. Von den Gefahren eines Bricks mal abgesehen, nervt das aber zunehmend. Während sich einige Geräte (wie solche der Nexus-Serie) noch ganz passabel rooten lassen, wird bei anderen schon schwieriger und komplizierter. Zudem nimmt die Anzahl ganz unterschiedlicher Devices in unserem Haushalt massiv zu, sodass ich mir da mittlerweile sechs, sieben verschiedene HOWTOs durchlesen muss, um am Ball zu bleiben.

Kurzum: Es gibt Geräte, bei denen ich gerne auf root-Zugriff verzichten würde - nicht nur, weil's umständlich ist, sondern weil damit oft auch die Möglichkeit zu OTA-Updates verloren geht, oder falsche Apps eher Schaden anrichten können.

Um es für die User, die auf der Suche nach einer simplen One-Click-Lösung hier her gekommen sind, gleich vorweg zu nehmen:

Effektive Werbefilter auf dem Androiden direkt ist ohne root nicht möglich. Es gibt ein paar Lösungen, die aber allesamt ihre Schwächen haben. So habe ich beispielsweise in meinen ersten Versuchen allen Traffic durch einen squid-Proxy geroutet. Allen Traffic? Denkste, denn die erweiterten Einstellungen im WLAN-Setup des Androiden beziehen sich trotzdem nur auf die Webbrowser. So ist man beim Surfen zwar einigermaßen werbefrei, in diversen Apps blinkert es aber trotzdem fröhlich vor sich hin.

Die einzig passable Möglichkeit, um Werbung aus dem Androiden rauszuhalten, ist, die zugrunde liegenden Hosts zu blockieren. Hier kommt als Router eine Fritzbox 7270v2 zum Einsatz. Die /etc/hosts ist dabei leider nicht so ohne weiteres abzuändern. Es gibt zwar Möglichkeiten, auf die Fritzbox schreiben zuzugreifen, aber das ist nicht nur umständlich, sondern auch nicht ganz ungefährlich. Ein Fehler im Setup hindert die Box schnell mal am Hochfahren. Den darauf folgenden Reset der kompletten Box würde ich mir gerne ersparen. Zudem soll die hosts-Datei in der Fritzbox aus der Konfiguration zur Laufzeit generiert werden - Änderungen an der /etc/hosts würden damit bei jedem Neustart überschrieben werden.

Bliebe also lediglich, die Kindersicherung der FritzBox zu bemühen und die dortige Blacklist mit passenden Einträgen zum Werbefilter zu füllen. Von der Idee her ist das nicht schlecht und funktioniert in der Praxis auch ganz gut. Aber die Anzahl der möglichen Einträge in der Blacklist sind doch arg begrenzt, sodass dies als umfassender Filter leider überhaupt nicht zu gebrauchen ist.

Das nachfolgende Setup ist also umfangreicher und benötigt neben einem Router mit freier DNS-Wahl auch einen PC, der zum Zeitpunkt des Internet-Zugriffs läuft. Gegeben sind hier neben der FritzBox 7270v2 als Router ein Heimserver basierend auf Gentoo Linux und net-dns/pdnsd als DNS-Proxy. Sicherlich gehts auch mit anderen Betriebssystemen, anderen Rechnern und anderer Software. Als Rechner würde sich statt einem größeren Heimserver beispielsweise ein Raspberry Pi anbieten.

Die Grundidee meines Setups ist folgende: die Clients wenden sich für die Namenauflösung an die FritzBox, diese nutzt als DNS-Server den lokalen Heimserver und hier antwortet ein pdnsd auf Anfragen, nachdem er bestimmte Anfragen - nämlich solche an Werbeserver - negiert.

Der Einfachheit halber versorgen sich meine Clients durchweg via dhcp. Für die Namenauflösung wenden sie sich also alle an die Adresse der FritzBox. Hier trage ich unter den Heimserver als freien DNS-Server ein:


Werbefilter Android ohne root
Einstellungen zum alternativen DNS-Server in der Fritzbox


Der Heimserver läuft unter Gentoo, die Installation und Konfiguration von pdns ist in diesem Artikel im Gentoo-Forum ausführlich beschrieben. Ich weise an dieser Stelle darauf hin, dass die Server der German Privacy Foundation nicht mehr ordnungsgemäß laufen und man daher in der pdnsd-Konfiguration auf andere DNS-Server ausweichen sollte.

Nachdem pdnsd ordnungsgemäß aufgesetzt wurde, fehlen natürlich noch die Einträge für die Werbefilter. Hierzu kann man sich auf pgl.yoyo.org passende Listen für diverse Programme, unter anderem pdnsd, zusammenstellen lassen. Das fertige Snippet sieht dann so aus.

Nachdem das o.g. Filtersnippet zur pdnsd.conf hinzugefügt wurde, muss die Konfiguration neu geladen werden. Damit sollte der Heimserver die Namenauflösung für die FritzBox übernehmen und die Werbeserver aus der Namenauflösung herausfiltern. Alle angeschlossenen Clients sind damit von den in der pdnsd.conf negierten Servern befreit und ungerootete Androiden zeigen fortan keine Werbung mehr an.

Das ganze gilt natürlich nur, solange man sich im heimischen (W)LAN befindet. Für 3G-Verbindungen von unterwegs oder in fremden Drahtlosnetzwerken ist die Variante mit gerooteten Devices nach wie vor erforderlich.

Geschrieben von cryptosteve | Kommentieren
Translate article to english

09/18/13 um 21:00:00

YaCy - freie-Peer-to-Peer-Suchmaschine

Mit 1 Kommentar

Prism, Tempora & Co haben unbestreibar ihre Vorteile - man wird gezwungen, sein eigenes Handeln im Netz zu überdenken und sieht sich nach Alternativen um (vgl. Prism Break).

Eher durch Zufall bin ich im Zuge dieses Themas über die freie Suchmaschinensoftware YaCy gestolpert. YaCy stellt über die in Java programmierte Kernsoftware eine Peer-to-Peer-basierte Suchmaschine bereit, die diverse Eigenschaften auf sich vereint:

  • dezentral: durch die Verteilung des Indizes via P2P braucht YaCy keinen zentralen Server, sondern läuft auf vielen einzelnen Installationen

  • unzensierbar: durch die dezentrale Speicherung der Daten sind die Suchergebnisse von YaCy quasi nicht zensierbar

  • mehr Datenschutz: Keine Speicherung von Nutzerdaten an zentraler Stelle. Zwar kann keine endgültige Aussage über das Speicherverhalten einzelner Peers getroffen werden, aber spätestens bei einer lokalen Installation ist man sein eigener Admin und entscheidet, welche Daten erhoben werden.

  • Bei Bedarf hohe Suchtreffer: Da man selbst entscheiden kann, welche Seiten gecrawled werden sollen, ist es möglich, Themenbereiche im Suchindex aufzunehmen, die ansonsten eher selten in großen Suchmaschinen auftauchen

Darüber hinaus ist es möglich, YaCy nur auf das eigene System oder auch nur auf das eigene Intranet loszulassen. Hier gibt es mehrere Grundmodelle, für die sich der Admin entscheiden kann:

  • Gemeinschafts-basierte Web Suche: hier ist man Teil des globalen Netzwerks 'freeworld'. Wer seinen YaCy-Node zudem im 'Senior-Mode' (von außen erreichbar) betreibt, kann den Zugang zum YaCy-Netzwerk selbst bereitstellen.

  • Suchportal für Ihre eigene Internetseiten: die YaCy Installation verhält sich unabhängig von den anderen Peers und man kann den Index selber durch Starten von Web-Crawls füllen und definieren. Das kann benutzt werden, um eigene Internetseiten zu durchsuchen oder ein Themen-basiertes Portal aufzubauen.

  • Intranet Indexierung: hiermit kann ein Suchportal für Intranet oder öffentlichen Webseiten, bzw. ein (verteiltes) Dateisystem realisiert werden.

Das klingt soweit richtig gut und ist vom Grundsatz her eine tolle Idee. Zur Installation muss lediglich YaCy heruntergeladen werden, das mit ~40mb Archivgröße relativ mächtig ist. Das bringt allerdings den Vorteil mit sich, dass alles - abgesehen von einer lauffähigen Java-Umgebung - alles mit an Bord ist. So braucht es keinen extra konfigurierten Webserver und keine eigens eingerichtete Datenbank. Stattdessen kann man durch simples Starten von ./startYACY.sh sofort loslegen und Teil des großen Netzwerks werden.

Ein paar Nachteile von YaCy möchte ich an dieser Stelle allerdings nicht verschweigen:

  • YaCy braucht Resourcen: Und zwar massig Resources. Ich dachte zunächst, ich wäre mit meinem kleinen Atom-Heimserver gut aufgestellt. Dieser ist mit einem Atom D525 und 4GB RAM ausgestattet. Aber weit gefehlt. Mein Index umfasst derzeit knapp über vier Millionen Dokumente (Screenshot siehe unten). Ich musste den Durchsatz von YaCy massig runterdrehen, da sich mein kleiner Heimserver sonst gar nicht recht beruhigen konnte. Die Installation läuft derzeit mit einer RAM-Zuweisung von 2,5GB, aber man hört die Kiste förmlich arbeiten.

  • YaCy zieht ordentlich Daten durch Netz: YaCy ist Peer-to-Peer-Software - und die lebt natürlich von regem Datenaustausch. Nichts desto trotz steht schon nach einigen Tagen fest, dass dieses Konzept nichts für eine Telekom-gedrosselte 75GB-Leitung wäre.

  • Java: ob man Java als Vorteil oder als Nachteil sieht, muss jeder für sich selbst entscheiden

Unterm Strich ist YaCy eine tolle Sache. Dieser Blogkommentar ist als Bewertung eines Neuusers zu sehen und zu verstehen. Ich habe mir YaCy im Jahresabstand immer wieder mal angesehen und diesesmal ist das erste mal, dass die Installation länger als ein paar Stunden läuft. Anfänglich habe ich einige Seiten aktiv zum Crawling angestoßen, derzeit empfange ich nur noch Indexteile anderer Peerteilnehmer und aktualisiere den vorhandenen Index. Und meine Installation läuft natürlich weiterhin mit Daten voll. Wie sich das auf Dauer vernünftig handeln lässt, wird sich noch zeigen. Der aktuelle Status meines Peers sieht wie folgt aus:

YaCy Peer-Status


Aus YaCy ist sicherlich noch mehr rauszuholen, wenn man sich tiefer in die recht umfangreichen Einstellungsmöglichkeiten eingearbeitet hat. So suche ich derzeit noch nach Möglichkeiten, bei Forencrawlings nicht auf jeden "Antwort"-Button klicken zu lassen. Glücklicherweise erweist sich die YaCy-Community im Forum als sehr freundlich und hilfsbereit.

Vielleicht schaut ihr Euch YaCy einfach mal an ... alleine der technische Background ist es meiner Ansicht nach wert.

Geschrieben von cryptosteve | Kommentieren
Translate article to english

07/17/13 um 19:27:36

Abgelegt in Datenschutz, Internet, Linux

crypto? Na klar ...

Ohne Kommentare

Für eine Vielzahl von Geräten und Kommunikationswegen gibt es heute die Möglichkeit, diese kryptographisch zu verschlüsseln. Die häufigste Anwendung dürfte dabei die Verschlüsselung im Webbrowser via https sein. während die (gefühlt) seltenste eMail mit S/MIME ist.

Zunächst einmal sei gesagt, dass Kryptographie ein Recht ist, das nicht überall als selbstverständlich gilt. Als Teil des militärischen Apparats unterliegt Krypto-Software bisweilen starken Exportbestimmungen und auch sie ist oft nicht gern gesehen, nur geduldet oder gar verboten. Eine schöne Übersicht zum Thema halten die Bremer Piraten bereit.

Und eine konsequente Haltung einzunehmen und zu halten, ist anstrengend.

Um Kryptographie im Kommunikationssektor einzusetzen, bedarf es nicht nur einiges an Kenntnis, sondern auch regelmäßigen Aufwands. In Zeiten von Prism und Tempora schießen zwar die Anleitungen zum Verschlüsseln von eMails wie Pilze aus dem Boden, aber die Anleitung bis zum Ende konsequent durchzuarbeiten und die erreichte Verschlüsselung dann auch einzusetzen, scheint für den überwiegenden Großteil doch eine unüberwindbare Hürde zu sein. Warum für das Gros der Internetnutzer eine unverschlüsselte eMail kein Problem darstellt, während sich die Sache bei unverschlossenen Briefen ganz anders darstellen würde, muss jeder für sich selbst beantworten.

Das schwächste Glied einer Verschlüsselung ist - von stümperhafter Implementation mal abgesehen - das Passwort. Der aufwendigste Algorithmus fährt an die Wand, wenn das Passwort zu kurz und/oder schlecht gewählt ist. Und vor allem dort, wo regelmäßige Passworteingabe erforderlich ist, neigt der Mensch aus Bequemlichkeit zum Verzicht oder zur Wahl eines (zu) einfachen Passwortes. Ansonsten gilt hier wieder: eine konsequente Haltung einzunehmen und zu halten, ist anstrengend.

Eine weitere, für mich persönlich wichtige, Sache ist, die privaten Schlüssel selbst zu schützen. D.h., ich verschlüssele nicht nur meine eMails, sondern sorge auch in hohem Maße dafür, dass mir diese privaten Schlüssel nicht verloren gehen und in falsche Hände geraten. Dazu bietet es sich zuerst an, private Schlüssel - soweit möglich - mit einem Passwort zu schützen. D.h., der private Schlüssel kann nur nach Eingabe eines Passwortes genutzt werden. Auch hier bringt das den Nachteil mit sich, dass man keine eMail absenden kann, ohne vorher den privaten Schlüssel mit einem Passwort "aufgeschlossen" zu haben. Agents, die sich das Schlüsselpasswort für eine vordefinierte Zeit merken, erleichtern die Arbeit bei Bedarf für weitere eMails, aber der einmalige Aufwand ist unumgänglich.

Zudem werden die Schlüssel durch Systemverschlüsselung geschützt. Ich habe wenig Hoffnung, so staatlichen Stellen dauerhaft entgehen zu können, da ich den Einbau eines Keyloggers nicht verhindern kann und die Systeme spätestens zur Laufzeit aufgeschlossen und entschlüsselt sind. In der vagen Annahme, für staatliche Stellen wie NSA, BND und Staatsschutz das kleinste aller Lichter, quasi die personifizierte Nullnummer, zu sein, beschränkt sich meine Bemühung hier vor allem auf Diebstahl. Ja, ich habe Angst, das meine Geräte gestohlen werden und wenn der Fall irgendwann mal eintritt, dann kann ich mich in aller Ruhe zurücklehnen, weil ich mir sicher sein kann, dass niemand außer mir an die darauf gespeicherten Daten zugreifen kann. Das gilt sowohl für stationäre Geräte wie meine Workstation, als auch für mobile Geräte wie mein Arbeitsnotebook und mein Smartphone.

Vor allem beim Smartphone gilt wieder: eine konsequente Haltung einzunehmen und zu halten, ist anstrengend. Eine Verschlüsselung ist nämlich nur sinnvoll und möglich, wenn eine PIN-/Passwortsperre eingerichtet wurde. Und die hat das Potential, ganz erheblich zu nerven, wenn man eMails checken, eine Kurznachricht versenden oder nur mal eben irgendwo anrufen möchte. Zudem verkompliziert sich die Sache ganz erheblich, wenn man bedenkt, dass das schwächste Glied einer Verschlüsselung das Passwort ist. Wie weiter oben schon erwähnt, hilft die beste Verschlüsselung nichts, wenn es dem Dieb möglich ist, auf das bereits in Betrieb befindliche, entschlüsselte und aufgeschlossene Device zuzugreifen. Für gerootete Android-Smarthpones bietet sich da glücklicherweise die App Cryptfs Password an, die es ermöglicht, nachträglich das Passwort für die Systemverschlüsselung zu ändern. Somit kann das Passwort für die Verschlüsselung deutlich stärker gewählt werden als das für die PIN-/Passwortsperre. Ersteres muss nur beim Systemstart eingegeben werden, während letzteres bei jedem Aufwecken des Smartphones erforderlich ist. Aber auch hier ist die Systemverschlüsselung natürlich sinnbefreit, wenn das Gerät danach nur mit einer vierstelligen Zahlkombination (=PIN) gesperrt ist. Etwas mehr Mühe muss man sich schon geben, aber alleine die Erhöhung der PIN-Stellen bringt oder das Einstreuen von Buchstaben schon viel. Getestet habe ich die Android-Systemverschlüsselung übrigens aktuell auf dem Google Nexus 4, auf dem ich dadurch einen Performanceeinbruch feststellen kann. Eine deutlich sinkende Zugriffsrate auf den SD-Speicher ist aber messbar.

Geschrieben von cryptosteve | Kommentieren
Translate article to english

07/09/13 um 17:55:35

schnelle und anonyme DNS-Auflösung mit pdnsd

Ohne Kommentare

In Zeiten von PRISM habe ich die Hoffnung, dass mein Verhalten und meine mühevolle Verschlüsselung von Festplatten, Webseiten und eMails grundsätzlich unbeobachtet und abhörsicher sind, längst aufgegeben.

Nichts destro trotz möchte ich euch auf ein kleines HOWTO im Gentooforum hinweisen, mit dem es möglich ist, via net-dns/pdnsd einen kleinen und schnellen lokalen DNS-Cache aufzusetzen. Diesem DNS-Cache kann man beliebige DNS-Server vorsetzen. Der Autor des Mini-HOWTOs hat sich hier für die Server der deutschen und schweizerischen Privacy Foundation entscheiden. Während die German Privacy Foundation wohl leider in Auflösung inbegriffen ist, scheint die Swiss Privacy Foundation noch gut aufgestellt zu sein. Ob erstere die Nameserver weiterhin laufen lässt, konnte ich aus der Webseite bisher nicht heraus lesen.

Unter Debian bzw. siduction wird pdnsd über das Debian Repository bereit gestellt.

Vielleicht schaut ihr euch das HOWTO einfach mal an. Wenn die Einrichtung erfolgreich war, löst bei Euch auch die Testseite welcome.gpf ordnungsgemäß auf.

Geschrieben von cryptosteve | Kommentieren
Translate article to english

06/20/13 um 12:27:36