Snow Effect in KDE 4

Dieses Wochenende habe ich mich ein bisschen mit den 3D Effekten der KDE 4 beschäftigt und habe das Snow Plugin von Compiz Fusion in die KDE bringen wollen. Schließlich höre ich ja eine Computergraphik Vorlesung mit einem OpenGL Programmierkurs. Nach einigem Kampf mit dem Kompilieren von KDE habe ich es endlich geschafft mein Beispiel 3D Effekt zu kompilieren. Davon ausgehend habe ich dann den Schnee Effekt geschrieben. Ich habe mich außer bei der Schneeflocke nicht bei Compiz bedient und alles selber geschrieben. Es ist erstaunlich wie weit man mit nicht einmal 150 Zeilen Code kommt. Nun können sich auf meinem Desktop 50 Schneeflocken tummeln, die langsam aber sicher nach unten wandern. Nun muss der Code nur noch in das SVN Repository kommen und dann können auch andere diesen winterlichen Effekt genießen ;-)

Hier noch einen Screenshot zum Beweis (ist ein KDE 3 Desktop mit kate und kwin in der KDE 4 Variante):
Snow Effect

Verschlüsselung mit Windows

Nachdem ich ja schon in einem Screencast Verschlüsselung in Kubuntu vorgestellt habe, möchte ich mich in diesem Blog-Eintrag der Verschlüsselung unter Windows widmen. Da es bedeutend schwieriger mit Windows ist, hab ich auf einen Screencast verzichtet.

Warum überhaupt Verschlüsselung
Nun für Verschlüsselung gibt es viele gute Gründe. Der wichtigste ist meiner Meinung: “E-Mails sind wie Postkarten”. Man muss sich das klar machen: eine E-Mail wird nicht in einen verschlossenen Briefumschlag gesteckt und verschickt. Nein sie wird offen wie eine Postkarte verschickt. Das heißt so wie der Briefträger oder jeder, der die Postkarte beim Transport in die Finger bekommt, die Postkarte lesen kann, so kann auch jeder eine E-Mail lesen. Das bedeutet jedes Telekommunikationsunternehmen, jeder Provider, jeder Staat über deren Netze oder Server, die E-Mail gelangt, diese lesen. Gerade der Punkt Staat sollte einen hellhörig werden lassen, da dies auch sehr leicht Industriespionage erlaubt. Wie bei einer Postkarte sieht man auch nicht, ob und wer eine E-Mail heimlich mitgelesen hat. Daher: vertrauliche Information gehören NIEMALS in eine E-Mail!

Warum überhaupt Digitale Unterschriften?
Es gibt auch einen guten Grund Verschlüsselung zum digitalen Unterschreiben von E-Mails zu verwenden. Jeder dürfte es durch SPAM kennen: Absenderadresse einer E-Mail darf frei gewählt werden. Zum Beweis ein Auszug aus meinem Log-File (natürlich verbiete ich so etwas):

Dec 1 01:18:39 v32201 postfix/smtpd[3558]: NOQUEUE: reject: RCPT from unknown[122.169.46.58]: 554 5.7.1 <x@martin-graesslin.com>: Sender address rejected: Access denied; from=<x@martin-graesslin.com> to=<internet@martin-graesslin.com> proto=SMTP helo=<ABTS-mum-Dynamic-058.46.169.122.airtelbroadband.in>

Zur Erklärung: Hier versucht jemand mir eine E-Mail von der Adresse x@martin-graesslin.com zu senden. Die Domain gehört mir, also dürfte eigentlich nur ich so etwas machen. Daher verbiete ich es auch.

Nun ihr könntet nun denken, dass das so gut ist. Der Server blockt einen “illegalen” Zustellungsversuch. Aber sobald man an den Sicherheitsvorkehrungen vorbei ist, darf man machen was man will. So kann man durchaus zu Beginn in dem so genannten “Envelope” echte Adressen verwenden, in der eigentlichen E-Mail aber die gefälschten Adressen. Auf diese Art und Weise lassen sich auch große Provider wie Web.de oder GMX überlisten. Wer sich nicht auskennt, wird den Trick niemals bemerken.

Nun ihr könntet immer noch meinen, dass das alles Quatsch ist. Daher stellt euch folgendes vor: Deine Freundin bekommt eine E-Mail von dir, dass du mit ihr Schluss machst. Du hast die E-Mail aber nie geschrieben. Wie willst du ihr das noch erklären?

Digitale Unterschriften verhindern solche Probleme. Bei einer digitalen Unterschrift wird ein eindeutiger Wert der Nachricht errechnet und mit eurem privaten Schlüssel verschlüsselt und an die Nachricht angehängt. Der Empfänger kann den verschlüsselten Wert mit dem öffentlichen Schlüssel entschlüsseln und mit dem selbst errechneten Wert vergleichen. Stimmen die Werte überein, kann der Empfänger sich sicher sein, dass die Nachricht tatsächlich vom Absender stammt und nicht mehr während des Transports verändert wurde. Das alles macht natürlich das E-Mail Programm automatisch und ist wirklich simpel.

Und Windows beherrscht diese Technik nicht?
Doch natürlich beherrscht Windows diese Technik und bringt auch alles mit was man zum Verschlüsseln von E-Mails braucht. Auch Thunderbird bringt alles wichtige mit. Jedoch beherrschen eigentlich alle kommerzielle Produkte (ja ich sehe Mozilla Programme als kommerziell an) nur den Standard S/MIME. Dieser Standard verwendet die gleiche Technik wie SSL/TLS und kann daher als ausreichend sicher angesehen werden. Der Haken an S/MIME sind die so genannten Zertifikate. Eine Authority stellt einem ein Zertifikat aus, das man nun zum Unterschreiben und Verschlüsseln verwenden kann. Spielt man selber die Authority, sieht niemand das Zertifikat als vertrauenswürdig an. Nimmt man das Zertifikat einer anerkannten Authority (e.g. Verisign) muss man viel Geld bezahlen und Dritte hatten Zugang zu diesen sensiblen Daten, die die eigene Identität beweisen soll. Das man diesen Authorities nicht unbedingt trauen kann, zeigt diese kleine Geschichte (wer die Geschichte nicht glaubt, sollte mal in Windows unter “Nicht vertrauenswürdige Herausgeber” schauen). Microsoft ist übrigens der Meinung das wir ganz vielen Firmen vertrauen können (wahrscheinlich weil jemand ihnen Geld gezahlt hat). Die Liste kann man folgendermaßen abrufen:

  1. Outlook Express öffnen
  2. Extras->Optionen öffnen
  3. Reiter Sicherheit wählen
  4. Digitale IDs klicken
  5. Reiter Vertrauenswürdige Stammzertifizierungsstellen wählen

Und hier sieht man auch den ganzen Haken bei der Sache: eine Firma schreibt mir vor, wem ich vertrauen kann und wem nicht. Eigentlich will ich selber entscheiden wem ich vertrauen kann.

Wie sieht nun die Alternative aus?
Die Alternative ist OpenPGP. PGP steht für “Pretty Good Privacy”. Die Technik ist sehr ähnlich zu S/MIME, jedoch gibt es keine Authorities, die Zertifikate ausstellen. Jeder stellt sein Zertifikat selber aus. Das Vertrauen kommt hier aus einem Web of Trust. D.h. ich als Person A vertraue Person B, weil ich sie persönlich kenne. Wenn Person B Person C vertraut, kann ich Person C auch vertrauen, weil Person B sagt, dass er Person Cs Schlüssel sorgfältig geprüft habe und ich Person B vertraue. Diese Technik wir bei Linux sehr stark eingesetzt. So wird z.B. bei Ubuntu jedes Paket vor der Installation über den Schlüssel überprüft. Bei Windows wird dieses über S/MIME Zertifikate bei Windows-Updates gemacht.

Wie kann ich dies nun für meine E-Mails einsetzen?
Für Mozilla Thunderbird gibt es eine Erweiterung Enigmail, die es ermöglicht OpenPGP in Thunderbird zu verwenden. Die Erweiterung ist sehr vollständig. Man kann damit Schlüssel erzeugen, fremde Schlüssel importieren und verwalten, Mails signieren und verschlüsseln. Signaturen überprüfen und verschlüsselte E-Mails entschlüsseln. Ein komplettes Frontend für GnuPG. Übrigens GnuPG muss man sich auch noch installieren. Das sollte aber auch kein Problem sein, hier der Download-Link: ftp://ftp.gnupg.org/gcrypt/binary/gnupg-w32cli-1.4.7.exe
Ach macht euch das Leben einfacher und installiert euch auch das deutsche Language-Pack für Enigmail.

Ich möchte auch meinen Chat verschlüsseln!
Natürlich gilt für Chats das selbe wie für Mails. Mit Ausnahme von Skype und XMPP läuft die Kommunikation unverschlüsselt ab. Bei Skype weiß man nicht wer mitlesen darf, bei XMPP läuft die Verschlüsselung nur bis zum ersten Knotenpunkt garantiert verschlüsselt, vorausgesetzt man hat SSL/TLS aktiviert. Also besteht auch hier ein Bedarf der Ende-zu-Ende Verschlüsselung. Dafür gibt es etwas ganz tolles: Off the Record Messaging ICQ oder MSN Hotmail können das natürlich nicht. Aber es gibt einen hervorragenden Multi-Messenger Client aus dem GNOME Projekt, der auch unter Windows läuft: Pidgin. (Das erste mal, dass ich öffentlich eine Arbeit von GNOME lobe – als KDE Anhänger eine Rarität). Für Pidgin gibt es ein Plugin namens Pidgin-OTR. Mit diesem Plugin wird automatisch ein verschlüsselter Chat aufgebaut, sobald der Gesprächsteilnehmer ebenfalls OTR aktiviert hat. Meine Wenigkeit benutzt OTR. Natürlich müsste es auch irgendwie möglich sein die OpenPGP Zertifikate zu verwenden, aber da ich Pidgin nicht verwende, weiß ich nicht wie das geht.

Ich weiß der Artikel ist lang, aber ich hoffe, ich konnte jemanden dazu überreden, seine Sicherheit ein wenig zu erhöhen. Übrigens Pidgin nervt nicht mit Werbung und kann eigentlich alles was die kommerziellen Produkte auch können. Also werft die nervenden Programme über Bord ;-)

Screencast Kubuntu und GnuPG

Ich habe heute einen Screencast zur Benutzung von GnuPG in Kubuntu aufgenommen. Das etwa 15 minütige Video zeigt die Installation von kgpg und das Anlegen eines Schlüssels in diesem Frontend, sowie Import öffentlicher Schlüssel aus Kmail und Verwendung von Verschlüsselung und Signierung in Kontact.

Ein weiterer Abschnitt beschäftigt sich mit dem Einrichten und Verwenden von Verschlüsselung in kopete. Zum Schluss wird noch kurz die Alternative kopete-otr gezeigt, wie man sie installiert und verwendet.

Leider habe ich es nicht geschafft das Video zu schneiden. Daher sieht man auch meinen verzweifelten Versuch zu tippen, wenn die Tastatur streikt.

Je nach Zeit werde ich auch noch so einen Screencast für Ubuntu und Thunderbird und wenn ich ganz viel Lust habe auch für Windows und Thunderbird erstellen.

Das Video findet man in meiner Gallerie im screencasts Ordner.

Offener Brief an Wolfgang S.

Sehr geehrter Herr Bundesinnenminister,

wie ich aus der Presse entnommen habe, sind Sie der Meinung, dass der in der Bloggerszene erhobene Vorwurf Sie würden ein Modell der Stasi 2.0 umsetzen irreal sei. Ich erlaube mir Sie zu zitieren:

Die jungen Menschen, die mir derartige Vorhaltungen machen, meinen das ja auch nicht ernst.

Ich versichere Ihnen hiermit: Ja ich meine das ernst. Alle Beiträge, die ich zu diesem Thema geschrieben habe, habe ich so gemeint. Ich bin der festen Überzeugung, dass die von Ihnen betriebene Politik uns langfristig in einen Orwell’schen Überwachungsstaat führt, den ich ablehne.

Es gibt viele Arten mit Kritik umzugehen. Sie einfach zu verleugnen ist sicherlich nicht die richtige Art und Weise.

Mit freundlichen Grüßen
Martin Gräßlin

Diesen Brief werde ich morgen bei abgeordnetenwatch.de an unseren Innenminister schicken.
[EDIT]abgeordnetenwatch.de erlaubt nur Fragen. Da der obige Brief keine Frage enthält, käme er wohl kaum durch die Moderation durch. Daher suche ich mir ein anderes Medium zum Kontaktieren.[/EDIT]

Aufmerksam auf diese Aussage wurde ich durch Florian und daran erinnert, dass ich noch was schreiben wollte, hat mich Timm