Neuer öffentlicher Schlüssel

Wie bereits mitgeteilt ist meine OpenPGP Smartcard leider defekt und ich konnte die Schlüssel nicht zurückspielen. Daher gibt es nun ein Update meines öffentlichen Schlüssels. Die Schlüssel der alten Smartcard sind zurückgezogen und neue Subschlüssel dazugekommen. Entweder vom Keyserver neu importieren oder hier herunterladen.

Noch mal passiert mir der Fehler nicht. Diesmal hab ich die Untschlüssel nicht auf der Smartcard erzeugt und hab ein Backup 😉 In Chat-Protokollen bin ich aktuell durch Umstellung auf KDE 4.0 nicht verschlüsselt zu erreichen. Denke das Problem wird bald aber behoben sein.

Noch kurz die allgemeinen Infos:
Fingerabdruck: F5E5 49B5 8D80 31EB EF26 7821 7802 850A DCEB F2D4

Fazit einer Woche mit KDE 4.0

Vor ein paar Tagen erfolgte der Wechsel. Mein Standard-Desktop ist nun Plasma und nicht mehr kdesktop. Nun wollte ich einfach mal meine Erfahrungen mitteilen 😉

Für eine öffentliche Beta (Zitat Timm) ist KDE 4.0 doch schon sehr weit. Es gibt (vor allem in Plasma) einige Ecken und Kanten, aber die neuen Möglichekeiten überzeugen mich mehr und mehr. Natürlich ganz vorne ist Eye-Candy. KDE 4 sieht einfach sehr schön aus. Oxygen ist viel schöner und moderner als alles was ich bisher an Icons und Style im Open Source Umfeld gesehen habe. Die KWin Effekte (nach Update des NVIDIA-Treibers gut nutzbar) sind schön und nützlich. Die Vorteile davon muss ich aber auch erst noch erlernen – Exposé zum Fensterwechseln ist halt noch ungewohnt.

Ich versuche zur Zeit auch anderen Neuerungen eine Chance zu geben. So das neue K-Menü Kickoff. Mein erster Gedanke war, was für ein Scheiß und hab es sofort durch das traditionelle Menü ersetzt. Nun hab ich ihm eine Chance gegeben und ich muss sagen eigentlich doch sehr gut. Wenn man weiß was man will, sind die Mauswege bedeutend kürzer. Vor allem die Favoriten Funktion ist sehr nützlich. Auch Dolphin wollte ich zuerst ablehnen. Ich bin ein “Konqueror-Fan” und benutzte ihn in KDE 3 trotz Dolphin weiterhin als Dateimanager. Aber die Fähigkeiten in der KDE 4 Variante sind einfach enorm. Ich navigiere bedeutend schneller zu den Dateien, die ich brauche (geht natürlich auch in Konqueror). Sehr übersichtlich angeordnet mit mehreren Leisten, die einem das Leben einfacher machen. Was ich dabei noch nicht benutzt habe, ist die Strigi (Desktop-Suche) Integration. So kann man nun Meta-Informationen (e.g. Tags) in Dolphin hinterlegen, nach denen man mit Strigi suchen kann. Bisher hatte ich Desktop-Suche eigentlich abgelehnt. Aber das Konzept hört sich so gut an, dass ich Strigi ausprobieren werde.

Nun mal zu den Bugs. Natürlich gibt es sie an allen Ecken und Enden. Aber wie gesagt es ist nur eine Entwicklerversion. Jeden Bug den ich finde und reporte, hilft KDE 4.1 (erscheint im Juli) für den Endanwender benutzbar zu machen. Für Plasma soll es sogar ein Zwischenrelease geben, dass es vielleicht dann noch in Hardy hinein schafft. Sehr amüsant ist die deutsche Übersetzung. Schönstes Beispiel: es gibt ein Comic Widget, bei dem man userfriendly einbinden kann. Dies wurde tatsächlich in “Benutzerfreundlich” übersetz. Mir ist klar, dass die Übersetzung viel Arbeit ist, aber wenn man was übersetzt sollte man es vielleicht doch mal anschauen. Einen echten Bug erlebe ich gerade. Konqueror weigert sich meine verschlüsselten Seiten zu akzeptieren, deshalb schreibe ich gerade den Blog-Eintrag mit Firefox. Nun hier scheint bei Plasma oder den KWin Effekten irgendetwas nicht zu stimmen auf jeden Fall wird bei jedem Tastendruck das Panel neu gezeichnet. Da schau ich doch gleich mal, ob ich dafür einen Bug aufmachen muss 😉 Aber viele der Packaging Bugs wurden bereits behoben. Wirklich gute Arbeit was das Kubuntu-Team da leistet. Immerhin im Prinzip stehen sie am Status 0. So wie als sie mit KDE für Ubuntu begonnen haben. Verdient meinen Respekt.

Hoffen wir darauf, dass wir mit Hardy+1 eine ausgereifte KDE 4.1 erleben, die wirklich ein neues Desktop-Erlebnis ermöglicht und neue Standards sowohl in der OpenSource als auch in der proprietären Welt setzt.

Kdesu killt OpenPGP SmartCard

Tja meine OpenPGP Smartcard ist zerstört. Habe versucht in KDE4 sudo Rechte zu bekommen. Keine Ahnung was passiert ist, aber die PIN hat sich gesperrt. Die Adminpin, die ich mir aufgeschrieben hatte, war wohl falsch und jetzt ist die Karte nicht mehr zu benutzen. Neue ist bereits bestellt und bis ich die habe kann ich leider nicht entschlüsseln und nicht signieren. Also bis auf weiteres mir keine verschlüsselten Nachrichten zusenden. Irgendwie bin ich ganz gewaltig sauer. Ich wusste, dass Kubuntu kdesu falsch konfiguriert hatten – es wurde auf das root Passwort geprüft. Nun gab es neue Pakete, die sudo verwenden sollten. Was da nun passiert ist, weiß ich nicht. Wenn aber in KDE 4 meine SmartCard Authentifizierung nicht mehr funktioniert, dann ist das eine schöne Scheiße.

Hoffe ich hatte die Keys richtig gebackupt. Sonst kann ich meine verschlüsselten Daten nie wieder lesen…

Flip 3D und Ring 3D

Die letzten paar Tage hab ich noch weiter an meinem Flip Effekt gearbeitet und einen weiteren Switch-Modus eingebaut. Es gibt nun noch eine Art Ring Switcher, bei dem nur drei Fenster dargestellt werden. Der Flip Modus wurde etwas verbessert, einige kleine Fehler behoben. Außerdem wird jetzt das Icon des ausgewählten Fensters angezeigt. Leider ist die Animation immer noch unterschiedlich schnell. Muss ich mir noch eine Lösung überlegen.

Das Resultat der Arbeit kann wieder als Video (23 MB) bewundert werden. Dieses mal habe ich es in einem KDE4 Desktop (3.97.1) aufgenommen. Auch dieser Blogeintrag wird gerade aus einer KDE4-Sitzung heraus im KDE4-Konqueror geschrieben 😉 Vielleicht wechsel ich nächste Woche doch den Desktop. Die meisten Probleme sind für mich gelöst mit kdepim wird noch nicht released. Und für andere Programme würde ich mal sagen überwiegen dann doch die Vorteile und man kann ja immer noch die KDE3 Programme starten.

Flip 3D für KDE

Ich wünsche allen ein schönes neues Jahr 1984. Hoffen wir, dass wir die Zeitrechnung wieder auf das richtige Datum im Verlaufe des Jahres zurück drehen können.

In den letzten paar Tagen hab ich mich noch mal mit den Desktop-Effekten der kommenden KDE4 beschäftigt und habe den bestehenden, sehr schönen BoxSwitch-Effekt (Alt+Tab Fensterschalter) um einen Flip 3D Modus ähnlich dem in Windows Vista erweitert. Natürlich hab ich auch ein Video (Hohe Auflösung) von dem Effekt erstellt. Ich hoffe mal das YouTube Video funktioniert:

Zuerst zeigt es den normalen Modus. Danach den von mir implementierten Flip Modus. Man sieht die Stärke der Effekte. Ein Video läuft ohne Probleme weiter, selbst wenn es transparent und gekippt ist.

Snow Effect in KDE 4

Dieses Wochenende habe ich mich ein bisschen mit den 3D Effekten der KDE 4 beschäftigt und habe das Snow Plugin von Compiz Fusion in die KDE bringen wollen. Schließlich höre ich ja eine Computergraphik Vorlesung mit einem OpenGL Programmierkurs. Nach einigem Kampf mit dem Kompilieren von KDE habe ich es endlich geschafft mein Beispiel 3D Effekt zu kompilieren. Davon ausgehend habe ich dann den Schnee Effekt geschrieben. Ich habe mich außer bei der Schneeflocke nicht bei Compiz bedient und alles selber geschrieben. Es ist erstaunlich wie weit man mit nicht einmal 150 Zeilen Code kommt. Nun können sich auf meinem Desktop 50 Schneeflocken tummeln, die langsam aber sicher nach unten wandern. Nun muss der Code nur noch in das SVN Repository kommen und dann können auch andere diesen winterlichen Effekt genießen 😉

Hier noch einen Screenshot zum Beweis (ist ein KDE 3 Desktop mit kate und kwin in der KDE 4 Variante):
Snow Effect

Verschlüsselung mit Windows

Nachdem ich ja schon in einem Screencast Verschlüsselung in Kubuntu vorgestellt habe, möchte ich mich in diesem Blog-Eintrag der Verschlüsselung unter Windows widmen. Da es bedeutend schwieriger mit Windows ist, hab ich auf einen Screencast verzichtet.

Warum überhaupt Verschlüsselung
Nun für Verschlüsselung gibt es viele gute Gründe. Der wichtigste ist meiner Meinung: “E-Mails sind wie Postkarten”. Man muss sich das klar machen: eine E-Mail wird nicht in einen verschlossenen Briefumschlag gesteckt und verschickt. Nein sie wird offen wie eine Postkarte verschickt. Das heißt so wie der Briefträger oder jeder, der die Postkarte beim Transport in die Finger bekommt, die Postkarte lesen kann, so kann auch jeder eine E-Mail lesen. Das bedeutet jedes Telekommunikationsunternehmen, jeder Provider, jeder Staat über deren Netze oder Server, die E-Mail gelangt, diese lesen. Gerade der Punkt Staat sollte einen hellhörig werden lassen, da dies auch sehr leicht Industriespionage erlaubt. Wie bei einer Postkarte sieht man auch nicht, ob und wer eine E-Mail heimlich mitgelesen hat. Daher: vertrauliche Information gehören NIEMALS in eine E-Mail!

Warum überhaupt Digitale Unterschriften?
Es gibt auch einen guten Grund Verschlüsselung zum digitalen Unterschreiben von E-Mails zu verwenden. Jeder dürfte es durch SPAM kennen: Absenderadresse einer E-Mail darf frei gewählt werden. Zum Beweis ein Auszug aus meinem Log-File (natürlich verbiete ich so etwas):

Dec 1 01:18:39 v32201 postfix/smtpd[3558]: NOQUEUE: reject: RCPT from unknown[122.169.46.58]: 554 5.7.1 <x@martin-graesslin.com>: Sender address rejected: Access denied; from=<x@martin-graesslin.com> to=<internet@martin-graesslin.com> proto=SMTP helo=<ABTS-mum-Dynamic-058.46.169.122.airtelbroadband.in>

Zur Erklärung: Hier versucht jemand mir eine E-Mail von der Adresse x@martin-graesslin.com zu senden. Die Domain gehört mir, also dürfte eigentlich nur ich so etwas machen. Daher verbiete ich es auch.

Nun ihr könntet nun denken, dass das so gut ist. Der Server blockt einen “illegalen” Zustellungsversuch. Aber sobald man an den Sicherheitsvorkehrungen vorbei ist, darf man machen was man will. So kann man durchaus zu Beginn in dem so genannten “Envelope” echte Adressen verwenden, in der eigentlichen E-Mail aber die gefälschten Adressen. Auf diese Art und Weise lassen sich auch große Provider wie Web.de oder GMX überlisten. Wer sich nicht auskennt, wird den Trick niemals bemerken.

Nun ihr könntet immer noch meinen, dass das alles Quatsch ist. Daher stellt euch folgendes vor: Deine Freundin bekommt eine E-Mail von dir, dass du mit ihr Schluss machst. Du hast die E-Mail aber nie geschrieben. Wie willst du ihr das noch erklären?

Digitale Unterschriften verhindern solche Probleme. Bei einer digitalen Unterschrift wird ein eindeutiger Wert der Nachricht errechnet und mit eurem privaten Schlüssel verschlüsselt und an die Nachricht angehängt. Der Empfänger kann den verschlüsselten Wert mit dem öffentlichen Schlüssel entschlüsseln und mit dem selbst errechneten Wert vergleichen. Stimmen die Werte überein, kann der Empfänger sich sicher sein, dass die Nachricht tatsächlich vom Absender stammt und nicht mehr während des Transports verändert wurde. Das alles macht natürlich das E-Mail Programm automatisch und ist wirklich simpel.

Und Windows beherrscht diese Technik nicht?
Doch natürlich beherrscht Windows diese Technik und bringt auch alles mit was man zum Verschlüsseln von E-Mails braucht. Auch Thunderbird bringt alles wichtige mit. Jedoch beherrschen eigentlich alle kommerzielle Produkte (ja ich sehe Mozilla Programme als kommerziell an) nur den Standard S/MIME. Dieser Standard verwendet die gleiche Technik wie SSL/TLS und kann daher als ausreichend sicher angesehen werden. Der Haken an S/MIME sind die so genannten Zertifikate. Eine Authority stellt einem ein Zertifikat aus, das man nun zum Unterschreiben und Verschlüsseln verwenden kann. Spielt man selber die Authority, sieht niemand das Zertifikat als vertrauenswürdig an. Nimmt man das Zertifikat einer anerkannten Authority (e.g. Verisign) muss man viel Geld bezahlen und Dritte hatten Zugang zu diesen sensiblen Daten, die die eigene Identität beweisen soll. Das man diesen Authorities nicht unbedingt trauen kann, zeigt diese kleine Geschichte (wer die Geschichte nicht glaubt, sollte mal in Windows unter “Nicht vertrauenswürdige Herausgeber” schauen). Microsoft ist übrigens der Meinung das wir ganz vielen Firmen vertrauen können (wahrscheinlich weil jemand ihnen Geld gezahlt hat). Die Liste kann man folgendermaßen abrufen:

  1. Outlook Express öffnen
  2. Extras->Optionen öffnen
  3. Reiter Sicherheit wählen
  4. Digitale IDs klicken
  5. Reiter Vertrauenswürdige Stammzertifizierungsstellen wählen

Und hier sieht man auch den ganzen Haken bei der Sache: eine Firma schreibt mir vor, wem ich vertrauen kann und wem nicht. Eigentlich will ich selber entscheiden wem ich vertrauen kann.

Wie sieht nun die Alternative aus?
Die Alternative ist OpenPGP. PGP steht für “Pretty Good Privacy”. Die Technik ist sehr ähnlich zu S/MIME, jedoch gibt es keine Authorities, die Zertifikate ausstellen. Jeder stellt sein Zertifikat selber aus. Das Vertrauen kommt hier aus einem Web of Trust. D.h. ich als Person A vertraue Person B, weil ich sie persönlich kenne. Wenn Person B Person C vertraut, kann ich Person C auch vertrauen, weil Person B sagt, dass er Person Cs Schlüssel sorgfältig geprüft habe und ich Person B vertraue. Diese Technik wir bei Linux sehr stark eingesetzt. So wird z.B. bei Ubuntu jedes Paket vor der Installation über den Schlüssel überprüft. Bei Windows wird dieses über S/MIME Zertifikate bei Windows-Updates gemacht.

Wie kann ich dies nun für meine E-Mails einsetzen?
Für Mozilla Thunderbird gibt es eine Erweiterung Enigmail, die es ermöglicht OpenPGP in Thunderbird zu verwenden. Die Erweiterung ist sehr vollständig. Man kann damit Schlüssel erzeugen, fremde Schlüssel importieren und verwalten, Mails signieren und verschlüsseln. Signaturen überprüfen und verschlüsselte E-Mails entschlüsseln. Ein komplettes Frontend für GnuPG. Übrigens GnuPG muss man sich auch noch installieren. Das sollte aber auch kein Problem sein, hier der Download-Link: ftp://ftp.gnupg.org/gcrypt/binary/gnupg-w32cli-1.4.7.exe
Ach macht euch das Leben einfacher und installiert euch auch das deutsche Language-Pack für Enigmail.

Ich möchte auch meinen Chat verschlüsseln!
Natürlich gilt für Chats das selbe wie für Mails. Mit Ausnahme von Skype und XMPP läuft die Kommunikation unverschlüsselt ab. Bei Skype weiß man nicht wer mitlesen darf, bei XMPP läuft die Verschlüsselung nur bis zum ersten Knotenpunkt garantiert verschlüsselt, vorausgesetzt man hat SSL/TLS aktiviert. Also besteht auch hier ein Bedarf der Ende-zu-Ende Verschlüsselung. Dafür gibt es etwas ganz tolles: Off the Record Messaging ICQ oder MSN Hotmail können das natürlich nicht. Aber es gibt einen hervorragenden Multi-Messenger Client aus dem GNOME Projekt, der auch unter Windows läuft: Pidgin. (Das erste mal, dass ich öffentlich eine Arbeit von GNOME lobe – als KDE Anhänger eine Rarität). Für Pidgin gibt es ein Plugin namens Pidgin-OTR. Mit diesem Plugin wird automatisch ein verschlüsselter Chat aufgebaut, sobald der Gesprächsteilnehmer ebenfalls OTR aktiviert hat. Meine Wenigkeit benutzt OTR. Natürlich müsste es auch irgendwie möglich sein die OpenPGP Zertifikate zu verwenden, aber da ich Pidgin nicht verwende, weiß ich nicht wie das geht.

Ich weiß der Artikel ist lang, aber ich hoffe, ich konnte jemanden dazu überreden, seine Sicherheit ein wenig zu erhöhen. Übrigens Pidgin nervt nicht mit Werbung und kann eigentlich alles was die kommerziellen Produkte auch können. Also werft die nervenden Programme über Bord 😉

Screencast Kubuntu und GnuPG

Ich habe heute einen Screencast zur Benutzung von GnuPG in Kubuntu aufgenommen. Das etwa 15 minütige Video zeigt die Installation von kgpg und das Anlegen eines Schlüssels in diesem Frontend, sowie Import öffentlicher Schlüssel aus Kmail und Verwendung von Verschlüsselung und Signierung in Kontact.

Ein weiterer Abschnitt beschäftigt sich mit dem Einrichten und Verwenden von Verschlüsselung in kopete. Zum Schluss wird noch kurz die Alternative kopete-otr gezeigt, wie man sie installiert und verwendet.

Leider habe ich es nicht geschafft das Video zu schneiden. Daher sieht man auch meinen verzweifelten Versuch zu tippen, wenn die Tastatur streikt.

Je nach Zeit werde ich auch noch so einen Screencast für Ubuntu und Thunderbird und wenn ich ganz viel Lust habe auch für Windows und Thunderbird erstellen.

Das Video findet man in meiner Gallerie im screencasts Ordner.

Offener Brief an Wolfgang S.

Sehr geehrter Herr Bundesinnenminister,

wie ich aus der Presse entnommen habe, sind Sie der Meinung, dass der in der Bloggerszene erhobene Vorwurf Sie würden ein Modell der Stasi 2.0 umsetzen irreal sei. Ich erlaube mir Sie zu zitieren:

Die jungen Menschen, die mir derartige Vorhaltungen machen, meinen das ja auch nicht ernst.

Ich versichere Ihnen hiermit: Ja ich meine das ernst. Alle Beiträge, die ich zu diesem Thema geschrieben habe, habe ich so gemeint. Ich bin der festen Überzeugung, dass die von Ihnen betriebene Politik uns langfristig in einen Orwell’schen Überwachungsstaat führt, den ich ablehne.

Es gibt viele Arten mit Kritik umzugehen. Sie einfach zu verleugnen ist sicherlich nicht die richtige Art und Weise.

Mit freundlichen Grüßen
Martin Gräßlin

Diesen Brief werde ich morgen bei abgeordnetenwatch.de an unseren Innenminister schicken.
[EDIT]abgeordnetenwatch.de erlaubt nur Fragen. Da der obige Brief keine Frage enthält, käme er wohl kaum durch die Moderation durch. Daher suche ich mir ein anderes Medium zum Kontaktieren.[/EDIT]

Aufmerksam auf diese Aussage wurde ich durch Florian und daran erinnert, dass ich noch was schreiben wollte, hat mich Timm