5,558
edits
Changes
→Infos und Stellungnahmen
</table>
== Infos und Stellungnahmen ==
<!-- ==================================================== -->
<!-- ====================== Kapitel 12 ====================== -->
<!-- ==================================================== -->
=== Informationen zu Schlagzeilen, dass PGP- und S/MIME-verschlüsselte E-Mails nicht mehr sicher seien ===
'''Die letzten Tage überschlugen sich die Schlagzeilen, dass PGP- und S/MIME-verschlüsselte E-Mails nicht mehr sicher sind. Da stellt sich die Frage, ob das auch die TrutzBox betrifft.'''
Zunächst eine kurze Erklärung, wie es Angreifer bei herkömmlicher Übertragung von PGP- oder S/MIME-verschlüsselten E-Mails schaffen können, diese mitlesen zu können: Voraussetzung ist, dass der Angreifer die verschlüsselte E-Mail während der Übertragung abfangen und manipulieren kann. Da bei herkömmlicher E-Mail Übertragung zumindest sowohl der E-Mail-Provider des Absenders als auch der des Empfängers dazu in der Lage ist, ist diese Voraussetzung immer gegeben.
Der Angreifer baut dann in die verschlüsselte E-Mail einen Link ein, der vom E-Mail Client abgerufen wird und dadurch nach der Entschlüsselung die E-Mail an den Angreifer schickt. Details zu diesem Angriffsszenario hier: https://www.efail.de/
'''Wie funktioniert E-Mail bei der TrutzBox?'''
Die TrutzBox ist ein Server, der unter anderem auch sichere E-Mails senden und empfangen kann. Beim Design der TrutzBox haben wir von Anfang an grossen Wert darauf gelegt, dass die Kommunikation über die TrutzBox nicht nur einfacher zu bedienen, sondern auch noch mehr Privacy als PGP-verschlüsselte E-Mails bietet. Das wurde dadurch erreicht, indem TrutzBoxen ihre E-Mails über Tor-Hidden-Services austauschen. Somit bietet die TrutzBox, im Gegensatz zu PGP-verschlüsselten E-Mails, folgende Vorteile, falls Sender und Empfänger beide eine TrutzBox besitzen:
*die Schlüsselverwaltung ist voll automatisch. Der Anwender kommt nie mit irgend welchen Schlüsseln in Berührung. Im Gegensatz zu PGP-verschlüsselten E-Mails, bei denen man auf allen benutzten Geräten die Schlüssel manuell verwalten muss.
*auf den Endgeräten (E-Mail-Clients) ist keinerlei Erweiterung notwendig. Alle E-Mail-Clients können im vollem Funktionsumfang weiter verwendet werden.
*ein Angreifer, der die Kommunikation des Internets überwachen kann, sieht weder, dass hier eine E-Mail ausgetauscht wird, noch welche IP-Adressen hier kommunizieren. Bei PGP-verschlüsselten E-Mails kann jeder, der Zugriff auf die Mail-Server oder auf die Internet-Verbindungen hat, alle Meta-Daten der Mail mitlesen.
*aus Sicherheitsgründen verschlüsselt die TrutzBox E-Mails immer auch zusätzlich noch mit PGP
*da die TrutzBoxen die E-Mails über das Tor-Netzwerk untereinander austauschen und dadurch kein „E-Mail-Vermittler“ dazwischen ist, kann kein Dritter die E-Mail unterwegs verändern.
Aus diesem letzten Punkt resultiert: falls der Kommunikationspartner auch eine TrutzBox besitzt, kann die E-Mail unterwegs nicht manipuliert werden und sind vor diesem Angriff sicher,
Diese gleichen Features werden übrigens auch bei der Chat-Funktion der TrutzBox genutzt.
Aufgrund dieser erhöhten Sicherheit gegenüber PGP wird die TrutzBox auch von Journalisten, Ärzten, Anwälten ... genutzt, die besonderen Schutz benötigen.
Falls der Kommunikationspartner keine TrutzBox hat, kann die TrutzBox auch PGP-verschlüsselte E-Mails über normale Mail-Server senden und empfangen und diese automatische ver- und entschlüsseln. In diesem Fall holt dann der E-Mail-Client die entschlüsselte E-Mail von seiner TrutzBox ab.
Da aber in diesem Fall die PGP-verschlüsselte Mail mit einem normalen E-Mail Account ausgetauscht wird, kann sie unterwegs manipuliert werden. Die TrutzBox entschlüsselt die Mail zwar richtig, verschickt auch keine Mail an den Angreifer, aber wenn das E-Mail Programm auf dem Client so eingestellt ist, dass es Referenzen der E-Mail nachlädt, dann würde auch hier der Angreifer die Mail vom E-Mail Client bekommen.
Wenn wie in diesem Angriffsfall die Mail unterwegs manipuliert wurde, dann würde die TrutzBox das allerdings feststellen, da sie die Signatur nicht überprüfen kann und würde die Mail entsprechend kennzeichnen.
Es ist allerdings recht einfach diesen Angriff abzuwehren. Dazu einfach im E-Mail Programm das automatische Nachladen deaktivieren.
<br />
[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Handbuchs)]]
=== Schützt die TrutzBox vor Hackerangriffen? ===
Da aber Angriffe sehr vielfältig sein können, ist das nicht schnell zu erklären. Aber hier schon mal ein paar Highlights.
Hackerangriffe können sowohl eigene Geräte, als auch Server bei einem Provider betreffen, z.B. bei einem Mail-Provider.
Schadsoftware kann z.B. direkt oder indirekt über den Browser oder von einer App auf dem Smartphone (z.B. über Werbeeinblendungen) zum eigenen PC oder Smartphone gelangen. Das kann die TrutzBox verhindern, da die TrutzBox bekannte Server mit Schadsoftware oder Werbung blockiert.
Wenn Sie die Mail-Funktion der TrutzBox nutzen, dann ist die Mail verschlüsselt und der Absender wird authentisiert. So ist es kaum mehr möglich per E-Mail einen Virus einzuschleusen. In diesem Fall muss der Kommunikationspartner allerdings auch eine TrutzBox besitzen, oder PGP-Mails senden und empfangen können, oder Ihre TrutzBox mit benutzen.
Ausserdem erschwert es die TrutzBox, dass Tracker-Firmen Sie beim Surfen im Internet ausspionieren. Denn solche Informationen können Angreifer nutzen, um Sie damit zielgerichtet anzugreifen. Solche zielgerichteten Angriffe sind z.B. E-Mails, die angeblich vom gerade besuchten Shop kommen. In Wirklichkeit kommt die E-Mail, die täuschend echt aussieht, aber von einem Hacker und beinhaltet Schadsoftware oder Links zu einem Server mit Schadsoftware.
<br />
[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Handbuchs)]]
== Infos und Stellungnahmen ==
