Projekt:Angewandte Verschluesselung und Datensicherheit
Da Datensicherheit im behördlichen Kontext mittlerweile imperativ ist, müssen Verschlüsselung und generelle Bildung über Datensicherheit einfach zu lernende Skills sein. In diesem Projekt sollen praktische einfache Verfahren um Datensicherheit zu verwirklichen gesammelt werden. Ziel ist ein Kurs der möglichst übersichtlich und einfach umsetzbar erklärt, wie Internetkommunikation Datenschutz-konform umgesetzt werden kann. Hier sollen keine Hintergrundinformationen gesammelt werden, wie Verschlüsselung funktioniert. Dafür gibt andere Projekte wie Kryptologie. Stattdessen sollte die Verschlüsselung im Kontext von Datenschutz und Rechtlichem betrachtet werden.
Möglichkeiten zur verschlüsselten Kommunikation über Internet
[Bearbeiten]Unterschied vertraulich, geheim und streng geheim
[Bearbeiten]Diese Unterscheidung hab ich hier gefunden [1]
symmetrische PDF-Verschlüsselung
[Bearbeiten]Auch das könnte ausreichen für Übertragung sensibler Daten. Symmetrische Verschlüsselung ist Ver- und Entschlüsselung mit dem gleichen Schlüssel.
Acrobat Reader bietet wohl eine Verschlüsselung als "Kennwort zum öffnen des Dokuments" an, siehe hier.
Verschlüsselte Kommunikation zwischen Emailservern
[Bearbeiten]Verschlüsselung gibt es wohl zwischen den Emailservern selbst über:
Eine Erklärung dazu hab ich hier gefunden.
Sicherstellung von TLS über "Mandatory TLS" wie hier ewrwähnt
Muss wohl auch über TLS reden ob sensible Daten und so. Es wird für solche als schutz angewenet, wie hier. Aber in dieser Quelle wird erwähnt, warum das nicht ausreichend ist für Kommunikation über Email.
Ende-zu-Ende Verschlüsselung (E2EE) bei Email
[Bearbeiten]Ich bräuchtwe vllt ne Resource die erklärt, warum E2EE rechtlich entscheidend ist(insofern das richtig ist). Hier steht, das E2EE ausreicht um sensible Daten DSGVO-konform zu versenden. Alternativ werden auch Passwortgeschützte Dokumente erwähnt. Leider keinen Verweis auf die Quelle.
Anscheinend sind manche Städte in der Lage sensible Daten zu verschicken. Für Karksruhe werden tls, PDF-Verschlüsselung und S/MIME erwähnt.
Ein Bericht von Heise spricht darüber, dass sowohl openPGP als auch S/MIME Verschlüsselung angreifbar wären. Muss mich damit aber nochmal genauer beschäftigen (siehe hier)
"Bestimmte E-Mail-Metadaten können jedoch auch bei Verwendung von E2EE nicht verschlüsselt werden, z. B. die Namen und Adressen des Absenders und der Empfänger, die Sendezeit der Nachricht sowie die Information, von welchem Computer die Nachrichten gesendet oder empfangen wurden. Ebenso kann die Betreffzeile trotz einer angewandten Ende-zu-Ende-Verschlüsselung ungeschützt bleiben und deshalb von anderen Personen leicht zu lesen sein. " (Zitat von Thunderbirdhilfeseite, abgerufen am 5.10.2022)
S/Mime
[Bearbeiten]S/Mime ist eine Verschlüsselung nutzbar nur mit einem Zertifikationsanbieter zusammen. Einige Firmen die S/Mime Verschlüsselung anbieten und ein bisschen über ihr Angebot schreiben. [5] [6]
Anleitung zu:
OpenPGP
[Bearbeiten]Openpgp ist eine Verschlüsselung die privat erstellt und geteilt werden kann. Es gab einige Kampagnen zur bekanntmachung von PGP [7]
Die Seite www.openpgp.org bietet eine Liste von Anwendungen und Add-ons zu anderen Anwendungen die die Verschlüsselung via OpenPGP ermöglichen. Diese Liste ist hier zu finden.
Anleitung zu:
Die Anleitungen scheinen alle folgendem Muster zu unterliegen. Es werden erklärt:
- wie man ein Schlüsselpaar generiert oder importiert
- wie man dann eine verschlüsselte Email versendet
- ein paar Informationen über die Verschlüsselung
- Ab und zu werden auch KeyServer kurz in den Mund genommen, aber richtig erklärt wird das nicht.
Es sollte eine Sicherheitsprüfung geben, ob man den korrekten öffentlichen Schlüssel erhalten hat, egal woher dieser stammt, Thunderbirdhilfeseite
Beim BSI wird nur von easyGPG und GnuPGP gesprochen [8]
Durch EasyGPG entwickelt von Bund und zb BSI sollen openpgp verschlüsselung nutherfreundlich gemacht werden. Der Standard soll folgendes beinhalten [9]:
- automatische Erzeugung der Schlüsselpaare
- automatische Verteilung der öff. Schlüssel
- Nachrichten werden automatisch signiert und verschlüsselt
- Verbreitung der freizugänglichen Software
Das BSI geht davon aus, dass durch Kontaktaufnahme per Email die richtigen Schlüssel mehr oder weniger automatisch bestätigt werden. Also Fehler bei Kommunikation "weitestgehend ausgeschlossen" sind.[10] Es geht hierbei um die Frage ob sichergestellt ist, dass die Verteilung der Schlüssel über die Keyserver verlässlich ist.
Möglichkeiten um Verschlüsselung umgesetzt werden kann
[Bearbeiten]Emailprogramme haben normalerweise Verschlüsselung direkt eingebaut. Diese muss immernoch eingerichtet werden aber es müssen normalerweise keine Plugins oder Addons installiert werden. Outlook und Thunderbird direkt eingebaut.
Bei Emailprovidern im Internet müssen Addons zusätzlich installiert werden. Mailvelope bietet unterstützung für einige emailprovider.
Links zu rechtlichem zeugs
[Bearbeiten]nich gesichtet:
Durchsuche BSI
art32 DSGVO steht: geeignete technische und organisatorische Maßnahmen zu treffen sind, die die Sicherheit und die Vertraulichkeit der personenbezogenen Daten sicherstellen. Beispiel:
- Pseudonymisierung
- Verschlüsselung.
Laut meiner Quelle [12] sind die genannten Maßnahmen als Norm zu sehen.
Suche Tätigkeitsbericht des Sächsische Datenschutzbeauftragte Andreas Schurig in seinem 8. Tätigkeitsbericht [13]. Dieser beschreibt, dass jede Apotheke und ähnliche alle Emails verschlüsseln sollten.
Guides von anderen Quellen
[Bearbeiten]
Signieren von Dokumente
[Bearbeiten]Blogeintrag von Firma zu unterschieden bei Dokument-Signatur (E-Signatur) Blogeintrag von docusign.
In einem Bericht von PC-Welt steht eine kurze Zusammenfassung, was mit dem E-Perso so alles möglich ist.
Übersichtsseite des Angebots der Bundesdruckerei zum Personalausweis [14]
Zertifizierung von Schlüsseln
[Bearbeiten]Pdf, EMails und andere Sachen können noch signiert werden. Damit muss ich mich aber noch weiter beschäftigen.
Personalausweis
[Bearbeiten]Über den Personalausweis soll wohl Verschlüsselung möglich sein. Aber ich muss noch Informationen darüber sammeln.
Selbstbeschreibung vom Personalausweisportal über den EPerso
Private und öffentliche Schlüssel ex- und importieren
[Bearbeiten]Emailprogramme und Addons für die Verschlüsselung können mehrere Wege anbieten, private zu übertragen. Darunter fallen Synchronisation über einen Server, Speichern des Schlüssels in einer Datei und (eventuell?) übertragung per qrcode. Hier ein paar Schilderungen von Erfahrungsberichten:
Die Übertragung des privaten Schlüssels per Datei ist nicht ganz einheitlich geregelt. Thunderbird kann eine Sicherheitskopie des Schlüssels erzeugen. Dies ist leicht mit dem Export des öffentlichen Schlüssels verwechselbar, da falls nicht näher spezifiziert beim Export immer der ffentliche aber nicht der private gemeint ist. Dabei wird die gpg-Kennung in einem ASCII-Format (.asc) gespeichert. Dieser kann problemlos von anderen Programmen importiert werden. In der App Openkeychain kann man den (privaten) Schlüssel sichern. Der Schlüssel wird in einer Datei mit AES verschlüsselten Datei gespeichert(Endubng ist .gpg). Wenn diese Datei entschlüsselt wird zb mit gpg --decrypt(vgl. hiermit), erhält man den privaten und öffentlichen Schlüssel. Die Verschlüsselte Datei kann nicht direkt in thunderbird eingelesen werden sondern muss erst entschlüsselt in einem ASCII-Format abgespeichert werden.
Zumindest öffentliche Schlüssel können per uri scheme openpgp4fpr über QR-Codes geteilt werden. Die app openkeychain bietet dies nativ an.
Weitere Resource
[Bearbeiten]Informiere über RMS (Microsoft Rights Management Services). Steht hier als alternative zu E2EE [15]
Auch beachten, dass Emails nicht nur vom Comuter sondern auch über Smartphones versendet werden könnten. Beispielhafte Lösung sind Gateway-Verschlüsselung
Information zu eidas vom BSI [16]
Verwendete Begriffe und Abkürzungen außerrhalb des normalen Gebrauchs
[Bearbeiten]- eIDAS
- Ende-zu-Ende-Verschlüsselung, E2EE
- Web Key Directory (WKD) [17]
- openPGP
- easyPGP
- GnuPGP