Skip to content

ShadowCrypt - Verschlüsselte Nachrichten auf Facebook, Twitter, Reddit und anderen Webseiten teilen

Dem versierten Surfer dürften in letzter Zeit eventuell kryptische Nachrichten im Netz aufgefallen sein, die ungefähr so aussehen:

"=?shadowcrypt-4ff95cef5a76149b687f7b54908cd2fa168794e214cedf9ee1a5df1dfec13057?fYtRaaL8maPP6ud0RldZhAEhO1KGy8pCqOMeSuery19100141260077"

Dabei handelt es sich um eine Form, öffentliche Nachrichten auf Plattformen wie Facebook, Twitter, Reddit und Co zu verschlüsseln.

ShadowCrypt-Playground

ShadowCrypt

ShadowCrypt ist eine Chrome Extension, die von der University of California, Berkeley und der University of Maryland entwickelt wird. Die Erweiterung soll zeigen, dass sichere Verschlüsselung schnell und einfach in bekannte Webseiten integriert werden kann. Laut den Forschern wurde das Add-on bereits auf 16 großen Webseiten getestet.

Im Prinzip soll es, anders als das etwas komplizierte PGG, eine Verschlüsselung dem normalen Anwender näher bringen.

Installation und Konfiguration

Die Installation der Erweiterung wird in einem kurzen Video erklärt. Zunächst muss natürlich die Erweiterung heruntergeladen werden.

Download ShadowCrypt Chrome

Danach kann über die Optionen in den Erweiterungen "chrome://extensions/", entweder einer der vorhandenen Schlüssel verwendet oder ein eigener für neue Webseiten hinterlegt werden. Hier gilt es zu beachten, dass die bereits hinterlegten Schlüssel Nachrichten für alle Shadowcrypt Nutzer gelten. Das heißt eure Nachrichten können von allen anderen, die auch das gleiche Add-on installiert haben, gelesen werden.

Um eine Nachricht für eure Freunde zu verschlüsseln, muss ein neuer Schlüssel angelegt werden.

shadowcrypt-key

  1. Adresse der Seite hinterlegen
  2. Schlüsselname vergeben
  3. Individuelle Farbe angeben
  4. Ein Beschreibung hinterlegen, damit man weiß welcher Schlüssel für wen gedacht ist
  5. Ein Passphrase hinterlegen
  6. Den fertigen String an diejenigen verteilen, die Nachrichten lesen dürfen

Der Gegenüber muss in diesem Fall ebenfalls die Erweiterung installieren und diesen Key importieren, damit Nachrichten entschlüsselt werden können.

ShadowCrypt

Einbindung in Webseiten

Die Einbindung in Webseiten erfolgt automatisch, wenn die Erweiterung aktiv ist. Zu erkennen ist das an einem geschlossenen Schloss.

Dieses funktioniert leider noch nicht so flüssig wie erhofft. So wird beispielsweise bei Facebook der Bestätigungsbutton für einen Beitrag nicht immer eingeblendet. Bei Reddit gab es wiederum keine Probleme.

In dieser frühen Phase des Tools ist dies jedoch verkraftbar.

shadowcrypt-fb-post

Sollten in der Konfiguration mehrere Schlüssel für die gleiche Seite hinterlegt worden sein, beispielsweise für Freunde und Arbeitskollegen, so können diese im Optimalfall vor einem Post ausgewählt werden.

shadowcrypt-keys

Wenn Alles richtig eingestellt wurde, sollte eine verschlüsselte Nachricht für die Öffentlichkeit wie folgt aussehen.

shadowcrypt-fb

Für die auserwählten User mit einem Schlüssel, bzw. alle anderen Shadowcryptnutzer, wenn die vorinstallierten Schlüssel verwendet werden, wird der dahinter liegende Text automatisch entschlüsselt und angezeigt.

shadowcrypt-fb-2

Fazit

Sicherlich ist diese neue Methode eine praktische Alternative für PGP, dadurch dass nicht nur Gmail und Co sondern auch soziale Netzwerke unterstützt werden, bietet sich ShadowCrypt gerade zu an. In dieser frühen Phase der Entwicklung gibt es aber sicherlich noch einige Hürden zu nehmen, um diese Verschlüsselung mit Hilfe einer Erweiterung dem normalen Nutzer näher zu bringen.

Es fehlt eine flüssige Einbindung in bekannte Seiten und eine ausführliche Erklärung in der Konfiguration, welcher Wert welchen Zweck erfüllt. Sind diese Hürden genommen, hat ShadowCrypt einiges Potential, um sichere Kommunikation im Alltag zu gewährleisten.

Als Verschlüsselungsverfahren wird übrigens AES-CCM eingesetzt. Weitere technische Details lassen sich dem Whitepaper entnehmen. 

Gpg4win 2.2.2 - Verschlüsselte Mails via Outlook 2013 versenden? Funktioniert aber nur mit dem Outlook Privacy Plugin

Vor ca. einem Jahr hatte ich Gpg4win hier im Blog schon einmal erwähnt (siehe Artikel). Damals gab es noch Probleme mit der Outlook Einbindung. Heute wurde das PGP Tool in Version 2.2.2 veröffentlicht.

Inzwischen soll die Unterstützung für Windows 32bit (Outlook 2003, 2007, 2010, 2013) gegeben sein, alle Programmmodule wurden aktualisiert und verbessert.

Gpg4win

Leider kann ich dies auf die Schnelle nicht bestätigen, zumindest bei Outlook 2010 und 2013 (64bit) finde ich kein Add-on. Auch eine manuelle Installation will nicht funktionieren. Somit ist das Tool, trotz neuer Version für mich unbrauchbar zumindest die Einbindung in Outlook 64bit. Darum verweise ich alle Outlook 64bit Anwender, die aus dem Programm verschlüsseln möchten, weiterhin auf das Open Source Programm Outlook Privacy Plugin

Dieses Tool hatte ich ebenfalls schon einmal vorgestellt (siehe Artikel). Praktischerweise funktioniert dieses Plugin mit gängigen Outlook Versionen auf 32bit und 64bit Systemen ohne Probleme.

Gpg4win muss dennoch installiert werden, es handelt sich bei besagtem Tool nur um das benötigte Outlook Add-in.

Emails in Outlook 2010/2013 mit PGP verschlüsseln 

Für eine funktionierende Installation muss wie folgt vorgegangen werden:

  1. Outlook schließen
  2. Gpg4win installieren
  3. NET Framework 4.5 installieren
  4. Outlook Privacy Plugin installieren
  5. Emails und Anhänge können nun via Oberfläche verschlüsselt werden.

Leider fehlt dem Tool noch die Unterstützung von HTML Mails, sowie die PGP-MIME. Momentan ist das Verschlüsselungs Plugin noch in einer Beta Phase, scheint aber dennoch besser zu funktionieren, als das finale GpGOL Add-in von Gpg4win.

Download Gpg4win

Download NET. Framework 4.5

Download Outlook Privacy Plugin

Anonymisierungs Distribution Tails 1.1 erschienen

Quizfrage: Herr Snowden benutzt es, Herr Appelbaum genauso, die NSA trackt diejenigen, die sich dafür interessieren, also Obacht wenn ihr das hier lest;). Was könnte das wohl sein?

Genau die Rede ist von Tails (siehe Artikel), welches nun in Version 1.1 erschienen ist. Die neue Version des Anonymisierungs-Systems basiert auf Debian 7 und unterstützt nun ähnlich wie andere Distributionen UEFI.

Natürlich wurden die üblichen Lücken geschlossen und Updates eingespielt.

tails

Der Tarnmodus (Camouflage Mode) gaukelt dem Anwender nun nicht mehr ein Windows XP Oberfläche vor, sondern ein aktuelles Windows 8 Design.

Außerdem hat Gnome 3 im Fallback Modus Einzug gehalten. Im Office Bereich wurde von Open- auf Libre Office gewechselt. 

Download Tails 1.1

Anonym ins Netz - Tails 1.0 veröffentlicht

Seit nunmehr 5 Jahren wird an Tails gearbeitet, jedoch dürften die wenigsten vor Edward Snowden etwas von dieser Linux Live Distribution gehört haben. Dieser nutze das Anonymisierungssystem um den Blicken der NSA zu entgehen. Dadurch hat Tails (The Amnesic Incognito Live System) einiges an Aufmerksamkeit erlangt. Das jetzige Erreichen der Version 1.0 wird diesen Erfolg nicht schmälern.

Vorzugsweise wird das auf Debian basierende System via USB Stick oder CD gestartet. Beim Surfen im Netz setzt es auf das Tor Netzwerk. Dieses wird automatisch gestartet, es ist keine zusätzliche Konfiguration nötig.

Für den Mailverkehr ist PGP mit an Bord, sowie OTR fürs Messaging. Dazu kommen die üblichen Privacy Tools wie beispielsweise Truecrypt, PWGen oder KeePassX.

tails

Lokal werden keine Daten abgespeichert, das Debian Basissystem ist von Haus aus gehärtet.

Für Fans von Sicherheit und Privatsphäre ist dieses Linux sicherlich eine gute Wahl.

Download Tails 1.0

PS: Nicht vergessen den Download zu verifizieren.