2011-01-03 // GnuPG on Android with APG and K-9 Mail
I'm using a separate1) email address for my Android 2.2 based mobile phone. This makes it possible for close friends and my family to write me when I'm on the road. For free and without the need for crappy SMS phone GUIs. Additionally, it is very handy to mail yourself a grocery list or a quick note before leaving the house. 
However: All unencrypted2) mails for your phone are clear for the telco provider and others to see. But there are comfortable applications to change this.
Quick and superficial guide about the needed actions:
- Install the needed applications on your phone (click on the app names for QR Codes containing an Android Market search query):
- Astro File Manager (optional but recommended)
- Generate a new key pair for your phone. IMHO, it is a bad idea to place your main private key on an unencrypted mobile device. The risk of theft/loosing it is too high. I created the new key pair on my PC (even it would be possible on Android) because I prefer some kind of key hierarchy
and a keyboard makes the creation more comfortable. Additionally, it is not a bad idea to have a backup copy of the new key on your PC. - Export you new key pair into
.ascfiles:gpg -ao ~/privkey.asc --export-secret-key KEY-ID gpg -ao ~/pubkey.asc --export KEY-ID
If you don't like the terminal, use Enigmail or another GPG GUI for the export. It is also a good idea to export the public keys of the persons you want to write encrypted mails from your phone. Even APG provides the possibility to use keyservers, it makes no fun to search and import dozens of keys using that way.
- Copy the
.ascfiles on your phone (e.g. via USB), the location does not matter (you can delete these files after the import was done). - On your phone:
- Open APG→click Menu button→“Manage Public Keys”. The screen changes→click Menu button→“Import Key”. The program is asking where the
.ascfile containing your public key to import is located. Click on the file browser icon and run the action with “ASTRO”. Browse to the file and click on it. Check “Delete After Import” and click OK. - Open APG→click Menu button→“Manage Private Keys”. The screen changes→click Menu button→“Import Key”. The program is asking where the
.ascfile to containing your private key to import is located. Click on the file browser icon and run the action with “ASTRO”. Browse to the file and click on it. Check “Delete After Import” and click OK. - Open K-9-Mail→click Menu button→“More”→“Accounts”. The sceen changes→Click and hold on your account→“Advanced”→Cryptography→Select “APG” as the OpenPGP Provider. And check “Auto-sign” if it makes sense for you.
That's all. But you should know that K-9 Mail brings no support for PGP/MIME right now. This means you have to tell your friends to write Inline-PGP encoded mails, not PGP/MIME mails. But this should be default in most environments. If not: Enigmail provides a non-global select box for this setting at the “Per-Recipient Rules” menu.
but nearly everybody who writes mails to me is using GnuPG. Even my Mom. No excuses for not using it!2010-04-13 // GnuPG-Schlüsselhierarchie: passender Algorithmus für jede Aufgabe, Schlüsselaustausch ohne Verlust des Web of Trust
Vor ein paar Wochen habe ich mir einen neuen Key für GnuPG/PGP (im Folgenden einfach “GPG” genannt) zugelegt, weil mein bisheriger abgelaufen ist. Das habe ich zum Anlass genommen meine Vorgehensweise beim Erstellen eines GPG-Schlüssels zu überarbeiten. Die Erkenntnisse will ich hier festhalten, vielleicht bringt es ja jemandem etwas . Ziel war:
- Fein granulare Schlüsselhierarchie: Eine GPG-Aufgabe → Ein Schlüssel.
- Die verschiedenen Schlüssel sollen den jeweils passendsten Algorithmus für die Aufgabe verwenden und bei Bedarf nach relativ kurzer Zeitspanne verfallen dürfen.
Der Austausch eines Schlüssels soll NICHT zur Folge haben, dass das eigene Web-of-Trust verloren geht.
Dabei ist der letzte Punkt IMHO der Wichtigste. Er erspart einem, dass man wieder mühsam Signaturen für die neue Schlüssel einsammeln muss (den neuen Key vor Ablauf des alten Key mit selbigen zu signieren ist IMHO nur eine Notlösung, aber besser als nichts). Die Vorteile liegen auf der Hand:
- Geeignetere Algorithmen und Schlüsselstärken für die jeweilige Aufgabe
Beispiel: RSA erzeugt irrsinnig lange Signaturen, ist aber gut für Verschlüsselung geeignet. Wenn man dennoch zur Verschlüsselung auf RSA setzen will, kann man seinen Signierschlüssel über DSA realisieren. Zudem kann man die nötige Schlüssellänge (Bit) besser zwischen Aufgabe und Performance abwägen. - Mehr Sicherheit
Selbst wenn mal ein Schlüssel mit brachialer Großrechnerpower über Jahre geknackt werden könnte, so hat der Angreifer bei regelmäßig wechselnden Schlüsseln dann immer nur einen Teil der Daten und muss für weiteren Zugang zu älteren/neueren Daten erneut genausoviel Aufwand in Kauf nehmen. Dies gilt natürlich auch, wenn ein Schlüssel anderweitig kompromittiert wird (was wahrscheinlicher ist als Brute-Force). Es ist ein deutlicher Unterschied, ob jemand ein einziges Jahr oder z.B. fünfzehn Jahre Kommunikation nachvollziehen kann. Oder ob nur ein Webserver-Login ermöglicht wird oder gleich alle jemals verschickten Daten entschlüsselt werden können.
2010-02-01 // New GnuPG public key
- Key-ID:
0x423B2839 - Key-Fingerprint:
4E2C 79E1 C986 36B4 CE7B 193D ECC4 69C3 423B 2839
I will write a posting about this key during the next weeks or so (Update: There it is). It comes with a nice hierarchy, making subkey changes possible without loosing the WebOfTrust plus usage of the best fitting algorithm for the different tasks.
2009-07-01 // Thunderbird v2 in Verbindung mit IMAP: Migrations-Tipps und -Stolpersteine
Bisher habe ich meinen E-Mail-Verkehr komplett über den Laptop abgehandelt. Den konnte ich problemlos zu verschiedenen Arbeitsplätzen mitnehmen. Gemacht habe ich das, um nicht irgendwelche Thunderbird-Profile wg. POP3 frickelig synchronisieren zu müssen um immer alle Daten parat zu haben. IMAP habe ich bisher, trotz der vielen Vorteile (inkl. der Lösung des Synchronisationsproblems), gemieden. Mir behagte nicht, dass mein Mail-Archiv unverschlüsselt auf einem Internet-Server existiert.
Mittlerweile tingle ich aber regelmäßig zwischen mehreren Arbeitsplätzen an denen feste Desktops stehen… und den Laptop nur wg. Mail mitzuschleppen nervt. Zudem schlägt hier praktisch sämtliche archivierungswürdige Korrespondenz GnuPG verschlüsselt auf (das war n' Stück Erziehungsarbeit ). Also war es Zeit umzustellen und meinen Thunderbird etwas zu auf die Sprünge zu helfen.
Wer Ähnliches vor hat, findet die folgenden Infos ggf. interessant. Ich gehe aber nicht darauf ein, was IMAP leistet, warum man es haben will und wie man feststellt, ob der eigene Mail-Server IMAP unterstützt. Wikipedia und Google sind da ziemlich ergiebig.
