2011-06-18 // Full disk encryption with Ubuntu (9.04 Jaunty or newer), LVM and LUKS
This article provides a step-by-step guide on how to install an Ubuntu Linux system with full disk encryption (new installation). However, you should take a relaxed day as topical newbie for further reading. You don't have to keep everything in mind but it is never an error to acquaint oneself with something new.
2011-06-18 // Vollverschlüsseltes System mit Ubuntu (ab 9.04 Jaunty), LVM und LUKS
Dieser Artikel beschreibt, wie ein vollverschlüsseltes 
System mit Hilfe von Ubuntu-Linux eingerichtet wird (Neuinstallation). Der gesamte Artikel kann dabei Schritt für Schritt nachvollzogen werden um ans Ziel zu kommen. Dennoch sollte man sich als Neuling einen ruhigen Tag Zeit nehmen, um die Thematik zu erfassen. Man muss sich bei weitem nicht alles merken, sich aber einmal eingelesen zu haben schadet nie.
2011-01-03 // GnuPG on Android with APG and K-9 Mail
I'm using a separate1) email address for my Android 2.2 based mobile phone. This makes it possible for close friends and my family to write me when I'm on the road. For free and without the need for crappy SMS phone GUIs. Additionally, it is very handy to mail yourself a grocery list or a quick note before leaving the house. 
However: All unencrypted2) mails for your phone are clear for the telco provider and others to see. But there are comfortable applications to change this.
Quick and superficial guide about the needed actions:
- Install the needed applications on your phone (click on the app names for QR Codes containing an Android Market search query):
- Astro File Manager (optional but recommended)
- Generate a new key pair for your phone. IMHO, it is a bad idea to place your main private key on an unencrypted mobile device. The risk of theft/loosing it is too high. I created the new key pair on my PC (even it would be possible on Android) because I prefer some kind of key hierarchy
and a keyboard makes the creation more comfortable. Additionally, it is not a bad idea to have a backup copy of the new key on your PC. - Export you new key pair into
.ascfiles:gpg -ao ~/privkey.asc --export-secret-key KEY-ID gpg -ao ~/pubkey.asc --export KEY-ID
If you don't like the terminal, use Enigmail or another GPG GUI for the export. It is also a good idea to export the public keys of the persons you want to write encrypted mails from your phone. Even APG provides the possibility to use keyservers, it makes no fun to search and import dozens of keys using that way.
- Copy the
.ascfiles on your phone (e.g. via USB), the location does not matter (you can delete these files after the import was done). - On your phone:
- Open APG→click Menu button→“Manage Public Keys”. The screen changes→click Menu button→“Import Key”. The program is asking where the
.ascfile containing your public key to import is located. Click on the file browser icon and run the action with “ASTRO”. Browse to the file and click on it. Check “Delete After Import” and click OK. - Open APG→click Menu button→“Manage Private Keys”. The screen changes→click Menu button→“Import Key”. The program is asking where the
.ascfile to containing your private key to import is located. Click on the file browser icon and run the action with “ASTRO”. Browse to the file and click on it. Check “Delete After Import” and click OK. - Open K-9-Mail→click Menu button→“More”→“Accounts”. The sceen changes→Click and hold on your account→“Advanced”→Cryptography→Select “APG” as the OpenPGP Provider. And check “Auto-sign” if it makes sense for you.
That's all. But you should know that K-9 Mail brings no support for PGP/MIME right now. This means you have to tell your friends to write Inline-PGP encoded mails, not PGP/MIME mails. But this should be default in most environments. If not: Enigmail provides a non-global select box for this setting at the “Per-Recipient Rules” menu.
but nearly everybody who writes mails to me is using GnuPG. Even my Mom. No excuses for not using it!2010-12-11 // Protect your email address with reCAPTCHA
reCAPTCHA is a well known service and used by many websites. But a little know feature is their email address protection service. Just enter your mail address, click on “Protect It!” and everyone who wants to see your address has to solve a CAPTCHA before it will be shown. You will get a common link1) and HTML source code where only a part of your mail address is replaced:2)
Examples, created with the address foobar@example.com:
http://www.google.com/recaptcha/mailhide/d?k=01rhhtdpw4VPtj-ejfKMpwEw==&c=VGXKsGQ8aXgpBQISADqLu1SFbEYkjlSIeDbzeRHbKL4=
Simply copy & paste the URL or use something like ”Click to see my address” when you are able to create links with custom text.
foo<a href="http://www.google.com/recaptcha/mailhide/d?k=01rhhtdpw4VPtj-ejfKMpwEw==&c=VGXKsGQ8aXgpBQISADqLu1SFbEYkjlSIeDbzeRHbKL4=" onclick="window.open('http://www.google.com/recaptcha/mailhide/d?k\07501rhhtdpw4VPtj-ejfKMpwEw\75\75\46c\75VGXKsGQ8aXgpBQISADqLu1SFbEYkjlSIeDbzeRHbKL4\075', '', 'toolbar=0,scrollbars=0,location=0,statusbar=0,menubar=0,resizable=0,width=500,height=300'); return false;" title="Reveal this e-mail address">...</a>@example.com
This will produce something like “foo...@example.com”.
Actually an old hat, but I just saw tons of plain email addresses in a forum. The smarter ones replaced @/. with [a]/[dot]. While this is better then nothing, most bots should be intelligent enough to parse such replacements. reCAPTCHA FTW.
2010-08-18 // Full disk encryption with Ubuntu (9.04 Jaunty or newer), LVM and LUKS
I wrote a detailed guide on how to install an encrypted Ubuntu Linux:
The setup is using LUKS and Logical Volume Manager (LVM) to get a secure and flexible system. And to make nearly everybody succeed, there is even a crypt-setup bash script, making the installation faster and easier.
Have fun. 
2010-08-18 // Ebfe's Anti-B00TKIT Project
The ”Ebfe's Anti-B00TKIT Project” is a simple but effective protection against Bootkits, suitable for daily usage. It makes it possible to know if your bootloader was manipulated before booting from disk. A really interesting tool for high-security environments and paranoid persons. 
Bootkits1) are used to attack a full disk encryption2) (amongst other things). All “common” data is encrypted on such systems except a small, “special” part: the bootloader. Expressed in simplified terms, the bootloader is needed to store a program which prompts the user for the password to decipher the data and start the encrypted operating system. Bootkits are trying to manipulate the bootloader, making it possible to log the password the user enters and store it within the unencrypted part of the disk afterwards. The user does not see this, he simply gets the normal encryption password promt to start the system. This enables the attacker to come back later to read out the plain, unencrypted password the bootkit stored for him.
Ebfe's Anti-B00TKIT provides a CD to boot from before booting from disk. The program on CD reads out the Master Boot Record entries and displays their checksums (this does only need a few seconds). If all checksums are OK, you can going on to boot from disk by pressing a key. If the checksums are not the same as every day, your harddisk's bootloader was manipulated. To make this check more comfortable, you can create a custom CD containing your original MBR checksums. The CD is able to highlight non-matching checksums automatically then.
Visit the project website for screenshots, how-to and download.
2010-05-24 // Udo Vetter: Sie haben das Recht zu schweigen
RA Udo Vetters Vortrag, gehalten auf dem 23C3:1)
"Durchsuchung, Beschlagnahme, Vernehmung - Strategien für den Umgang mit Polizei und Staatsanwalt"
[…] Wer online lebt und arbeitet, tut dies unter den Augen der Strafverfolger. Der Vortrag schildert, wie Durchsuchungen, Vernehmungen und Ermittlungsverfahren ablaufen. Er erklärt, wie man sich gegenüber Polizei und Staatsanwaltschaft richtig verhält. […]
Die Folien (PPT) sind ebenfalls online verfügbar, die Video-Datei2) kann auf der verlinkten Vortragsseite direkt heruntergeladen werden.3)
2010-05-19 // Links: IT security and privacy
- Mit Keykeriki v2 drahtlose Tastaturen abhören
Open-Source-Gerät Keykeriki fängt Signale drahtloser Geräte ab - Speichert Facebook gelöschte Daten und Nutzerverhalten?
Zitat: “Wir behalten alle Daten. Auch dann, wenn der Nutzer sie gelöscht hat.” - HTTPS-DNS
Interesting project: DNS traffic will be tunneled through a HTTPS-keyed connection to uncensored DNS-Servers. - Please don't port philosophy with code!
Quote: “One of my pet peeves is Linux installers for proprietary software requiring root permissions.” - Wepawet
Wepawet is a service for detecting and analyzing web-based malware. It currently handles Flash, JavaScript, and PDF files.
2010-04-13 // GnuPG-Schlüsselhierarchie: passender Algorithmus für jede Aufgabe, Schlüsselaustausch ohne Verlust des Web of Trust
Vor ein paar Wochen habe ich mir einen neuen Key für GnuPG/PGP (im Folgenden einfach “GPG” genannt) zugelegt, weil mein bisheriger abgelaufen ist. Das habe ich zum Anlass genommen meine Vorgehensweise beim Erstellen eines GPG-Schlüssels zu überarbeiten. Die Erkenntnisse will ich hier festhalten, vielleicht bringt es ja jemandem etwas . Ziel war:
- Fein granulare Schlüsselhierarchie: Eine GPG-Aufgabe → Ein Schlüssel.
- Die verschiedenen Schlüssel sollen den jeweils passendsten Algorithmus für die Aufgabe verwenden und bei Bedarf nach relativ kurzer Zeitspanne verfallen dürfen.
Der Austausch eines Schlüssels soll NICHT zur Folge haben, dass das eigene Web-of-Trust verloren geht.
Dabei ist der letzte Punkt IMHO der Wichtigste. Er erspart einem, dass man wieder mühsam Signaturen für die neue Schlüssel einsammeln muss (den neuen Key vor Ablauf des alten Key mit selbigen zu signieren ist IMHO nur eine Notlösung, aber besser als nichts). Die Vorteile liegen auf der Hand:
- Geeignetere Algorithmen und Schlüsselstärken für die jeweilige Aufgabe
Beispiel: RSA erzeugt irrsinnig lange Signaturen, ist aber gut für Verschlüsselung geeignet. Wenn man dennoch zur Verschlüsselung auf RSA setzen will, kann man seinen Signierschlüssel über DSA realisieren. Zudem kann man die nötige Schlüssellänge (Bit) besser zwischen Aufgabe und Performance abwägen. - Mehr Sicherheit
Selbst wenn mal ein Schlüssel mit brachialer Großrechnerpower über Jahre geknackt werden könnte, so hat der Angreifer bei regelmäßig wechselnden Schlüsseln dann immer nur einen Teil der Daten und muss für weiteren Zugang zu älteren/neueren Daten erneut genausoviel Aufwand in Kauf nehmen. Dies gilt natürlich auch, wenn ein Schlüssel anderweitig kompromittiert wird (was wahrscheinlicher ist als Brute-Force). Es ist ein deutlicher Unterschied, ob jemand ein einziges Jahr oder z.B. fünfzehn Jahre Kommunikation nachvollziehen kann. Oder ob nur ein Webserver-Login ermöglicht wird oder gleich alle jemals verschickten Daten entschlüsselt werden können.
2010-02-01 // New GnuPG public key
- Key-ID:
0x423B2839 - Key-Fingerprint:
4E2C 79E1 C986 36B4 CE7B 193D ECC4 69C3 423B 2839
I will write a posting about this key during the next weeks or so (Update: There it is). It comes with a nice hierarchy, making subkey changes possible without loosing the WebOfTrust plus usage of the best fitting algorithm for the different tasks.
2007-12-21 // Microsoft und gar nicht so zufällige Zahlen
Bruce Schneier hat einen neuen US-Standard zur Erzeugung von Zufallszahlen und den darin enthaltenen Generator Dual_EC_DRBG schon etwas länger im Visier, da er darin eine Backdoor für die NSA vermutet, die über die ggf. gar nicht so zufälligen Zahlen kryptographische Schlüssel angreifen könnte.
Nun ist Bruce Schneier ein bedeutender Krypto-Experte – um so unverständlicher (außer es ist etwas dran, an Schneiers Vermutung ) ist es, dass Microsoft Dual_EC_DRBG ohne Veränderung im SP1 für Vista eingebaut hat und damit bald an seine Kunden ausliefert. Schneier rät daher allen Programmieren einschlägiger Software ab, Dual_EC_DRBG in den eigenen Programmen zu nutzen. Ein Rat, den man befolgen sollte.
2007-11-30 // ZEIT online, Prof. Dieter Grimm: "Aus der Balance"
Deswegen darf man auch nicht der Beschwichtigung trauen, wer sich nichts vorzuwerfen habe, habe auch nichts zu befürchten. Jeder muss befürchten, dass seine Kommunikation überwacht wird. Niemand kann sicher sein, dass ihm daraus keine unangenehmen Folgen erwachsen.
Das sagt nicht irgendwer, sondern Prof. Dieter Grimm, Richter am Bunderverfassungsgericht a.D. in einem sehr lesenswerten Artikel mit dem Titel ”Aus der Balance”. Herr Prof. Grimm betrachtet die Probleme und den Nutzen von verschärften Sicherheitsgesetzen trotz der Kürze des Textes IMHO ziemlich ausgewogen. Lesebefehl!
2007-09-12 // Terahertz-Kameras
Heute las ich im heise-Forum eine Witzelei über “Röntgenkameras”. Das hat mir wieder in den Sinn gerufen, dass fast niemand um Terahertz-Strahlungsquellen weiß, die im Grunde genau dieses “röntgen” (im Sinne von “durchleuchten”) leisten, ohne Menschen dabei krebserregender Röntgenstrahlung auszusetzen.
In der Medizin hat diese Technik sicherlich großes, nützliches Potential, im Überwachungssektor macht mir so etwas hingegen Angst, wird einem doch die letzte Privatheit geraubt (z.B. zeichnen sich die Genitalien deutlich ab). Daher sollte die Technik zwar nicht verteufelt, aber politisch genau beobachtet werden. In Großbritannien wollte man diese “Röntgenkameras” bereits zur öffentlichen Überwachung einsetzten, bei uns wurde die Verwendung an Flughäfen diskutiert.1) Schon erstaunlich, wie bitter ernst so mancher Witz wird…
Noch ein kleiner, grober Hinweis zum Unterschied der Strahlung Röntgen liegen in etwa zwischen 2,5×1017Hz bis 6×1019 und sind ionisierend, daher krebserregend. Als Terahertzstrahlung versteht man normalerweise Strahlungsfrequenzen zwischen 3×109Hz bis 1013 Hz. Sie wirkt aufgrund der geringen Photonenenergie nicht ionisierend, weswegen sie nicht als krebserregend gilt. Zwischen Terahertz und Röntgen liegt also noch Infrarot, das sichtbare Licht und Ultraviolett.
