Privacy-Handbuch: E-Mail jenseits der Überwachung

Dieser Abschnitt ist noch im Entstehen und noch nicht offizieller Bestandteil des Buchs. Gib den Autoren Zeit, den Inhalt anzupassen!

Auch bei der Nutzung von GnuPG oder S/MIME für die Verschlüsselung von E-Mails ist es mitlesenden Dritten möglich, Absender und Empfänger zu protokollieren und anhand der erfassten Daten Kommunikationsprofile zu erstellen. Insbesondere die Vorratsdatenspeicherung und die darauf aufbauenden internationalen ETSI-Standards für Geheimdienste und Strafverfolger zeigen, dass diese nicht verschlüsselbaren Informationen für die Überwachung bedeutsam sind.

Es gibt mehrere Projekte, die einen überwachungsfreien Austausch von Nachrichten ermöglichen und somit beispielsweise für investigative Journalisten und deren Informanten den nötigen Schutz bieten und die Erstellung von Kommunikationsprofilen für E-Mails behindern. Eine universelle Lösung auf Knopfdruck gibt es nicht. Jeder muss selbst die verschiedenen Möglichkeiten vergleichen und die passende Lösung auswählen.

Anonyme E-Mail Accounts Bearbeiten

Im Kapitel Anonymisierungsdienste gibt es Anleitungen, wie man mit JonDo & Thunderbird oder mit Tor & Thunderbird einen anonymen E-Mail Account nutzen könnte. Als E-Mail Provider kann man einen zuverlässigen Anbieter im Web nehmen. Außerdem bieten I2P und Tor spezielle Lösungen:

  • Das Invisible Internet Project (I2P) bietet mit Susimail einen anonymen Mailservice inclusive SMTP- und POP3-Zugang und Gateway ins Web oder mit I2P Bote einen serverlosen, verschlüsselten Maildienst.
  • TorMail gibt es als Hidden Service unter http://jhiwjjlqpyawmpjx.onion mit POP3 und SMTP Service und ist auch aus dem Web unter xxx@tormail.net erreichbar.
  • Tor Privat Messaging unter http://4eiruntyxxbgfv7o.onion/pm/ ist ein Tor Hidden Service im Onionland, um Textnachrichten unbeobachtet auszutauschen. Der Dienst kann nur im Webinterface genutzt werden.

Hinweis: Informationen über Langzeitkommunikation können ein Pseudonym deanonymisieren. Anhand der Freunde in der E-Mail Kommunikation sind Schlussfolgerungen auf ihre reale Identität möglich. Wenn sie einen wirklich anonymen E-Mail Account für eine bestimmte Aufgabe benötigen - z.B. für Whistleblowing - dann müssen sie einen neuen Account erstellen. Löschen sie den Account, sobald sie ihn nicht mehr brauchen.

Private Messages in Foren nutzen Bearbeiten

Viele Diskussionsforen im Internet bieten die Möglichkeit, private Nachrichten zwischen den Mitgliedern zu verschicken. Die Nachrichten werden in der Datenbank des Forums gespeichert und nicht per E-Mail durch das Netz geschickt.


Eine böse Gruppe ganz gemeiner Terroristen könnte sich also in einem Forum anmelden, dessen Diskussionen sie überhaupt nicht interessieren. Dort tauschen sie die Nachrichten per PM (Private Message) aus und keiner bemerkt die Kommunikation. Es ist vorteilhaft, wenn das Forum komplett via HTTPS nutzbar ist und nicht beim Login HTTPS anbietet.


Die Nachrichten kann man mit OpenPGP verschlüsseln, damit der Admin des Forums nichts mitlesen kann. Die Verwendung von Anonymisierungsdiensten sichert die Anonymität.

alt.anonymous.messages Bearbeiten

Um die Zuordnung von Absender und Empfänger zu erschweren, kann man das Usenet nutzen. In der Newsgruppe alt.anonymous.messages werden ständig viele Nachrichten gepostet und sie hat tausende Leser. Jeder Leser erkennt die für ihn bestimmten Nachrichten selbst. Es ist eine Art schwarzes Brett.


Es ist sinnvoll, die geposteten Nachrichten zu verschlüsseln. Dafür sollte der Empfänger einen OpenPGP-Key bereitstellen, der keine Informationen über seine Identität bietet. Normalerweise enthält ein OpnePGP-Schlüssel die E-Mail Adresse des Inhabers. Verwendet man einen solchen Schlüssel ist der Empfänger natürlich deanomynisiert.


Außerdem sollte man seine Antworten nicht direkt als Antwort auf ein Posting veröffentlichen. Da der Absender in der Regel bekannt ist (falls keine Remailer genutzt wurden) kann aus den Absendern eines zusammengehörenden Thread ein Zusammenhang der Kommunikationspartner ermittelt werden.

Mixmaster Remailer Bearbeiten

Der Versand einer E-Mail über Remailer-Kaskaden ist mit der Versendung eines Briefes vergleichbar, der in mehreren Umschlägen steckt. Jeder Empfänger innerhalb der Kaskade öffnet einen Umschlag und sendet den darin enthaltenen Brief ohne Hinweise auf den vorherigen Absender weiter. Der letzte Remailer der Kaskade liefert den Brief an den Empfänger aus.


[htb]

[[Image:../grafiken/remailer_mm.png|image]] [abb:remailer]

Technisch realisiert wird dieses Prinzip mittels asymmetrischer Verschlüsselung. Der Absender wählt aus der Liste der verfügbaren weltweit verteilten Remailer verschiedene Server aus, verschlüsselt die E-Mail mehrfach mit den öffentlichen Schlüsseln der Remailer in der Reihenfolge ihres Durchlaufes und sendet das Ergebnis an den ersten Rechner der Kaskade. Dieser entschlüsselt mit seinem geheimen Schlüssel den ersten Umschlag, entnimmt dem Ergebnis die Adresse des folgenden Rechners und sendet die jetzt (n-1)-fach verschlüsselte E-Mail an diesen Rechner. Der letzte Rechner der Kaskade liefert die E-Mail an den Empfänger aus.


Mitlesende Dritte können lediglich protokollieren, dass der Empfänger eine E-Mail unbekannter Herkunft und evtl. unbekannten Inhaltes (verschlüsselt mit OpenPGP oder S/MIME) erhalten hat. Es ist ebenfalls möglich, Beiträge für News-Groups anonym zu posten.


Um die Traffic-Analyse zu erschweren, wird die Weiterleitung jeder E-Mail innerhalb der Kaskade verzögert. Es kann somit 2…12h dauern, ehe die Mail dem Empfänger zugestellt wird! Sollte der letzte Remailer der Kette die Nachricht nicht zustellen können (z.B. aufgrund eines Schreibfehlers in der Adresse), erhält der Absender keine Fehlermeldung. Der Absender ist ja nicht bekannt.


Wichtig: Bei großen E-Mail Providern werden die anonymen E-Mails aus dem Mixmaster Netzwerk häufig als Spam einsortiert. Es ist somit nicht sichergestellt, dass der Empfänger die Mail wirklich zur Kenntnis nimmt! Oft beschweren sich Nutzer bei mir, das ihre Testmails an den eigenen Account nicht ankommen, weil sie auch nicht in den Spam-Ordner schauen.

Wichtig: Da die E-Mail keine Angaben über den Absender enthält, funktioniert der Antworten-Button der Clients auf der Empfängerseite nicht! Die Antwort-Mail geht dann an den letzten Remailer der Kette, der sie in die Tonne wirft. Der Text der E-Mail sollte einen entsprechenden Hinweis enthalten!


Remailer-Webinterface nutzen Bearbeiten

Die einfachste Möglichkeit, eine anonyme E-Mail zu schreiben, besteht darin, ein Webinterface zu nutzen. Es gibt verschiedene Angebote im Internet:

Verglichen mit der lokalen Installation eines Remailer Clients ist dies die zweitbeste Möglichkeit, eine anonyme E-Mail zu versenden. Den Betreibern der Server liegen alle Daten im Klartext vor und sie könnten beliebig loggen. Die Installation von Quicksilver (für Windows) oder Mixmaster (für Linux) finden sie in der Online-Version des Privacy-Handbuch.

Fake Mailer Bearbeiten

Im Webinterface eines Fake-Mailers können sie eine beliebige Absenderadresse angeben. Um anonym zu bleiben, sollte man Fake Mailer nur mit Anonymysierungsdiensten nutzen. Es besteht kein Schutz gegen Aufdeckung des Absenders durch den Betreiber des Dienstes.

Im Gegensatz zu Remailern dauert es nicht mehrere Stunden, bis die Mail zugestellt wird. Es ist aber möglich, dass diese Mails in Spam-Filtern hängen bleiben, da viele Spam-Filter diese Absenderadresse und die IP-Adresse des sendenden Servers in ihre Bewertung einfließen lassen. Man sollte zusätzliche Spam-Merkmale im Text der Nachricht vermeiden.

PrivacyBox der GPF Bearbeiten

Die PrivacyBox [1] ermöglicht es, anonyme Nachrichten zu empfangen. Es können nur Nachrichten empfangen werden. Die Nachrichten müssen auf der Kontaktseite des Empfängers geschrieben werden. Die PrivacyBox nimmt keine E-Mails an und bietet auch keine Möglichkeit, E-Mails zu versenden. Es ist so etwas, wie ein Toter Briefkasten. Hinweise zur Nutzung:

  • Die PrivacyBox gehört zur Klasse der host-based crypto systems (wie Husmail oder CryptoCat Webinterface). Ich teile die die Ansicht von Patrick Ball [2] und Bruce Schneier[3], dass diese Systeme für politische Aktivisten ungeeignet sind. Insbesondere sollte man beachten, dass die PrivacyBox von einem deutschen Verein betrieben wird und bspw. linken Gruppen keinen Schutz gegen Ermittlungen nach §129a durch das BKA bieten kann.
  • Als Alternative zur E-Mail kann die PrivacyBox vor dem allgegenwärtigen Tracking kommerzieller Akteure schützen. Sind eure E-Mail Adressen schon bei Facebook, LinkedIn, Twitter, Path, Foursquare, Viper usw. gelandet, obwohl ihr diese Dienste nicht nutzt? Habt ihr schon einmal eine E-Mail an eine GMail Adresse versendet? Die Daten werden mit em Surfverhalten verknüpft und in die Personalisierung einbezogen, auch wenn man selbst keinen Account bei den Datensammlern hat. Das kann man vermeiden, indem man harmlose Dinge via PrivacyBox kommuniziert.

Ich habe die PrivacyBox lange Zeit uneingeschränkt empfohlen. Als Administrator und Haupt­entwickler konnte ich sicher sein, dass keine Daten gespeichert wurden und es keine Kooperation mit Geheimdiensten gab. Im Sommer 2011 hat der Vorstand der GPF gegen meinen Wunsch einen zweiten Administrator für die PrivacyBox bestätigt, der meiner Meinung nach im Verdacht steht, als informeller Mitarbeiter unter dem Decknamen Sysiphos für die "Dienste" zu arbeiten (neusprech: als Vertrauensperson).

Die folgenden Vorschläge zur Lösung wurden vom Vorstand der GPF abgelehnt:

  • ein unverdächtiges Mitglied der GPF als zweiten Admin eingesetzen
  • der komplette Vorstand und der neue Admin der PrivacyBox unterzeichnen eine eides­stattliche Erklärung zur Nicht-Kooperation mit Geheimdiensten

Ich habe daraufhin die Administration und Weiterentwicklung der PrivacyBox sowie meine Mitgliedschaft in der GPF niedergelegt. Aus heutiger Sicht ist das Projekt PrivacyBox ähnlich wie VPN-Dienste oder Hushmail einzustufen. Mehr war mit den bescheidenen Mitteln eines Vereins nicht realisierbar.

Quellen Bearbeiten

  1. https://privacybox.de
  2. [[1]]
  3. https://www.schneier.com/blog/archives/2012/08/cryptocat.html