Der Bayern-Trojaner oder Die sichere Übertragung der Daten des Überwachten

Der CCC kritisiert die stümperhafte Methode der Verschlüsselung des Trojaners. Aber wie könnte man es besser machen.

Der Trojaner und C+C Server gesichert kommunizieren, müssen alle Nachrichten verschlüsselt und signiert werden. Dazu bietet sich ein asymmetrisches Verfahren (Public Key) höchsten ein Verfahren an. Ein symmetrisches Verfahren, wie beim Bayern-Trojaner ist ungeeignet, da es einen gemeinsamen Schlüssel für die Ver- und Entschlüsselung verwenden.

Grundprinzip

Ein Public Key Schlüsselpaar besteht aus offenen und geheimen Teilen. Zwei Kommunikationspartner benötigen zwei Schlüsselpaare.

„Der Bayern-Trojaner oder Die sichere Übertragung der Daten des Überwachten“ weiterlesen

E-Mail Verschlüsselung unter Lotus Notes – Fortsetzung

Ein wenig probieren, auch mit anderen Adressaten, und die Tatsache, dass einige Mails richtig ankamen, brachte mich die letzten Tage einer Lösung der Frage näher, warum in kmail nicht alle s/mime verschlüsselten Mails automatische entschlüsselt werden (siehe hier).

Auf einigen Wegen kamen die Mails richtig an, auf anderen falsch. Im Thunderbird wurden sie immer entschlüsselt. Dies veranlasste mich im RfC 2633 nachzulesen. In Kapitel 3.8 ist beschrieben, wie ein Client einen s/mime Anhang erkennen soll. Siehe da, kmail müsste den Anhang auch anhand des Dateinamens und der Endung p7m, p7s oder p7c erkennen. Der RfC berücksichtigt bereits, dass es Gateways gibt, die mit s/mime nichts anfangen können und aus pkcs7-mime einfach octet-stream machen. Vermutlich ist der Lotus Notes Client nicht der Verursacher, denn er würde es jedes Mal falsch machen, sondern ein nicht richtig konfiguriertes Gateway, das auf dem Weg der Mail durch den Dschungel des Netzes steht.

Eine Prüfung meiner /etc/mime.types ergab: Hier fehlte für application/pkcs7-mime der Eintrag einer Dateinamenserweiterungen. Zufügen half nicht (ich hatte keine Lust auf einen Neustart, der Linuy-untypisch wäre.) Eine Kontrolle der Dateizuordnungen im konqueror zeigte: Auch hier war apllication/pkcs7-mime keine Erweiterung zugeordnet. Eine einfacher Eintrag half nur bedingt, weil jetzt kleopatra nicht damit umgehen konnte. Die Dame hielt die Datei für ein Zertifikat. Nun, dem konnte ich mit dem parameter –decrypt-verify statt –import abhelfen. Nur leider wird damit die Datei in kmail nicht in-line dargestellt, sondern nur entschlüsselt auf der Platte abgelegt. Da blieb mir nur, einen Bug Report (282882) bei Kde zu erzeugen.

So kann man auch den Abend verbringen.

Ein wunderbares Beispiel für das verzwickte Zusammenspiel von Rechnern und Protokollen.

Gute Nacht.

PS: Thunderbird macht es richtig. Evolution muss ich nochmal ausprobieren.

Update: Ich sollte nicht so müde und spät Artikel schreiben. Hoffe, nach dem Korrekturlesen sind jetzt weniger Fehler drin und die Sätze flüssiger.

E-Mail Verschlüsselung unter Lotus Notes

Neben der in Lotus Notes eigenen Verschlüsselung der Dokumente / Mails kann man auch die S/MIME Verschlüsselung mit dem cryptovision Plugin cv act s/mail nutzen – wenn man die Software denn hat. Vorteil ist, dass nicht nur Lotus Notes Empfänger in den Genuss der Verschlüsselung kommen.

Nachdem sich Outlook oder K-Mail nutzende Empfänger meiner aus Lotus Notes 7.0.3 verschickten Mails beklagt haben, dass nur eine Datei smime.p7m als Anhang angezeigt wird, bin ich am Wochenende der Ursache auf den Grund gegangen. Schicke ich eine mit cv act s/mail S/MIME verschlüsselte Lotus Notes an eine Internet Adresse, dann wird die Mail unter K-Mail nicht als S/MIME verschlüsselt erkannt. Ein Vergleich mit einer erkannten Mail zeigte, dass dies Ursache ein falscher Content-Type ist. Irgendwo bei der SMTP Konvertierung setzt Lotus Notes (oder das cv act plugin) folgenden Content-Type:


Content-type: application/octet-stream;
  name="smime.p7m"

Richtig ist der folgende Eintrag:


Content-type: application/pkcs7-mime;
  smime-type=enveloped-data;
  name="smime.p7m"

Eine Korrektur des Content-Type bestätigt den Verdacht. Da es mühsam ist die Mails zu speichern, im Editor zu korrigieren und wieder in K-Mail zu importieren, habe ich einen kleinen Filter mit sed geschrieben, der die Korrektur auf Knopfdruck erledigt. Als Filterregeln bieten sich an:

  1. X-Mailer enthält: Lotus Notes Release 7.0.3 September 26, 2007
  2. Der Nachrichtenvorstand enthält: smime.p7m
  3. Der Nachrichtenvorstand enthält nicht: pkcs7-mime

Installation:

  1. Zip-Archiv herunter laden
  2. In ~/bin oder /usr/local/bin extrahieren
  3. Neuen Filter in K-Mail einrichten

Wer es nützlich findet, spendiere mir bei Gelegenheit einen Latte Macchiato.


Downloads:

  1. Patch-SMIME.zip