it-swarm.com.de

Warum verwenden Sicherheitsexperten wie Snowden E-Mail-Dienste wie Lavabit und Hushmail anstelle von selbst gehosteten E-Mails?

Warum sollte sich jemand wie Edward Snowden auf Dienste von Drittanbietern wie Lavabit oder Hushmail verlassen, um seine E-Mails zu hosten?

Ich meine, es ist sehr einfach, einen selbst gehosteten E-Mail-Server einzurichten. Was du brauchst:

  • Rent VPS (noch besser: Home Server) & Domain (Kann bis zu 2 Tage dauern, wen interessiert das ..)
  • Firewall einrichten (20 min)
  • Sichere SSH (10 min)
  • Installieren und einrichten Sie Postfix & Dovecot (1 Stunde)
  • DKIM, SPF, DMARC, DNSSEC, DANE & Co, wenn Sie möchten. (1 Stunde - 2 Stunden)
  • Alles wieder sichern und testen (30 Minuten - 2 Stunden)

Ist ein solches Setup nicht "sicherer" als ein E-Mail-Dienst eines Drittanbieters?
Warum hosten so viele Sicherheitsexperten (d. H. Kryptologen usw.) keine eigenen E-Mails?

57

Rent VPS (noch besser: Home Server) & Domain (Kann bis zu 2 Tage dauern, wen interessiert das ..)

Wie viele ISPs gewähren Strafverfolgungsbehörden keinen Zugriff auf ihre Websites und auf die Systeme, die sie ihren Kunden zur Verfügung stellen?

Und mit einem Heimserver: Viele Websites verweigern explizit den Zugriff auf ihren Mailserver von einer "Heim" -IP-Adresse (dies sind bekannte Adressblöcke), um Spam zu bekämpfen. Und selbst wenn Sie das schaffen: Sind Sie den ganzen Tag zu Hause oder werden Sie sicher einen Einbruch feststellen? Bitte beachten Sie, dass Sie nicht gegen den durchschnittlichen Einbrecher antreten.

Alles wieder sichern und testen (30 Minuten - 2 Stunden)

Was Sie beschrieben haben, kann dazu beitragen, Ihre Privatsphäre vor Google usw. (zumindest den E-Mails) zu schützen. Gegen die NSA ist es wahrscheinlich nicht ausreichend. Wenn sie dich wirklich besitzen wollen, können sie clevere Phishing-Mails mit Malware senden, Malvertising verwenden, um dich anzugreifen, einfach in dein Haus einbrechen und vieles mehr.

Warum hosten so viele Sicherheitsexperten (d. H. Kryptologen usw.) keine eigenen E-Mails?

Sicherheit ist ein sehr weites Feld, und ich bin sicher, dass viele Kryptoexperten wahrscheinlich keine Ahnung haben, wie ein Mailserver eingerichtet und ordnungsgemäß gesichert werden soll. Auch viele Mail-Administratoren haben keine Ahnung von einer tieferen Kryptographie. Sie sind alle Experten auf ihrem Gebiet und können nicht alles wissen. Dies bedeutet, dass sie entweder lernen, Experten auf einem anderen Gebiet zu sein und weniger Zeit für ihr eigenes Gebiet haben, oder dass sie einen Weg finden müssen, solche Aufgaben an jemanden auszulagern, dem sie vertrauen.

DKIM, SPF, DMARC, DNSSEC, DANE & Co, wenn Sie möchten. (1 Stunde - 2 Stunden)

Das ist definitiv nicht einfach. Sie müssen zuerst jemanden finden, mit dem Sie DNSSec mit Ihrer eigenen Domain ausführen können. Die meisten ISPs oder sogar dedizierten DNS-Anbieter tun dies nicht. Und um DKIM, SPF oder DANE zu haben, müssen Sie entweder Ihren eigenen DNS-Server mit allen Problemen verwenden (benötigen primäre und sekundäre für die Verfügbarkeit usw.) oder erneut einen Anbieter finden, mit dem Sie alle diese Einträge einrichten können. Diese kurzen Zeiten, die Sie geben, sind definitiv nicht realistisch für jemanden, der dies zum ersten Mal tut.

73
Steffen Ullrich

Als jemand, der dies tatsächlich seit ein paar Jahren tut, kann ich Ihnen sagen, dass es bei weitem nicht so einfach ist, wie Sie es beschreiben, und nicht die gewünschten Sicherheitseigenschaften bietet.

Zusammenfassend:

Warum hosten so viele Sicherheitsexperten (d. H. Kryptologen usw.) keine eigenen E-Mails?

Da dies enorm viel Zeit und Fachwissen erfordert richtig, ist es im Allgemeinen nicht viel sicherer (es ist tatsächlich weniger unter bestimmten Umständen sicher) und es gibt bessere und einfachere Lösungen


Wie viel Zeit brauchst du?

Ihre anfänglichen Zeitschätzungen sind sehr optimistisch, selbst wenn Sie ein sachkundiger Systemadministrator mit viel Erfahrung in der Aufgabe sind.

Um Ihnen eine schnelle Vorstellung zu geben, ein populäres Buch , das eines der beliebtesten MTA abdeckt = s umfasst ungefähr 500 Seiten .

Das ist nur für den MTA. In der realen Welt benötigen Sie außerdem ein MDA mit POP/IMAP, Spamfilterung und wahrscheinlich einen Authentifizierungsserver.

Sie vernachlässigen auch die fortgesetzten Anstrengungen, die erforderlich sind, um zu behalten das System gesund zu halten und sicher :

  • Überwachung des Computer- und Dienstzustands (Gibt es Betriebssystemaktualisierungen? Wird der Dienst ausgeführt und reagiert er? Ist Ihnen der Speicherplatz ausgegangen?)

  • Überwachen von Protokollen, Diagnostizieren von Fehlern (Gibt es laufende DoS-Angriffe? Erzwingt jemand die SMTP-Authentifizierung brutal? Warum funktionieren Anmeldungen nicht?)

  • Sicherheitsbezogene Überwachung (Hat Sie tripwire aufgrund eines Betriebssystemupdates oder eines Eingriffs benachrichtigt? Gab es diese Woche Sicherheitshinweise zu Ihrem Betriebssystem? Was ist mit der gesamten anderen auf dem Computer ausgeführten Software?)

Sofern Sie nicht glücklich sind, dass Ihre Nachrichten gelegentlich stark verzögert werden (oder im schlimmsten Fall verloren gehen), sind noch viele andere Dinge erforderlich, um zuverlässig E-Mails bereitzustellen (Backup MX, Failover und Speicherredundanz in den Sinn kommen). Ein einzelner Heimserver wird wahrscheinlich nicht ausreichen, wenn Ihre Verbindung unterbrochen wird und Sie dringend auf eine E-Mail antworten müssen.


Wie sicher kann es im besten Fall sein?

Sie haben Ihr Thread-Modell nicht sehr klar angegeben, aber es scheint, dass Sie sich mit einem staatlich geförderten Schauspieler befassen, der daran interessiert ist, auf Ihre E-Mail zuzugreifen insbesondere. Das von Ihnen beschriebene Setup wird nicht das verhindern. Als Beispiel gibt es starke Beweise dafür, dass der Heartbleed-Fehler wurde vor seiner öffentlichen Entdeckung ausgiebig verwendet . Wenn Sie ein ausreichend interessantes Ziel wären, auf dem ein E-Mail-Server ausgeführt wird, wäre eine Kompromittierung überhaupt kein Problem gewesen. Ein ausreichend gut finanzierter Gegner kann jedes praktische Sicherheitssystem gefährden, das Sie entwickeln können.

Self-Hosting hat auch den schwerwiegenden Nachteil, dass viel mehr Informationen über Sie verfügbar gemacht werden , wenn Ihr System nur wenige Benutzer hat. Ihr ISP kann trivial erkennen, wann Sie eine E-Mail empfangen oder senden und mit welchen Anbietern Sie kommunizieren.

Das heißt natürlich nicht, dass das selbst gehostete Modell gegen andere Bedrohungsmodelle nutzlos ist. Es verhindert die Weitergabe Ihrer E-Mail an Ihren Dienstanbieter und hilft Ihnen, sicher zu bleiben, wenn eine massive Sicherheitsverletzung auftritt, da es sich um ein isoliertes System handelt. Es verhindert auch stillschweigenden Zwang (rechtmäßig oder nicht) des Anbieters. Einige dieser Probleme können teilweise durch die Verwendung eines kompetenten Anbieters in einem Land mit strengen Datenschutzgesetzen gemildert werden.


Gibt es bessere Alternativen?

Wenn Sie angesichts dieses Bedrohungsmodells Sicherheit benötigen, gibt es bessere und einfachere Lösungen, wie Snowden selbst gesagt hat:

Richtig implementierte starke Kryptosysteme sind eines der wenigen Dinge, auf die Sie sich verlassen können .

PGP ist konkurrenzlos gegen dieses spezielle Bedrohungsmodell , da Sie es nicht benötigen zu vertrauen any Server oder Anbieter überhaupt.

Im Vergleich zur Wartung eines E-Mail-Servers ist PGP recht einfach zu verwenden und zu verstehen.

49
goncalopp

Wenn Sie in Ihrem Szenario E-Mails senden, geben Sie die IP Ihres benutzerdefinierten privaten E-Mail-Servers bekannt. Jeder Empfänger und jeder Interessent weiß jetzt, dass Sie Ihren eigenen E-Mail-Server verwenden und wo er sich befindet.

Dies führt zu einer Eins-zu-Eins-Zuordnung dieses Servers und Ihrer Verbindung zu ihm. Wenn eine Regierungsbehörde Sie aufspüren möchte, müssen sie lediglich nach Datenverkehr zu Ihrem Server suchen und wissen, wo Sie sich befinden oder welche Dienste Sie verwenden, um Ihren Standort zu verbergen. Alternativ kann die Regierungsbehörde Ihr Server-Hosting-Unternehmen einfach bitten, Ihren Server auszusetzen und darauf zu warten, dass Sie den Support anrufen.

Ganz zu schweigen von den Verwaltungsproblemen. Ausfallzeiten, Spam, Verkehrsprobleme, Redundanz, Server-Patches und Protokollanalysen - all diese Dinge werden von einem Team von Fachleuten verwaltet, die sich rund um die Uhr um Ihre Sicherheit kümmern, wenn Sie einen E-Mail-Dienst nutzen.

18
schroeder

Es spricht jemand, der noch nie eine eigene E-Mail geschrieben hat.

Sie erwähnen keine eingehende Antispam-Lösung. DKIM und verwandte Techniken dienen dazu, Ihre eigenen E-Mails als nicht Spam zu authentifizieren und zuzustellen. (Die Zustellbarkeit ist das Haupthindernis für das Hosting zu Hause: Die meisten Anbieter blockieren Port 25 nd Viele E-Mail-Empfänger blockieren alle Bereiche, die als ADSL bekannt sind.) Wenn Sie jedoch kein eingehendes Antispam haben, ertrinken Sie in Spam, und keine der vorhandenen Lösungen ist wirklich schlüsselfertig.

Ihre Zeiten sind der beste Fall für einen erfahrenen Systemadministrator, der all diese Teile zuvor eingerichtet hat. Für jemanden, der es nicht hat, kann es viel länger dauern. Sie müssen das Risiko eines stillen Verlusts von E-Mails tolerieren, bis Sie sicher sind, dass alles funktioniert.

Und deine Zeiten sind einmalig. Sie müssen Versionen und Hinweise für all diese Teile nachverfolgen und bereit sein, alles zu löschen, sobald eine Sicherheitsanfälligkeit gemeldet wird. Wenn im Schlaf eine wichtige Sicherheitsanfälligkeit gemeldet wird, können Sie natürlich gefährdet sein, bevor Sie aufwachen.

11
pjc50

Kurze Antwort, es ist nicht die einfachste Lösung.

"Es ist sehr einfach, einen selbst gehosteten E-Mail-Server einzurichten."

Sie liegen falsch, der Rest ist falsch, weil er darauf basiert. Ich nehme an, Sie implizieren, dass es einfach ist, einen sicheren Server einzurichten (ansonsten, was ist der Zweck von allem?). Ihre Wäscheliste mit dem, was Sie brauchen, ist lang und nicht einmal vollständig.

Es ist viel einfacher, verschlüsselte und signierte E-Mails zu senden und zu empfangen, ohne sich um die Übertragung zu sorgen. Sie können sich sogar auf Google Mail oder Hotmail verlassen, um die verschlüsselten Nachrichten zu übertragen.

10
Quora Feans

Ich bin kein Experte, aber da hier noch niemand das magische Wort "Verschlüsselung" gesagt hat, werde ich diese Antwort schreiben.

Es scheint mir, dass Sie verhindern möchten, dass NSA] Ihre Kommunikationsdaten in die Hände bekommt, aber wenn Sie in die falsche Richtung schauen, müssen Sie nur dem Verschlüsselungsalgorithmus vertrauen, der die Daten sicher macht und privat und nichts weiter sollten Sie darauf abzielen, dass Ihre E-Mails auch dann privat sind und nicht gelesen werden können, wenn NSA tatsächlich Ihr E-Mail-Anbieter ist).

Der einzige Weg ist natürlich mit Verschlüsselung ... Solange die Schlüssel sicher sind (z. B. in Ihrem Kopf) und der Verschlüsselungsalgorithmus nicht kaputt ist, spielt es keine Rolle, wo die E-Mails gespeichert sind oder auf welchem ​​Server die E-Mails gesendet werden/empfangen. Sie können die gute Infrastruktur rund um die Uhr nutzen und Ihre Daten trotzdem privat halten.

Ein eigener selbst gehosteter E-Mail-Server ist gleichbedeutend mit der Verwendung eines eigenen selbst gehosteten Cloud-Speichers, wenn Sie Ihre Daten einfach verschlüsseln und die Benutzerfreundlichkeit von Google Drive genießen können. Besser noch, Sie heben sich nicht von der Masse ab.

Im Lebenslauf macht das also niemand, weil es zu viel Aufwand ist (wie oben gesagt, kein E-Mail-Anbieter wird von nur einer Person betrieben und sie werden dafür bezahlt) und kein weiterer Vorteil. Glauben Sie wirklich, dass eine Person die Elite-Hacker halten könnte? das sind sehr gut bezahlt um dich zu hacken? Lassen Sie sich von ihnen hacken, stellen Sie nur sicher, dass sie nichts daraus machen können.

Aber wenn ich etwas wie das, was Snowden hatte, verstecken müsste, hätte ich wahrscheinlich einen öffentlichen PGP-Hauptschlüssel, der beim ersten Kontakt mit jemandem verwendet werden könnte. Danach würde ich der Person zustimmen, weiterhin neue PGP-Schlüssel zu generieren muss an jede Nachricht weitergeleitet werden, um die nächste zu verschlüsseln, wie bei einem Diffie-Hellman-Algorithmus. Und natürlich niemals Schlüssel wiederverwenden und nach der Verwendung sicher löschen. Außerdem verschlüsselte ich alle meine privaten Schlüssel mit einer Open-Source-Software und hielt sie in einem Linux-Betriebssystem, das in einer virtuellen Box mit vollständiger Festplattenverschlüsselung ausgeführt wurde. Und jedes einzelne TCP- und UDP-Paket auf VPN + TOR. Ja, wirklich paranoid, aber effektiv.

Davon abgesehen schützt Sie keine Verschlüsselung jemals vor Gummischlauch-Kryptoanalyse , sodass ich noch mehr paranoide Aktionen ausführen würde, um sicherzustellen, dass sie nicht dazu gelangen ich (die Flucht aus dem Land wäre einer von ihnen, wie es Snowden tun musste)

5
Freedo