PwOSS - Privacy with Open Source Software

  • Hi,


    nach Absprache in der Telegram-Gruppe, moechte ich gerne mal ein Projekt vorstellen. Der eine oder andere kennt es vllt. auch schon.


    Das Projekt heisst "PwOSS - Privacy with Open Source Software" und wurde vor ca. einem Jahr angefangen.


    Die Idee hinter dem Projekt sind, *einfache Installationen fuer "nicht-professionelle" zur Verfuegung zu stellen, die hauptsaechlich auf Open Source Software basieren. Und das, wie die meisten Open Source Projekte, selbstverstaendlich frei verfuegbar.

    Dabei sollen die meisten Daten, die man Tagtaeglich produziert, vor allem aber seine wichtigsten, in einem Service verpackt werden, die eben nicht in eine Cloud gespeichert werden. Wobei die Cloud dabei seine eigene ist, sprich zu Hause.


    Drei Schwerpunkte sind bei dem Projekt sehr wichtig, die im Tagtaeglichen - digitalen Leben benutzt werden:


    1. Server
    2. Desktop PC

    3. Smartphone


    1. Der Server spielt hier eine grosse Rolle.

    Jeder benutzt sie. Sei es Google, Dropbox und Co. Die ihr Service mittlerweile auf fast jedem Geraet platzieren. Leider sind die Services nicht sonderlich Kontrollierbar. Und man weiss letzten Endes nicht, wer sich an deine Daten alles vergnuegt. Darueber gibt‘s ja immer wieder genug in den News zu lesen.

    Wir haben also beschlossen, ein Image fuer den Raspberry Pi zu erstellen, um dieses Problem anzugehen.


    Ebenso gibt es eine Guideline, um die Installation der Geraetschaften zu vereinfachen, die allerdings noch immer in Bearbeitung ist. Wobei die Guideline wahrscheinlich immer in Bearbeitung bleibt, da sich permanent in der Computer - Welt was aendert.

    Auch soll es mehr Loesungen als "nur" unsere mit eingefuegt werden koennen. Deswegen ist die Guideline auch bei GitHub und GitLab zu finden. Sprich, du kannst mithelfen, wenn du einen anderen weg gehen moechtest oder andere Vorschlaege hast.


    Es gibt natuerlich zu genuege Anlaufstellen, um dies zu bewerkstaelligen. DietPi waere da nur ein Beispiel. Wobei wir den Schwerpunkt auf Privatsphaere legen moechten.


    Das Image ist zur Zeit nur auf unsere Webseite zu finden (git.pwoss.org). Ich hatte schon mal kurz mit ThomasL ueber Email darueber gesprochen und jeder, der ihn hier aus dem Forum kennt, weiss das er immer kritisch dem gegenueber steht und dementsprechend ein paar gute fragen hinterlassen hat.


    • Wer packt wie und womit dieses Image?

    • Wie transparent ist der Vorgang?

    • Gibt es ein Audit?

    • Durch wen?

    • Wer hat Zugang zu der Hardware, mit der Images erstellt werden?

    • Wie ist die Hardware gegen Fremdzugriff und Manipulation gesichert?

    • Wer vergibt welche Berechtigungen?

    • Wer ist Real-Namentlich verantwortlich?

    • Wo ist der Sitz des Unternehmens?

    • Mit welcher Gesellschaftsform ist das Projekt eingetragen?

    • Welche Unternehmensziele bestehen?

    • Wie ist das Vorhaben zertifiziert?

    • Gibt es ein Compliance-Regel-Werk?

    • Wie sind die verantwortlichen beteiligten Personen dazu verpflichtet?

    • Wo ist der Sourcecode zum Projekt?

    • Kann man den runterladen?


    Das sind sehr nuetzliche fragen gewesen, die ich mittlerweile zum groessten Teil abdecken kann.

    Wir versuchen allerdings zurzeit zwei grosse Ziele zu bewerkstellige, damit es u.a. Transparenter wird.

    Zum ersten, das Image irgendwie offen zu legen zB es bei GitHub/GitLab zu integrieren. Leider haben wir noch kein guten weg finden koennen. Perfekte Loesung waere per chroot die Daten zu aendern, die gleichzeitig einsehbar bei GitHub/GitLab waeren. Leider funktioniert das noch nicht so, wie wir uns das vorstellen.


    *Ebenso, ist das "*einfache Installationen fuer "nicht-professionelle"" noch weit entfernt davon, es einfach zu Installieren. Im Moment gibt es nur eine "copy & paste" Loesung. Was mit einem Script wesentlich einfacher waere. Auch daran Arbeiten wir noch.

    Da die Moeglichkeit, das Image bei GitHub einzupflegen, noch nicht erreicht ist Haben wir ebenso eine "copy & paste" Loesung auf GitHub/GitLab, die das Installieren aller Software von Anfang an ermoeglicht. Sprich es gibt zwei Dateien, die eine ist fuer das Image (die das Verfahren verkuerzt) und die andere Datei sind fuer die Leute, die von Anfang an anfangen moechten.


    Das Image basiert auf Arch Linux | ARM.

    Das stutzt vllt. den einen oder anderen. Da Arch nicht unbedingt als Server geeignet ist. Aber genau Arch kann auch wiederum das Updaten des Servers erheblich vereinfachen. Besonders fuer die nicht Computer - Spezialisten. Die einfach nicht die Geduld haben, irgendwelche Probleme, Versions spruenge etc. zu beheben. Wir geben dementsprechend einem Update Intervall fuer den Server vor, der jeden Monat am 20ten stattfinden soll.

    So kann jeder die noetigen „downgrades“ und Updates zusammen mit uns/Community vollziehen, um seinen Server immer auf dem neuesten Stand zu halten. Somit sind keine grossen versions-spruenge von noeten. Wie zB sehr bald auf Debian - Buster.

    Aber trotz alledem, moechten wir auch Debian bzw Raspbian irgendwann in naher Zukunft mit integrieren. Debian gehoert zum Server – Bereich einfach dazu.




    Andere ARM single-board computer:

    Falls jemand hier einen anderen ARM – Device sein eigen nennt (zB Banana Pi), der kann sehr gerne mal die „(Scratch Docu).md“ Datei benutzen, um es auf seinem System auszuprobieren. Natuerlich muss dafuer das ArchLinux | ARM Image dementsprechend fuer das Geraet heruntergeladen werden. Eine Auflistung ist bei archlinuxarm.org verfuegbar.



    Um aber mal auf die oben genannten Fragen mehr darauf einzugehen, …


    • Wer packt wie und womit dieses Image?

    • Wie transparent ist der Vorgang?

    • Gibt es ein Audit?

    • Durch wen?


    Ich (dan/DanSman) bearbeite dieses Image immer an dem Raspberry Pi selber. Und halte es somit auf dem Laufenden. Erstelle davon ein Image und packe es dann per tar. Ebenso erstelle ich eine sha512sum Datei, die wiederum Signiert wird.

    Wie schon eben oben erwaehnt, versuchen wir den weg aber ueber chroot zu vollziehen bzw es irgendwie anders offen zu legen, um es dann letztenendes bei GitHub/GitLab einzupflegen. Falls jemand da eine Loesung hat, wir waeren euch sehr dankbar.


    Und nochmal an der stelle der Hinweis: Die Moeglichkeit nicht das Image zu benutzen besteht ebenfalls. Einfach die (Scratch Docu).md file laden und es alles von Anfang an zu installieren.



    • Wer hat Zugang zu der Hardware, mit der Images erstellt werden?

    • Wie ist die Hardware gegen Fremdzugriff und Manipulation gesichert?

    • Wer vergibt welche Berechtigungen?

    • Wer ist Real-Namentlich verantwortlich?


    Kein anderer hat Zugang zu meiner Hardware. Ich wohne mit meinem Partner zusammen und die hat absolut keine Ahnung von Computern. Ich arbeite nur am Laptop und der Laptop ist mit LUKS komplett verschluesselt.

    Berechtigung? Falls die frage sich um das Image handelt, dann kann man sehr gut in der "(Scratch Docu).md" file erkennen, was alles vollzogen wurde.


    Meinen Realen Namen moechte ich jetzt hier direkt nicht auflisten. Aber wer danach ein bissel sucht, wird es schon von alleine heraus finden.



    • Wo ist der Sitz des Unternehmens?

    • Mit welcher Gesellschaftsform ist das Projekt eingetragen?

    • Welche Unternehmensziele bestehen?

    • Wie ist das Vorhaben zertifiziert?

    • Gibt es ein Compliance-Regel-Werk?


    Es ist zwar ein Unternehmen gegruendet worden, der hat aber eigentlich nichts mit dem Projekt zu tun. Ich habe den Namen nur gesichert, damit mir da keiner in die "Quere" kommt. Das Unternehmen ist in Neusseland registriert und sollte vllt. irgendwann mal, als Service zur Einrichtung hier dienen. Wobei ich nicht glaube, das hier der richtige Markt dafuer ist.


    Das Projekt soll ein reines Community - Projekt werden.



    • Wie sind die verantwortlichen beteiligten Personen dazu verpflichtet?

    • Wo ist der Sourcecode zum Projekt?

    • Kann man den runterladen?


    Das Image wurde ja jetzt schon oefter erklaert, warum es zurzeit keinen Source Code in dem Sinne gibt.

    Das ganze Projekt selber ist bei ...

    git.pwoss.org


    U.a. sind "Goals (Ziele)" dort aufgelistet. Die beiden erwaehnten Dateien und die Guideline. Sowie das Script, was bei weitem noch nicht fertig ist.


    Ebenso findet man eine Beschreibung der integrierten Software auf wiki.pwoss.org (im Moment leider nur in english). Und was in Zukunft weiter eingepflegt werden soll, findet man ganz unten in der Liste.



    2. Desktop PC

    Dazu gibt es nur eine Erklaeung, wie man ein Linux System installiert. Da gibt es Anleitungen auch zu genuege im Netz. Vollstaendigkeitshalber haben wir es aber mit reingenommen.


    Aber auch hier benutzen wir als Erklaeung nur zwei Systeme. Als Erstes ist das Manjaro. Was unseres Erachtens super pflege leicht ist (auch wenn sie zurzeit ein bissel beim Update was verbockt haben) und sehr benutzerfreundlich.

    Als Zweites, ist das Linux Mint. Wobei wir ueberlegen das evtl. wieder herauszunehmen.

    Dazu sollen aber auch noch Scripte erstellt werden, damit das Verbinden zu den Server – Services vereinfacht werden soll.



    3. Smartphone

    Das Smartphone ist ein Riesen Brocken und auch die groesste daten-drecks-schleuder ueberhaupt.

    Um das vernuenftig in den Griff zu bekommen, ist der weg mit dem Android eigentlich ein absolutes muss. D.H. aber nicht, das ein Apple User hier nicht willkommen ist.

    Mit Pi-Hole, in Verbindung von VPN, gibt es zumindest eine Moeglichkeit, das Daten Problem zu minimieren. Wir kennen uns aber auch nicht so gut mit Apple Produkten aus, um andere Vorschlaege zu machen. Deswegen koennen auch hier die Apple Freunde ihre Loesung auch gerne mit integrieren.


    Eins steht auf jeden Fall fest, mit einem Android Telefon ist das Ziel (Privatsphaere) wesentlich einfacher zu erreichen.

    Ein Android Telefon kann man super ohne Google benutzen. Komplett auf Open Source umzuswitchen, ist letztendlich aber nur mit einem Android Telefon moeglich. Da das Betriebssystem an und fuer sich schon Open Source ist.





    Die Leute, die da zur Zeit daran rumwerkeln

    Im moment Arbeiten 3 Leute and dem Projekt.

    Mein Bruder, der sich Hauptsaechlich um das Englische kuemmert.


    Saber, von XDA.

    Dem einen oder anderen evtl. ein gelaeufiger Name. Er befasst sich gerne mit dem Kernel des Android Telefons. Zur Zeit arbeitet er u.a. auch an einer App die sich "Privacy Helper" nennt und sich bei F-Droid herunterladen laesst und auch beim Google Play Store.


    Ja, und meine Wenigkeit.

    Ich bin schon seit Jahren an Privatsphaere im Digitalen Bereich interessiert. Doch fiel es zumindest mir sehr schwer, die Loesungen dafuer zu finden. Alles sich zusammen zu suchen, um das bestmoegliche zu erreichen. Ob alles erreicht ist, ich denke nicht. Permanent aendert sich irgendwas und immer wieder uebersieht man etwas. Deswegen dieses Projekt. Um vllt. mal eine Anlaufstelle zu erschaffen, um den Wahnsinn wenigstens auf gleicher hoehe zu begegnen...


    privacytools.io oder auch kuketz-blog.de etc. sind natuerlich auch super Anlaufstellen.

    Wenn man das ganze jetzt aber mal vereinen koennte und evtl eines tages Distros fuer Server, Desktop und Smartphone Bereich (die aufeinander abgestimmt sind) zu erstellen, koennte man viele manuelle Einstellungen umgehen.

    Die Leute haetten wenigstens die Chance ein bissel schneller an ihr Ziel zu kommen. Man kann ja auch nicht verlangen, dass die das alles Lesen muessen. Jeder der sich damit Beschaeftigt weiss, dass das nicht in einem Monat getan ist. Dafuer haben die alle einfach nicht genuegend Zeit. Eigentlich sollte das selbstverstaendlich von Google und co. erledigt werden. Problem ist, machen sie nicht ...





    Noch ein paar Infos:

    Die Webseite steht auch schon auf Deutsch zur Verfuegung. Jedoch gab es Probleme mit gewissen Strings, die mit dem Theme irgendwie nicht harmonieren wollen. Wir haben die "Baustelle" erst einmal nach hinten angestellt und es bei Englisch belassen.


    Bitte seht das Projekt einer Art "Alpha Release" an. Viele Fehler, vor allem bei den englischen Texten, sind noch vorhanden.

    Auch sind andere Moeglichkeiten ... moeglich. Wie zB bei dem Image. Generell, andere Software. Kein sudo (ThomasL ;)) usw usf. Wir haben uns jedoch fuer die jetzige vorhandene Loesung entschieden. Da es aber ein Community - Projekt ist, koennen natuerlich eure/andere Vorschlaege mit integriert werden.


    Vllt. behaltet ihr auch noch im Hinterkopf, das dieses Projekt nicht an die IT – Profis ausgerichtet ist. Es soll fuer die Interessenten sein, die nicht so viel Ahnung haben, wie man das ganze Problem beseitigt. Somit muessen Erklaerungen ziemlich detailliert wie moeglich beschrieben werden aber gleichzeitig so kurz wie moeglich. Was sich nicht immer so ganz einfach herausstellt.


    Wenn du gerne mitmachen moechtest, ist es vollkommen egal, ob du Erfahrungen hast oder nicht. Alles ist erlernbar. Jede Idee kann gut sein oder eine weiter Idee hervorrufen. Kurz gesagt, es sind alle willkommen.




    Falls sonst noch irgendwas unklar sein sollte, einfach in den Kommentaren Bereich schreiben. Selbstverstaendlich wuerde ich mich freuen, wenn der Umgang einen normalen Austausch bekommt.



    Edit:

    Ich habe vergessen die Hauptwebseite zu erwaehnen :) Das ist https://pwoss.org.


    Gruss,

    Dan

    Edited 2 times, last by DanSman ().

  • Ambitioniertes Projekt, viel Erfolg.

    Eine Anmerkung:

    Bitte für Änderungen an /etc/sudoers  [sudo] visudo und nicht einfach nur einen Editor benutzen. Damit vermeidet man ungewollte Probleme, da beim Speichern zumindest ein Syntaxcheck stattfindet. Die Gefahr sich auszusperren ist deutlich geringer.

    Menschen die keine Ironie verstehen finde ich super!

    Edited once, last by llutz ().

  • Ich weiss nicht ob ich das so richtig verstanden habe. Es geht um (meine) Daten die ausserhalb des Heimnetzes, also Internet, platziert sind/werden und diese sollen geschützt werden? Das Ganze in einer eierlegenden Wollmilchsau Distribution?


    Nur ein Beispiel: Man muss meiner Meinung nach viel zu viel Punkte anklicken um ein paar Mini Informationen zu bekommen: https://guideline.pwoss.xyz/server Lieber eine Seite als jeweils eigene Seiten. Bei "3. Linux" wird es noch gruseliger.

  • Es geht um (meine) Daten die ausserhalb des Heimnetzes, also Internet, platziert sind/werden

    Nein, das hat er ja hier gesagt... die Daten liegen Zuhause auf dem Server:

    Wobei die Cloud dabei seine eigene ist,sprich zu Hause.

  • Weil auf der Webseite auch die Rede von Internet Cloud Alternativen ist. Meine Daten sind doch bereits im Heimnetz "geschützt", wenn keiner sonst drauf zugreifen kann, bzw. vom Internet getrennt sind.

  • Ja, ich finde auch, dass es ein ambitioniertes Projekt ist... für das ich jetzt mal bei 2 unterschiedlichen Perspektiven zu eher gegensätzlichen Fazits komme.


    1. Die erste basiert auf der Betrachtung des Projekts aus einer idealistischen FLOSS-Idee ... nun ja.. und da ist mein Fazit nicht so positiv. Zum ersten ist die Seite vollständig auf Englisch, was bei mir sofort eine Datenschutz-Negativ-Assoziation auslöst, weil die Briten die schlimmsten Missachter digitaler Privatsphäre sind. Allein die Vermutung, dass es sich um ein britisches Projekt handelt, würde bei mir sofort alle Alarmglocken klingeln lassen und ich würde Abstand davon nehmen. Ich kann also gar nicht erkennen, dass das ein deutsches Projekt ist und ich vestehe auch nicht, warum ein deutsches Projekt sich in Deutschland nicht in deutscher Sprache präsentiert. Ich finde es ok, international zu denken, aber wenn es sich um eine Geburtsstunde handelt, wäre die Internationalität imho der zweite oder besser dritte Schritt. Soweit zum organisatorischen....


    ... dann noch was technisches. Als ich die Software-Liste gelesen habe, dachte ich nur 'Häh, und das mit einem Raspberry PI...?... was sind das denn für Ideen?' Samba, MariaDB, Seafile, Nginx, und dann auch noch LUKS-Verschlüsselt auf einem PI? Dafür ist der kleinen Pi definitiv gravierend unterdimensioniert. Mit Samba kackt er schon ab, wenn mehrere Dateien größer als Foto-Größe oder MP3's übertragen werden, ein kleines Filmchen vom Smartphone und er ist erst mal lahmgelegt. Und dann auch noch Nginx und Seafile? Da wette ich drauf, dass der PI damit überfordert ist... gerade auch dann, wenns um mehrere User geht. Ganz nebenbei bemerkt halte ich die Software-Auswahl bei der anschließenden Betreuung durch einen Laien für eine unkontrollierbare Anhäufung von Sicherheitslücken. Das ist ein maximal-orientierter Lösungsansatz, der vom Laien mit dem Anspruch Datensicherheit imho nicht zu handhaben ist. Ich hingegen favorisiere für das private Netz jedoch den minimalistischen Ansatz, bei dem ich durch geringeren Umfang dann durchaus eine Chance habe, auch wirklich die Kontrolle zu behalten. Unkontrollierbar ist der Ansatz meiner Meinung nach deshalb, weil mir nach dem Schreiben von 3 Anleitungen (Mailserver, nftables und Openvpn) klar geworden ist, dass 98 von 100 Normal-Usern mit solcher technischen Anforderung maßlos überfordert sind.


    .. und ganz am Ende dann den Firefox-Sync-Server auf dem Desktop... *wow*... wo doch Mozilla auch eine (ziemlich faule) Perle des Datenschutzes ist.


    2. Die zweite Perspektive basiert auf der Idee zu einem Geschäftsmodell, welches jedoch die zu große FLOSS-Fahne vor sich herträgt... na ja.. . aber egal, als Geschäftsidee finde ich das eigentlich trotzdem richtig gut. Jedoch habe ich teilweise die gleiche Kritik wie zuvor, die Seite ist in Englisch.... sie sollte in Deutsch sein, Englisch nur als eine angebotene Option. Und natürlich der RPi... warum macht ihr das nicht auf richtigen Computern? Ein NUC -so ist meine Erfahrung- kostet nicht die Welt mehr, kommt aber mit den geplanten Prozessen und den dazu benötigten Ressourcen ganz sicher bestens klar. Als Geschäftsidee halte ich genau das also für eine tolle Idee, etwas, von dem ich glaube, dass es dem OpenSource-Universum richtig gut tun würde, wenn so etwas erfolgreich wäre. Und wenn wirklich mal irgendwann Geld fließen würde und andere erkennen, dass man mit einem Linux-Startup Geld verdienen kann, würde vielleicht durch Nachahmer endlich mal ein Angebot entstehen, welches Redmond vielleicht irgendwann mal trotzen kann.Sicherheit ist nämlich ein echtes Pfund, von dem in der MS-Welt ja wirklich wenig vorhanden ist.


    Bezogen auf den Server und dessen Dienste würde ich möglicherweise auch auf Virtualisierung setzen, um gewisse Prozesse zu kapseln bzw. gegenseitig vor einander zu schützen. Und auf den Clients würde ich diese Firefox-Sync-Kiste nur über Opt-In anbieten. Wer das wirklich will, muss es vorsätzlich nach Warnungen einschalten.... nuja, das ist aber nur meine subjektive Meinung. Und was die UFW angeht... das ist auch nur etwas, was für den Laien undurchschaubar ist und somit statt echter Sicherheit nur ein Gefühl von Sicherheit darstellt. Als Geschäftmodell würde ich da also eher in Richtung Opensense oder Openwrt mit dedizierter Hardware denken... das spart dann dieses Placebo UFW. Aber egal, ich finde die Idee aus der Perspektive 'kommerzielle Dienstleistung' richtig klasse und ich könnte mir vorstellen, dass so etwas als Dienstleistung im nichtprofessionellen IT-Bereich (Klein-Betriebe wie Handwerker und so) angeboten, auch wirtschaftlich erfolgreich sein kann. Allerdings -dabei bleibe ich- nicht mit einem Raspberry Pi.


    jm2c

    Edited 4 times, last by WinterUnit16246 ().

  • Ambitioniertes Projekt, viel Erfolg.

    Eine Anmerkung:

    Bitte für Änderungen an /etc/sudoers  [sudo] visudo und nicht einfach nur einen Editor benutzen. Damit vermeidet man ungewollte Probleme, da beim Speichern zumindest ein Syntaxcheck stattfindet. Die Gefahr sich auszusperren ist deutlich geringer.

    Dankeschoen. Das habe ich geaendert.



    Ich weiss nicht ob ich das so richtig verstanden habe. Es geht um (meine) Daten die ausserhalb des Heimnetzes, also Internet, platziert sind/werden und diese sollen geschützt werden? Das Ganze in einer eierlegenden Wollmilchsau Distribution?


    Nur ein Beispiel: Man muss meiner Meinung nach viel zu viel Punkte anklicken um ein paar Mini Informationen zu bekommen: https://guideline.pwoss.xyz/server Lieber eine Seite als jeweils eigene Seiten. Bei "3. Linux" wird es noch gruseliger.

    Das ist halt schwer herauszufinden. Wenn man jetzt sich das wirklich installieren moechte, dann kann es den einem auch den Anschein erwecken, das man schon bei Step 3 ist als evtl. eine Lange liste, die sich 2 Minuten nach unten scrollen laest. Trotzdem koennte man die "Steps" vllt auf 3-4 verkuerzen.


    Den Linux - Part empfinde ich sogar noch als uebersichtlicher als der Server :)

    Man sieht den Wald vor lauter Baeumen auch irgendwann nicht.


    Danke dir, fuer die Hinweise.


    Weil auf der Webseite auch die Rede von Internet Cloud Alternativen ist. Meine Daten sind doch bereits im Heimnetz "geschützt", wenn keiner sonst drauf zugreifen kann, bzw. vom Internet getrennt sind.

    Haben wir vllt irgendwas unklar Formuliert? Kannst du mir die Stelle einmal zeigen, bitte?



    Quote from ThomasL

    1. Die erste basiert auf der Betrachtung des Projekts aus einer idealistischen FLOSS-Idee ... nun ja.. und da ist mein Fazit nicht so positiv. Zum ersten ist die Seite vollständig auf Englisch, was bei mir sofort eine Datenschutz-Negativ-Assoziation auslöst, weil die Briten die schlimmsten Missachter digitaler Privatsphäre sind. Allein die Vermutung, dass es sich um ein britisches Projekt handelt, würde bei mir sofort alle Alarmglocken klingeln lassen und ich würde Abstand davon nehmen. Ich kann also gar nicht erkennen, dass das ein deutsches Projekt ist und ich vestehe auch nicht, warum ein deutsches Projekt sich in Deutschland nicht in deutscher Sprache präsentiert. Ich finde es ok, international zu denken, aber wenn es sich um eine Geburtsstunde handelt, wäre die Internationalität imho der zweite oder besser dritte Schritt. Soweit zum organisatorischen....


    Also wenn ueberhaupt, das so zu Betrachten, ist es ein Neusselaendisches - Projekt. Was hier auf jeden Fall klar getrennt wird :) Was aber oberflaechlich das gleiche ist, stimmt schon.

    Wenn das Image dann irgendwann vllt. einmal den weg zu GitHub findet, spielt das auch eigentlich keine Rolle mehr. Oder lieber GitLab und lassen Microsoft mal weg.


    Es ist kein Deutsches - Projekt. Fuer mich selber, ist es auch kein Neusselaendisches - Projekt. Fuer mich ist das einfach nur ein Projekt. Dementsprechend ist es auch in English, da ich auch sonst mit Saber nicht Arbeiten koennte. Der versteht kein deutsch.

    Davon abgesehen, steht die Webseite ja auch eigentlich schon auf Deutsch zur Verfuegung. Gibt halt ein paar Probleme...


    Quote from ThomsL

    ... dann noch was technisches. Als ich die Software-Liste gelesen habe, dachte ich nur 'Häh, und das mit einem Raspberry PI...?... was sind das denn für Ideen?' Samba, MariaDB, Seafile, Nginx, und dann auch noch LUKS-Verschlüsselt auf einem PI? Dafür ist der kleinen Pi definitiv gravierend unterdimensioniert. Mit Samba kackt er schon ab, wenn mehrere Dateien größer als Foto-Größe oder MP3's übertragen werden, ein kleines Filmchen vom Smartphone und er ist erst mal lahmgelegt. Und dann auch noch Nginx und Seafile? Da wette ich drauf, dass der PI damit überfordert ist... gerade auch dann, wenns um mehrere User geht. Ganz nebenbei bemerkt halte ich die Software-Auswahl bei der anschließenden Betreuung durch einen Laien für eine unkontrollierbare Anhäufung von Sicherheitslücken. Das ist ein maximal-orientierter Lösungsansatz, der vom Laien mit dem Anspruch Datensicherheit imho nicht zu handhaben ist. Ich hingegen favorisiere für das private Netz jedoch den minimalistischen Ansatz, bei dem ich durch geringeren Umfang dann durchaus eine Chance habe, auch wirklich die Kontrolle zu behalten. Unkontrollierbar ist der Ansatz meiner Meinung nach deshalb, weil mir nach dem Schreiben von 3 Anleitungen (Mailserver, nftables und Openvpn) klar geworden ist, dass 98 von 100 Normal-Usern mit solcher technischen Anforderung maßlos überfordert sind.


    Ich benutze das jetzt schon ca. 3 Jahre so bzw so aehnlich. Natuerlich ist der jetzt nicht der schnellste. Und bei der ersten Einrichtung von Seafile mit ca 500GB auch nicht an einem Tag erledigt. Was einem Normalen-User auch egal sein kann, da der Pi ja auch einfach so vor sich her werkeln kann, weil er zB nicht so hohe Stromkosten verursacht. Wenn man danach dann nur ein paar word-files oder Calendar Eintraege etc. hat, dann reicht das alles schon so. Das wird zwar in der Guideline kurz angeschnitten aber kann man vllt. auch noch etwas breiter treten.

    Vllt. aendern wir das "kurz angeschnittene" um, wenn die 64 Bit Loesung fertig ist. Der Ansatz ist ja aufgelistet und schon Angefangen. Somit koennte man den NUC oder was auch immer benutzen.

    Ich dachte mir da eher, das es fuer die meisten erstmal guenstig und effektiv sein muss. Und das ist der Pi vollkommen - Preis/Leistung.



    Sicherheitsluecken:

    Das System immer up 2 date zu halten, ist mit der Idee, jeden Monat den 20ten, einmal mit allen Interessierten die "downgrades und Updatse" zusammen durchzufuehren bzw den zusagen, was man am besten machen sollte. Am besten waere da vllt auch einen ausfuehrbaren Script zu erstellen, falls es tiefer ins Detail gehen sollte.

    Klar muessen die Leute auch selber mal vorbei gucken, und die paar commands "mal eben" ausfueheren. Da endet unsere Moeglichkeit halt, denen zu Begleiten. Das liegt dann in deren Haenden, einmal im Monat vorbei zuschauen.


    VPN:
    Das empfinde ich auch so. Das ist ein klopper. Ich weiss nicht, ob die das schaffen. Sowas wie PiVPN waere da natuerlich super hilfreich aber am Router und Dyndns Account, kann es dann scheitern.

    Was natuerlich das A und O ist, um auf seine Services zuzugreifen.


    Email Server:

    Da bin ich mir auch nicht sicher, ob die Loesung vllt. mit zB Protonmail nicht die bessere wahl waere.


    IPtables/UFW:

    Sehe ich jetzt nicht so das Problem. Aber vllt. uebersehe ich da auch was, was du mir vllt naeher erlaeutern koenntest?


    Quote from ThomasL

    .. und ganz am Ende dann den Firefox-Sync-Server auf dem Desktop... *wow*... wo doch Mozilla auch eine (ziemlich faule) Perle des Datenschutzes ist.

    Der FireFox ist immer noch ein guter Browser, wenn man ihn bearbeitet. Ich weiss, dass du die Bookmarks etc. jetzt nicht im "normalen" Umgang benutzt. Dennoch denke ich, das die breite Masse seine Bookmarks etc. mit FireFox oder Chrome synchronisiert. Vllt. sollte der Umschwung auf Brave als Alternative bzw als DIE Loesung (zurzeit) sein und der FireFox Sync Server als alternative.


    Ich finde die Loesung auch noch nicht optimal, da die Einrichtung der Clients zu komplex sein kann. Falls es eine Moeglichkeit gibt, die ganzen Bookmarks nur als file staendig zu synchronisieren (auch fuer jedes Device) waere das super in Erfahrung zu bringen.



    Quote from ThomasL


    Punkt 2 - Erster Absatz

    Ich denke, das ist u.a mit den Antworten oben Erklaert.


    Vllt muss ich hier aber noch einmal klar stellen, das da kein Geschaeftsmodell hinter steckt. Da verstehe ich nicht, warum du das so empfindest? Es soll doch fuer alle Verfuegbar sein.

    Was ich mir mal ueberlegt hatte, ein Image mit mehr Software anzubieten fuer, "Zahl was du willst" Variante oder irgendwie sowas. Damit der Server bezahlt werden kann. Der kostet aber auch zur Zeit nur ca $15 im Monat, was ertragbar ist.

    Aber das habe ich auch schon wieder abgelegt. Da mir das viel zu viel Arbeit ist. Zum anderen denke ich mir auch, wenn Software speziell fuer den Privacy - Aspekt zu gute kommt, sollte der halt ebenso frei zugaenglich sein.



    Quote from ThomasL

    Bezogen auf den Server und dessen Dienste würde ich möglicherweise auch auf Virtualisierung setzen, um gewisse Prozesse zu kapseln bzw. gegenseitig vor einander zu schützen. Und auf den Clients würde ich diese Firefox-Sync-Kiste nur über Opt-In anbieten. Wer das wirklich will, muss es vorsätzlich nach Warnungen einschalten.... nuja, das ist aber nur meine subjektive Meinung. Und was die UFW angeht... das ist auch nur etwas, was für den Laien undurchschaubar ist und somit statt echter Sicherheit nur ein Gefühl von Sicherheit darstellt. Als Geschäftmodell würde ich da also eher in Richtung Opensense oder Openwrt mit dedizierter Hardware denken... das spart dann dieses Placebo UFW. Aber egal, ich finde die Idee aus der Perspektive 'kommerzielle Dienstleistung' richtig klasse und ich könnte mir vorstellen, dass so etwas als Dienstleistung im nichtprofessionellen IT-Bereich (Klein-Betriebe wie Handwerker und so) angeboten, auch wirtschaftlich erfolgreich sein kann. Allerdings -dabei bleibe ich- nicht mit einem Raspberry Pi.

    Virtualisierung:

    Da geht das ganze bissel mehr ins Detail. Ich glaube nicht, dass das fuer die Allgemeinheit als "gute Loesung" ist. Aber auch das kann man, natuerlich mit einfuegen/erwaehnen oder sogar mit als Loesung einbinden.


    Openwrt:

    Genau wie oben. Gerade Openwrt Loesung, sind natuerlich super vorschlaege. Auch gut waere, wenn du dein Laptop oder Desktop noch mit Coreboot bestueckst. Aber das wird einfach zu viele, fuer den normalen user.


    UFW:

    Da braeuchte ich noch mehr Erklaerungen. UFW ist doch vollkommen okay. Man kann auch UFW komplett weglassen, gerade wenn es zur Script-Integrierung kommt. Aber verstaendlich fuer den User ist es doch. So dachte ich zumindest :)



    Kurzes Fazit, zu den jetzigen Beitraegen:

    Was mir auffaellt

    Wir haben logischerweise alle unsere eigenen Loesungen, die wir vorschlagen. Das macht es unheimlich schwer, den richtigen weg zu finden, das "richtige" fuer den user anzubieten und auch fuer sich selber. ZB UFW, brauch man nicht - kann geaendert werden.

    FireFox Sync Server ... hmm ... da habe ich noch keine Moeglichkeit gefunden, die Bookmarks anstaendig unter allen geraeten zu Synchronisieren. Vllt. gibt es ja eine Moeglichkeit, wie bei KeePass. Da gibt es genuegend Clients fuer jedes Geraet, was man per VPN und Seafile super Synchronisieren kann.


    Eine 64 Bit Loesung muss auf jeden Fall auch her. Falls jemand staendig mit groesseren Dateien arbeitet. (Wie erwaehnt, ist das ja auch in Arbeit.)


    Grob gesagt, waere es gut alle Alternativen mal aufzulisten und sich dann die Bestmoegliche, in Betracht des Normale-User, herauszupicken.



    Danke euch auf jeden Fall, fuer die schon Hilfreichen vorschlaege.


    Dan

  • UFW ist doch vollkommen okay

    Wir haben logischerweise alle unsere eigenen Loesungen, die wir vorschlagen

    Ich will mich nur auf 2 Zitate beziehen.... nicht nur die UFW ist vollkommen okay, sondern auch alle anderen von Dir gelisteten Programme. Ich sage nur, dass das Projekt ein solch anspruchsvolles Kenntnisniveau für den Betreiber erfordert, dass eben 98 von 100 Privat-Admins genau wegen der fehlenden Kenntnisse damit überfordert sind... faktisch ist das alles also für die nicht mehr kontrollierbar. Verfolge doch mal eine Zeitlang, für wie viele selbst die einfachsten Probleme unlösbar sind, z.B. einen Samba-Server einzurichten, oder nur so dämliche Mount-Units, damit die Samba-Freigaben auch beim Systemstart gemountet werden.


    Und jetzt analysiere mal selber die mit iptables -L -nv gelisteten Paket-Filter-Regeln eines Standard-UFW-Setups. Wenn Du da drauf guckst, erkennst Du, dass Du erst mal gar nichts verstehst. Ich habe ne Stunde gebraucht, um die iptables-Ausgabe eines Standard-UFW-Setups mit LO-Calc in eine Reihenfolge zu bringen, die mir dann in einer Art "logische hierarchisch-serielle Darstellung" die Zusammenhänge und Logik erst mal deutlich gemacht haben. Und ich denke schon, dass ich sowohl iptables als auch nfttables einigermaßen verstanden habe. Da waren dann wegen des Default-Setups eben auch Ports gehändelt, die ich gar nicht nutze... also völlig unabhängig davon, ob ich die tatsächlich brauche oder nicht. Gleichermaßen fehlte die Regulierung von Ports, die ich nutze, entweder ganz oder unpassend reguliert. Außerdem ist das sowieso nur eine Stateless-FW, die auf bewegliche Gegebenheiten wie eine Zwangstrennung auch nur mit unbeweglichen Regeln (nicht) reagiert. Da fehlt halt die tatsächlich indivfiduelle Ausrichtung, damit aus einem Paketfilter wenigsten ansatzweise eine Firewall wird. Als Fazit muss man feststellen, für die meisten Anwender bedeutet die UFW einzusetzen "Glauben und Vertrauen"... aber absolut nicht "Kontrolle".


    Aber das größte Problem sehe ich darin, weil das Ziel des Projekts ja die private Datenintegrität und der Datenschutz ist, dass Du das betriebene System nicht vor dem Anwender selber beschützen kannst. Da werden von sich selbst maßlos überschätzenden 'Admins' ohne Kenntnis über die Konsequenzen die absurdesten Ideen realisiert. Ich erinnere mich da an einen Thread, in dem auf dem einem PI ein verschlüsseltes Paket von einem anderen PI geladen werden sollte, um dann dort den verschlüsselten Inhalt auf einem dritten System zur Verfügung zu stellen. Das das faktisch eine Verdreifachung von Risiken darstellt, wird völlig ausgeblendet. Die Gefahr kommt also nur sekundär von außen (ich erinnere hier auch an Default-Portblocking des DSL-Routers) , die primäre Gefahr sitzt an der Tastataur.... und da versagt im Regelfall jedes noch so gute Sicherheitskonzept.


    Deswegen denke ich, das Projekt ist toll, wenn es Dir gelingt, als Systembetreuer den/die Anwender davon abzuhalten, die Sicherheit wieder zu deaktivieren. Du kannst als Häuslebauer die tollste Alarmanlage ins Haus einbauen... das bleibt solange erfolglos, wie die Bewohner aus Gewohnheit oder Faulheit die Arbeit scheuen, das Alarmsystem beim Verlassen zu aktivieren und zuverlässig alle Zugänge auf "verschlossen" zu kontrollieren, weil sie schlichtweg zu faul oder zu fahrlässig sind. Als Dienstleister, der für einen Kunden die IT betreut, kannst Du das aber sehr woh herstellen und gewährleisten.


    Und das zweite... ich habe gar keine Vorstellungen von eigenen hier tauglichen Lösungen. Mein Ansatz ist eher, Linux bietet für jedes Problem eine passende Lösung, insofern ist Linux absolut die richtige Entscheidung. Ich fokussiere mich nur auf das Versprechen "Privacy", dessen Einhaltung aufgrund der unbewussten Sabotage durch die berechtigten privaten Admins imho nicht möglich ist. Bei Kunden und gewerblicher Betreuung kannst Du das aber herstellen bzw. gewährleisten. Und da finde ich diese Projekt-Idee eben richtig gut.... weil so etwas hier fehlt und weil es Linux selber aufwerten kann.


    Und mal ganz nebenbei bemerkt, ich finds schade, dass DE kein "Markt" für euch ist... die Medien schaffen doch das Gehör beim einheimischen Publikum, wie jetzt gerade mit dieser Politiker-Abschnüffelei, oder den ständigen Leaks bei irgendwelchen Promis... die Menschen hier lesen das und wollen sich oder ihre Firma selber schützen. Ich halte es durchaus für möglich, dass so etwas wie eine "commercial privacy" durchaus auch im Interesse der Unternehmen ist, die sich keinen großen renommierten IT-Dienstleister leisten können.


    Wenns Dich interessiert, kannst Du es Dir mal anschauen.... ich habe vor einiger Zeit OpenVPN und (aktuell umgestellt) den Paketfilter mit nftables beschrieben. Damit solltest Du verstehen, was ich meine und was ich für notwendig erachte, wenn man die Kenntnisse dafür haben muss, um für seine eigenen Systeme auch wirklich die Kontrolle selber in der Hand zu haben. Ich glaube, das ist für den Normaluser, der den laxen Umgang mit Windows gewohnt ist, der Google nutzt, irgendwelche kostenlosen Cloud-Dienste, IMAP bei Kostenlos-Mailhostern, Facebook, Whatsapp usw. schlichtweg unmöglich... u.a. auch deshalb, weil er das, was für Sicherheit notwendig ist, in Wirklichkeit gar nicht will... sondern eher nach der Devise handelt "Wasch mich, aber mach mich nicht nass"


    jm2c

    Edited 6 times, last by WinterUnit16246 ().

  • Haben wir vllt irgendwas unklar Formuliert? Kannst du mir die Stelle einmal zeigen, bitte?

    Ich war mir nur nicht sicher, ob mit Cloud alles oder nur Heimnetz oder Internet gemeint war. Cloud ist ja ein Begriff aus der Marketingabteilung ohne wirkliche Substanz. Früher sagte man wohl einfach Internet zur Cloud.


    Privacy: Ist das nicht overkill für die Zielgruppe? Der normale Benutzer ist da schon überfordert, denke ich. Alles mögliche abdecken mit viel Software macht es nicht einfacher. Ich z.B. benutze von der Liste gar nichts, weil bisher nicht benötigt. Für die Meisten ist es wohl am sichersten, den jeweiligen Service (Sync oder Cloud irgendwas) erst gar nicht zu benutzen. Wenn der Benutzer denkt, die Distribution ist ja auf Privatsphäre ausgelegt, dann kann ich auch alles sicher benutzen. Was ja ein Trugschluss ist. Schwieriges Thema.


    Bei Seafile könnte man noch schreiben, das es eben nicht wie Dropbox oder Google Drive ist. Wenn ich nicht auf den Wiki Link geklickt hätte, würde ich denken, das ist wie Dropbox oder Google Drive (wie beschrieben) und hätte es für mich aussortiert.

  • Hi,

    vielleicht noch eine kleine Bemerkung am Rande, die die Aussagen von @ThomasL noch unterstreicht: wieviele Leute aus Deinem privaten Umfeld verschlüsseln ihre e-mails, obwohl das mittlerweile jedes Frontend unterstützt?
    Bei mit sind's vielleicht vier oder fünf ...


    cu,

    -ds-

  • wieviele Leute aus Deinem privaten Umfeld verschlüsseln ihre e-mails, obwohl das mittlerweile jedes Frontend unterstützt?

    Mich würde mal interessieren, wieviel Leute das hier aus dem Forum machen. Ich gestehe, ich machs bisher nicht....wers lesen will, solls halt tun und sich einen drauf kloppen :fies: .... wobei ich allerdings im Regelfall eher nur banales Zeugs habe. Hätte ich einen regelmäßigen Schriftverkehrs-Partner...*hmmm*... und wir würden vertrauliches, privates austauschen... dann würde ich wohl nach ner Lösung suchen.

  • Witzigerweise sagen alle, die ich drauf anspreche, dass es ihnen zu kompliziert/aufwändig ist, was ja wieder Deine These untermauert ( ... weil ich einfach mal voraussetze, dass sich die meisten aus Bequemlichkeit damit gar nicht beschäftigt haben).

    Wenn sich wenigstens das signieren manifestieren würde, dann wäre wohl ziemlich schnell Schluss mit den ganzen "Schadstoff-Transportern".

    Aber so isses nun mal ...


    cu,

    -ds-

  • Mich würde mal interessieren, wieviel Leute das hier aus dem Forum machen.

    Erstelle doch hier mal eine Forenumfrage diesbezüglich.

    Wenn sich wenigstens das signieren manifestieren würde, dann wäre wohl ziemlich schnell Schluss mit den ganzen "Schadstoff-Transportern".

    Wenn ich es richtig verstehe, ist eine Email Signatur eine bestimmte Bytereihenfolge von bestimmter Länge, die der Email angehängt wird. Damit ist sie dann identifizierbar? Nur was soll das genau bringen/bewirken?


    Email Verschlüsselung. Wie genau funktioniert das? Vor vielen Jahren (am Amiga) habe ich es mal versucht. Das war mit PGP. Man musste, glaube ich, zwei Schlüssel generieren (ein öffentlicher, ein privater). Der private bleibt auf dem Rechner, der öffentliche wurde mit der Email gesendet? Damit das funktioniert, musste doch der Partner das auch unterstützen, bzw. mitmachen? Irgendwie an dem Punkt war hier dann schon Schluss.


    Jetzt am RPi 3B Raspbian und Claws als Emailprogramm, habe ich zwar unter Datenschutz ein Haken bei "Nachrichten immer verschlüsseln" und "Nachrichten stets signieren, wenn eine verschlüsselte Nachricht beantwortet wird". Aber ob das funktioniert, oder irgendwas bringt, k.A.? Die Claws Anleitung ist da nicht besonders hilfreich.

  • Wenn ich es richtig verstehe, ist eine Email Signatur eine bestimmte Bytereihenfolge von bestimmter Länge, die der Email angehängt wird. Damit ist sie dann identifizierbar? Nur was soll das genau bringen/bewirken?

    Es wird eine "Prüfsumme" über den kompletten Mailinhalt (ohne Header) gebildet. Der Empfänger kann damit jede Veränderung am Inhalt erkennen ("Prüfsumme" passt nicht mehr) und den Absender verifizieren - vorausgesetzt er hat deinen public key.


    *Prüfsumme = Krypto-Hash, der mit deinem geheimen Schlüssel signiert wird.


    PGP bzw gpg dürfte die gängigste Methode zur Mailverschlüsselung/-signierung sein, Funktionsweise ist hier erklärt https://de.wikipedia.org/wiki/GNU_Privacy_Guard

    Es gibt Schnittstellen/Addons zu den wichtigsten Mailanwendungen, aber die Leute sind einfach zu faul es zu nutzen.

    "Ich hab' ja nichts zu verbergen!"

    Menschen die keine Ironie verstehen finde ich super!

  • Naja ... das weicht ein wenig vom Thema ab, ist aber imho ein schönes Beispiel dafür, dass der Mensch an sich (ich in vielen Fällen ganz sicher) scheinbar eine "faule Sau" ist. So erklärt sich z.B. auch die inflationäre Verwendung des root-Accounts - imho hautpsächlich bei Anfängern - nicht nur beim Pi.

    Auf dieses "sichere System" übertragen werden die Sicherheitsmechanismen halt - falls möglich - vermutlich ziemlich schnell kastriert.

    bw: die public keys können auch auf einem key-server gehostet werden und stehen dann beim Empfang der verschlüsselten/signierten mail zur Verfügung.

    cu,

    -ds-

  • Es wird eine "Prüfsumme" über den kompletten Mailinhalt (ohne Header) gebildet. Der Empfänger kann damit jede Veränderung am Inhalt erkennen ("Prüfsumme" passt nicht mehr) und den Absender verifizieren - vorausgesetzt er hat deinen public key.

    Danke, das macht dann schon Sinn.

    PGP bzw gpg dürfte die gängigste Methode zur Mailverschlüsselung/-signierung sein, Funktionsweise ist hier erklärt https://de.wikipedia.org/wiki/GNU_Privacy_Guard

    Es gibt Schnittstellen/Addons zu den wichtigsten Mailanwendungen, aber die Leute sind einfach zu faul es zu nutzen.

    Tchja, und hier liegt der Hund schon begraben. Das Addon um Verschlüsselung nutzen zu können ist gar nicht installiert. So wird das natürlich nie funktionieren und benutzt. Verschlüsselung müsste auf jeden Fall die standard Einstellung sein und aktiv. Der Benutzer müsste es aktiv selber deaktivieren. Am besten mit ein paar Warnhinweisen, das es keine gute Idee sein es zu deaktivieren.


    Nächstes Problem. Ich weiss nicht welches Plugin es sein muss. Irgendwas von diesem vielleicht:

    apt-cache show claws-mail-pgpinline claws-mail-pgpmime claws-mail-smime-plugin


    Ich fürchte, das es nach dem Schlüssel erstellen wieder hakt. Wie viel Prozent sind wohl jetzt schon ausgestiegen?

  • Nabend



    Das ist auf jeden Fall ein Thema, dem ich noch mehr Aufmerksamkeit widmen moechte/muss.

    Habe gestern schon auf deine Seite gestoebert (auch nicht zum ersten mal). Die auch sehr Hilfreich ist. Bin leider eingeschlafen... . Was nicht an deinen Texten liegt, sonder weil es einfach spaet war ;)


    Alles ausschliessen geht auch nicht. Aber wenigstens schon mal die Richtung (Ansatzweise) uebermitteln, kann ja ein kleiner Erfolg sein. Wenn sie jetzt zB ihre Home-Services ins Internet bringen moechten, oder was auch immer, dann kann man das einfach nicht aufhalten.


    Der DE-Markt

    Ich finde gerade DE ist der "Markt" vorhanden oder kommt immer mehr und mehr. Ich hatte gemeint, das hier in NZ, so glaube ich, nicht der Markt zurzeit dafuer ist.

    Wenn da jetzt spezielle Anfragen kommen wuerden, kann man das auf jeden Fall mit in Betracht ziehen.


    Quote from daxb

    Privacy: Ist das nicht overkill für die Zielgruppe? Der normale Benutzer ist da schon überfordert, denke ich. Alles mögliche abdecken mit viel Software macht es nicht einfacher. Ich z.B. benutze von der Liste gar nichts, weil bisher nicht benötigt. Für die Meisten ist es wohl am sichersten, den jeweiligen Service (Sync oder Cloud irgendwas) erst gar nicht zu benutzen. Wenn der Benutzer denkt, die Distribution ist ja auf Privatsphäre ausgelegt, dann kann ich auch alles sicher benutzen. Was ja ein Trugschluss ist. Schwieriges Thema.


    Das ist natuerlich erst einmal der Absolute "OVERKILL". Was uns ueber Jahre durch Google und co herangebracht wurde (login hier, registration da...), versucht man jetzt auf einmal alles zu aendern.


    Deswegen, waere das ...

    "

    Perfect Goal

    • Server
      • own distribution
    • Linux (Desktop/Laptop)
      • own distribution
    • Android
      • own distribution (Custom-ROM)

    "

    halt perfect.

    Damit kann man im voraus schon gewisse Einstellungen uebernehmen, wie zB den Samba gleich zu mounten.

    Gerade das Smartphone, selbst mit "own distro" waere allerdings immer noch schwer fuer den Normalen User zu installieren. Wenigstens koennte mit GSI ein einheitliches und vor allem ne breite Masse an Telefonen abgedeckt werden. Zumindest, wenn die Leute auch mal von ihren KitKat und co Versionen wegkommen.
    (Da sei mal kurz erwaehnt, das ein KitKat durch Custom Roms evtl die Moeglichkeit hat, das neueste Android System zu bekommen. Auch wenn das Telefon von 2015 ist oder sogar aelter.)


    Das was Google etc. uns vereinfacht, muessen wir so "halt" eben auch machen. Weil man auch einfach nicht erwarten kann, das sich jeder einzelne in so dermaßen in das Thema einliest, wie unser einer das macht.


    "Cloud"

    Ich mag dieses Wort ueberhaupt nicht. Alles was "Cloud-Services" betrifft, verbinde ich mit nichts gutem. Da kann es auch Open Source sein, was man aber wenigstens eher empfehlen koennte, falls irgendwas im Internet abgelegt werden muss.

    Das Wort benutze ich in unseren Beschreibung aber dennoch. Da es einfach so gut wie jeder kennt.


    Seafile

    Entweder habe ich da jetzt einen Denkfehler oder ich habe es falsch Beschrieben. Aber ich denke, dass man das eigentlich sehr gut vergleichen kann.


    Die ganzen Software:

    ich persoenlich finde es gar nicht so viel an Software. Vllt kann man Adminer noch weglassen. Stoeren tut er aber auch nicht.

    Und gerade Pi-Hole ist einfach genial. Wenn du bald deinen Sprechenden Kuehlschrank hast, dann kann man wenigstens gleich gucken, wie treu der dir ist.

    PHP, Nginx etc. muss dann dazu Installiert werden.


    Quote from dreamshader

    Hi,

    vielleicht noch eine kleine Bemerkung am Rande, die die Aussagen von ThomasL noch unterstreicht: wieviele Leute aus Deinem privaten Umfeld verschlüsseln ihre e-mails, obwohl das mittlerweile jedes Frontend unterstützt?
    Bei mit sind's vielleicht vier oder fünf ...


    cu,

    -ds-

    Ich koennte ruhig einen Finger weniger an meiner Hand haben. Wuerde immer noch ausreichen um dir die Anzahl zu zeigen ;)


    Ich schicke meinen Public Key immer mit bzw. den Link zum Key. Selten wird der benutzt.

    Da kann man vllt. ruhig Protonmail oder Tutanota wenigstens empfehlen. Habe Tutanota noch nie ausprobiert aber bei Protonmail geht mir die zumindest deren " Bridge" total aufn Senkel. Das man halt nicht seine beliebigen Clients benutzen kann. Deswegen habe ich auch einen eigenen Email Server aber selbst dem traue ich nicht :D

    Protonmail und gleicherarten, finde ich trotzdem erwaehnenswert. Ist wenigstens ein bissel mehr "Privacy" und die Verschluesselung sind auch schon mit integriert.


    Aber das ist auch eine Sache, den man dem User Langsam heran fuehren koennte. Also PGP. Selbst mit den "Perfect Goal" je nach Motivation, denke ich, das es ein Jahr dauert, um alles vernuenftig zu benutzen. Und zu Verstehen, das man auch eigentlich mit GPG auch ruhig Google Email benutzen koennte. Ausser Meta Daten vllt. usw usf.


    Komplettes abstellen wird wahrscheinlich nie moeglich sein. Ausser halt kein Internet mehr benutzen. Aber minimieren der Daten an die Welt zu senden, das geht auf jeden Fall.



    Quote from dreamshader

    Naja ... das weicht ein wenig vom Thema ab,

    Nene, das ist das Thema ;) Das passt schon.



    Gruss,

    Dan

  • Quote from daxb

    Jetzt am RPi 3B Raspbian und Claws als Emailprogramm, habe ich zwar unter Datenschutz ein Haken bei "Nachrichten immer verschlüsseln" und "Nachrichten stets signieren, wenn eine verschlüsselte Nachricht beantwortet wird". Aber ob das funktioniert, oder irgendwas bringt, k.A.? Die Claws Anleitung ist da nicht besonders hilfreich.

    Ich habe jetzt noch nie den Claws-Clienten benutzt. Ich kann da jetzt nicht sicher sein, dass das auf den uebertagbar ist.


    Du musst erstmal ein Public Key integrieren, damit der Client die Email automatisch verschluesseln kann. Wenn du eine email jetzt an mir schicken wuerdest zu dan'at'pwoss.xyz


    Dann laedst du dir erstmal meinen Public Key runter.

    DanSman = Public Key


    Im Terminal:

    Code
    gpg --import gpgkey.asc


    Dann checkst du den Fingerprint mit dem command unten und vergleichst den Fingerprint, der im Terminal aufgelistet wird, mit dem den ich hier unter dem ersten code beigefuegt habe. (Was mit einem Telefon Gespraech oder Persoenliches gegenuber stehen aber noch besser waere. Du bist sehr herzlich willkommen hier ;))

    Code
    gpg --fingerprint dansman
    PGP fingerprint: 4784 F5FF 89F3 06CF B6F7 704C 2A44 D31D E67D 8EB6


    Jetzt koennte man noch:

    Wenn du mir jetzt ganz sicher vertrauen koenntest, kannst du den Public Key auf die folgende "Vetrauensstatus" setzen.


    1 = I don't know or won't say
    2 = I do NOT trust
    3 = I trust marginally
    4 = I trust fully
    5 = I trust ultimately


    "

    Anhand der Unterschriften und des "ownertrusts" ermittelt GnuPG die Gültigkeit des Schlüssels. Der Ownertrust ist ein Wert mit dem der Benutzer festlegt, in welchem Maße er dem Schlüsselinhaber zutraut, andere Schlüssel verläßlich zu unterzeichnen. Die möglichen Abstufungen sind "gar nicht", "weiß nicht", "teilweise" und "vollständig". Wenn der Benutzer also einem anderem nicht traut, kann er GnuPG über diesen Mechanismus anweisen, dessen Unterschrift zu ignorieren. Der Ownertrust wird nicht im Schlüsselbund gespeichert, sondern in einer separaten Datei.

    "

    Hier ist auch noch eine ganz gute Erklaerung dazu.


    Der Command dafuer waere:


    Code
    gpg --edit-key dansman
    trust


    Wenn du jetzt im Email Client dementsprechend meine email " To Sender: " einfuegst, sollte sie dann autmoatisch verschluesselt werden.


    Du kannst das gerne mit mir ausprobieren. Die erste email an mich sollte dann ebenfalls eine download link oder als file im Anhang deines Public Keys beinhalten.



    Danach kannst du den Key ja wieder loeschen:

    Code
    gpg --delete-key dansman


    Ich hatte da auch Anlauf Schwierigkeiten. Einfach ausprobieren und irgendwann kapiert man das schon.


    Hier haste noch einen sehr schoene kurze Beschreibung. Und hier ein bissel Ausfuehrlicher.



    Das ganze gibt es auch als GUI. Bei meinem System (Arch - KDE), kann man da "Kleopatra" zB benutzen. Das macht es vllt ein bissel uebersichtlicher.


    Gruss,

    Dan

    Edited 4 times, last by DanSman ().

  • Hehe... jetzt weiss man auch, warum es kaum einer benutzt. Den Aufwand betreibt nicht jeder und da es die Anderen auch machen müssten, wird das nichts. Automatisiert funktioniert das ja nicht, bzw. dann wäre jeder automatisch Vertrauenswürdig. Was das System auf den Kopf stellen würde. :(