Enigma Box

7/23/2019 Enigma Box

1/148

Enigmabox Handbuch

Release 1.0.0

20.11.2015


2/148


3/148

Inhaltsverzeichnis

1 Schnellstart 1

1.1 Lieferumfang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2 Der erste Start . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

2 Einfhrung 5

2.1 Damals, im zweiten Weltkrieg... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52.2 Die Entwicklung des Internets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62.3 Unser Masterplan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62.4 Unabhngigkeitserklrung des Cyberspace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

3 Anwendungsflle 9

3.1 Als Heimanwender . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93.2 Als Internetcafe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103.3 Als Firma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103.4 Als Diplomat, Anwalt, Arzt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113.5 Als Forscher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

4 Hardware 13

4.1 Enigmabox . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134.2 Banana Pi (Eigenbau) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

5 System 15

5.1 Adressen verwalten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155.2 Das globale Adressbuch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175.3 Passwrter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195.4 Passwort zurcksetzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225.5 Einen anderen IP-Bereich festlegen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225.6 Eine Systemsicherung durchfhren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235.7 Das System wiederherstellen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

5.8 SSL-Zertifikate importieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295.9 Die Firmware aktualisieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

6 Internet 35

6.1 Land auswhlen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356.2 Werbeblocker konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

7 Telefonie 61

7.1 Das Telefon einrichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 617.2 Statusabfrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

i


4/148

7.3 Telefonkonferenzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 627.4 Anrufbeantworter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 627.5 Videotelefonie mit Jitsi. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 627.6 Telefonie auf einem Android-Handy einrichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

8 E-Mail 77

8.1 Webmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 778.2 Thunderbird . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

9 Dienste 87

9.1 Zugriff verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 879.2 Eigene Website hosten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 909.3 Wiki . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 939.4 Pastebin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 979.5 OwnCloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

10 Fehlerbehebung 111

10.1 Ich kann die Box nicht erreichen, was muss ich tun? . . . . . . . . . . . . . . . . . . . . . . . . . . 11110.2 Ich kann das Internet nicht erreichen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11210.3 Ich habe mein Passwort fr das Webinterface vergessen . . . . . . . . . . . . . . . . . . . . . . . . 11210.4 Status via Telefon abfragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11210.5 Mein Abonnement ist abgelaufen, was kann ich tun? . . . . . . . . . . . . . . . . . . . . . . . . . . 112

11 Technische Funktionsweise 113

11.1 Cjdns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11311.2 System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

12 Sicherheit 119

12.1 Doppelte Umwandlung der IP-Adresse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12012.2 Absicherung der Internetverbindung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12012.3 Die Firewall ist standardmssig komplett dicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12112.4 Freie, Open Source Software. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12212.5 cjdns: Die IPv6 ist deine Identitt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12212.6 Fortgesetzte Geheimhaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12212.7 Ende-zu-Ende Verschlsselung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12312.8 Verschleierte Verbindungsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12312.9 Alle Daten sind ein einen einzigen verschlsselten Datenstrom eingebettet . . . . . . . . . . . . . . 12512.10 Konstante Bitraten bei Telefongesprchen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12512.11 Keine zentralen Serverdienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12612.12 Im Notfall kommunizieren die Enigmaboxen direkt untereinander . . . . . . . . . . . . . . . . . . . 12712.13 Signierte Updates. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12712.14 IP-Adressen statt DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

13 Bedrohungsmodell 129

13.1 Unverschlsselter Speicher. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12913.2 Kein Passwort gesetzt nach dem ersten Start . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13013.3 Benutzer verwendet schwache Passwrter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13013.4 0day exploits (gewisse Dienste sind innerhalb des LANs erreichbar) . . . . . . . . . . . . . . . . . . 13013.5 Benutzer benutzt Windows und besucht Malware-verseuchte Fuudibildli-Webseiten . . . . . . . . . 13013.6 Benutzer loggt sich in Facebook ein. Netzwerkverkehr ist identifiziert, NSA lsst QUANTUM und

FOXACID laufen und injiziert Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13113.7 Wanzen, andere Personen im Raum, Lasermikrofone . . . . . . . . . . . . . . . . . . . . . . . . . . 13213.8 Eingeschaltete Mobiltelefone im selben Raum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132

14 Kommandozeilenreferenz 135

ii


5/148

14.1 Enigmabox . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13514.2 Funktionen fr Benutzer mit Abonnement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13614.3 Cjdns-Tools. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

15 Firmware kompilieren 139

15.1 Repository klonen, OpenWrt konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

15.2 Image konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

iii


6/148

iv


7/148

KAPITEL 1

Schnellstart

1.1 Lieferumfang

1.2 Der erste Start

1.2.1 Anschliessen der Komponenten

Verbinde den Router/Modem ber ein Netzwerkkabel mit der Internet Buchse der Enigmabox.

Verbinde den Computer ber ein Netzwerkkabel mit der LAN Buchse der Enigmabox.

Verbinde das Telefon ber ein Netzwerkkabel mit der LAN Buchse der Enigmabox.

1


8/148

Enigmabox Handbuch, Release 1.0.0

Hier in diesem Beispiel:

Blaues Kabel: Router/Modem

Weisses Kabel: Computer

Schwarzes Kabel: Telefon

Wichtig: Stecke das andere Ende des schwarzen Netzwerk-Kabels in die LAN Buchse des Telefons.

Verbinde das Stromkabel mit der Enigmabox. Beim ersten Start kann es bis zu 5 Minuten dauern, bis die Box bereit

ist. Sie bringt die Software auf den neusten Stand und konfiguriert ihren Internetzugang.

1.2.2 Zugriff auf die Administrationsoberflche

Nach dem Start kannst du auf die Administrationsoberflche zugreifen:http://box/oderhttp://box.enigmabox.net/

Der Zugriff funktioniert nur, wenn der Computer direkt an den mit LAN bezeichneten Anschlssen angeschlossenist! Der Anschluss Internet ist von aussen komplett abgeschirmt.

1.2.3 Setzen von Passwrtern

Setze ein Passwort fr die Administrationsoberflche.

Menpunkt Passwrter -> Klick auf Bearbeiten:

2 Kapitel 1. Schnellstart
http://box/http://box.enigmabox.net/http://box.enigmabox.net/http://box/


9/148


Gib dein gewnschtes Passwort ein. Der Benutzername ist immer admin. Besttigen mit Speichern.

Danach die nderungen mit nderungen anwenden aktivieren:

1.2. Der erste Start 3


10/148


1.2.4 Wie geht es jetzt weiter?

Konfiguriere das Land, ber welches du auf das Internet zugreifen willst:Land auswhlen.

Fge Kontakte zum Adressbuch hinzu: Adressen verwalten.

Richte das Telefon ein:Telefonie.

Sende und empfange E-Mails:E-Mail.

Fhre eine Systemsicherung durch (wichtig!): Eine Systemsicherung durchfhren. Wir halten keine Benutzerdatenauf unseren Servern. Daten auf der Enigmabox (Adressbuch, E-Mails, Bilder, Dokumente, persnliche Webseiten,Passwrter, dercjdns Private Key) sind auf der Enigmabox gespeichert und dort bleiben sie auch. Falls du die Datenauf deiner Enigmabox verlierst und keine Sicherung gemacht hast, bist du am Arsch.

4 Kapitel 1. Schnellstart


11/148

KAPITEL 2

Einfhrung

Damals, im zweiten Weltkrieg... Die Entwicklung des Internets Unser Masterplan

Phase Eins Phase Zwei Phase Drei

Unabhngigkeitserklrung des Cyberspace

2.1 Damals, im zweiten Weltkrieg...

Das Darknet der Nazis wurde vom genialen Mathematiker Alan Turing gehackt. Der Aufwand war fr die damaligeZeit gewaltig. Die Turing-Bomben fllten riesige Hallen. Die Daten wurden damals mit der neu entwickelten Funk-technik bermittelt. Mit Antennen konnten die Funksprche - ohne dass es die Nazis bemerkten - mitgehrt werden.

Die Nazis schtzten mit der von ihnen entwickelten Enigma-Maschine ihre Funksprche. Diese Maschine konnteFunksprche ver- und entschlsseln. Dazu musste man wissen, welche Einstellung die Walzen haben mssen. Siegingen davon aus, dass Angreifer noch keine Maschinen zum Knacken des Codes hatten. Das war auch so, bis AlanTuring auftauchte und die nach ihm benannten Turing-Bomben bauen liess. Es gelang ihm aber nur dank den erbeu-teten Enigma-Maschinen und den aktuellen Einstelllisten der Walzen. Damit konnten die Nachrichten entschlsseltwerden und mit der daraus gewonnen statistischen Auswertung und den Turing-Bomben auch zuknftige Nachrich-ten gelesen werden. Dies hatte den damaligen Kriegsverlauf dramatisch verndert. Es wird von symbolischen 2 Jahreverkrztem Krieg gesprochen und sogar davon, dass die Nazis ihr drittes Reich nicht htten aufgeben mssen.

Der Vorsprung einer abhrsicheren Kommunikation wird auch in Zukunft nicht so einfach mit Geld aufzuwiegensein. Der Wert von Funksprchen von damals kann heute durchaus mit dem Wert der Datenstrme auf dem Internetverglichen werden.

Nur die Dimensionen sind gewaltig gewachsen. Es wurde ein Zeitgeist geschaffen, der die Kommunikationspartner im

Glauben lsst, dass Verschlsselung nicht ntig sei. Nur so ist es heute noch mglich, die Daten abhren zu knnen.Moderne Systeme wie zum Beispiel die Enigmabox knnen weder mit statistischen Methoden, noch nachtrglich miteinem erbeuteten Geheimschlssel entschlsselt werden. Die Daten sind auch nicht einfach mit Antennen abhorchbar.Sie mssen mhsam aus einem Mesh-Netzwerk herausgefischt werden. Das bernehmen zwar riesige Rechencenter.Aber die Enigmabox hat im Vergleich zu den 4 Walzen der Enigma-Maschine ungemein komplexere Verschlsselungs-algorithmen, die nur mit einem gewaltigen Rechenaufwand entschlsselt werden knnen, wenn berhaupt. Und dieDaten nehmen in einem Mesh-Netz immer wieder einen anderen Weg. Die Wege knnen auch aus eigenen Datenlei-tungen und WLAN-Netzen bestehen. So scheitert eine erfolgreiche Entschlsselung bereits bei der Datenbeschaffung.

5


12/148


Abhrsichere Kommunikationswege werden auch in der heutigen Zeit den Internetgiganten und der von den Geheim-diensten berwachten Welt eine entscheidende Wendung geben.

Verschlsseln ist viel einfacher als entschlsseln. Das verschlsseln einer Nachricht dauert ein paar Millisekunden.Das entschlsseln dauert ein paar Millionen Jahre. Machen wir davon Gebrauch!

2.2 Die Entwicklung des Internets

1969 als Projekt des Verteidigungsministerium gestartet, verbindet es heute jeden Computer auf dem Planeten. Doch:Verschlsselung ist optional, muss mit Zusatzprogrammen nachtrglich eingebaut werden, war so nicht vorgese-hen. Das Internet ist ein gefhrlicher Ort geworden - alle Daten fliessen im Klartext ber die Leitungen. Auf diesemFundament findet heutzutage all unsere Kommunikation statt.

Dieses Fundament ist so kaputt, dass sich ein paar Individuen um den Erdball dazu entschieden haben, das Internet neuzu bauen. Diesmal verschlsselt und auf sicheren Protokollen basierend. Caleb James DeLisle hat cjdns entwickelt,um diese Vision nher zur Manifestation zu bringen. Wir bringen euch die Enigmabox, mit der dieses noch etwasleere, aber verschlsselte Netzwerk sinnvoll und produktiv genutzt werden kann.

2.3 Unser Masterplan

2.3.1 Phase Eins

So viele cjdns-Boxen wie mglich ausrollen. VPN-Zugang zum Clearnet anbieten. (Die meisten Menschen sind immernoch vom alten Internet abhngig und auf seine Dienste angewiesen). Entwickeln, integrieren und konfigurieren vonbekannten Internetdiensten wie E-Mail, VoIP, XMPP, Twitter, [dein-IPv6-kompatibler-Dienst], damit diese reibungslosmit cjdns in dieser verteilten Umgebung laufen.

2.3.2 Phase Zwei

cjdns bewerben. Jedem helfen, ins Hyperboria-Netzwerk zu gelangen. Verschlsselung soll Standard sein. cjdns istnicht auf eine bestehenden IP-Infrastruktur angewiesen. Eigene Kabel betreiben. Internetdienstleister berzeugen,cjdns zu benutzen. Mesh-Inseln bilden. Mesh-Inseln verbinden. Wachsen.

2.3.3 Phase Drei

Das ICANN-Internet ist durch die fortschreitende Zensur unbenutzbar und wird dunkel. Hyperboria wird das neueInternet. Ein weisses Netzwerk aus Licht.

Die NSA ist obsolet.

2.4 Unabhngigkeitserklrung des Cyberspace

Regierungen der industriellen Welt, Ihr mden Giganten aus Fleisch und Stahl, ich komme aus dem Cyberspace, derneuen Heimat des Geistes. Im Namen der Zukunft bitte ich Euch, Vertreter einer vergangenen Zeit: Lat uns in Ruhe!Ihr seid bei uns nicht willkommen. Wo wir uns versammeln, besitzt Ihr keine Macht mehr.

Wir besitzen keine gewhlte Regierung, und wir werden wohl auch nie eine bekommen und so wende ich mich mitkeiner greren Autoritt an Euch als der, mit der die Freiheit selber spricht. Ich erklre den globalen sozialen Raum,

6 Kapitel 2. Einfhrung


13/148


den wir errichten, als gnzlich unabhngig von der Tyrannei, die Ihr ber uns auszuben anstrebt. Ihr habt hier keinmoralisches Recht zu regieren noch besitzt Ihr Methoden, es zu erzwingen, die wir zu befrchten htten.

Regierungen leiten Ihre gerechte Macht von der Zustimmung der Regierten ab. Unsere habt Ihr nicht erbeten, ge-schweige denn erhalten. Wir haben Euch nicht eingeladen. Ihr kennt weder uns noch unsere Welt. Der Cyberspaceliegt nicht innerhalb Eurer Hoheitsgebiete. Glaubt nicht, Ihr knntet ihn gestalten, als wre er ein ffentliches Projekt.Ihr knnt es nicht. Der Cyberspace ist ein natrliches Gebilde und wchst durch unsere kollektiven Handlungen.

Ihr habt Euch nicht an unseren groartigen und verbindenden Auseinandersetzungen beteiligt, und Ihr habt auchnicht den Reichtum unserer Marktpltze hervorgebracht. Ihr kennt weder unsere Kultur noch unsere Ethik oder dieungeschriebenen Regeln, die unsere Gesellschaft besser ordnen als dies irgendeine Eurer Bestimmungen vermchte.

Ihr sprecht von Problemen, die wir haben, aber die nur Ihr lsen knnt. Das dient Eurer Invasion in unser Reich alsLegitimation. Viele dieser Probleme existieren gar nicht. Ob es sich aber um echte oder um nur scheinbare Konfliktehandelt wir werden sie lokalisieren und mit unseren Mitteln angehen. Wir schreiben unseren eigenen Gesellschafts-vertrag. Unsere Regierungsweise wird sich in bereinstimmung mit den Bedingungen unserer Welt entwickeln, nichtEurer. Unsere Welt ist anders.

Der Cyberspace besteht aus Beziehungen, Transaktionen und dem Denken selbst, positioniert wie eine stehende Welleim Netz der Kommunikation. Unsere Welt ist berall und nirgends, und sie ist nicht dort, wo Krper leben.

Wir erschaffen eine Welt, die alle betreten knnen ohne Bevorzugung oder Vorurteil bezglich Rasse, Wohlstand,militrischer Macht und Herkunft.

Wir erschaffen eine Welt, in der jeder Einzelnen an jedem Ort seine oder ihre berzeugungen ausdrcken darf, wieindividuell sie auch sind, ohne Angst davor, im Schweigen der Konformitt aufgehen zu mssen.

Eure Rechtsvorstellungen von Eigentum, Redefreiheit, Persnlichkeit, Freizgigkeit und Kontext treffen auf uns nichtzu. Sie alle basieren auf der Gegenstndlichkeit der materiellen Welt. Es gibt im Cyberspace keine Materie.

Unsere persnlichen Identitten haben keine Krper, so da wir im Gegensatz zu Euch nicht durch physische Gewaltreglementiert werden knnen. Wir glauben daran, da unsere Regierungsweise sich aus der Ethik, dem aufgeklrtenSelbstinteresse und dem Gemeinschaftswohl eigenstndig entwickeln wird. Unsere Identitten werden mglicherweiseber die Zustndigkeitsbereiche vieler Eurer Rechtssprechungen verteilt sein. Das einzige Gesetz, das alle unsereentstehenden Kulturen grundstzlch anerkennen werden, ist die Goldene Regel. Wir hoffen, auf dieser Basis in derLage zu sein, fr jeden einzelnen Fall eine angemessene Lsung zu finden. Auf keinen Fall werden wir Lsungen

akzeptieren, die Ihr uns aufzudrngen versucht.

In den Vereinigten Staaten habt Ihr mit dem Telecommunications Reform Act gerade ein Gesetz geschaffen, dasEure eigene Verfassung herabwrdigt und die Trume von Jefferson, Washington, Mill, Madison, Tocqueville undBrandeis beleidigt. Diese Trume mssen nun in uns wiedergeboren werden.

Ihr erschreckt Euch vor Euren eigenen Kindern, weil sie Eingeborene einer Welt sind, in der Ihr stets Einwandererbleiben werdet. Weil Ihr sie frchtet, bertragt Ihr auf Eure Brokratien die elterliche Verantwortung, die Ihr zu feigeseid, selber auszben. In unserer Welt sind alle Gefhle und Ausdrucksformen der Humanitt Teile einer umfassendenund weltumspannenden Konversation der Bits. Wir knnen die Luft, die uns erstickt, von der nicht trennen, die unsereFlgel emporhebt.

In China, Deutschland, Frankreich, Ruland, Singapur, Italien und den USA versucht Ihr, den Virus der Freiheitabzuwehren, indem Ihr Wachposten an den Grenzen des Cyberspace postiert. Sie werden die Seuche fr eine Weile

eindmmen knnen, aber sie werden ohnmchtig sein in einer Welt, die schon bald von digitalen Medien umspanntsein wird.

Eure in steigendem Mae obsolet werdenden Informationsindustrien mchten sich selbst am Leben erhalten, indemsie in Amerika und anderswo Gesetze vorschlagen, die noch die Rede selbst weltweit als Besitz definieren. DieseGesetze wrden Ideen als nur ein weiteres industrielles Produkt erklren, nicht ehrenhafter als Rohmetall. In unsererWelt darf alles, was der menschliche Geist erschafft, kostenfrei unendlich reproduziert und distribuiert werden. Dieglobale bermittlung von Gedanken ist nicht lnger auf Eure Fabriken angewiesen.

Die zunehmenden feindlichen und kolonialen Manahmen versetzen uns in die Lage frherer Verteidiger von Freiheit

2.4. Unabhngigkeitserklrung des Cyberspace 7


14/148


und Selbstbestimmung, die die Autoritten ferner und unwissender Mchte zurckweisen muten. Wir mssen unservirtuelles Selbst Eurer Souvernitt gegenber als immun erklren, selbst wenn unsere Krper weiterhin Euren Regelnunterliegen. Wir werden uns ber den gesamten Planeten ausbreiten, auf da keiner unsere Gedanken mehr einsperrenkann.

Wir werden im Cyberspace eine Zivilisation des Geistes erschaffen. Mge sie humaner und gerechter sein als die Welt,die Eure Regierungen bislang errichteten.

John Perry Barlow ([email protected])

Davos, Schweiz

8. Februar 1996

8 Kapitel 2. Einfhrung
mailto:[email protected]:[email protected]:[email protected]


15/148

KAPITEL 3

Anwendungsflle

Als Heimanwender Als Internetcafe Als Firma

Als Diplomat, Anwalt, Arzt Als Forscher

3.1 Als Heimanwender

Heimanwender setzen ihre Enigmabox so ein:

Eine Enigmabox schtzt das gesamte Netzwerk. Alle Rechner sind nach aussen abgeschirmt und knnen sicher sur-fen. Der Werbeblocker filtert Werbung (Werbeblocker konfigurieren), die Abhrfunktionen von Windows 10 werden

9


16/148


blockiert. Du umgehst Lndersperren auf YouTube mit der Lnderwahl (Land auswhlen).

3.2 Als Internetcafe

Besitzer eines Internetcafes oder eines sonstigen Anbieters von ffentlich zugnglichem Internet hngen die Enigma-box zwischen Router und Accesspoint:

Sie brauchen sich nicht um das Surfverhalten ihrer Gste zu kmmern. Die Strerhaftung entfllt, sie tragen keinRisiko. Der Registrationszwang fr die Gste entfllt.

3.3 Als Firma

Kleine Firmen rsten jeden Arbeitsplatz mit einer Enigmabox aus:

10 Kapitel 3. Anwendungsflle


17/148


Und schon stehen sichere Computerarbeitspltze mit verschlsselter Telefonie bereit. Die Mitarbeiter sind unterein-ander vernetzt und knnen Dateien austauschen (OwnCloud), untereinander per E-Mail (E-Mail) und Telefon(Telefo-nie)kommunizieren, gemeinsam an Dokumenten arbeiten (Echtzeitkollaboration einrichten)und Projekte bearbeiten(Wiki). Telefonkonferenzen mit vielen Teilnehmern (Telefonkonferenzen) sind ebenso mglich wie Videotelefonie (Vi-deotelefonie mit Jitsi).

3.4 Als Diplomat, Anwalt, Arzt

Vertrauenspersonen schtzen ihren Internetverkehr und ihre Infrastruktur. Falls ihre Kunden ebenfalls eine Enigmaboxbesitzen, knnen sie sich sicher mit ihnen darber austauschen (E-Mail,Telefonie).

3.4. Als Diplomat, Anwalt, Arzt 11


18/148


3.5 Als Forscher

Forscher und Wissenschaftler knnen an mehreren Standorten gemeinsam an Projekten (Wiki)und Dokumenten (Echt-

zeitkollaboration einrichten) arbeiten, sich per E-Mail austauschen (E-Mail), Telefonkonferenzen durchfhren (Tele-fonkonferenzen) oder sich gleich per Videotelefonie unterhalten (Videotelefonie mit Jitsi) und die Ergebnisse ihrerArbeiten auf dem Webserver der Enigmabox hosten (Eigene Website hosten).

12 Kapitel 3. Anwendungsflle


19/148

KAPITEL 4

Hardware

Enigmabox Banana Pi (Eigenbau)

4.1 Enigmabox

13


20/148


Modell: PC Engines APUCPU: AMD G series T40E APU, 1 GHz 64-bit dual coreRam: 2 GB DDR3Speicher: 4 GB SSDNetzwerk: 3 Gigabit Ethernet (Realtek RTL8111E)Durchsatz: Bis zu 40 Mbit/s verschlsselter Datenverkehr

4.2 Banana Pi (Eigenbau)

Modell: M1CPU A20 ARM Cortex A7 Dual-CoreRam 1GB DDR3Speicher 4 GB SD-KarteNetzwerk 10/100/1000 Ethernet RJ45Durchsatz: Bis zu 8 Mbit/s verschlsselter Datenverkehr

Anleitung zum Eigenbau: https://wiki.enigmabox.net/build-your-own

14 Kapitel 4. Hardware
https://wiki.enigmabox.net/build-your-ownhttps://wiki.enigmabox.net/build-your-own


21/148

KAPITEL 5

System

Adressen verwalten Kontakt hinzufgen

Das globale Adressbuch

Globale Erreichbarkeit aktivieren Eigene Adresse im globalen Adressbuch publizieren Passwrter

Passwort fr die Administrationsoberflche Passwort fr das E-Mail Konto Passwort fr das Telefon Passwort fr den SSH-Zugang Passwort fr die Administrationsoberflche oder das E-Mail Konto setzen

Passwort zurcksetzen Einen anderen IP-Bereich festlegen Eine Systemsicherung durchfhren Das System wiederherstellen SSL-Zertifikate importieren

Was passiert im Hintergrund? Die Firmware aktualisieren

Schritt 1: Image herunterladen Schritt 2: Image berprfen Schritt 3: Image schreiben

5.1 Adressen verwalten

Das Adressbuch ist der Dreh- und Angelpunkt fr die Kontaktverwaltung der Enigmabox. Die IPv6-Adresse wirdzufllig generiert und dient als eindeutige Identifizierung im Netzwerk.

(Fr technische Details, siehe Technische Funktionsweise).

15


22/148


Die IPv6 ist deine Telefonnummer. Die Enigmaboxen identifizieren sich nur anhand dieser IPv6.

Da es aber mhsam wre, diese lange Folge von Zahlen und Buchstaben jedesmal am Telefon einzugeben, weist du

der IPv6 eine Kurznummer fr das Telefon, also eine Telefonnummer zu.

5.1.1 Kontakt hinzufgen

Trage die IPv6 deines Kontakts (2) in das Feld IPv6-Adresse ein. Trage einen beliebigen Namen (Hostname) undeine Telefonnummer dazu ein.

Teile deine IPv6 (1) (Meine Adresse) deinem Gegenber mit. Er wiederholt den Vorgang.

Sobald die IPs gegenseitig im Adressbuch eingetragen sind, knnt ihr euch anrufen.

Beispiel:

1. Meine IP ist fccf:3286:feb2:cc8e:db0c:cf20:cc5d:e60

2. Ich whle die Telefonnummer 123

16 Kapitel 5. System


23/148


3. Das Telefon ruft die IP fc62:df23:6b65:2355:2efc:80b5:c0b9:7e11 (alexandra) an

Der Hostname (alexandra) wird fr die E-Mail Adresse verwendet. Die E-Mail Adresse von alexandra ist in diesemBeispiel mail@alexandra.

Wie man E-Mails sendet und empfngt, steht unter E-Mail.

5.2 Das globale Adressbuch

Das globale Adressbuch ist ein Verzeichnis, in dem jeder seine Adresse publizieren kann, wenn er mchte. Der Vorteil:Der gegenseitige Adressaustausch entfllt. Das ist z.B. bei einem Verkaufsladen von Vorteil; der Inhaber publiziertseine Nummer im globalen Adressbuch und ist so sofort fr potentielle Kunden erreichbar.

Damit man berhaupt fr alle erreichbar ist, muss dafr die Firewall freigeschaltet werden. Das wird ber dieglobaleErreichbarkeitgeregelt. Standardmssig ist das ausgeschaltet.

5.2.1 Globale Erreichbarkeit aktivieren

Klick im globalen Adressbuch auf den schwarzen Schalter Deaktiviert:

5.2. Das globale Adressbuch 17
mailto:mail@alexandramailto:mail@alexandra


24/148


Die Firewall wird fr alle im verschlsselten Netzwerk freigeschaltet und der Knopf hat sich gendert in Ich binglobal erreichbar:

Besttige diese nderung mit nderungen anwenden:

5.2.2 Eigene Adresse im globalen Adressbuch publizieren

Klicke auf den blauen Knopf Bearbeiten:

Eine Eingabemaske erscheint:



25/148


Whle einen Namen und eine Telefonnummer, unter der du erreichbar sein willst. Telefonnummern im globalenAdressbuch fangen immer mit 01 an (wird bei der Eingabe automatisch vorangestellt).

Besttige deine Eingabe mit Speichern.

Der Status ist nun ausstehend:

Alle paar Stunden wird das globale Adressbuch synchronisiert und neue Eintrge werden publiziert.

Wenn alles geklappt hat, ist der Status grn besttigt:

Ist die Telefonnummer oder der Hostname schon besetzt, wird zurckgewiesen:

In diesem Fall eine andere Nummer/Hostname verwenden.

5.3 Passwrter

5.3.1 Passwort fr die Administrationsoberflche

Benutzer:admin

Passwort: [keins]oder das von dir gesetzte Passwort (siehePasswort fr die Administrationsoberflche oder dasE-Mail Konto setzen)

5.3. Passwrter 19


26/148


5.3.2 Passwort fr das E-Mail Konto

Benutzer:mail@box

Passwort: [Zufallspasswort]oder das von dir gesetzte Passwort (siehePasswort fr die Administrationsoberflcheoder das E-Mail Konto setzen)

5.3.3 Passwort fr das Telefon

Benutzer:100

Passwort:100

5.3.4 Passwort fr den SSH-Zugang

Benutzer:root

Passwort: Zufallspasswort, ersichtlich auf der bersichtsseite der Administrationsoberflche (sieheZugriff auf dieAdministrationsoberflche)

5.3.5 Passwort fr die Administrationsoberflche oder das E-Mail Konto setzen

Klicke unter Passwrter auf Bearbeiten fr die Administrationsoberflche oder fr das E-Mail Konto:

mailto:mail@boxmailto:mail@box


27/148


Gib dein gewnschtes Passwort ein.

Fr die Administrationsoberflche lautet der Benutzername admin. Der Benutzername fr das E-Mail Konto heisstmail@box.

Besttigen mit Speichern.


5.3. Passwrter 21
mailto:mail@boxmailto:mail@box


28/148


5.4 Passwort zurcksetzen

Falls du dein Passwort fr die Administrationsoberflche vergessen hast und nicht mehr darauf zugreifen kannst:

Stelle sicher, dass die Enigmabox eingeschaltet ist

Stecke den mitgelieferten USB-Stick ein

Warte eine Minute

Entferne den USB-Stick

Greif auf die Administrationsoberflche zu

Auf dem USB-Stick ist das SSL-Zertifikat fr die Aboverwaltung gespeichert. Es dient auch dazu, Passwrter zu-rckzusetzen. Die Enigmabox prft, ob das Zertifikat auf dem Stick dasselbe ist wie im System und setzt dann dasPasswort der Administrationsoberflche zurck.

5.5 Einen anderen IP-Bereich festlegen

Die Enigmabox vergibt den angeschlossenen Gerten IP-Adressen im Bereich von 192.168.100.X und 192.168.101.X.Falls dein Router im gleichen Bereich Adressen vergibt, bringt das die Enigmabox durcheinander.

Stelle in diesem Fall den Bereich um:



29/148


5.6 Eine Systemsicherung durchfhren

Halte einen USB-Stick bereit, der gross genug ist, um alle Daten zu sichern (4GB empfohlen). Verwende NICHT denmitgelieferten USB-Stick! Der wird zum zurcksetzen des Passwortes verwendet.

Klick im Men Sichern & Wiederherstellen auf Vollstndiges System:

Starte den Systemsicherungsassistenten.

5.6. Eine Systemsicherung durchfhren 23


30/148


Stecke den USB-Stick ein. Er wird geprft, ob gengend Platz fr die Sicherung vorhanden ist.

Formatiere den USB-Stick. ALLE DATEN AUF DEM STICK WERDEN BERSCHRIEBEN!



31/148


Starte die Sicherung.

In einem kleinen Ausgabefenster kannst du den Fortschritt verfolgen. Am Schluss kommt die Meldung If you see no/dev/sdb1 or /mnt there, everything is fine. Prfe in der in der Ausgabe gleich darber, ob das auch so ist und fahredann mit Schritt 4 fort.

5.6. Eine Systemsicherung durchfhren 25


32/148


Entferne den USB-Stick. Du wirst dann zur bersichtsseite weitergeleitet.

5.7 Das System wiederherstellen

Klick im Men Sichern & Wiederherstellen auf Vollstndiges System:



33/148


Starte den Systemwiederherstellungsassistenten.

Stecke den USB-Stick ein. Er wird geprft, ob daraus eine Systemwiederherstellung gemacht werden kann.

5.7. Das System wiederherstellen 27


34/148


Starte die Wiederherstellung.

Der Prozess kann einige Minuten dauern. Stelle sicher, dass die Enigmabox mit dem Internet verbunden ist.



35/148


Entferne den USB-Stick. Du wirst dann zur bersichtsseite weitergeleitet.

5.8 SSL-Zertifikate importieren

Warnung: Wichtig: Stelle sicher, dass die Enigmabox eine Internetverbindung hat!

Klick im Men Sichern & Wiederherstellen auf SSL-Zertifikate:

5.8. SSL-Zertifikate importieren 29


36/148


1. Whle das SSL-Zertifikat aus

2. Klicke auf Import



37/148


Wenn alles geklappt hat, wird die Meldung Import erfolgreich angezeigt.

5.8.1 Was passiert im Hintergrund?

Die Enigmabox verbindet sich mit den SSL-Zertifikaten zum Administrationsserver, holt sich die Zugangsdaten zuden Servern und publiziert ihren cjdns Public Key, damit ihre IPv6 auf den Servern freigeschaltet wird und die ver-schlsselte Internetverbindung aufgebaut werden kann.

5.9 Die Firmware aktualisieren

Bemerkung: Nicht verfgbar auf dem Banana Pi.

Die Firmwareaktualisierung schreibt das komplette Speicherabbild neu auf die Festplatte/Speicherkarte. Dabei werdenE-Mails, Hypesites, /wiki und /owncloud gelscht. Sichere dein System, bevor du die Firmwareaktualisierung machst(sieheEine Systemsicherung durchfhren)!

Die Firmwareaktualisierung eignet sich auch, um ein fehlerhaftes System auf den Originalzustand zurckzusetzen.

5.9. Die Firmware aktualisieren 31


38/148


5.9.1 Schritt 1: Image herunterladen

Ldt das neuste Firmwareimage vom Server herunter.

5.9.2 Schritt 2: Image berprfen

berprft, ob die Daten korrekt bertragen und unterwegs nicht manipuliert wurden.



39/148


5.9.3 Schritt 3: Image schreiben

Wenn alles in Ordnung ist, Image schreiben:

Der Prozess dauert eine Weile. Die Enigmabox startet nach dem Schreiben der Firmware neu und stellt die Grund-einstellungen wie IPv6, Passwrter und Konfigurationen wieder her. E-Mails, Hypesites, /wiki und /owncloud mssenallerdings ber die Systemwiederherstellung wiederhergestellt werden (sieheDas System wiederherstellen).

5.9. Die Firmware aktualisieren 33


40/148




41/148

KAPITEL 6

Internet

Land auswhlen Wie lautet meine IP? In welchem Land befinde ich mich?

Werbeblocker konfigurieren

Windows 10 Stasi-Features blockieren Firefox Windows Mac iPad

6.1 Land auswhlen

Whle, ber welches Land du surfen willst. Also wenn du z.B. Ungarn als Land auswhlst, dann verhlt es sich so, alsob du wirklich grad in Ungarn in einem Internetcaf surfst. Und so mit allen Lndern.

Folgende Lnder stehen zur Auswahl: Schweiz

Ungarn

Schweden

Deutschland

Vereinigte Daten von Amerika

35


42/148


In diesem Beispiel:

Die Schweiz ist das aktuell gewhlte Land.

Falls die Verbindung zum Schweizer Server wegbricht, springt die Verbindung auf Ungarn.

Die anderen Lnder werden nicht bercksichtigt (Inaktiv). Ist Ungarn nicht erreichbar, springt die Verbindung wieder auf die Schweiz.

Verndere die Reihenfolge, indem du ein Land mit der Maus an eine andere Stelle ziehst. Markiere Lnder, die imFehlerfall als Alternative bercksichtigt werden sollen.

36 Kapitel 6. Internet


43/148


6.1.1 Wie lautet meine IP? In welchem Land befinde ich mich?

Wenn du herausfinden willst, wie die IP-Adresse lautet, die grad von aussen sichtbar ist und in welchem Land deineVerbindung rauskommt: Die Website http://www.whereisip.net/gibt Auskunft darber:

6.2 Werbeblocker konfigurieren

Der Werbeblocker luft als Proxyserver auf der Enigmabox. Sag deinem Browser, dass er sich via dieses Proxies insInternet verbinden soll, und die Werbung wird gefiltert.

Proxyserver:box, Port8888

6.2.1 Windows 10 Stasi-Features blockieren

Windows 10 wurde von mehreren Seiten als Abhrmaschine bezeichnet.

Es baut im Hintergrund Verbindungen zu folgenden Diensten auf:

vortex.data.microsoft.com

vortex-win.data.microsoft.com

telecommand.telemetry.microsoft.com

telecommand.telemetry.microsoft.com.nsatc.net

6.2. Werbeblocker konfigurieren 37
http://www.whereisip.net/http://www.whereisip.net/


44/148


oca.telemetry.microsoft.com

oca.telemetry.microsoft.com.nsatc.net

sqm.telemetry.microsoft.com

sqm.telemetry.microsoft.com.nsatc.net

watson.telemetry.microsoft.com

watson.telemetry.microsoft.com.nsatc.net

redir.metaservices.microsoft.com

choice.microsoft.com

choice.microsoft.com.nsatc.net

df.telemetry.microsoft.com

reports.wes.df.telemetry.microsoft.com

wes.df.telemetry.microsoft.com

services.wes.df.telemetry.microsoft.com

sqm.df.telemetry.microsoft.com

telemetry.microsoft.com

watson.ppe.telemetry.microsoft.com

telemetry.appex.bing.net

telemetry.urs.microsoft.com

telemetry.appex.bing.net

settings-sandbox.data.microsoft.com

vortex-sandbox.data.microsoft.comsurvey.watson.microsoft.com

watson.live.com

watson.microsoft.com

statsfe2.ws.microsoft.com

corpext.msitadfs.glbdns2.microsoft.com

compatexchange.cloudapp.net

cs1.wpc.v0cdn.net

a-0001.a-msedge.net

statsfe2.update.microsoft.com.akadns.net

sls.update.microsoft.com.akadns.net

fe2.update.microsoft.com.akadns.net

diagnostics.support.microsoft.com

corp.sts.microsoft.com

statsfe1.ws.microsoft.compre.footprintpredict.com

i1.services.social.microsoft.com

i1.services.social.microsoft.com.nsatc.net

feedback.windows.com

feedback.microsoft-hohm.com

feedback.search.microsoft.com

rad.msn.com

preview.msn.com

ad.doubleclick.net

ads.msn.com

ads1.msads.net

ads1.msn.com

a.ads1.msn.com

a.ads2.msn.comadnexus.net

adnxs.com

aidps.atdmt.com

apps.skype.com

az361816.vo.msecnd.net

az512334.vo.msecnd.net

a.rad.msn.com

a.ads2.msads.net

ac3.msn.com



45/148


aka-cdn-ns.adtech.de

b.rad.msn.com

b.ads2.msads.net

b.ads1.msn.com

bs.serving-sys.com

c.msn.com

cdn.atdmt.com

cds26.ams9.msecn.net

c.atdmt.com

db3aqu.atdmt.com

ec.atdmt.com

flex.msn.com

g.msn.com

h1.msn.com

live.rads.msn.com

msntest.serving-sys.com

m.adnxs.com

m.hotmail.com

pricelist.skype.com

rad.live.com

secure.flashtalking.comstatic.2mdn.net

s.gateway.messenger.live.com

secure.adnxs.com

sO.2mdn.net

ui.skype.com

www.msftncsi.com

msftncsi.com

view.atdmt.com

msnbot-65-55-108-23.search.msn.com

settings-win.data.microsoft.com

schemas.microsoft.akadns.net

a-0001.a-msedge.net

a-0002.a-msedge.net

a-0003.a-msedge.neta-0004.a-msedge.net

a-0005.a-msedge.net

a-0006.a-msedge.net

a-0007.a-msedge.net

a-0008.a-msedge.net

a-0009.a-msedge.net

msedge.net

a-msedge.net

lb1.www.ms.akadns.net

pre.footprintpredict.com

vortex-bn2.metron.live.com.nsatc.net

vortex-cy2.metron.live.com.nsatc.net

Im Webinterface kann ein zustzlicher Filter eingeschaltet werden, der diese Verbindungen ins Leere laufen lsst.



46/148


Wir raten grundstzlich davon ab, Windows 10 zu verwenden.

6.2.2 Firefox

Proxy-Einstellungen fr den Browser konfigurieren, ohne dass das ganze System davon betroffen ist:

Gehe im Firefox ber den Button rechts oben im Browserfenster auf Einstellungen:



47/148


Nun klickst du zuerst auf Erweitert und anschliessend auf Einstellungen...:



48/148


Stelle alles so ein wie auf dem folgenden Bild ersichtlich:



49/148


6.2.3 Windows

ffne ber das Startmen die Systemeinstellungen deines Computers:



50/148


Je nach eingestellter Oberflche klick als nchstes auf Internetoptionen:



51/148


oder auf Netzwerk und Internet:

und anschliessend auf Internetoptionen:



52/148


Im sich darauf ffnenden Fenster whlst du zuerst Verbindungen und dann LAN-Einstellungen:



53/148


Stelle alles so ein wie auf dem folgenden Bild ersichtlich:



54/148


Besttige zum Abschluss mit OK.

Kontrolliere in deinem Browser, ob du auch dort die richtigen Einstellungen gesetzt hast. Dafr gehst du z.B. imFirefox ber den Button rechts oben im Browserfenster auf Einstellungen:



55/148





56/148


Im sich anschliessend ffnenden Fenster kontrollierst du, dass die rot umkreiste Option ausgewhlt ist. Wennnicht, whlst du sie aus und besttigst mit OK:



57/148


6.2.4 Mac

ffne die Einstellungen deines Macs:

Klicke auf Netzwerk:



58/148


Whle nun als erstes die Netzwerkverbindung aus, ber welche du mit der Enigmabox verbunden bist (In diesem Fallist das ein WLAN). Danach klickst du auf Weitere Optionen...:



59/148


Klicke im neu geffneten Fenster zuerst auf Proxies. Danach setzt du den Haken bei Web-Proxy (HTTP) undSchreibst als drittes die Adresse box in das entsprechende Eingabefeld. Wichtig ist auch, den Port 8888 mit anzuge-

ben! Wiederhole den Vorgang fr Sicherer Web-Proxy (HTTPS):



60/148


Schliesse das Fenster mit OK.

Kontrolliere in deinem Browser, ob du auch dort die richtigen Einstellungen gesetzt hast. Dafr gehst du z.B. imFirefox ber den Button rechts oben im Browserfenster auf Einstellungen:



61/148





62/148


Im sich anschliessend ffnenden Fenster kontrollierst du, dass die rot umkreiste Option ausgewhlt ist. Wenn nicht,whlst du sie aus und besttigst mit OK:



63/148


6.2.5 iPad

Tippe auf dem Startbildschirm von iPhone oder iPad auf das Zahnrad-Symbol Einstellungen:



64/148


Wechsle zum Bereich WLAN und whle dein WLAN aus, welches mit der Enigmabox verbunden ist. Tippe in der



65/148


Zeile des Netzwerks, mit dem du verbunden bist, rechts auf das kleine blaue i im Kreis:

Im Bereich HTTP-Proxy stellst du den Schalter auf Manuell. Darunter trgst du im Feld Server den Namenbox ein und als Port gibst du 8888an:



66/148


Bettige den Home-Button, um die Einstellungen zu speichern.

Tipp:Um den Proxyserver wieder auszuschalten, wiederhole die obigen Schritte. In Schritt 4. tippe aber auf Aus.



67/148

KAPITEL 7

Telefonie

Das Telefon einrichten Statusabfrage Telefonkonferenzen

Dem Konferenzraum auf deiner Enigmabox beitreten Einem Konferenzraum auf einer anderen Enigmabox beitreten Anrufbeantworter Videotelefonie mit Jitsi

Jitsi herunterladen Jitsi einrichten Einen Kontakt hinzufgen Videoanruf starten

Telefonie auf einem Android-Handy einrichten

7.1 Das Telefon einrichten

Verbinde das mitgelieferte Grandstream-Telefon mit der Enigmabox und warte ein paar Minuten. Das Telefon holt dieEinstellungen von der Enigmabox und konfiguriert sich von alleine.

Fr andere SIP-kompatible Telefone, hier die Verbindungsdaten fr den Telefonserver:

Server:box

Benutzer:100

Passwort:100

7.2 Statusabfrage

Die Telefonnummer 1 gibt Informationen zur Verbindung der Enigmabox, das Abo, erhaltene E-Mails und erreich-bare Kontakte im Adressbuch aus.

61


68/148


7.3 Telefonkonferenzen

Telefonkonferenzen funktionieren heute meistens so, dass sich alle Teilnehmer in einen zentralen Server einwhlenund danach wie in einem Sitzungszimmer miteinander reden knnen.

Nun - bei der Enigmabox gibt es keine solchen zentralen Server, die das ermglichen. Deshalb haben wir ein wenig

nachgedacht und sind zu folgendem Schluss gekommen:Jede Enigmabox ist ein Konferenzserver!

7.3.1 Dem Konferenzraum auf deiner Enigmabox beitreten

Whle die Nummer 8 auf dem Telefon. *Dad* - du bist in deinem Konferenzraum.

7.3.2 Einem Konferenzraum auf einer anderen Enigmabox beitreten

Bei jedem Anruf ertnt zuerst ein du-diit-Signalton. Du hast nun eine Sekunde Zeit, die Taste 8 zu bettigen -dann landest du im Konferenzraum der angerufenen Enigmabox.

Falls du nach dem Signalton nichts unternimmst, wird der Anruf normal durchgestellt und das Telefon klingelt.

So knnen sich ganz viele Teilnehmer in eine Enigmabox einwhlen und dann eine Telefonkonferenz miteinanderfhren.

7.4 Anrufbeantworter

Der Anrufbeantworter springt automatisch an, wenn nach 30 Sekunden klingeln das Telefon nicht abgenommen wurde.Die aufgezeichnete Nachricht wird als E-Mail gespeichert und landet in der Inbox des Angerufenen.

7.5 Videotelefonie mit Jitsi

Jitsi ist ein Softwaretelefon. Wenn du eine Webcam besitzt, ist alles vorbereitet fr die verschlsselte Videotelefonie!

7.5.1 Jitsi herunterladen

Download von folgender URL: https://jitsi.org/Main/Download

7.5.2 Jitsi einrichten

Klicke auf Datei/Konto hinzufgen..., um ein neues Konto zu erstellen:

62 Kapitel 7. Telefonie
https://jitsi.org/Main/Downloadhttps://jitsi.org/Main/Download


69/148


Verwende100@boxals SIP-Kennung, und100als Passwort:

7.5. Videotelefonie mit Jitsi 63


70/148


Klicke auf Hinzufgen.

Blende die Whltastatur ein und rufe zum Test die Nummer 1 an.



71/148


Wenn alles geklappt hat, wirst du eine Stimme hren, die den Systemstatus vorliest.

7.5.3 Einen Kontakt hinzufgen

Klicke mit der rechten Maustaste im Kontaktfeld und dann auf Kontakt hinzufgen....



72/148


Trage dort die Telefonnummer des Kontaktes ein, den du hinzufgen mchtest. Das ist die gleiche Telefonnummerwie im Enigmabox-Adressbuch. Vergib einen Namen.



73/148


7.5.4 Videoanruf starten

Klicke mit der rechten Maustaste auf den neu hinzugefgten Kontakt, und dann auf Videoanruf:



74/148




75/148


Der Videoanruf startet.

7.6 Telefonie auf einem Android-Handy einrichten

Stelle sicher, dass du die Enigmabox ber WLAN erreichen kannst (Accesspoint muss am LAN-Anschluss der Enig-

mabox angeschlossen sein).Tippe zuerst auf dem Home-Bildschirm des Android-Handys auf Telefon:

7.6. Telefonie auf einem Android-Handy einrichten 69


76/148


Tippe nun links unten auf dem Android-Handy auf die Men-Taste:



77/148


Im sich darauf ffnenden Men tippe auf Anrufeinstellungen:



78/148


Scrolle im sich darauf ffnenden Einstellungsmen ganz nach unten und tippe auf Konten:



79/148


Im neu geffneten Untermen setze zuerst den Haken bei Eingehende Anrufe annehmen und tippe anschliessendauf Konto hinzufgen:



80/148


Bei Benutzernamen und Passwort ist100einzugeben und der Server lautetbox:



81/148


Die Einstellungen werden gespeichert, sobald du zum vorherigen Men zurckkehrst. Dort wirst du zuunterst denMeneintrag Internetanrufe ttigen finden. Tippe darauf und whle die Option Bei jedem Anruf fragen aus.

Nun ist alles eingerichtet, Anrufe vom Android-Handy zu anderen Enigmaboxen ttigen zu knnen oder Anrufe vonanderen auf deine Box mit dem Android-Handy entgegenzunehmen.



82/148




83/148

KAPITEL 8

E-Mail

Webmail Auf die Webmailoberflche zugreifen Neue Nachricht schreiben

Thunderbird Konto erstellen Neue Nachricht schreiben

8.1 Webmail

8.1.1 Auf die Webmailoberflche zugreifen

Das Webmail ist erreichbar unterhttp://mail.box/

77
http://mail.box/http://mail.box/


84/148


Benutze das von dir festgelegte Passwort. Siehe auch: Passwort fr die Administrationsoberflche oder das E-MailKonto setzen

8.1.2 Neue Nachricht schreiben

Klicke auf das Symbol fr eine neue Nachricht.

78 Kapitel 8. E-Mail


85/148


8.1. Webmail 79


86/148


Adressen im An-Feld werden automatisch mit Eintrgen aus dem Enigmabox Adressbuch vervollstndigt.

Links sind drei Adressbcher zu sehen:

Persnliches Adressbuch - nicht relevant

Enigmabox - Adressen aus dem persnlichen Adressbuch (siehe:Adressen verwalten)

Enigmabox (Global) - Adressen aus dem globalen Adressbuch

Anhnge verschicken:Du kannst Anhnge bis zu 100MB via Enigmabox-E-Mail verschicken.

8.2 Thunderbird

8.2.1 Konto erstellen

Klicke in der bersicht von Thunderbird auf E-Mail:



87/148


Dann auf berspringen und meine existierende E-Mail-Adresse verwenden:

8.2. Thunderbird 81


88/148


Die E-Mail-Adresse istmail@boxund das Passwort ist das von dir festgelegte Passwort. Siehe auch:Passwort fr dieAdministrationsoberflche oder das E-Mail Konto setzen

Klicke dann auf Weiter.



89/148


Whle POP3 (Nachrichten auf diesem Computer speichern) aus und klicke danach auf Manuell bearbeiten:

8.2. Thunderbird 83


90/148


Passe die Einstellungen so an wie hier abgebildet:

Besttige mit Fertig.

8.2.2 Neue Nachricht schreiben

Klicke auf Verfassen:



91/148


Das Nachrichtenfenster ffnet sich:

8.2. Thunderbird 85


92/148


Die Fehlermeldung (rot markierte E-Mail-Adresse) kannst du ignorieren. Thunderbird kennt das Format derEnigmabox-E-Mail-Adresse nicht, obwohl diese perfekt dem Standard entspricht.



93/148

KAPITEL 9

Dienste

Zugriff verwalten Firewall Zugriffsrechte einzelner Dienste

Eigene Website hosten Dienst aktivieren Dateien mit SFTP hochladen

Wiki Dienst aktivieren Passwort vom Admin-Account ndern

Pastebin OwnCloud

Initiale Einrichtung Echtzeitkollaboration einrichten Externe Speicher konfigurieren Desktop-Synchronisation einrichten

9.1 Zugriff verwalten

9.1.1 Firewall

Die Firewall erlaubt folgenden Zugriff auf den Webserver der Enigmabox:

Keiner: Kein Zugriff.

Internes LAN: Nur der angeschlossene PC hat Zugriff.

87


94/148


Nur Freunde: Kontakte aus dem Adressbuch haben Zugriff.

Global: Alle im verschlsselten Netzwerk haben Zugriff.

9.1.2 Zugriffsrechte einzelner Dienste

Alle im verschlsselten Netzwerk haben Zugriff.

Kontakte aus dem Adressbuch haben Zugriff.

88 Kapitel 9. Dienste


95/148


Erlaube einzelnen IPv6-Adressen den Zugriff auf einen Dienst.

9.1. Zugriff verwalten 89


96/148


9.2 Eigene Website hosten

Hypesites sind Websites innerhalb des verschlsselten Netzwerks. Auf der Enigmabox luft ein Webserver, und jederkann seine eigene Website fr andere Enigmabox-Benutzer zur Verfgung stellen.

9.2.1 Dienst aktivieren

In der Administrationsoberflche auf Hypesite-Dienste konfigurieren klicken:

Dann Eigene Website aktivieren:



97/148



Die eigene Website luft und du kannst sie ber die URL, die jetzt rechts eingeblendet wird, aufrufen.

9.2.2 Dateien mit SFTP hochladen

WinSCP herunterladen: http://winscp.net/download/winscp574setup.exe

Mit der Enigmabox verbinden:

9.2. Eigene Website hosten 91
http://winscp.net/download/winscp574setup.exehttp://winscp.net/download/winscp574setup.exe


98/148


Fr das Passwort, siehePasswort fr den SSH-Zugang



99/148


Verbinden, Passwort eingeben.

HTML-Dateien hochladen:

Das Verzeichnis des Webservers ist/srv/www/

Editiere die index.html, lade beliebige Dateien hoch. PHP wird untersttzt.

9.3 Wiki

Ein Wiki ermglicht kollaboratives Arbeiten an Projekten, zur Dokumentation oder zur Ideenfindung.

9.3.1 Dienst aktivieren


Dann Wiki aktivieren:

9.3. Wiki 93


100/148



Das Wiki luft und du kannst es ber die URL, die jetzt rechts eingeblendet wird, aufrufen.

9.3.2 Passwort vom Admin-Account ndern

Klicke im Men unten links auf Login:

Logge dich ein, Benutzer: admin, Passwort:admin.



101/148


Gehe zur Wiki-Administration:

Klicke auf User Manager:

9.3. Wiki 95


102/148


Whle den Benutzer admin aus:

Setze ein starkes Passwort und klicke danach auf Save Changes.



103/148


Das Wiki ist jetzt konfiguriert und einsatzbereit. Fr weitere Informationen, konsultiere die DokuWiki Dokumentation:https://www.dokuwiki.org/wiki:dokuwiki

9.4 Pastebin

Ein Pastebin ist dazu da, um lange und kurze Texte schnell und einfach mit anderen zu teilen. Alles, was du tunmusst, ist, den Text in ein Feld einfgen (Paste), und dann den Link verteilen. Der Pastebin, der auf der Enigmaboxmitgeliefert wird, untersttzt verschlsselte Pastes.


9.4. Pastebin 97
https://www.dokuwiki.org/wiki:dokuwikihttps://www.dokuwiki.org/wiki:dokuwiki


104/148


Dann Pastebin aktivieren:


Der Pastebin luft und du kannst ihn ber die URL, die jetzt rechts eingeblendet wird, aufrufen.

9.5 OwnCloud

OwnCloud ermglicht es, Dateien aller Art mit anderen zu teilen, Dateien auf mehreren Rechnern synchron zu hal-ten und gemeinsam an Dokumenten zu arbeiten. Auf der Enigmabox ist OwnCloud so eingebunden, dass smtlicheKommunikation verschlsselt ist, das Teilen mit anderen funktioniert also nur innerhalb des Netzwerks.

9.5.1 Initiale Einrichtung




105/148


Webdienst OwnCloud aktivieren und dann mit nderungen anwenden besttigen:

9.5. OwnCloud 99


106/148


Auf der Hauptseite ist jetzt OwnCloud anklickbar:



107/148


Benutzername und Passwort vergeben:

9.5. OwnCloud 101


108/148


Fertig!

9.5.2 Echtzeitkollaboration einrichten

Im OwnCloud-Men Apps anwhlen:

Unter Not enabled: Documents aktivieren:



109/148


Documents ist als neuer Menpunkt hinzugekommen:

Gemeinsam an einem Dokument arbeiten:

9.5. OwnCloud 103


110/148




111/148


9.5.3 Externe Speicher konfigurieren

Das Men Speichermedien erscheint, sobald OwnCloud aktiviert wurde:

Name des Speichermediums eingeben, damit es aktiviert werden kann:

9.5. OwnCloud 105


112/148


Laufwerk ist eingehngt. nderungen anwenden:

Benutzen heisst: Das Laufwerk wird eingehngt, sobald es verfgbar ist, auch nach einem Neustart.

Im OwnCloud-Men Apps anwhlen:

Unter Not enabled: External storage support aktivieren:



113/148


In OwnCloud im Men rechts Administrator anwhlen:

Externer Speicher hinzufgen: Lokal, Konfiguration: Der vorher definierte Name!

9.5. OwnCloud 107


114/148


Das Laufwerk ist nun in OwnCloud als Ordner sichtbar:

9.5.4 Desktop-Synchronisation einrichten

OwnCloud Desktop-Client herunterladen:

Windows: https://download.owncloud.com/desktop/stable/ownCloud-1.8.4.5267-setup.exe

Mac: https://download.owncloud.com/desktop/stable/ownCloud-1.8.4.2531.pkg

Server-Adresse eintragen:

https://download.owncloud.com/desktop/stable/ownCloud-1.8.4.5267-setup.exehttps://download.owncloud.com/desktop/stable/ownCloud-1.8.4.2531.pkghttps://download.owncloud.com/desktop/stable/ownCloud-1.8.4.2531.pkghttps://download.owncloud.com/desktop/stable/ownCloud-1.8.4.5267-setup.exe


115/148


Fertig!

Der gewhlte Ordner wird nun mit OwnCloud synchron gehalten.

9.5. OwnCloud 109


116/148




117/148

KAPITEL 10

Fehlerbehebung

Ich kann die Box nicht erreichen, was muss ich tun? Ich kann das Internet nicht erreichen Ich habe mein Passwort fr das Webinterface vergessen

Status via Telefon abfragen Mein Abonnement ist abgelaufen, was kann ich tun?

10.1 Ich kann die Box nicht erreichen, was muss ich tun?

Stelle sicher, dass die IP-Adresse automatisch zugewiesen wird:

Weitere Mglichkeiten, um auf das Webinterface zuzugreifen:

http://box.enigmabox.net

111
http://box.enigmabox.net/http://box.enigmabox.net/


118/148


http://box/

http://enigma.box/

http://192.168.100.11

http://192.168.101.11

Sind die Kabel richtig angeschlossen? Siehe:Anschliessen der Komponenten

10.2 Ich kann das Internet nicht erreichen

Konntest du das Internet ohne die Enigmabox erreichen? Stelle sicher, dass dies der Fall ist.

Sind die Kabel richtig angeschlossen? Siehe:Anschliessen der Komponenten

Was sagt das Telefon? Siehe:Status via Telefon abfragen

10.3 Ich habe mein Passwort fr das Webinterface vergessen

Du kannst es zurcksetzen, siehe: Passwort zurcksetzen

10.4 Status via Telefon abfragen

Rufe auf die Telefonnummer 1 an, um den Systemstatus vorgelesen zu bekommen. Die Stimme liest folgendes vor:

Ob du E-Mails erhalten hast und wieviele

Ob alles ok ist

Das gewhlte Land

Die Hostid

Wann das Abonnement abluft

Wieviele Kontakte im Adressbuch erreichbar sind und wieviele nicht

Die installierte Softwareversion

Falls Netzwerkprobleme auftreten, wird ein detaillierter Statusbericht gegeben:

IP vom Router erhalten

Zugriff auf regulres Internet

Netzwerkdienst (cjdns) luft

Zugriff auf verschlsseltes Internet

10.5 Mein Abonnement ist abgelaufen, was kann ich tun?

Im Webinterface wird die Option eingeblendet, um es zu verlngern:http://box/subscription/

Lasse dir die Bankkontodaten anzeigen. Wichtig: Bei der berweisung die Hostid angeben!

1 Je nach dem, welchen Bereich du eingestellt hast. Siehe: Einen anderen IP-Bereich festlegen

112 Kapitel 10. Fehlerbehebung
http://box/http://enigma.box/http://192.168.100.1/http://192.168.101.1/http://box/subscription/http://box/subscription/http://192.168.101.1/http://192.168.100.1/http://enigma.box/http://box/


119/148

KAPITEL 11

Technische Funktionsweise

Cjdns Wie funktioniert die verschlsselte Kommunikation genau?

System

Enigmabox - Ordnerstruktur Wie wendet die Enigmabox genderte Systemeinstellungen an?

11.1 Cjdns

Der Dreh- und Angelpunkt der Enigmabox ist deren Netzwerkprotokoll: cjdns. Die IP-Adresse kann hier nicht wiein traditionellen Netzwerksystemen frei gewhlt werden, sondern sie wird zufallsgeneriert, mit einem dazugehrigenffentlichen und privaten Schlssel. Die Verschlsselung fester Bestandteil des Protokolls. Die IPv6 ist der Fingerprintdes ffentlichen Schlssels. Niemand kann dir deine IP-Adresse wegschnappen, weil er den privaten Schlssel nichtbesitzt. Die IPv6 ist deine Identitt.

Das hat ein paar Vorteile:

Zentrale Server, wo du deine Identitt beweisen musst (zum Beispiel mit einem Passwort), entfallen.

Das erlaubt nicht nur eine dezentrale Infrastruktur, sondern eine verteilte Architektur.

Wenn die IPv6 deine Identitt ist, ist sie deine E-Mail Adresse (mail@[ipv6]).

Wenn die IPv6 deine Identitt ist, ist sie deine Telefonnummer (sip://[ipv6]).

Wenn die IPv6 deine Identitt ist, ist sie dein Webserver (http://[ipv6]).

Siehst du, worauf es hinausluft? Wir dezentralisieren das Internet.

Die Kommunikation ist immer Ende-zu-Ende verschlsselt. Keiner, der das Signal weiterreicht, kann den Inhaltanschauen.

So einfach ist das.

113


120/148


Cjdns fhrt ein tun0 hoch und bindet die IPv6 daran. Smtliche Anwendungen, die IPv6 untersttzen, knnen ver-schlsselt kommunizieren. Wir mssen keine Anwendungen umbauen, wir brauchen keine Programme neu zu schrei-ben.

Cjdns verbindet sich zu Nachbarn (sog. Peers), wahlweise via WLAN, oder ber einen UDP-Tunnel ber das beste-hende Internet. Die Routenfindung passiert automatisch.

11.1.1 Wie funktioniert die verschlsselte Kommunikation genau?

Es ntzt nichts, wenn alles verschlsselt ist, aber niemand Nachrichten entschlsseln kann. In einem Verfahren mitprivaten und ffentlichen Schlsseln ist es so:

Mit demffentlichenSchlssel kann ich eine Nachrichtverschlsseln

Mit demprivatenSchlssel kann ich eine Nachrichtentschlsseln

Jeder Teilnehmer besitzt einen ffentlichen und einen privaten Schlssel.

Jetzt funktioniert das wie folgt:

Alice Bob

Hallo Bob, ich mchte eine Nachricht fr dichverschlsseln.

Ist gut, hier ist mein ffentlicher Schlssel.

[Verschlsselt Nachricht mit Bobs ffentlichemSchlssel]

[Entschlsselt Nachricht mit seinem privatenSchlssel]

11.2 System

11.2.1 Enigmabox - Ordnerstruktur

Was befindet sich wo auf der Enigmabox? Hier eine kleine bersicht:

Ordner Beschreibung/box Benutzerdaten/box/settings.sqlite Datenbank mit allen Einstellungen (IPv6-Adresse, Passwrter, Adressbuch,

...)/etc/enigmabox Enigmabox-spezifische Konfigurationsdaten/opt/enigmabox Enigmabox-Anwendungen/opt/enigmabox/webinterface Die Weboberflche/opt/enigmabox/cfengine-promises

Systemkonfigurationsvorlagen

/srv/www HTML-Dokumente fr Hypesites

11.2.2 Wie wendet die Enigmabox genderte Systemeinstellungen an?

Die Enigmabox nutzt CFEngine zur Konfigurationsverwaltung. Machen wir ein Beispiel mit der /etc/hosts-Datei undfgen eine Adresse im Adressbuch hinzu:

Ich fge die IPv6fc94:3931:6e5:859d:723f:f250:906f:27fbmit dem Hostnamen testerund der Telefonnummer1234im Adressbuch hinzu.

Einstellungen im Webinterface

http://box/addressbook/- das Interface zur Adresserfassung.

Die Option wird in der Benutzerdatenbank/box/settings.sqlitein der Tabelleaddressgespeichert.

114 Kapitel 11. Technische Funktionsweise
http://box/addressbook/http://box/addressbook/


121/148


Wenn wircfengine-applyaufrufen, passiert folgendes:

root@box:~# cfengine-apply

running cfengine and applying promises...

% Total % Received % Xferd Average Speed Time Time Time Current

Dload Upload Total Spent Left Speed

100 29346 0 29346 0 0 66368 0 --:--:-- --:--:-- --:--:-- 66544

2015-11-18T20:18:08+0000 info: /default/system_network/files/'/etc/hosts'[0]: Updated ren2015-11-18T20:18:09+0000 info: /default/system_network/files/'/etc/enigmabox/display_name

2015-11-18T20:18:09+0000 info: /default/system_network/files/'/usr/sbin/rebuild-iptables'

2015-11-18T20:18:09+0000 info: /default/system_network/commands/'/etc/init.d/dnsmasq rest

2015-11-18T20:18:09+0000 info: /default/system_network/commands/'/etc/init.d/dnsmasq rest

2015-11-18T20:18:09+0000 info: /default/system_network/commands/'/usr/sbin/rebuild-iptabl

2015-11-18T20:18:09+0000 info: /default/system_network/commands/'/usr/sbin/rebuild-iptabl

R: checking network configuration: done

R: checking cjdns: done

2015-11-18T20:18:10+0000 info: /default/app_telephony/files/'/etc/asterisk/sip.conf'[0]: U

2015-11-18T20:18:10+0000 info: /default/app_telephony/files/'/etc/asterisk/extensions.con

2015-11-18T20:18:10+0000 info: /default/app_telephony/commands/'/etc/init.d/asterisk rest

2015-11-18T20:18:10+0000 info: /default/app_telephony/commands/'/etc/init.d/asterisk rest

R: checking telephony: done

R: checking email: doneR: checking webfilter: done

R: checking security: done

2015-11-18T20:18:11+0000 info: /default/app_hypesites/files/'/etc/lighttpd/hypesites.d/do

2015-11-18T20:18:11+0000 info: /default/app_hypesites/commands/'/etc/init.d/lighttpd rest

2015-11-18T20:18:11+0000 info: /default/app_hypesites/commands/'/etc/init.d/lighttpd rest

R: checking hypesites: done

root@box:~#

cfengine-apply Skript

Dascfengine-applySkript:

Ruft die aktuelle Konfiguration ber das Webinterface ab:http://box/cfengine/site.json

Speichert sie in der Datei/box/.cf-site.json Ruft cfengine auf mit der Datei/opt/enigmabox/cfengine-promises/site.cfals Parameter

Diesite.cf:

Liest die Konfiguration/box/.cf-site.jsonein

Wendet alle Vorlagen an

CFEngine-Vorlage

Die Vorlage sieht so aus:

/opt/enigmabox/cfengine-promises/system_network/templates/hosts.mustache:

127.0.0.1 localhost

::1 localhost ip6-localhost ip6-loopbackfe00::0 ip6-localnet

ff00::0 ip6-mcastprefix

ff02::1 ip6-allnodes

ff02::2 ip6-allrouters

[...]

# friends

{{#addresses}}

11.2. System 115
http://box/cfengine/site.jsonhttp://box/cfengine/site.json


122/148


{{ipv6}} {{hostname}}

{{/addresses}}

# global addresses

{{#global_addresses}}

{{ipv6}} {{hostname}}.eb

{{/global_addresses}}

Systemkonfigurationsdatei

Heraus kommt die berechnete Hosts-Datei:

/etc/hosts:

127.0.0.1 localhost

::1 localhost ip6-localhost ip6-loopback

fe00::0 ip6-localnet

ff00::0 ip6-mcastprefix

ff02::1 ip6-allnodes

ff02::2 ip6-allrouters

[...]

# friends

fc94:3931:6e5:859d:723f:f250:906f:27fb tester

# global addresses

fca4:7bc7:a85:2eec:138b:bed6:549f:fc72 rasterfahnder.eb

fc38:2b91:7fbd:d9ea:dea0:52fc:e7f6:71a1 no-body.eb

[...]

Dann werden alle betroffenen Dienste (dnsmasq, iptables, asterisk, ...) neugestartet.

Was alles neugestartet werden muss nach einem Template, das steht in der bundle.cf-Datei.

/opt/enigmabox/cfengine-promises/system_network/bundle.cf (vereinfacht):

bundle agent system_network

{

vars:

"json"

data => readjson("$(g.site)", 64000);

files:

"/etc/hosts"

template_method => "mustache",

template_data => readjson("$(g.site)", 64000),

edit_template => "$(this.promise_dirname)/templates/hosts.mustache",

edit_defaults => no_backup,

classes => if_repaired("restart_dnsmasq");

"/etc/dhcpd.conf"

template_method => "mustache",

template_data => readjson("$(g.site)", 64000),

edit_template => "$(this.promise_dirname)/templates/dhcpd.conf.mustache",

edit_defaults => no_backup,

classes => if_repaired("restart_dhcpd");

commands:

restart_dnsmasq::



123/148


"/etc/init.d/dnsmasq restart";

restart_dhcpd::

"/etc/init.d/dhcpd restart";

}

Das ist die ganze Hexerei.

11.2. System 117


124/148




125/148

KAPITEL 12

Sicherheit

Doppelte Umwandlung der IP-Adresse Absicherung der Internetverbindung Die Firewall ist standardmssig komplett dicht

Freie, Open Source Software cjdns: Die IPv6 ist deine Identitt Fortgesetzte Geheimhaltung Ende-zu-Ende Verschlsselung Verschleierte Verbindungsdaten Alle Daten sind ein einen einzigen verschlsselten Datenstrom eingebettet Konstante Bitraten bei Telefongesprchen Keine zentralen Serverdienste Im Notfall kommunizieren die Enigmaboxen direkt untereinander Signierte Updates IP-Adressen statt DNS

119


126/148


12.1 Doppelte Umwandlung der IP-Adresse

Viele PCs sitzen hinter einer Enigmabox.

Viele Enigmaboxen sitzen hinter einem Server.

Deine IP Adresse wird zweimal umgeschrieben und dein Computer ist so doppelt abgeschirmt. Von aussen siehtman nur die IP-Adresse des Servers.

Um zu deinem Computer zu gelangen, muss ein Angreifer zum richtigen Server, dann zur richtigen Enigmaboxund dann zum richtigen PC vordringen.

Die grne Linie ist verschlsselter Datenverkehr, und zwar IPv4 in IPv6.

12.2 Absicherung der Internetverbindung

Wo auch immer du dich befindest, ob in China, im Sudan, Israel oder Deutschland; du wirst immer vertrauenswrdi-ges Internet via Enigmabox-Server empfangen, vorbei an Strafverfolgungsbehrden, schnffelnden Geheimdienstenoder bsen Buben vom Hotelzimmer nebenan, die es auf deinen Computer abgesehen haben (so geschehen beimDarkhotel-Angriff).

120 Kapitel 12. Sicherheit


127/148


Die grne Linie ist verschlsselter Datenverkehr, niemand kann daran etwas manipulieren.

12.3 Die Firewall ist standardmssig komplett dicht

Regulrer, unverschlsselter Netzwerkverkehr wird an der Enigmabox komplett blockiert.

Nur Verbindungen innerhalb des verschlsselten Netzwerks sind erlaubt, und auch nur von Kontakten imAdressbuch.

Lieber Angreifer: Du musst dichim verschlsselten Netzwerk befinden UND in meinem Adressbuch, damit du ber-haupt eine Chance hast, mich anzugreifen.

12.3. Die Firewall ist standardmssig komplett dicht 121


128/148


12.4 Freie, Open Source Software

Die Enigmabox ist Open Source.

Du kannst dir von Programmcode auf dein eigenes Image bauen. Die Anleitung findest du bei GitHub:https://github.com/enigmagroup/enigmabox-openwrt

12.5 cjdns: Die IPv6 ist deine Identitt

Das Netzwerkprotokoll, das die Enigmabox verwendet, heisst cjdns. Bei cjdns ist die IPv6 der Fingerabdruck, einkryptographisches Element mit einem dazugehrigen privaten Schlssel. Verschlsselung ist im Protokoll fix einge-baut, unverschlsselte Kommunikation ist gar nicht erst mglich!

(Fr Techies: cjdns benutzt crypto_box_curve25519xsalsa20poly1305 aus der NaCl Networking and Cryptographylibrary)

12.6 Fortgesetzte Geheimhaltung

Fr jede Kommunikation wird ein temporrer Schlssel generiert. Sobald du den Telefonhrer aufhngst, wird dieserSchlssel verworfen und nicht einmal du selber kannst die stattgefundene Konversation jemals wieder entschlsseln.Diese Schlssel werden auch whrend eines Gesprchs ab und an gewechselt.

So, liebe NSA; ihr habt also so immens viel Rechenleistung, um damit zehntausend Septrilliarden Passwrter proFemtosekunde zu knacken? Sagen wir, dafr braucht ihr so um die zehn Erdenjahre. Die Chancen stehen sogar so,dass ihr mglicherweise nur einen Teil des Gesprchs entschlsseln knnt, weil ja der temporre Schlssel stndig mal

https://github.com/enigmagroup/enigmabox-openwrthttps://github.com/enigmagroup/enigmabox-openwrt


129/148


wieder ausgewechselt wird. Fr das nchste Telefonat drft ihr wieder von vorne anfangen: Neuer Schlssel, neuesalles. Schon wieder zehn Jahre! Schad gll?

12.7 Ende-zu-Ende Verschlsselung

Alle Enigmabox E-Mails sind Ende-zu-Ende verschlsselt.

Alle Enigmabox Telefongesprche sind Ende-zu-Ende verschlsselt.

Die Kommunikation zwischen zwei Partnern geschieht direkt von Enigmabox zu Enigmabox. Der Server in der Mitteleitet bloss die verschlsselten Daten weiter. Enigmabox A hat den Datenstrom fr Enigmabox B verschlsselt, undnur Enigmabox B kann diesen entschlsseln.

12.8 Verschleierte Verbindungsdaten

Niemand kann genau sagen, ob zwei Enigmaboxen miteinander kommunizieren.

12.7. Ende-zu-Ende Verschlsselung 123


130/148


Jede Enigmabox ist zu einem Server verbunden.

Die Server sind untereinander verbunden.

Der Datenverkehr von vielen Enigmaboxen fliesst ber diese Server.

Wer kommuniziert mit wem?

Was die Strafverfolgungsbehrden sehen:

Enigmabox A ist verbunden mit Server A. Enigmabox B ist verbunden mit Server B.

Server A ist verbunden mit Server B.

Du kannst nicht mit Sicherheit sagen, ob Enigmabox A mit Enigmabox B kommuniziert.

E-Mail header:



131/148


12.9 Alle Daten sind ein einen einzigen verschlsselten Datenstrom

eingebettet

Hier ist ein Beispiel von verschiedenen Verkehrsdaten. Ein Download bentigt viel Bandbreite whrend einer gewissenZeitdauer, wogegen ein Livestream von Musik oder ein Telefongesprch nur ganz wenig Bandbreite beansprucht, dafrber einen lngeren Zeitraum. Ein E-Mail senden, auf Updates berprfen oder die Zeit synchronisieren generierteinzelne Spitzen im Diagramm der Bandbreitenauslastung.

Nach dem passieren der Enigmabox sieht man von den Daten nur noch deren Silhouette. Ob du nun ein E-Mailgesendet hast, eine Website aufrufst, einen Podcast hrst oder ein Telefongesprch fhrst - alles sieht gleich aus, alleDaten fliessen in genau eine Richtung, nmlich zum Enigmabox-Server. Niemand kann sehen, was du genau treibst.

Deine Daten fliessen auf dem Server mit anderen Datenstrmen zusammen, was die Rckverfolgung erschwert.

12.10 Konstante Bitraten bei Telefongesprchen

Skypes variabler Bitrate-Codec lsst Rckschlsse auf den Inhalt zu, egal wie gut die Verschlsselungsein mag. Stze konnten mit einer Genauigkeit zwischen 50%-90% identifiziert werden.

Im Klartext: Wenn ich nicht spreche, werden keine Daten bermittelt (bei Codecs mit variablen Bitraten). Das machtdie Kommunikation anfllig fr Verkehrsdatenanalyse.

12.9. Alle Daten sind ein einen einzigen verschlsselten Datenstrom eingebettet 125


132/148


Die Enigmabox erlaubt nur Codecs mit einer fixen Bitrate, um diesem Angriff zu widerstehen.

12.11 Keine zentralen Serverdienste

Auf jeder Enigmabox luft ein Mailserver.

Auf jeder Enigmabox luft ein Telefonserver.

Es wird kein zentraler Telefonie- oder Mailserver verwendet.



133/148


Der Enigmabox-Server weiss nicht einmal, ob berhaupt ein E-Mail gesendet wurde.

12.12 Im Notfall kommunizieren die Enigmaboxen direkt untereinan-

der

Das Protokoll cjdns hngt nicht von einer existierenden Internet-Infrastruktur ab. Du kannst Enigmaboxen direkt viaKabel oder Wlan verbinden. Sie formen ein Mesh-Netzwerk, welches unabhngig vom Internet luft. Und du kannstwie gewohnt E-Mails darber versenden und Telefongesprche fhren.

Wir benutzen das Internet nur als lange Antenne, um grosse Distanzen zu berbrcken.

12.13 Signierte Updates

Das Firmwareimage und alle Pakete sind mit einer SHA512-Prfsumme und einem Zertifikat signiert. So ist sicherge-stellt, dass Updates a) nur von uns kommen knnen, und b) unterwegs nicht manipuliert wurden.

12.14 IP-Adressen statt DNS

Die Enigmabox verwendet zur Kommunikation mit den Servern ausschliesslich IP-Adressen, keine DNS-Namen. So

kann ein Angreifer nicht via DNS Adressen flschen und Verbindungen umleiten.

12.12. Im Notfall kommunizieren die Enigmaboxen direkt untereinander 127


134/148

Enigmabox Ha