Digitale Selbstverteidigung

»Wenn wir nichts Falsches tun, dann haben wir das Recht, alles in unserer Macht Stehende zu unternehmen, um das traditionelle Gleichgewicht zwischen uns und der lauschenden Macht aufrechtzuerhalten.«

Digitale Selbstverteidigung

Was ist digitale Selbstverteidigung?

• Technik der Selbstkultivierung: Vita activa (Hannah Arendt), Technologie des digitalen Selbst (in Ahnlehnung an Focault)
• Metapher: Digitale Hygiene, Datenhygiene
• Versuch des Empowerments: das Recht auf informationelle Selbstbestimmung (= Grundrecht) im digitalen Zeitalter wahrzunehmen
• Aufruf zur Selbstbestimmung durch Teilrestauration gegen den neuen Kontrollverlust von Privatheit

Digitale Selbstverteidigung

Metaphern

Digitale Selbstverteidigung

Metaphern

Digitale Selbstverteidigung

Technologie des digitalen Selbst (in Anlehnung an Focault)

„Darunter sind gewusste und gewollte Praktiken zu verstehen, mit denen die Menschen nicht nur die Regeln ihres Verhaltens festlegen, sondern sich selber zu transformieren, sich in ihrem besonderen Sein zu modifizieren und aus ihrem Leben ein Werk zu machen suchen, das gewisse ästhetische Werte trägt und gewissen Stilkriterien entspricht.“

Wir treffen uns jeden ersten, dritten und fünften Dienstag des Monats, immer 19:00 c.t Uhr im sublab.

Digitale Selbstverteidigung

Digitale Selbstverteidigung als Aufklärungsmodell

»Der Dataismus tritt mit der Emphase einer zweiten Aufklärung auf. […] Der Imperativ der zweiten Aufklärung lautet: Alles muss Daten und Information werden.[…] Der Dataismus führt zu einem digitalen Totalitarismus.Notwendig ist daher eine dritte Aufklärung, die uns darüber aufklärt, daß die digitale Aufklärung in Knechtschaft umschlägt.«

Digitale Selbstverteidigung

Prinzipien nach Bruce Schneier (Data vs Goliath)

• Überwachung vermeiden
• Überwachung blockieren
• Überwachung verfälschen
• Überwachungssysteme lahmlegen (selten legal)

Digitale Selbstverteidigung

Prinzipien und Praxisformen

Aspekte der Privatheit

Privatheit: Nutzen und Risiken

Motive/Anlass für Digitale Selbstverteidigung

Staatliche Überwachung und Datensammelei (Beispiel)

Motive/Anlass für Digitale Selbstverteidigung

Datensammlungen Privater Firmen (Beispiele)

• Google z. B. aus Suche, E-Mail, Webanalyse … für zielgenaue Werbung
• Facebook für soziale Beziehungen und Netzwerke
• amazon für Kaufverhalten und -vorlieben oder Leseverhalten (Kindle)

Motive/Anlass für Digitale Selbstverteidigung

Berufsgeheimnisträger (Gesellschaft und Geheimnis)

• Journalisten: Quellenschutz, Schutz der Recherche, ›Undercover‹
• Seelsorger: Beichtgeheimnis
• Ärzte: Schweigepflicht

Motive/Anlass für Digitale Selbstverteidigung

Weitere Beispiele (Gesellschaft und Geheimnis)

• Arbeit mit Minderheiten/Marginalisierten: Schutzbedürfnis vor willkürlicher Repression (Geflüchtete, Arbeitssuchende, Sexualität/Gender, Menschen mit Behinderung, Kranke)
• Angestelle: Datenschutzanforderungen, Schutz von Geschäftsgeheimnissen

Herausforderungen

Analyseverfahren und Auswertung

• BigData zur Profilbildung und Analyse auf der Grundlage massiver Datensammlungen
• BigData als Geschäftsmodell
• Public-Private-Partnership (Indifferenz)

Herausforderungen

Big Data als Überwachungskapitalismus

• beschreibt BigData als neue Form des Informationskapitalismus
• kommerzialisiert und verwertet werden soll jede Äußerung des täglichen Lebens (everydayness)
• als neue Ware(nfiktion) steigt Verhalten auf (Verhalten symbolisiert Bewusstsein am Markt)

Herausforderungen

Überwachungskapitalismus als Risiko

• Marktkontrolle durch (vermeintliche) Verhaltenskontrolle (Nudging, Microtargeting)
• Tendenz des Totalen und Schaffung von Monopolen (Machtasymmetrien)

Herausforderungen

»Von Überwachungskapitalisten zu verlangen, sie sollten die Privatsphäre achten oder der kommerziellen Überwachung im Internet ein Ende setzen, wäre so, als hätte man Henry Ford dazu aufgefordert, jedes T-Modell von Hand zu fertigen.«

Herausforderungen

CryptoWars 2.0/3.0

• Justice Department Seeks to Force Apple to Extract Data From About 12 Other iPhones
• Crypto Wars 3.0: Thüringens Verfassungsschutzchef fordert Hintertüren in Krypto-Messengern
• Hillary Clinton wants “Manhattan-like project” to break encryption
• Crypto Wars Part II - The Empires Strike Back
• Crypto Wars 3.0: EU-Rat diskutiert Schlüsselhinterlegung
• CCC fordert Ausstieg aus unverschlüsselter Kommunikation
• The second “Crypto War” and the future of the internet
• Cryptowar: Verfassungsschutz fordert ein Ende der „kryptierten Kommunikation“
• Obama will Verschlüsselung aufweichen

BigPicture: gesellschaftliche Transformation

Digitale Selbstverteidigung und Digitalisierung

• Digitalisierung als Kulturwandel → Nutzungsänderungen
• Überwachung und Manipulation als Machttechniken (min. seit der Disziplinargesellschaft)
• Welche Gesellschaft streben wir an? (Panoptikum, Banoptikum, Synoptikum)

BigPicture: gesellschaftliche Transformation

Überwachung, Disziplin und Kontrolle (Focault/Deleuze/Han)

BigPicture: gesellschaftliche Transformation

Digitale Selbstverteidigung und Digitalisierung

»Wenn Big Data Zugang zum unbewussten Reich unserer Handlungen und Neigungen böte, so wäre eine Psychopolitik denkbar, die tief in unsere Psyche eingreifen und sie ausbeuten würde.«

Weitere praktische Möglichkeiten

• Daten-Hygiene einüben: immer wieder CryptoParties besuchen und weiterempfehlen
• mit Freunden und Familie über Digitalisierung und Privatsphäre diskutieren
• sich bei Apps und Sozialen Diensten über deren Datensammlung informieren, ggf. Alternativen verwenden

Aktiv werden

Mitmachen!

• Mitstreiter*Innen und Unterstützer*Innen im Bündnis sind herzlich willkommen!
• Spenden für OpenSource-Projekte (z. B. GnuPG, Linux, Mozilla, etc.)

Literatur- und TV-Empfehlungen

Fazit

Wendet sich gegen Massenüberwachung

Grenzen digitaler Selbstverteidigung

Verschlüsselung funktioniert. Richtig implementierte, starke Crypto-Systeme sind eines der wenigen Dinge, auf die man sich verlassen kann.

Schief gegangen

Beispiele von Sicherheitsbrüchen

• Sloppy security hygiene made Sony Pictures ripe for hacking
• Citizenlab-Bericht: Angriffe auf Two-Factor-Authentifikation bei Google-Konten beobachtet
• Waiting for Android’s inevitable security Armageddon
• Even when told not to, Windows 10 just can’t stop talking to Microsoft
• Nackt im Netz: Millionen Nutzer ausgespäht

Grenzen ausloten

Risikoanalyse an Hand von Bedrohungsmodellen

Bedrohungsmodelle:

• beschreiben Möglichkeiten von Angriffen und decken Verhaltensweisen oder Übertragungswege und -formen auf, die mit Risiken verbunden sein können
• helfen Grenzen und Möglichkeiten von technischen Lösungen wie Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung besser einzuschätzen und eigenes Verhalten anzupassen.

Die W-Fragen

Schutzintressen und -rahmen

• Was möchte ich schützen?
• Wie wahrscheinlich ist die Notwendigkeit es schützen zu müssen?
• Vor wem möchte ich es schützen?
• Was sind die Konsequenzen, wenn der Schutz versagt?
• Wie viel Aufwand und Umstände möchte ich in Kauf nehmen und worauf möchte ich verzichten, um es zu schützen?

Bedrohungsmodell

Übersicht

Fazit

Bedrohungsmodelle als Mittel zur Selbstermächtigung

• Bedrohungsmodelle unterstützen bei der Abwägung von Risiken in Bezug auf Datensicherheit und -schutz
• Bedrohungsmodelle identifizieren schützenswerte Güter (Assets), Angreifer*Innen, Risiken und Angriffspotentiale
• Identifizierte Bedrohungen können besser eingeschätzt werden (Entscheidung für oder gegen Maßnahmen)

Grenzen erweitern

Grundregeln und Maßnahmen

• Update, Updates, Updates
• Backups, Backups, Backups
• Virenscanner (+/-)
• Verschlüsselung/Verschleierung
• Unplugged: Sensible Daten auf System ohne Netzzugang aufbewahren und verschlüsseln

Grenzen von E-Mail-Verschlüsselung mit GPG

• Vertrauen?
  • Web of Trust
  • PGP/SMIME: Zertifizierungsstellen vertrauenswürdig?
  • GPG-IDs nicht fälschungssicher: Fingerprints vergleichen!!
• Betreffzeile unverschlüsselt!!
• Zusätzliche Transportverschlüsselung sinnvoll (Anmeldung an Mailkonto absichern)
• Angriff auf die Software: RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis (daher: Updates!)
• Metadaten
• Benutzbarkeit What’s the matter with PGP?

Grenzen von E-Mail-Verschlüsselung mit GPG

Why is GPG "damn near unusable"? An overview of usable security research

Grenzen

Exkurs

Smartphones und Handys

GnuPG/GPG 2.x

Software-Architektur

Wie E-Mail funktioniert

Wie wir denken, dass E-Mail funktioniert

Wie E-Mail funktioniert

Absicherung über STARTTLS (→ CryptoParty "Sicherer Surfen")

Asymmetrische Verschlüsselung

Verschlüsselung

kurz klassifiziert

• Kerckhoffs Prinzip (1883): Nur der Schlüssel ist das Geheimnis
• Symmetrische Verschlüsselung: Ein Geheimnis (Schlüssel), ein Chiffrat (verschlüsselter Text)
• Asymmetrische Verschlüsselung: Ein offenes Geheimnis, ein kleines Geheimnis, ein Chiffrat (verschlüsselter Text)
• Steganografie

Verschlüsselung

The Who is Who

• Alice: Sender / Sender
• Bob: Empfänger / Sender
• Eve: Böse Lauscher*In (evaesdropper)
• Mallory: Böse*r Angreifer*In

Asymmetrische Verschlüsslung

Auf der Suche nach der verlorenen Metapher

Asymmetrische Verschlüsslung

Prinzipien (I)

Asymmetrische Verschlüsslung

Prinzipien (II)

Asymmetrische Verschlüsslung

Prinzipien (III)

Asymmetrische Verschlüsslung

Prinzipien (IV)

Asymmetrische Verschlüsslung

Prinzipien (V)

Asymmetrische Verschlüsslung

Prinzipien (VI)

Asymmetrische Verschlüsslung

Verfahren (Auswahl)

• Diffie-Hellmann-Key-Exchange
• RSA
• Ellitipsche Kurven

Diffie-Hellmann (DH)

Diffie-Hellmann (DH)

Auf der Suche nach der verlorenen Metapher

Farbenspiel im Wind: Farbmischung als Metapher für (Trap Door) One Way Functions

RSA-Algorithmus

Der Digitale Briefumschlag

Auf der Suche nach der verlorenen Metapher

Der digitale Briefumschlag (deutsch) from Linuzifer on Vimeo.

Infovideo zu GPG-Verschlüsselung.
Deutsche Version.
CC-BY @Linuzifer & @Metronaut - siehe Vimeo-Kanal für IT-Version zum Remixen.

Asymmetrische Verschlüsslung

Fazit

• ein öffentlicher Schlüssel: kann beliebig oft verteilt werden
• ein geheimer Schlüssel
• basiert auf derzeit mathematisch schwer lösbaren Problemen
• Bonustrack: The Adventures of Alice & Bob

Sesam öffne dich: Geheime Zugänge

1. Wozu Passwörter und Passphrasen?
2. Probleme mit Passwörtern und PINs
3. Das Geheimnis eines guten Passworts
4. Spuren hinterlassen: Warum Fingerabdrücke keine guten Passwörter sind

Probleme mit Passwörtern und PINs

1. Sicherheit versus Memorisierbarkeit
2. Passwortregeln von Unternehmen und Anbietern
3. Unachtsamer Umgang mit Passwörtern (Post-Its, shoulder surfing)
4. Aufbewahrung: Passwortlisten und problematische Sicherheitskonzepte von Anbietern im Netz
5. Häufigkeitsanalysen bei Pins
6. Wörterbuchangriffe und Botnetzwerke

LOL, owned

Aktuellere Sicherheitsskandale rund um Passwörter

• 7 million Dropbox username/password pairs apparently leaked
• How an epic blunder by Adobe could strengthen hand of password crackers

LOL, owned

Aktuellere Sicherheitsskandale rund um Passwörter

Nicht nachmachen

Sony

Sony Kept Thousands of Passwords in a Folder Named "Password"

Nicht nachmachen

Suboptimale Passwörter

• kurze Passwörter
• passwort1235, geheim
• Einfache Zahlenfolgen: 12345
• Eigennahmen, Romanfiguren, Orte, fiktive Orte usw. (Wörterbuchangriffe)
• Geburtstage, Jahrestage
• Durchnummerieren: passwort1, passwort2, passwort3 usw.
• Ein Passwort für Alles

Das Geheimnis eines guten Passworts

• Sind alle Zeichen erlaubt sind? (anbieterseitig)
• Unterschiedliche Passwörter für verschiedene Zwecke, Dienste, etc.
• Länge schlägt Komplexität
• Verwendungszweck bestimmt die Strategie
• Memorisierungstechniken
• Leetspeak? (1337 5P34K)

Strategie I

Vergiss-mein-nicht!

Strategie I

Vergiss-mein-nicht!

• Erinnerbare längere Sätze oder zusammengesetzte Begriffe
• Länge schlägt Komplexität
• Memorisierungstechniken (Mnemonics)
  • Imagination, Assoziation, Location
  • Wiederholung: Jeden Tag benutzen!
• Geeignet für Masterpasswörter

Strategie II

Passwörter generieren

• Passwortgenerator einsetzen (OpenSource)
• Keinen Cloud-Dienst oder Netzdienst verwenden
• Länge schlägt Komplexität
• Geeignet für unsere tausend Webdienste

Strategie III

Diceware™

• basiert auf einer Idee von Arnold G. Reinhold
• würfelt Wörter aus einem Wörterbuch aus (Diceware Word List)
• Passwort muss min. 64 bit Entropie bereitstellen, um ein Jahr standzuhalten
• 80 bits entsprechen 8 Wörtern: Gutes Passwort
• 120 bits entsprechen 12 Wörtern: Starkes Passwort

Strategie III

Diceware™ - Werkzeuge

• Windows: Dice Ware Password Generator
• Linux: rusty-diceware, secpwgen
• Android: Diceware (nur 6 Wörter)
• Deutsche Wörterliste: Textdatei, PDF-Datei

aber: Arnold G. Reinhold empfiehlt einen echten Würfel zu nutzen (→ nur Software mit kryptographisch sicherer Zufallszahlengenerator einsetzen)

Der ideale Aufbewahrungsort?

• Gedächtnis? (false memory)
• Tagebuch?
• Schlüsselbund (key chain) des Betriebssystems?
• PasswordManager?
• Facebook?
• Cloudsysteme?

Spuren hinterlassen

Warum Fingerabdrücke keine guten Passwörter sind

• Etwas, was wir täglich überall hinterlassen ist kein Geheimnis
• Scanner kann ggf. überlistet werden (Smartphones)
• Speichern einer zentralen Datenbank problematisch (Grundlage für Apple Zahlungssystem)

Biometric systems are seductive, but the reality isn't that simple. They have complicated security properties. For example, they are not keys. Your fingerprint isn't a secret; you leave it everywhere you touch.

Spuren hinterlassen

Warum Fingerabdrücke keine guten Passwörter sind

It's fine if your fingers unlock your phone. It's a different matter entirely if your fingerprint is used to authenticate your iCloud account. The centralized database required for that application would create an enormous security risk.

Biometrische Authentifizierung

Broken by Design

Ich sehe, also bin ich ... Du: Gefahren von Kameras für (biometrische) Authentifizierungsverfahren

Exkurs

Mehrfaktor-Authentifizierung (2facSecure)

1. Google Authentificator
2. Time-based One-time Password Algorithm (TOTP)
3. HMAC-Based One-Time Password Algorithm (HOTP)
4. SMS-TANs

Exkurs

Mehrfaktor-Authentifizierung

Exkurs

Qwertycards

Sicher?

Fazit

Passwörter

• Passwörter sind Elemente der Zugangsbeschränkung (Authentifizierung
• Starke Passwörter schützen vor: Identitätsdiebstahl, Einbruch in E-Mailkonten, unrechtmäßiger Zugang zu verschlüsselten Date
• Länge schlägt Komplexität
• Mehrfaktor-Authentifizierung (2facSecure) sinnvoll
• Starke Passwörter schützen kaum oder nur gering vor Social engineering, Datenverlust, schlechter Passwortverwaltung beim Anbieter (Infrastruktur), Sicherheitslücken
• Passwörter sollten regelmäßig gewechselt werden

Schlüsselmeister: Password Manager

• KeePass, MacPass, KeePassC
• KeepassDroid, Keepass2Android
• PasswordSafe
• Für Geeks

Warum OpenSource?

• LastPass Bug Lets Hackers Steal All Your Passwords
• How I made LastPass give me all your passwords
• 1Password Leaks Your Data
• OpenYOLO-Initiative
• Vorsicht Cloud! Passwörter nur in einer verschlüsselten PasswortManager-Datenbank über die Cloud synchronisieren

KeePass/KeePassX

PasswordSafe

Password Safe und KeePass

Verschlüsselung bei KeePass

• Nutzt AES-256 und SHA256 (Authentifizierende Kryptografie ab Keepass 2.x)
• Kombination (Kaskaden) nicht möglich
• Authentifikation
• Passwort
• Schlüsseldatei (Two-Faktor-Authentifizierung)
• version 4 of the KDBX mit Argon2-Unterstüzung
• Detailed information about the security of KeePass.
• On the Security of Password Manager Database Formats

Verschlüsselung bei Password Safe

• Nutzt Twofish-256
• Kombination (Kaskaden) nicht möglich
• Authentifikation
• Passwort
• Schlüsseldatei (Two-Faktor-Authentifizierung)
• yubico Unterstützung
• On the Security of Password Manager Database Formats

Funktionen

• Gruppen- bzw. Untergruppen
• Passwortgenerierung
• Passwort in Zwischenablage Kopieren
• Auto-Type
• ablaufende Einträge
• Disk-on-Key Versions

Password Manager

Für Geeks

• KeePassC (curses) (Keepass 1.x/Keeepass X)
• rust-keepass(curses) (Keepass 1.x/Keeepass X)
• freepass
• Rooster
• pass

Fazit

Password Manager

• erleichtert den Umgang mit vielen Zugängen (Passwörter, Online-Konten etc.)
• Generierung langer Passwörter möglich
• erleichtern das regelmäßige Wechseln von Passwörtern
• Schutz hängt von der Qualität des Masterpassworts ab
• Vertrauen in die Implementierung des Password Manager erforderlich → OpenSource
• manche Passwort-Datenbank ungeeignet für Cloud-Betrieb (→ Passwordsafe-, Keepass 2.x-Datenbanken verwenden)

E-Mail Verschlüsselung

mit GPG/PGP

Was ist GPG/PGP

• PGP
• Pretty Good Privacy
• das Original
• kommerziell vermarktetes Programm
• Prinzip das heute jeder nutzt
• GPG
• Gnu Privacy Guard
• freie Weiterentwicklung von PGP
• Programm das heute jeder nutzt

Installation

Thunderbird, GPG, enigmail

• Linux
• Software in allen Repositories vorhanden
• Windows
• Thunderbird und GPG (via Mailinglisten-Ankündigung oder Projekt-Website) oder aus dem als GPG4win Projekt
• für portable Installation eine leere Datei gpgconf.ctl im /bin Verzeichnis der Installation anlegen
• Mac
• Thunderbird und GPG
• Enigmail, kriegen wir später

GPG und Mobilgeräte

• iOS, Windows
• keine Integrierte Lösung
• oPenGP (iOS, Windows Phone)
• Android
• K9-Mail als Mail-Programm Link zum PlayStore
• OpenKeyChain als PGP Implementation Link zum PlayStore
• Schlüsselgenerierung nicht auf dem Smartphone zu empfehlen
• Eigene Schlüssel, eigene E-Mail-Adresse für Smartphone-Nutzung empfehlenswert

Installation

Enigmail

• Add-On für Thunderbird
• Menü → Add-Ons → Enigmail suchen und installieren
• Thunderbird neu starten
• Rechtsklick auf Mailadresse → OpenPGP-Sicherheit → OpenPGP-Unterstützung aktivieren → Standard-Einstellungen anpassen

PGP-Schlüssel

generell

• klare Zuordnung Schlüssel–Besitzer, mindestens in Form der E-Mail Adresse
• keine plausible Bestreitbarkeit/Verneinbarkeit bei Einsatz eines Schlüssels

Schlüssel-Generierung

• Menü → Enigmail → Schlüssel verwalten
• Erzeugen → Neues Schlüsselpaar

Schlüssel-Generierung

• Benutzererkennung: Mailadresse mit der der Schlüssel verknüpft wird (Mehrfachverknüpfungen möglich)
• Haken bei Schlüssel zum Unterschreiben verwenden setzen um Singnierfunktion zu verwenden
• sichere Passphrase eingeben
• Kommentar zum Schlüssel: für andere Einsehbar → Eindeutige Identifizierung
• Ablaufzeit: Benutzbarkeit vs. Komfort
• Erweitert: Schlüsselstärke 4096; Algorithmus RSA
• Schlüsselpaar erzeugen
• Widerrufszertifikat erzeugen und gut sichern

Widerrufszertifikat

Wofür?

• im Zusammenhang mit der Verwendung von Key-Servern
• bei Verlust/Kompromittierung des geheimen Schlüssels für dessen Widerruf
• wenn der Schlüssel ungültig gemacht werden soll, z. B. weil man einen stärkeren einsetzen will (größer/länger, andere Standards, z. B. elliptische Kurven in Zukunft)

WICHTIG: Separates Backup unabhängig vom Arbeitssystem anlegen!

Schlüsselmanagement/-verwaltung

Warum?

• Austausch von verschlüsselten Nachrichten erst nach Austausch von Schlüsseln möglich
• wichtig/sinnvoll für Backup Einsatz auf mehreren Geräten/Systemen

Wie?

Import/Export in den/vom Keyring von/in Dateien

• Kopien werden angelegt, Schlüssel bleibt im Bund erhalten beim Export und als Datei beim Import
• bevorzugte Dateiendung für Schlüsseldateien .asc

Schlüsselmanagement/-verwaltung

Authentifizierung/Trust

öffentliche Schlüssel müssen grundsätzlich vor Einsatz überprüft werden, spätestens nach dem Import in den Schlüsselbund (Keyring)

• kurz/lange ID sind unzureichend → mögliche Kollisionen
• Fingerprint über einen sicheren Kanal austauschen (z. B. telefonisch oder persönlich) und überprüfen
• nur Schlüsseln vertrauen, die man überprüft hat
• Hilfskonstruktion: veröffentlichte Fingerprints von Websites mit dem Fingerprint des entsprechenden Schlüssels vergleichen

Schlüsselmanagement/-verwaltung

Export, Verbreiten automatisiert als E-Mailanhang

• Bearbeiten → E-Mail-Einstellungen → im Profil OpenPGP-Sicherheit auswählen → Erweitert … aufrufen → Öffentlichen Schlüssel an Nachricht anhängen aktivieren

Schlüsselmanagement/-verwaltung

Export, händischer E-Mailanhang

• Im Menü Enigmail → Schlüssel verwalten aufrufen → Schlüssel auswählen/markieren → Über Datei → Öffentlichen Schlüssel per E-Mail senden → neue Nachricht zum Verfassen öffnen → Schlüssel erscheint unter „Anhänge“ als Datei (Schlüsselkurz-ID.asc)
• neu Nachricht verfassen aufrufen → in der enigmail-Zeile „Meinen öffentlichen Schlüssel anhängen“ auswählen → Schlüssel erscheint unter „Anhänge“ als Datei (Schlüsselkurz-ID.asc)

Schlüsselmanagement/-verwaltung

Export, auf Stick/Speichermedium

• Im Menü Enigmail → Schlüssel verwalten aufrufen → Schlüssel auswählen/markieren → Über Menü Datei > Exportieren wählen → Nachfrage mit „Nur öffentlichen Schlüssel exportieren” beantworten → Speichermedium/Speicherort auswählen und den Export bestätigen, ggf. vorher Dateiname anpassen

Schlüsselmanagement/-verwaltung

Import

• vom Speichermedium
  • Im Menü Enigmail → Schlüssel verwalten aufrufen → Über Menü Datei > Importieren wählen → zum Speichermedium/Speicherort navigieren → Schlüsseldatei auswählen und den Import bestätigen
  • funktioniert für private und öffentliche Schlüssel
• vom Mailanhang
  • Anhang doppelklicken

Schlüsselmanagement/-verwaltung

Key-Server

• Server auf denen öffentliche Schlüssel in Datenbanken abgelegt werden, so das sie für alle andern im Netz auffindbar sind
• wenn man sie einsetzt/damit arbeitet → Pools von Servern verwenden (weniger fehleranfällig als Einzelserver), Interface: https://sks-keyservers.net/
• Datenbank ist durchsuchbar nach allen Informationen, die mit dem Schlüssel verknüpft sind:
  • Name, E-Mail-Adresse, Schlüssel-IDs (kurz, lang), Fingerprints

Schlüsselmanagement/-verwaltung

Key-Server und Enigmail

• enigmail erlaubt die Konfiguration von Key-Servern zum automatischen Abgleich nach E-mail-Adressen
• Im Menü Enigmal → Einstellungen aufrufen → Schlüsselserver auswählen → unter Schlüsselserver eintragen: pool.sks-keyservers.net
• unter Schlüssel zu Signatur-Überprüfung eintragen:
  • https://sks-keyservers.net/sks-keyservers.netCA.pem
• Details zur Einstellung für GnuPG generell (Datei gpg.conf) siehe https://help.riseup.net/en/security/message-security/openpgp/best-practices

Die Zukunft der E-Mail

Ende-Zu-Ende-Verschlüsselung in einfach

• Vor DE-Mail oder E-Mail made in Germany wird gewarnt
• Goolge & Yahoo planen Ende-zu-Ende-Verschlüsslung (Github)
• p≡p (sprich: pep)
• mailpile

p≡p

• momentan als Outlook Preview verfügbar; Android und iOS-Schnittstellen in Entwicklung
• Enigmail/p≡p in Planung
• wählt automatisch die bestmöglich verfügbare Software → Ampelsystem
• verwendet Peer-to-Peer
• verwendet GPG4Win, NetPGP
• Selbstbild: »Hacktivsm«
• strebt regelmäßige Audits an
• hohe Komplexität → Anfälligkeit für Sicherheitslücken

p≡p

pretty Easy privacy

Volker Birk p≡p PUBLIC DOMAIN 167 - 10 Min. from Digitalcourage e.V. on Vimeo.

Volker Birk arbeitet als Software-Architekt in der Schweiz. Er hat das Projekt p≡p angestoßen, weil er will, dass nicht nur Computer-Nerds vertraulich kommunizieren können, sondern alle Menschen. via digitalcourage

mailpile

Felony

Messenger-Dienste

• CryptoCat
• TextSecure
• Tox
• Bitmessage
• Pond
• → CryptoParty: "Messenger & Chats"

DarkMail

Das Ende der Metadaten?

• Ziel: 'next-generation' of private and secure email
• Spezifikation (PDF)