Das Bündnis Privatsphäre Leipzig e. V. ist eine überparteiliche Bürgerinitiative mit dem Ziel, Überwachung, Rechtsstaatlichkeit und Demokratie in einem breiten öffentlichen Diskurs zu thematisieren.
Monatliche Meetups
Monatliches Meetup (Stammtisch) immer am letzten Donnerstag des Monats ab 19 Uhr
31. 01. 2019 – Café Telegraph
21. 02. 2019 – Süß & Salzig
28. 03. 2019 – Hotel Seeblick
25. 04. 2019 – Café Maître
CryptoParty is a decentralized, global initiative to introduce the most basic cryptography programs and the fundamental concepts of their operation to the general public.
Wir verstehen Cyptoparties als Vermittlung von Wissen zur „Digitale Selbstverteidigung“.
CryptoParty Season 2/2018 (Herbst/Winter) in der naTo
10. September 2018 – Beobachte mich nicht - Teil 1, HTTPS, Tracking, Browser-Addons;
22. Oktober 2018 – Beobachte mich nicht - Teil 2, Anonymisierung mit Tor und VPNs, Passwörter und Passwort Manager
12. November 2018 – Das können wir selber – Alternative Soziale Netzwerke, Self Hosting
CryptoParty Season 2/2018 (Herbst/Winter) in der naTo
03. Dezember 2018 – Wir unterhalten uns privat – Crypto-Messenger Apps für Mobilgeräte
25.02.2019 – Thema: Clouldsysteme und Backups (TBC).
März 2019 (TBD) – Datei- und Festplattenverschlüsselung (TBD).
Weitere Projekte (z. T. in Planung):
Lesungen für Privatsphäre (z. B. zum Safer Internet Day)
Teilnahme an den Kritischen Einführungswochen (KEW) an der Uni Leipzig
CryptoParties für Schüler*innen, Journalist*innen, Jurist*innen, Student*innen
Teilnahme an Podiumsdiskussionen, Interviewprojekten
Podcast zu Datenschutz und Datensicherheit
Digitale Selbstverteidigung
»Wenn wir nichts Falsches tun, dann haben wir das Recht, alles in unserer Macht Stehende zu unternehmen, um das traditionelle Gleichgewicht zwischen uns und der lauschenden Macht aufrechtzuerhalten.«
beschreiben Möglichkeiten von Angriffen und decken Verhaltensweisen oder Übertragungswege und -formen auf, die mit Risiken verbunden sein können
helfen Grenzen und Möglichkeiten von technischen Lösungen wie Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung besser einzuschätzen und eigenes Verhalten anzupassen.
Bedrohungsmodell
Übersicht
Die W-Fragen
Schutzintressen und -rahmen ermitteln
Was möchte ich schützen?
Vor wem möchte ich es schützen?
Was sind die Konsequenzen, wenn der Schutz versagt?
Welche Angriffswege könnten genutzt werden?
Wie wahrscheinlich ist die Notwendigkeit es schützen zu müssen?
Wie viel Aufwand und Umstände möchte ich in Kauf nehmen und worauf möchte ich verzichten, um es zu schützen?
Exkurs
Smartphones und Handys
Fazit
Bedrohungsmodelle als Mittel zur Selbstermächtigung
Bedrohungsmodelle unterstützen bei der Abwägung von Risiken in Bezug auf Datensicherheit und -schutz
Bedrohungsmodelle identifizieren schützenswerte Güter (Assets), Angreifer*Innen, Risiken und Angriffspotentiale
Identifizierte Bedrohungen können besser eingeschätzt werden (Entscheidung für oder gegen Maßnahmen)
Rationalisierung: Kosten-Nutzen-Abwägung (zu einem bestimmten Grad)
Agenda
Wie E-Mail funktioniert
Wie E-Mail-Verschlüsselung funktioniert
Praktischer Teil
Installation von GPG/Enigmail
E-Mail-Verschlüsselung mit p≡p
Manuell Schlüssel generieren
Schlüssel senden, empfangen und nutzen
Bonus: E-Mail-Anbieter & Mailinglisten
Wie E-Mail funktioniert
Wie wir denken, dass E-Mail funktioniert
Wie E-Mail wirklich funktioniert
E-Mail
Beteiligte Protokolle
SMTP (Simple Mail Transfer Procotol): Versenden
POP3 (Post Office Protocol version 3): Abrufen, Mailbox auf lokalem Rechner
IMAP (Internet Message Access Protocol): Abrufen, Mailbox auf Server
Transportverschlüsselung I
SSL-Port nutzen
verschlüsselt nur SMTP-Verbindung zum eigenen Anbieter
STARTTLS
verschlüsselt nur SMTP-Verbindungen
wird von vielen E-Mail-Anbietern unterstützt
Problem: leicht angreifbar
DANE
DNS-based Authentication of Named Entities
neues Problem: Basistechnik DNSSEC oft nicht unterstützt
Transportverschlüsselung II
MTA STS
MTA Strict Transport Security
wird derzeit von großen Anbietern getestet
Vor DE-Mail oder "E-Mail made in Germany" wird gewarnt
Auch mit Transportverschlüsselung: E-Mails liegen unverschlüsselt bei den Anbietern
Wie E-Mail-Verschlüsselung funktioniert
Foto: Martin E. Hellman, left, and Whitfield Diffie in 1977. Credit: Chuck Painter/Stanford News Service
Verschlüsselung
kurz klassifiziert
Kerckhoffs Prinzip (1883): Nur der Schlüssel ist das Geheimnis, nicht der Algorithmus
Symmetrische Verschlüsselung: Ein Geheimnis (Schlüssel), ein Chiffrat (verschlüsselter Text)
Asymmetrische Verschlüsselung: Ein offener Schlüssel, ein geheimer Schlüssel
Asymmetrische Verschlüsselung
Prinzipien (I)
Asymmetrische Verschlüsselung
Prinzipien (II)
Asymmetrische Verschlüsselung
Prinzipien (III)
Asymmetrische Verschlüsselung
Prinzipien (IV)
Asymmetrische Verschlüsselung
Prinzipien (V)
Asymmetrische Verschlüsselung
Prinzipien (VI)
Einschränkungen
Header-Felder werden nicht verschlüsselt! Dazu zählen u.a.
Absender (Name & Adresse)
Empfänger (Name & Adresse)
Datum & Uhrzeit
Betreff
u.a.
keine plausible Bestreitbarkeit/Verneinbarkeit bei Einsatz eines Schlüssels
Wie E-Mail-Verschlüsselung funktioniert
Fazit
ein öffentlicher Schlüssel: kann beliebig oft verteilt werden
ein privater (geheimer) Schlüssel
basiert auf derzeit mathematisch schwer lösbaren Problemen
Benutzererkennung: E-Mailadresse mit der der Schlüssel verknüpft wird (Mehrfachverknüpfungen möglich)
Haken bei Schlüssel zum Signieren verwenden setzen
sichere Passphrase eingeben
Schlüssel-Generierung II
Ablaufzeit: 1-2 Jahre (Benutzbarkeit vs. Komfort)
Erweitert: Schlüsselstärke 4096; Algorithmus RSA
ECC Elliptische Kurve empfehlen wir nicht
Schlüsselpaar sowie Widerrufszertifikat erzeugen, letzteres gut sichern
Widerrufszertifikat
Wofür?
im Zusammenhang mit der Verwendung von Key-Servern
bei Verlust/Kompromittierung des geheimen Schlüssels für dessen Widerruf
oder wenn der Schlüssel ungültig gemacht werden soll, z.B. weil man einen stärkeren einsetzen will (größer/länger, andere Standards, z.B. elliptische Kurven in Zukunft)
WICHTIG: Separates Backup unabhängig vom Arbeitssystem anlegen!
Praktischer Teil
Schlüssel senden, empfangen und nutzen
Schlüssel senden
Automatischer Anhang an jede E-Mail
Einstellungen → Konten-Einstellungen
Mailkonto auswählen
OpenPGP-Sicherheit → Erweitert …
"Öffentlichen Schlüssel an Nachricht anhängen" aktivieren
Vorsicht: Anhang wird beim Senden nicht angezeigt
Schlüssel senden
Händischer E-Mailanhang
neu Nachricht verfassen → Enigmail → Meinen öffentlichen Schlüssel anhängen
Schlüssel erscheint unter „Anhänge“ als Datei (Schlüsselkurz-ID.asc)
Import empfangener Schlüssel
Mailanhang doppelklicken und Fingerabdruck prüfen
kurz/lange ID bzw. Kennung sind unzureichend → mögliche Kollisionen
Fingerprint über einen sicheren Kanal austauschen (z. B. telefonisch oder persönlich) und vergleichen
nur Schlüsseln vertrauen, die man überprüft hat! Könnte manipuliert gewesen sein
Alternativ: Fingerabdruck auf Webseite vergleichen
Nutzung empfangener Schlüssel
Versenden einer verschlüsselten E-Mail
Sind für alle Empfänger Schlüssel bekannt, wird Verschlüsselung automatisch aktiviert
Verschlüsselung und Signierung kann auch manuell an-/abgeschaltet werden
Ist Verschlüsselung aktiviert, aber es ist für einen Empfänger kein Schlüssel bekannt, kann ein Schlüssel ausgewählt werden