Cryptoparty 10. Februar 2016

Der elektronische Briefumschlag – Asymmetrische Verschlüsselung, Passwörter und Passwort-Manager, E-Mail-Verschlüsselung mit PGP

Materialien, Programme, Links

Hier ist der Link unseren Folien

Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen. Einfach registrieren und loslegen.

Passwörter und Passwort-Manager

Von Passwort Managern die Passwörter in der Cloud ablegen raten wir ab. Wer auf die Cloud nicht verzichten kann sollte eine auf  eigenen Gerät verschüsselte Passwort Manager Datei (in der Regel eine verschlüsselte Datenbank) mit der Cloud seiner Wahl synchronisieren. Um das Risiko von Hintertüren in der Software zu reduzieren verwenden wir unbedingt auf quelloffene Passwort Manager zu setzen.

KeePass: Offizielle Website des Projektes (englisch) mit Hilfeseiten, Dokumentation und Forum. Der Quellcode findet sich auf der Download-Seite.

MacPass (MacOSX/macOS): Offizelle Webseite des Projektes (englisch). Quellcode bei Github.

KeepassX (Linux): Offizielle Website des Projektes (englisch) mit Dokumentation, Forum und Quellcode.

KeeWeb: Offizele Website des Projekte (englisch).

PasswortSafe: Offizielle Website des Projektes (englisch) mit Dokumentation und Quellcode; empfohlen durch die Website prism-break.org, die Software-Empfehlungen – vorzugsweise aus quelloffenen Projekten – nach verschiedenen Einsatzgebieten aufführt.

Strategien für gute Passwörter:
Wikipedia, Stichwort Passwort
Empfehlung des Bundesamts für Sicherheit in der Informationstechnik

Diceware™ ist eine Methode eine Passwort oder eine Kombination von Passwörtern (Passpharse) unter Einsatz eines Würfels zu erzeugen. Dafür gibt es Wörterbuchlisten. Es wird empfohlen entweder einen hochwertigen Würfel (z. B. Casino-Würfel) oder Software einzusetzen, die einen kryptographisch sicherer Zufallszahlengenerator einsetzt.  Nach aktuellem Stand gilt eine Passphrase, die auf diese Weise erzeugt wurde mit 8 Wörtern (80 Bit) als eine gute Passphrase, 12 Wörter würden eine starke Passphrase (120 bit) ergeben. Damit ein Passwort genug Entropie bietet, die für ca. ein Jahr standhält muss es min. einer Stärke von 65 bit entsprechen.

Mehrfachfaktor-Authentifzierung und PasswortKarten
Google Authenficator
Nitrokey
Yubico USB-Gerät zur Zweifaktor-Authentifizierung sowie FIDO Alliance Universal 2nd Factor – U2F demonstration, (Demovideo, englisch) dazu
Qwertycards

E-Mailverschlüsslung mit GnuPG

GnuPG 2.x Architektur – Aufbau der Verschlüsselungsoftware

gpg_2_x_architechture

Ab GnuPGP Version 2.x wurde der Aufbau des Crypto-Systems stark entflechtet. Viele kleinere Dienste, wie der GPG-Agent übernehmen nun Aufgaben, die bisher in einer Einheit verarbeitet wurden. Von der Entflechtung erhoffen sich die Entwickler vor allem eine geringere Verwundbarkeit des Gesamtsystems gegenüber Angreifern und eine höhere Flexibilität bei der Bereitstellung von Updates.

Das Paket für Erzeugung und Verwaltung der Schlüssel – GnuPG

Offizielle Website des GnuPG-Projektes mit Dokumentationen, Anleitungen und Quellcode

Offizielle Website (deutsch) von Gpg4win, dem Komplettpaket zum Verschlüsseln und Signieren von E-Mails, Dateien und Ordnern unter Windows, basierend auf GNU Privacy Guard (GnuPG). Freie Software, Quellcode verfügbar.

Die meisten Linux-Distributionen stellen das GnuPG-Paket über ihre Paketmanager zur Verfügung.

Für Mac OS kann die GPG-Suite von GPGTools verwendet werden.

Für iOS kann oPenGP eingesetzt werden.
Auch für Windows Phone steht oPenGP zur Verfügung.
Auf Android kann AGP eingesetzt und z. B. über den Google-PlayStore installiert werden.

Das E-Mail-Programm – Thunderbird

Empfohlen für den Einsatz auf PCs/Macs (Dektop/Laptop/Notebook etc.) wird Thunderbird, ein E-Mail-Programm entwickelt und gepflegt von “The Mozilla Foundation” (Website in englisch), verschiedene Sprachen und Systeme, auch deutsch, Quellcode verfügbar.

Für den Einsatz unter Android empfiehlt sich K9-Mail, das z. B. über den Google-PlayStore installiert werden kann.

Das Add-on zur einfachen Bedienung der Verschlüsselung in Thunderbird – Enigmail

Direktlink auf das Add-on Enigmail bei “The Mozilla Foundation”, verschiedene Sprachen, auch deutsch, Quellcode verfügbar.

Anleitungen zur E-Mail Verschlüsslung mit PGP

Eine sehr empfehlenswerte deutsche Anleitung stammt von der Free Software Foundation.
Englischsprachige HowTows finden sich im Selfe Defense Guide der Electronic Frontier Foundation (EFF) und in der Sammlung von Security-In-A-Box.

Eine OpenPGP card Version 2.0 kann zum Speichern von GPG-Schlüsseln (max. Länge 2048 bit für RSA-Schlüssel) verwendet werden.

Englische “Best Practices”-Anleitung für den Umgang mit OpenPGP-Schlüsseln. Bedient fortgeschrittene Anforderungen inklusive ausführlicher Bedienung auf der Kommandozeile von GnuPG.

Weiterführende Links

Ausgewählte Kurse:
Einführungskurse zur Kryptografie bei tele-TASK und als Online-Kurs von Christof Paar und Jan Pelzl.

Self Organized Session vom CCC-Kongress Dezember 2015:
An Advanced Introduction to GnuPG (Folien als PDF, bitte mit “Speichern unter” herunterladen)

Vorträge vom CCC-Kongress Dezember 2014:
ECCHacks: A gentle introduction to elliptic-curve cryptograph
Why is GPG “damn near unusable”? An overview of usable security research

CrypTool-Portal:
Das CrypTool-Portal ermöglicht jedermann einen einfachen Zugang zu Verschlüsselungs-Techniken. Alle Lernprogramme im CT-Projekt sind Open-Source, kostenlos und (auch) in deutsch. Das CrypTool-Projekt entwickelt die weltweit am meisten verbreitete E-Learning-Software für Kryptographie und Kryptoanalyse.
Ein ausführliches Skript zu den mathematischen Hintergründen findet sich hier.

Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.