Cryptoparty Spezielle Recheche: Datenrecherche 26. Juni 2017 – Programme, Materialien, Links

Materialien

Hier ist der Link zu unserer Präsentation. (Download: Zip-Archiv | Tarball )

Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen. Einfach registrieren und loslegen.

Zweck und Nutzen der Privatheit

Folgende Aufstellung widmet sich den Aspekten der Privatheit, Nutzen und Risiken nach Gutwirth, S.; Gellert, R.; Bellanova, et al.

Aspekt der Privatheit Defintion und Umfang Grenzen und Trade-offs Beispiel für Risiken
Privatheit von Daten und Bilder Menschen haben ein Recht auf Privatheit ihrer Daten und Bilder Behörden, Arbeitgeber und Firmen benötigen für die Verwaltung und Leistungserfüllung Daten. Kontrollverlust: Es ist nicht immer möglich das Recht am eigenen Bild zu wahren (Fotografien an öffentlichen Plätzen) Behörden, Regierungen und Firmen zweckentfremden die gesammelten Daten. Paparazzi.
Privatheit von Verhalten (und Handeln) Menschen haben ein Recht sich so zu verhalten, wie sie möchten ohne dabei von anderen beobachtet und kontrolliert zu werden Das Verhalten einiger Menschen setzt andere einem hohen Risiko aus Manipulation: Firmen versuchen das Verhalten von Menschen in ihrem Sinne zu beeinflussen
Privatheit von Kommunikation Menschen haben ein Recht auf vertrauliche, private Kommunikation die weder belauscht noch abgehört wird Nachrichtendienste und Strafverfolgungsbehörden möchten kriminelle Elemente identifizieren Regierungen und Behörden observieren alle Menschen, um ›kritische Stimmen‹ zu identifizieren
Aspekt der Privatheit Nutzen durch Schutz von Privatheit Risiken durch Verletzung der Privatheit
Für den Einzelnen Für die Gesellschaft Für den Einzelnen Für die Gesellschaft
Privatheit von Daten und Bilder Empowerment: Selbstbestimmtheit/Autonomie, Entscheidungsspielräume Fördert demokratische Entwicklung: Kontrolle der Daten als Chance zur Gestaltung von Gegenwart und Zukunft (›Schicksal‹) Einzelne werden durch persönliche Daten kompromittiert. Personenbezogene Daten ermögliche persönliche Erfassung. Wer möchte immer anpeilbar sein? Das gesellschaftliche Klima wird durch die permanente Kompromittierung persönlicher Daten vergiftet.
Privatheit von Verhalten (und Handeln) Das Individuum kann sich im Handeln ungestört durch Andere entfalten. Menschen benötigen vom Rückzug in die Abgeschiedenheit (z. B um Ruhe zu finden). Trägt zur Entwicklung und Übung von Autonomie und der Freiheit im Denken bei, weil wir uns für einen Moment von der Billigung oder Missbildung Anderer entziehen können. (›Bei sich sein‹) Demokratische Gesellschaften bestehen aus Individuen und fördert gleichzeitig die Solidarität und soziale Bindungen. Chilling Effects. Der ständig beobachtete Einzelne fühlt sich unterjocht, isoliert, unterdrückt, hilflos (ohne Einfluss) oder ist aufgebracht. Risiko sozialer Spannungen steigt: Angespanntes Verhältnis zwischen Staat und Bürger*Innen
Privatheit von Verhalten (und Handeln) Meinungs- und Redefreiheit. Der Einzelne fühlt sich frei, seine Ansichten und Meinungen zu äußern. Die Gesellschaft wächst unabhängig vom benutzen Kommunikationsmedium an der Möglichkeit freien Debatte. Die Vielfalt und Freiheit der Diskurse ermöglicht die zivilisierte Auseinandersetzung von politischer Meinungen, Strömungen und Weltanschauungen.
Dies wird am ehesten in unbeobachteten Kommunikationsräumen (on- wie offline) möglich sein.
Chilling Effects. Atmosphäre des Misstrauens als Risiko für Solidarität. Meidung bestimmter Kommunikationstechniken und -plattformen.

Bedrohungsmodelle (threat models)

Bedrohungsmodelle ermöglichen die Einschätzung von Risiken, die durch die Nutzung digitalisierter Kommunikation entstehen können. Sie beschreiben Möglichkeiten von Angriffen und decken Verhaltensweisen oder Übertragungswege und -formen auf, die mit Risiken verbunden sein können. Dieses Wissen kann eine Hilfe sein, um die Grenzen und Möglichkeiten von technischen Lösungen wie Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung für den jeweilige Anwendungsfall besser einzuschätzen und eigenes Verhalten entsprechend anzupassen.

Die Folien zu dem Vortrag What the Hell is Threat Modelling Anyway? sind eine Einführung in die Konzeptualisierung von Risiken, die mit der Verwendung digitaler Kommunikationsmittel einhergehen.

Überwachungskapitalismus

Die zunehmende Zahl datengetriebener Geschäftsprozesse und die lückenlose Vernetzung und Überwachung des Alltags haben dazu geführt, dass einige Daten als neue Ressource des 21. Jahrhunderts mit dem Rohstoff Öl vergleichen.

Unabhängig davon, was von diesem Vergleich zu halten ist, wird die Frage diskutiert, ob Big-Data-Geschäftsmodelle mit speziellen oder spezialisierten Verwertungs- und Kommerzialisierungslogiken einhergehen.

Diese Frage ist insbesondere im Hinblick auf die Konsequenzen für Grundrechtsfragen, wie dem Recht auf Privatheit im digitalen Zeitalter und im weiteren Sinne auch dem Konzept des Datenschutzes von Belang.

Die Ökonomin Shoshana Zuboff prägte in ihrem Essay Big Other: Surveillance Capitalism and the Prospects of an Information Civilization erstmal den Begriff des Überwachungskaptialismus. Das Essay stellt einen Versuch dar, die ökonomischen Logiken hinter dem Geschäftsmodell Big-Data näher zu beschreiben.

Ziel von Überwachungskapitalisten soll nicht nur Marktkontrolle durch den Ausbau von Marktvorherrschaft (Hegemonie) sein, sondern auch die Manipulation menschlichen Verhaltens zur Steuerung des Konsums. Überwachungskapitalismus beschreibt insofern den Zustand der Kommerzialisierung der Bewegungen des täglichen Lebens.

Unter dem Begriff nudging, der erstmal in der Verhaltensökonomie diskutiert wurde, werden all jene Versuche zusammengefasst, Verhalten von Menschen auf sanfte Weise zu beeinflussen. Die Manipulation soll dabei möglichst als freiwillig und für die Manipulierten als nutzenstiftend erlebt werden. Nudging kann mit Ergebnissen von Big-Data-Analysis kombiniert werden, wird als Big Nudging beschrieben und findet etwa bei Experimenten Sozialer Netzwerke Anwendung.

Passwörter und Passwort-Manager

Von Passwort Managern die Passwörter in der Cloud ablegen raten wir ab. Wer auf die Cloud nicht verzichten kann sollte eine auf eigenen Gerät verschüsselte Passwort Manager Datei (in der Regel eine verschlüsselte Datenbank) mit der Cloud seiner Wahl synchronisieren. Um das Risiko von Hintertüren in der Software zu reduzieren, empfehlen wir unbedingt auf quelloffene Password Manager zu setzen.

KeePass: Offizielle Website des Projektes (englisch) mit Hilfeseiten, Dokumentation und Forum. Der Quellcode findet sich auf der Download-Seite.

MacPass (MacOSX/macOS): Offizelle Webseite des Projektes (englisch). Quellcode bei Github.

KeepassX (Linux): Offizielle Website des Projektes (englisch) mit Dokumentation, Forum und Quellcode.

KeeWeb: Offizelle Website des Projektes (englisch).

PasswortSafe: Offizielle Website des Projektes (englisch) mit Dokumentation und Quellcode; empfohlen durch die Website prism-break.org, die Software-Empfehlungen – vorzugsweise aus quelloffenen Projekten – nach verschiedenen Einsatzgebieten aufführt.

Strategien für gute Passwörter:
Wikipedia, Stichwort Passwort
Empfehlung des Bundesamts für Sicherheit in der Informationstechnik

Diceware™ ist eine Methode eine Passwort oder eine Kombination von Passwörtern (Passpharse) unter Einsatz eines Würfels zu erzeugen. Dafür gibt es Wörterbuchlisten. Es wird empfohlen entweder einen hochwertigen Würfel (z. B. Casino-Würfel) oder Software einzusetzen, die einen kryptographisch sicherer Zufallszahlengenerator einsetzt. Nach aktuellem Stand gilt eine Passphrase, die auf diese Weise erzeugt wurde mit 8 Wörtern (80 Bit) als eine gute Passphrase, 12 Wörter würden eine starke Passphrase (120 bit) ergeben. Damit ein Passwort genug Entropie bietet, die für ca. ein Jahr standhält muss es min. einer Stärke von 65 bit entsprechen.

Mehrfachfaktor-Authentifzierung und PasswortKarten
Google Authenficator
Nitrokey
Yubico USB-Gerät zur Zweifaktor-Authentifizierung sowie FIDO Alliance Universal 2nd Factor – U2F demonstration, (Demovideo, englisch) dazu
Qwertycards

E-Mailverschlüsslung mit GnuPG

GnuPG 2.x Architektur – Aufbau der Verschlüsselungsoftware

gpg_2_x_architechture

Ab GnuPGP Version 2.x wurde der Aufbau des Crypto-Systems stark entflechtet. Viele kleinere Dienste, wie der GPG-Agent übernehmen nun Aufgaben, die bisher in einer Einheit verarbeitet wurden. Von der Entflechtung erhoffen sich die Entwickler vor allem eine geringere Verwundbarkeit des Gesamtsystems gegenüber Angreifern und eine höhere Flexibilität bei der Bereitstellung von Updates.

Das Paket für Erzeugung und Verwaltung der Schlüssel – GnuPG

Offizielle Website des GnuPG-Projektes mit Dokumentationen, Anleitungen und Quellcode

Offizielle Website (deutsch) von Gpg4win, dem Komplettpaket zum Verschlüsseln und Signieren von E-Mails, Dateien und Ordnern unter Windows, basierend auf GNU Privacy Guard (GnuPG). Freie Software, Quellcode verfügbar.

Die meisten Linux-Distributionen stellen das GnuPG-Paket über ihre Paketmanager zur Verfügung.

Für Mac OS kann die GPG-Suite von GPGTools verwendet werden.

Für iOS kann oPenGP eingesetzt werden.
Auch für Windows Phone steht oPenGP zur Verfügung.
Auf Android kann OpenKeyChain eingesetzt und z. B. über den Google-PlayStore installiert werden.

Das E-Mail-Programm – Thunderbird

Empfohlen für den Einsatz auf PCs/Macs (Dektop/Laptop/Notebook etc.) wird Thunderbird, ein E-Mail-Programm entwickelt und gepflegt von “The Mozilla Foundation” (Website in englisch), verschiedene Sprachen und Systeme, auch deutsch, Quellcode verfügbar.

Für den Einsatz unter Android empfiehlt sich K9-Mail, das z. B. über den Google-PlayStore installiert werden kann.

Das Add-on zur einfachen Bedienung der Verschlüsselung in Thunderbird – Enigmail

Direktlink auf das Add-on Enigmail bei “The Mozilla Foundation”, verschiedene Sprachen, auch deutsch, Quellcode verfügbar.

Anleitungen zur E-Mail Verschlüsslung mit PGP

Eine sehr empfehlenswerte deutsche Anleitung stammt von der Free Software Foundation.
Englischsprachige HowTows finden sich im Selfe Defense Guide der Electronic Frontier Foundation (EFF) und in der Sammlung von Security-In-A-Box.

Eine OpenPGP card Version 2.0 kann zum Speichern von GPG-Schlüsseln (max. Länge 2048 bit für RSA-Schlüssel) verwendet werden. Der Nitrokey Pro ermöglicht das Speichern von Schüsseln mit einer Länge von 4096 bit.

Englische “Best Practices”-Anleitung für den Umgang mit OpenPGP-Schlüsseln. Bedient fortgeschrittene Anforderungen inklusive ausführlicher Bedienung auf der Kommandozeile von GnuPG.

Festplattenverschlüsselung

TrueCrypt ist eine Verschlüsselungssoftware, die für mehrere Betriebssysteme zur Verfügung steht: Ein entsprechendes Tutorial findet sich bei Security-in-a-Box. TrueCrypt wird leider nicht mehr weiterentwickelt. Die letzte komplette Version 7.1 a kann dennoch immer noch eingesetzt werden.

Mit VeraCrypt existiert ein Ablegerprojekt (Fork) das aktiv weiterentwickelte Versionen zur Verfügung stellt, für die aber Überprüfungen (Audits) noch ausstehen. Unlängst in TrueCrypt 7.1 a bekannt gewordene Sicherheitslücken beim Zugriff auf Laufwerke unter Windows wurden in der aktuellen Version von VeraCrypt geschlossen. Bestehende TrueCrypt-Laufwerke und Container können mit VeraCrypt geöffnet und weiterverwendet werden.

Die glaubhafte Abstreitbarkeit (plausible deniability) der Existenz von versteckten Betriebssystemen und Laufwerken (Hidden Volumes) ist ein spezielles Feature, dass TrueCrypt und dessen Ablegern (Forks) vergleichweise intutiv zur Verfügung stellten.

Linux Nutzer können mit etwas Aufwand die Kernel-basierte Verschlüsselung (dm-crypt/cryptsetup/LUKS) einsetzen um glaubhafte Abstreitbarkeit zu implementieren. Nutzer von Solid State Drives (SSDs) müssen allerdings erwägen, ob sie für Nutzung dieses Feature die Deaktiverung des discard/TIRM Features in Kauf nehmen können.

Für Windows-Systeme wird auch DiskCryptor als Alternative genannt. Mit dieser Software lassen sich derzeit nur gesamte Partitionen (Laufwerke) verschlüsseln und keine Datei-Container anlegen. Auch für DiskCryptor sind noch keine Sicherheitsüberprüfungen (Audits) bekannt. Die aktuelle Version datiert aus 2014 und es sind aktuell keine neuen Releases geplant. Etliche Nutzer beobachten unlängst Probleme wie etwa Datenverlust, weshalb wir von einem produktiven Einsatz aktuell abraten.

Erfeulicherweise unterstüzt die akutelle Version von VeraCrypt nun auch die Betriebssystemverschlüsselung bei UEFI-Startumgebungen mit GPT-Platten für 64-bit-Ausgaben ab Windows 8, leider aber noch mit Einschränkungen, z. B. hinsichtlich versteckter Systeme.

Bitlocker unterstützt zusätzlich auch GPT-Festpaltten Allerdings müssen AnwenderInnen – wie bei allen Cloused Source Programmen – in die korrekte, hintertürenfreie Implementierung der Software vertrauen, ohne das überprüfen zu können. Aktuell kann nicht ausgeschlossen werden, dass Bitlocker Hinterüren enhält. Fener ist die Entfernung eines bestimten Verschlüsselungs-Features von Microsoft noch nicht plausbiel begründet worden und hat Sicherheitsexperten dazu bewogen, Bitlocker nicht länger für die Verschüsselung von Windowssystemen zu empfehlen.

Unter Linux steht mit dm-crypt in Verbindung LUKS (Unter Verwedung von cryptsetup) ein leistungsfähiges und performantes Verschlüsselungssystem zur Verfügung, dass direkt in das Betreibsystem (Kernel) integriert wurde. Ähnlich wie bei DiskCryptor lassen sich hiermit allerdings keine Datei-Container erzeugen. Tutorials für die Verschlüsslung mit dm-crypt finden sich für u. a. für Ubuntu, Mint, ArchLinux, Gentoo, Fedora und OpenSUSE. Bei der Einrichtung einer Komplettverschlüsselung und insbesondere bei der Verwendung von SolidState-Drives (SSDs) sollte darauf geachtet werden, dass die Daten beim Ruhezustand (Hibernate) auf die Platte geschrieben werden (Supend to Disk).

Unter MacOSX steht neben TrueCrypt das von Apple bereitgestellte und nicht-quelloffene FileVault2 zur Verfügung. Im Gegensatz zur Vorgängerversion ist die Implementierung aus Sicherheitsapekten deutlich verbessert worden. Eine Hintertür kann – wie bei allen nicht-quelloffenen Cryptosystemen – allerdings nicht ausgeschlossen werden. Vorsicht ist beim Upgrade des Betriebssystems über den Market geboten: Einige der aktuellen Installer, welche die Daten über das Netz laden, erkennen verschlüsselte Partitionen nicht, so dass bei einem Upgrade ernsthaften Probleme auftreten können (u. a. hängt das Upgrade in einer Schleife fest und lässt sich erst installieren, nachdem FileVault2 entfernt wurde). Aufgrund einer schweren Sicherheitslücke bei den USB-Anschlüssen, waren die Passwörter der verschlüsselten Partitionen kurzzeitig auslesbar.

Für BSD-System steht geli für die Festplatten- und Container-Verschlüsselung zur Verfügung.

Dateiverschlüsselung

Für Linux-Systeme kann für die Dateiverschlüsselung GnuPGP, OpenSSL, aescrypt und cccrypt verwendet werden.
Ein Wort zur Vorsichtig: Die OpenSSL Implementierung des symmetrischen Verschlüsselungsalgorithmus AES (Advanced Ecryption Algorithm) ist für zeitbezogene Angriffe auf den Zwischenpuffer (cached timing attacks) verwundbar. Dieser Angriff ist unter der Abkürzung CREAM bekannt geworden.

Unter Windows Systemen kann AESCrypt für die Dateiverschlüsselung oder GnuPGP for Win eingesetzt werden.

MacOSX-Nuzter*Innen können über FileFault, die integrierte Verschlüsselung von Apple, Container anlegen und in diesen Dateien ablegen. FileFault ist allerdings nicht quelloffen, weshalb keine zuverlässige Aussagen über die Vertrauenswürdigkeit und Sicherheit der Implementierung getroffen werden können. Alternativ bietet sich AESCrypt an.

Digitaler Schatten und Webtracking

Wenn wir digitale Dienste mit unseren PCs, Laptops oder Mobiltelefonen nutzen, hinterlassen wir – bewusst oder unbewusst – digitale Spuren. Wir surfen mit unserem Browser durchs Netz, rufen Webseiten auf, beschweren uns via Twitter, stellen Fotos auf Facebook, kommentieren YouTube-Video-Clips, bloggen, telefonieren oder schreiben Messages.

Unser Digitaler Schatten ist weitgehend unsichtbar. Mit My Digital Shadow stellt das Tactical Technology Collective ein nützliches Tool zur Verfügung, um das die anfallenden Daten sichtbar zu machen.

Die meisten Websites nutzen sogenannte Cookies um individuelle Informationen über Nutzer*Innen- abzuspeichern. Andere Seiten gehen weiter und setzen auf permanente Supercookies, die sich mit den Bordmitteln der Web-Browser nicht löschen lassen und in denen ganze Surfverläufe aufgezeichnet werden. Und schließlich gibt es noch Internetanbieter (ISPs), die an jeden Seitenabruf einen eindeutig identifizierbaren Fingerabdruck anhängen.

Onlinemedien und Werbeanbieter setzten eine Vielzahl sog. Tracker ein, um Besucher ihrer Seiten als werberelevantes Publikum zu identifizieren und ihre Bewegungen im Internet zu verfolgen. Das Projekt Trackography versucht die damit verbundene enorme Datensammlung durch Visualisierung greifbar zu machen.

Browser Fingerprints sind ein digitaler Fingerabdruck der eigenen Systemkonfiguration, die Besucher*Innen eindeutig identifizierbar werden lassen. Mit Hilfe der Werkzeuge Panopticlick und HTML5 Canvas Fingerprinting kann überprüft werden, wie eindeutig der Fingerabdruck er eigenen Konfiguration ist. Selbst mit dem Verzicht auf JavaScript lässt sich der Fingerabdruck nicht vollkommen vermeiden, wird aber deutlich schwieriger einer Nutzer*In zuordenbar.

Ziel dieser Sammlung von Informationen ist die Identifikation von einzelnen Nutzer*Innen oder deren Zuordnung zu Gruppen mit Hilfe von Klassifizierungen. Dabei werden individuelle und gruppenbezogene Eigenschaften aber auch Vorlieben und Verhaltensweisen korreliert.

Im Laufe der Zeit werden diese Informationen mit Hilfe komplexen Analyseverfahren (Big-Data-Analysis) unter Verwendung statistischer und algorithmischer Methoden zu Profilen verdichtet, die von Datenhändlern (data brookers) und Werbetreibenden als Verhaltensdossiers betrachtet und gehandelt werden. Auf deren Grundlage werden Wahrscheinlichkeiten für bestimmte Handlungen in Vorhersagemodellen berechnet und Verhalten gezielt beeinflusst.

Anonymisierungs-/Pseudonomisierungsnetzwerk Tor

Tor gilt als das bekannteste Anonymisierungsnetzwerk. Ziel von Tor ist die Verschleierung von Datenspuren und Metadaten, die etwa beim Surfen im Internet anfallen. Technisch realisiert wird dies über das sog. Onion-Routing bei welchem der Datenverkehr ständig über verschiedene, zufällige Teilnehmer im Tornetzwerk geleitet wird (3 hops). Aufgrund dieses Aufwands eignet sich Tor nicht für die Übermittlung großer Datenmengen, die etwa beim Streaming von Medieninhalten oder Spielen anfallen. Auch die Nutzung des Bittorent-Protokolls zum Austausch von Daten führt mit Tor dazu, dass Nutzer enttarnt werden können. Theoretisch wird die Verfolgung des Netzwerkers dadurch erschwert. Jüngere Untersuchungen zeigen allerdings, dass statistische Analyseverfahren zur Deanonymisierung einzelner Teilnehmer des Tor-Netzwerkes leider immer besser geworden sind.

Nachrichtendienste betreiben zudem hohen Aufwand um Teile des Tornetzes, insbesondere die sog. Relays zu infiltrieren bzw. eigene Relays in das Tornetzwerk einzubringen, um Teilnehmer zu enttarnen.

Das Tor-Browser-Bundle ist ein gehärteter Firefox-Browser, der speziell für das Surfen mit Tor entwickelt und vorkonfiguriert wird. Bedauerlicherweise ist diese spezielle Variante wieder direkt angegriffen worden. So hat das FBI in Kooperation mit bösartigen Relays speziell Nutzer des Tor-Browser-Bundles enttarnt.

Es wird empfohlen, Tor in Verbindung mit dem frei verfügbaren Tails-Linux einzusetzen, das ein für das anonyme Surfen angepasstes Betriebssystem darstellt.

Die Vermeidung von Metadaten und die Verhinderung der Enttarnung ist auch mit Tor an einige Voraussetzungen gekoppelt, die Auswirkungen auf das eigene Nutzerverhalten haben müssen, um Schutz zu gewährleisten.

Das Whonix Projeckt hat eine Reihe von Ratschlägen von Dingen, die man nicht tun sollte, zusammengestellt.

Personal Virtual Private Network (VPN)

Personal Virtual Private Networks (VPNs) versprechen ebenfalls die Verschleierung von Metadaten, die anders als bei Tor über einen zentralen Anbieter (VPN Server bzw. Server-Verbund) abgewickelt wird. Die Nutzer*In baut über eine spezielle Software einen sicheren Kanal zum Anbieter auf, durch den anschließen alle Anfragen an das Internet getunnelt werden. Außerhalb des VPNs sind dann lediglich die Datenspuren des VPN-Anbieters sichtbar.

Wer hartnäckigen Verfolgungstechniken, wie etwa den Perma-Cookies von Internet Service Providern, entkommen möchte, muss auch beim Surfen mit VPNs die TLS-Verschlüsselung der besuchten Webseiten in Anspruch nehmen.

Stichwort CryptoWars: Im Zuge der Snowden-Enthüllungen ist Ende 2014 öffentlich bekannt geworden, dass die Nachrichtendienste enormen Aufwand betreiben die gängigen VPN-Protokolle zu überwinden und einige Anbieter zu infiltrieren. Daher können VPNs nur noch eingeschränkt für die Verschleierung der eigenen Datenspuren empfohlen werden.

Risiken und Nebenwirkungen von Mobilgeräten

The top ten information security risks for smartphone users – Information der European Union Agency for Netword and Information Security

Tutorials und HowTos

How to harden your smartphone against stalkers – Android edition: Kontrollverlust über die eigenen Daten bei Android eindämmen.

How to harden your smartphone against stalkers – iPhone edition: Mein Phone, der Spion.

Hardening Android for Security and Privacy – Eine umfassende, leider sehr anspruchvolle Anleitung zum Rooten des Android-Phones, Vollverschlüsselung und Backup ohne Google sowie Problematisierung einiger Schwächen gängiger Android ROMs. Die Nennung einiger nützlicher Apps runden das Tutorial ab.

Security-in-a-Box bietet mit Mobile Security und Basic Security Setup for Android Devices einen Einstieg in die Thematik Sicherheit und Smartphones.

Eine Übersicht zu Alternativen für verschlüsselten Versand und Empfang von Sofortnachrichten und E-Mails findet sich bei prism.break.org.

CryptoPhones

Ein CryptoPhone verspricht eine höhere Sicherheit für den Nutzer. Die Praxis zeigt, dass dies nicht immer der Fall sein muss.

Weiterführende Links

How Journalists Use Crypto To Protect Sources – Laura Poitras, ack Gillum, Julia Angwin on 31c3

GPG for Journalists – Windows edition | Encryption for Journalists (Legendäres Video von Ed Snowden für Gleen Greenwald, in welchem er E-Mail-Verschlüsselung erklärt)

Prism-break.org – Used cases and non-privacy invasive tools and/or alternatives

Surveillance Self-Defense Guide of EFF

Security-In-A-Box (sometimes outdated tutorials)

Digital Security by Freedoom of Press (mit Hinweisen zu SecureDrop)

Folien zu unserem Vortrag über Überwachungskapitalismus bei der CryptoCon15.

Videoerklärung von AES, in englisch

Videoerklärung von HMAC-Algorithmen, in englisch

Das CrypTool-Portal ermöglicht jedermann einen einfachen Zugang zu Verschlüsselungs-Techniken. Alle Lernprogramme im CT-Projekt sind Open-Source, kostenlos und (auch) in deutsch. Das CrypTool-Projekt entwickelt die weltweit am meisten verbreitete E-Learning-Software für Kryptographie und Kryptoanalyse.
Ein ausführliches Buch zu den mathematischen Hintergründen der in Cryptool vorgestellten Verfahren findet sich hier.

Einführungskurse zur Kryptografie bei tele-TASK und als Online-Kurs von Christof Paar und Jan Pelzl.

Self Organized Session vom CCC-Kongress Dezember 2015:
An Advanced Introduction to GnuPG (Folien als PDF, bitte mit “Speichern unter” herunterladen)

Vorträge vom CCC-Kongress Dezember 2014:
ECCHacks: A gentle introduction to elliptic-curve cryptograph

Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.

Crypto 101 is an introductory course on cryptography, freely available for programmers of all ages and skill levels.