Crypto macht Schule: CryptoParty Montessori 20. Oktober 2018 – Programme, Materialien, Links

Materialien

Hier ist der Link zu unserer Präsentation. (Download: Zip-Archiv | Tarball )

Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen. Einfach registrieren und loslegen.

Bedrohungsmodelle (threat models)

Bedrohungsmodelle ermöglichen die Einschätzung von Risiken, die durch die Nutzung digitalisierter Kommunikation entstehen können. Sie beschreiben Möglichkeiten von Angriffen und decken Verhaltensweisen oder Übertragungswege und -formen auf, die mit Risiken verbunden sein können. Dieses Wissen kann eine Hilfe sein, um die Grenzen und Möglichkeiten von technischen Lösungen wie Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung für den jeweilige Anwendungsfall besser einzuschätzen und eigenes Verhalten entsprechend anzupassen.

Die Folien zu dem Vortrag What the Hell is Threat Modelling Anyway? sind eine Einführung in die Konzeptualisierung von Risiken, die mit der Verwendung digitaler Kommunikationsmittel einhergehen.

Risiken und Nebenwirkungen von Mobilgeräten

The top ten information security risks for smartphone users – Information der European Union Agency for Netword and Information Security

Generation Smartphone: A Guide for Parents of Tweens & Teens – Empfehlungen für Eltern, Kids und Teens. Wird auch als Download angeboten.

Tutorials und HowTos

How to harden your smartphone against stalkers – Android edition: Kontrollverlust über die eigenen Daten bei Android eindämmen.

How to harden your smartphone against stalkers – iPhone edition: Mein Phone, der Spion.

Hardening Android for Security and Privacy – Eine umfassende, leider sehr anspruchsvolle Anleitung zum Rooten des Android-Phones, Vollverschlüsselung und Backup ohne Google sowie Problematisierung einiger Schwächen gängiger Android ROMs. Die Nennung einiger nützlicher Apps runden das Tutorial ab.

Security-in-a-Box bietet mit Mobile Security und Basic Security Setup for Android Devices einen Einstieg in die Thematik Sicherheit und Smartphones.

Einen sehr guten Überblick, der die Auswahl sicherer Messenger erleichtert, bietet die Secure Messaging Scorecard der Electronic Frontier Foundation.

Eine Übersicht zu Alternativen für verschlüsselten Versand und Empfang von Sofortnachrichten und E-Mails findet sich bei prism.break.org.

Empfehlenswerte Apps für Mobilgeräte

Prism.break.org listet eine Reihe von Apps, Diensten und Werkzeugen, für Android und iOS (iPhone, iPad) auf und legt dabei den Schwerpunkt auf quelloffene Angebote.

Signal Wire Threema Telegramm Wickr Antox Ello Whatsapp
Empfehlung
immer Ende-zu-Ende-verschlüsselt
Forward Secrecy
Gruppenunterhaltungen verschlüsselt
Telefonate verschlüsselt
Videokonferenz verschlüsselt
Open-Source
Alternative zu , , , Ello , , , Ello , , Ello , , Ello , , , Ello , , Ello
Betriebssysteme , , , , , , ,

Weitere Empfehlenswerte Apps für Mobilgeräte

  • iOs: Focus blockiert nicht erwünschte Inhalte (Werbung, JavaScript, Viren/Würmer/Trojaner in Websiten) auf iPhones.
  • Android/iOS: ChatSecure – Ermöglicht verschlüsselten Online-Chat (AppStore, PlayStore, FDroid)
  • Android: Conversations – Ermöglicht verschlüsselten Online-Chat (PlayStore, FDroid)
  • Android: ObscuraCamera – Kann Gesichter auf Fotografien unkenntlich machen.
  • Android: Stagefright Detector – Prüft ob das eigene Smartphone/Anrdoid-Betriebssystem über die Stategfright-Sicherheitslücke angreifbar ist
  • Android: Secure Update Scanner
  • Android: Offline Calendar – Erzeugt ein Fake-Google Account, so dass der Kalender ohne Synchronisation zu Google verwendet werden kann.

CryptoPhones

Ein CryptoPhone verspricht eine höhere Sicherheit für den Nutzer. Die Praxis zeigt, dass dies nicht immer der Fall sein muss.

Empfehlenswerte Chat- und Messenger-Programme für PCs und Laptops

Mit der Chat-Anwendung Ricochet können Nuzter*Innen die Metadaten die bei der Ende-zu-Ende-verschlüsselten Kommunikation anfallen, verschleiern. Metadaten sind alle Informationen, die bei dem Austausch über digitale Netzwerke anfallen können: Kommunikationsdauer, Zeit des Verbindungsauf- und -abbaus, beteiligte IP-Adressen, Datenvolumen, Standortdaten, verwendete Protokolle usw. Die Verschleierung von Metadaten wird häufig mit dem Begriff der Anonymisierung in Verbindung gebracht.

CryptoCat erlaubt Ende-zu-Ende-Verschlüsselung sowie Gruppenchats.

Blogs und Microblogs

Blogs

WordPress hat sich in den letzten Jahren von einer Software für Blogger zu einem Content-Management-System entwickelt und bildet auf diese Weise für tausende Sites im Netz due Grundlage. WordPress fällt vor allem durch die vergleichsweise einfache Installation und Nutzung auf. Bei den meisten Anbietern von Shared-Hosting oder virtuellen RootServern lässt sich WordPress in der Regel problemlos installieren.
Für WordPress stehen zahlreiche Themes zur Verfügung, die Blogger*Innen oder Seitenbetreiber*Innen dabei unterstützen, der eignen Individualität im Netz Ausdruck zu verleihen, meistens kostenfreie Plugins bieten eine einfach Möglichkeiten nahezu beliebige Funktionen in die eigene Website zu intgrieren. Der Vorteil beim sogenannten Self Hosting besteht vor allem darin, dass Blogger*Innen die Rechte über ihre Inhalte nicht über Allgemeine Geschäftsbedingungen und unter den Prämissen des US-Rechts an den fremde Plattformbetreiber übertragen sondern einen wesentlichen Teil der Hoheit über ihre im Netz veröffentlichten Inhalte behalten.

Als Alternative zu WordPress kommen häufig schlankere, reine Blog-Systeme zum Einsatz. In den vergangen Monaten hat Ghost für Furore gesorgt. Anders als WordPress steht der Fokus hier vor allem auf dem Schreiben und der Veröffentlichung von Artikeln. Allerdings ist die Software derzeit noch nicht bei jedem Hosting-Anbieter ohne weiteres installierbar, auch wenn das dafür einsetzte Basissystem node.js in der jüngeren Vergangenheit an Verbreitung gewonnen hat.

Schließlich gibt es noch die Möglichkeit ein Blog oder eine Website auf der Grundlage von Textdateien, die einem bestimmten Format (Markdown) entsprechen, auf dem eigenen Rechner genieren zu lassen. Die entstandene, statische Website, die dann keinerlei Datenbanksystem mehr benötigt, kann dann auf den eigenen Server hochgeladen werden. In den letzten Jahren sind zahlreiche static site generators entstanden. Einer der bekanntesten ist noch immer jekyll.

Microblogs

Unter einem Mircobloggingdienst versteht man im allgemeinen einen Dienst der die Veröffentlichung von Kurzbeiträgen ermöglicht. Die Grenzen zwischen Sozialem Netzwerk und Microblogging ist dabei häufig fließend.

Zu den Microblogs, die Nutzer*Innen im Selfhosting betrieben können, oder für die es zumindest freie Accounts gibt, zählen z. B. GnuSocial (früher Status.Net) und pump.io, die beide einen föderierten Ansatz verfolgen, d. h. versuchen verteilte Installationen miteinander zu vernetzen.

GnuSocial unterstützt Nachrichten mit einer Länge von 1024 Zeichen. Diese Beiträge werden Queets genannt. Queeterer haben zudem die Möglichkeit Bilddateien in ihre Kurzmitteilung hochzuladen. GnuSocial bietet außerdem die Möglichkeit Links in Queets automatisch zu kürzen (URL-Shortener). Über Schlagworte (Tags) kann sich ein Nutzer in einem Profil selbst beschreiben. Queets können Standortinformationen enthalten. Diese Option ist – abhängig von der verwendeten Installation – standardmäßig nicht aktiviert. Das Profil bietet Nutzer*Innen zudem die Möglichkeit der Selbstbeschreibung (Biografie) an. Außerdem kann eine Website als Adresse hinterlegt werden. Impressum und vergleichbare Angaben sind nicht vorgesehen.
GnuSocial kann unter GnuSocial.de ausprobiert werden. Da GnuSocial das OStatus-Protokoll versteht, sind Apps verfügbar.

pump.io stellt eine sehr klare, moderne Weboberfläche zur Verfügung, die an Twitter erinnert. Anders als bei Twitter ist die Länge der Nachrichten nicht auf 140 Zeichen begrenzt. pump.io hat verschiedene technischen Protokolle zusammen getragen, die prinzipiell einen breiten Einsatz ermöglichen und auch die Probleme föderierter Netze zu adressieren versuchen. Da pump.io das ActivityStreams-Protokoll implementiert hat, kann es über entsprechende Apps auch dazu verwendet werden sportliche Aktivitäten, gehörte Musik oder Check-Ins an bestimmten Orten zu veröffentlichen und zu protokollieren. Inwieweit diese Möglichkeiten außerhalb von experimenteller Arbeit im Rahmen von Hacktivismus einer größeren Netzöffentlichkeit zu kommen werden, ist bisher schwer einschätzbar.
pump.io-Nutzer*Innen stehen für Android die Apps Puma und Impeller zur Verfügung, die über den FDroid-Store bezogen werden können. Für Desktop-Geräte machen die beiden Anwendungen Pumpa und Dianara derzeit den besten Eindruck.

Mastodon ist der jünste Vertreter alternativer Sozialer Netzwerke mit Mircoblogging-Charakter. Schwerpunkt ist neben der Unterstützung moderner Web-Standards, was eine einfacher Integration ermöglichen soll (vgl. pump.io) auch die Verkünpfungs- und Einbindungsmöglichkeit (Interoperablität) bietet.

Alternative ›Soziale Netzwerke‹

Wenngleich pump.io und GnuSocial durchaus auch als Soziale Netzwerke aufgefasst werden können, gibt es daneben auch weitere föderierte Ansätze, die explizit auf den Anspruch eines sozialen Netzwerkes hinarbeiten.

Unter föderiertem Ansatz wird im Zusammenhang mit Sozialen Netzwerken an dezentrale, verteilte, unabhängige Systeme gedacht, die sich bei Bedarf miteinander verbinden. Anders als bei den großen Rechnerverbünden (Cluster, Clouds) in den DataCentern von Facebook, Google und Twitter werden die Daten der Nutzer*Innen hier nicht in einem zentralisierten Datensilo gespeichert. Prinzipiell können also wenige Nutzer*innen einen bestimmten Zirkel sogar auf einer eigenen Instanz (Server, Pod, Host) abbilden. Es gibt sogar Verfahren, die ohne Rechner (Server, Hosts) im Netz auskommen und die Teilnehmer*Innen direkt miteinander verbinden (Peer-to-Peer).

Die aus Nutzer*Innensicht einfachste Variante ein Soziales Netzwerk aufzubauen ist der Einsatz von Retroshare. Retroshare ist eine Software, die auf dem eigenen Gerät installiert wird und die über ein verteiltes Verfahren, eine sog. Verteilte Hashtable (DHT), die Vernetzung direkt zwischen den Teilnehmen realisiert (Peer-To-Peer, P2P). Wenngleich die Benutzeroberfläche etwas in die Jahre gekommen wirkt, bietet Retroshare Instant-Messaging, Mailing, Voice-over-IP, Dateiaustausch und sieht sogar die Führung verteilter Foren vor. Identität wird in Retroshare über einen OpenPGP-Schlüssel abgebildet, den Freunde untereinander austauschen können. Diese Schlüssel werden in der verteilen Hashtabelle abgelegt. Für die Verschlüsselung nutzt RetroShare nach der Identifkation der beteiligten Kommunikationspartner eine modifizierte Version von OpenSSL. Der Austausch großer Dateien über Retroshare braucht Geduld, da die Übertragung aufgrund der Peer-To-Peer-Verbindung und der meist asymmetrischen Anbindung der Teilnehmer, einige Zeit in Anspruch nehmen kann. Das RetroShare-Team sucht derzeit händeringend nach Entwicklern, um die Software weiter zu entwickeln. Ein Prüfung der kryptografischen Elemente des Systems (Audit) hat bisher nicht statt gefunden.

Friendica ist ein umfassendes, verteiltes Soziales Netzwerk. Neuen Nutzern können in der Dokumentation eine Einführung konsultieren.
Ähnlich wie bei Facebook können Nutzer detaillierte Informationen zu ihren Vorlieben, Interessen und ihren Beziehungen angeben. In den Beiträgen ist es möglich Hyperlinks, Bilddateien, Video und Klangdateien einzubinden. Wie Facebook oder Twitter bietet Friendica die Möglichkeit, Schlagworte in den Beiträgen über Hashtags zu kennzeichnen. Wie bei Facebook ist die Möglichkeit gegeben über einen Kalender Ereignisse zu teilen oder anzulegen. Zudem können persönliche Notizen verfasst werden. Nutzer können ihre Kontakte über Gruppen organisieren oder diesen Beitreten. Ein IRC-Chat kann direkt integriert werden. Community Pages und Friendica Forums runden die Möglichkeiten ab. Die Standardoberfläche wirkt aus heutiger Sicht etwas angestaubt. Allerdings bietet Friendica Betreibern die Möglichkeit Themes zu installieren oder diese selbst anzupassen. Plugins erlauben ferner andere Dienste einzubinden. Die Verbindung zu Facebook (Facebook Connector) wurde vor Kurzem abgeschaltet, da Facebook die eigenen Schnittstellen so verändert hat, dass ein sog. Crossposting aus Friendica heraus nicht mehr möglich ist. Kritiker loben immer wieder die einfache Installation von Friendica.

Das Projekt Diaspora* wurde im Jahr 2015 als Crowdfunding-Projekt unter dem Eindruck der starken Expansion von Facebook ins Leben gerufen. Nach zwei Jahren Entwicklungsarbeit haben die ursprünglichen Entwickler Diaspora* dann der Open-Source-Gemeinde übergeben. Seither wurde das Projekt kontinuierlich weiterentwickelt.
Anders als bei den üblichen Sozialen Netzwerken ist Diaspora* auf Datensparsamkeit ausgelegt. Das Profil verlangt, verglichen mit vielen andren Sozialen Netzwerken, kaum Angaben zur eigenen Person (Selbstbeschreibung/Biografie, das Gender/Geschlecht wurde bewusst als Eingabefeld definiert). Diese Einschränkung verhindert einerseits die Suche nach Nutzer*Innen über Merkmale, trägt aber der Privatsphäre der Nutzer Rechnung.
Nachrichten könne im Markdown-Format eingegeben werden, so dass etwa Links oder Formatierungen innerhalb von Beiträgen möglich werden.
Ähnlich wie bei Google+ (Kreise) oder Facebook (Gruppen) haben Nutzer*Innen die Möglichkeiten ihre Kontakte in sog. Aspekten zu organisieren. Die Sichtbarkeit bestimmter Beiträge kann so je nach Kommunikationskontext getrennt werden. Links werden, ähnlich wie bei Facebook, mit einer Vorschau eingebunden. Hashtags haben bei Diaspora* eine zentrale Bedeutung. Nutzer*Innen sind in der Lage die Kommunikationsströme, die mit diesen Schlagworten arbeiten, zu abonnieren.
Kritiker haben sehen bei Diaspora* vor allem die relativ komplexe Installation als Hürde, die sich aus den eingesetzten Technologien ergibt. Die Anforderungen eines Hostings sind dadurch erhöht, was als Widerspruch zu dem ursprünglichen heeren Ziel eines dezentralen Systems, bei dem jeder Nutzer seine eigene Instanz (Pod) betreibt, aufgefasst wurde. Hier lohnt sich eine vorsichtige Evaluierung.

Für Friendica existieren eine Reihe von Apps die das OStatus-Protokoll von GnuSocial unterstützen. Mit dem Android Client for Friendica existiert auch eine Android-App die speziell für Friendica Nutzer*Innen ausgelegt ist. Die Diaspora* Entwickler wollen keine zu hohen Erwartungen bei den Apps schüren. Android-Nutzer können allerdings die App Pusteplume ausprobieren.

Als vielversprechender Ansatz für eine sinnvolle Realisierung verteilter, dezentraler Vernetzung wird aktuell Etherum diskutiert. Dabei wird die dezentrale Datenbank der Bitcoin-Währung, die sog. Blockchain zu einer dezentrale, verteilte Infrastruktur weiterentwickelt, auf der nicht länger nur eine Währung übertragen werden kann, sondern auf deren Basis verteile Soziale Netzwerke oder Messaging-Systeme denkbar werden. Dieses Feature wird bereits als das Rückrat von Web 3. 0 bezeichnet, für dass eine Verlagerung zu dezentralen Ansätzen vorhersagt. Akasha könnte ein erste Soziales Netzwerk werden, dass Web 3.0 auf der Basis von der Blockchain dezentral umsetzt.

Weiterführende Links

Einführungskurse zur Kryptografie bei tele-TASK und als Online-Kurs von Christof Paar und Jan Pelzl.

Explain Like I’m Five: How Does Off-The-Record Encryption Work?

OTR im XMPP-Wiki.

Off-the-Record Messaging: Useful Security and Privacy for IM. YouTube-Video. Vortrag vom Ian Goldberg Jahr aus dem Jahr 2007 für das Stanford University Computer Systems Colloquium.

A User Study of Off-the-Record Messaging (PDF). Studie aus dem Jahr 2008 über die Nutzung des OTR Protokolls mit Pidgin und einer Empfehlung, wie die Schwächen in der Benutzerführung und Verwendbarkeit (Usability) gefixt werden können.

Vorträge vom CCC-Kongress Dezember 2014:
ECCHacks: A gentle introduction to elliptic-curve cryptograph

Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.

Literatur

Roberto Simanowski: Facebook-Gesellschaft. Matthes & Seitz, Berlin. 238 Seiten
Ralf Adelmann: „Von der Freundschaft in Facebook. Mediale Politiken sozialer Beziehungen in Social Network Sites“ in: Oliver Leistert, Theo Röhle (Hrsg.): Generation Facebook. Über das Leben im Social Net, transcript, Bielefeld 2011, S. 127–144.
Anders Albrechtslund: Online Social Networking as Participatory Surveillance in: First Monday, Vol. 13, No. 3, 2008
Byung-Chul Han: Transparenzgesellschaft, 3. Auflage, Matthes & Seitz, Berlin 2013