Cryptoparty 08. März 2017 – Programme, Materialien, Links

Wir unterhalten uns privat – Verschlüsselte Messenger- und Chat-Anwendungen auf Mobilgeräten und PCs

Materialien

Hier ist der Link zu unserer Präsentation. (Download: Zip-Archiv | Tarball )

Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen. Einfach registrieren und loslegen.

Bedrohungsmodelle (threat models)

Bedrohungsmodelle ermöglichen die Einschätzung von Risiken, die durch die Nutzung digitalisierter Kommunikation entstehen können. Sie beschreiben Möglichkeiten von Angriffen und decken Verhaltensweisen oder Übertragungswege und -formen auf, die mit Risiken verbunden sein können. Dieses Wissen kann eine Hilfe sein, um die Grenzen und Möglichkeiten von technischen Lösungen wie Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung für den jeweilige Anwendungsfall besser einzuschätzen und eigenes Verhalten entsprechend anzupassen.

Die Folien zu dem Vortrag What the Hell is Threat Modelling Anyway? sind eine Einführung in die Konzeptualisierung von Risiken, die mit der Verwendung digitaler Kommunikationsmittel einhergehen.

Risiken und Nebenwirkungen von Mobilgeräten

The top ten information security risks for smartphone users – Information der European Union Agency for Netword and Information Security

Generation Smartphone: A Guide for Parents of Tweens & Teens – Empfehlungen für Eltern, Kids und Teens. Wird auch als Downloas angeboten.

Tutorials und HowTos

How to harden your smartphone against stalkers – Android edition: Kontrollverlust über die eigenen Daten bei Android eindämmen.

How to harden your smartphone against stalkers – iPhone edition: Mein Phone, der Spion.

Hardening Android for Security and Privacy – Eine umfassende, leider sehr anspruchvoller Anleitung zum Rooten des Android-Phones, Vollverschlüsslung und Backup ohne Google sowie Problematisierung einiger Schwächen gängiger Android ROMs. Die Nennung einiger nützlicher Apps runden das Tutorial ab.

Security-in-a-Box bietet mit Mobile Security und Basic Security Setup for Android Devices einen Einstieg in die Thematik Sicherheit und Smartphones.

Die Secure Messaging Scorecard der Electronic Frontier Foundation ist nicht mehr aktuell und wird gerade aktualisiert. Die Version 1.0 bietet dennoch immer noch einen sehr guten Überblick, der die Auswahl sicherer Messenger und kann zur Orientierung herangezogen werden.

Tutorial zu Off-The-Record (OTR) Instant-Messaging für Windows und Mac mit Pidgin und Chat­Secure. Off-the-Record-Messaging ermöglicht das Versenden von verschlüsselten Sofortnachrichten (Instant-Messaging).

Eine Übersicht zu Alternativen für verschlüsselten Versand und Empfang von Sofortnachrichten und E-Mails findet sich bei prism.break.org.

Crypto-Messenger (Apps)

Signal Wire Threema Telegramm Wickr Antox Ello Whatsapp
Empfehlung
immer Ende-zu-Ende-verschlüsselt
Forward Secrecy
pattform-/geräteübergreifende Ende-zu-Ende-Verschlüsselung
Gruppenunterhaltungen Ende-zu-Ende-verschlüsselt
Telefonate Ende-zu-Ende-verschlüsselt
Video-Ende-zu-Ende verschlüsselt
Open-Source
Alternative zu , , , Ello , , , Ello , , Ello , , Ello , , , Ello , , Ello
Betriebssysteme , , , , , , ,

Empfehlenswerte Apps für Mobilgeräte

Prism.break.org listet eine Reihe von Apps, Diensten und Werkzeugen, für Android und iOS (iPhone, iPad) an und legt dabei den Schwerpunkt auf quelloffene Alternativen.

  • iOs/Android: Signal – Erlaubt verschlüsselte Telefonie (VoIP) zwischen zwei Teilnehmern. Kompatible mit Redphone-Nutzern (AppStore)
  • Android: ObscuraCamera – Kann Gesichter auf Fotografien unkenntlich machen.
  • Android: Secure Update Scanner
  • Andorid: Plumble – Mumble-Client für Andorid. Erlaubt verschlüsselte Internettelefonie (VoIP)
  • Android: Linphone – Erlaubt verschlüsselte Internettelefonie(VoIP)
  • Android: Offline Calendar – Erzeugt ein Fake-Google Account, so das der Kalender ohne Synchronisation zu Google verwendet werden kann.
  • Android: Xabber – Ermöglicht verschlüsselten Online-Chat

Vorsicht vor Password-Managern auf SmartPhones. Wir empfehlen hier grundsätzlich eine quelloffene KeePass-App zu verwenden.

CryptoPhones

Ein CryptoPhone verspricht eine höhre Sicherheit für den Nuzter. Die Praxis zeigt, dass dies nicht immer der Fall sein muss.

Beta-Software für Mobilgeräte

Bedenke bitte, dass durch die Nutzung von Beta-Software Instabilitäten auf deinem Mobilgeräten auftreten können.

Für Tox existiert der experimentelle Atox Client für Android kann über die Tox Website oder über einen weiteres Repository mittels FDroid heruntergeladen werden, ist aber noch als Beta deklariert. Der iOS Client Antidote ist ebenfalls Beta und kann derzeit über die App Testflight installiert und getestet werden.

Bitseal ist ein Bitmessage-Client für Android. Der sich derzeit noch im Beta-Stadium befindet und aktuell nicht mehr weiterentwickelt wird. Das installierbare Paket (APK) der aktuellen Version 0.5.3 kann derzeit leider nur über einen Google-Drive-Share bezogen werden. Weitere Informationen findest du im Bitmessage-Forum.

Empfehlenswerte Chat- und Messenger-Programme für PCs und Laptops

Für Off-the-Record-Messaging steht Pidgin für Windows und Linux-Nutzer zur Verfügung. Eine gute Einführung für die Nutzung von Pidgin findet sich bei Security-In-A-Box, sowie im CryptoParty-Handbook. (beide engl.)

Mac-OSX-Nutzer*Innen können Adium für Off-the-Record-Messaging verwenden.

Nutzter des auf Sicherheit optimierten Linux-Life-Betriebsystems Tails können auf weitere Pidgin-Features zurückgreifen: Dort wird bei jedem Systemstart ein zufälliger, neuer Benutzername für Pidgin ausgewählt.

Puristen können auf den Kommandozeilen-Instant-Messanger xmpp-client zurückgreifen, der zusätzliches über Tor die Metadaten bei der Off-the-Record-Kommunikation zu verschleiern versucht. (Mehr zu Tor und Verschleierung von Metadaten wird in der CrytoParty zum „Sicheren Surfen“ erklärt.)

Seit kurzem stehen für Wire und Signal Desktop-Vairanten zur Verfügung.

Das auf Matrix basierende Chatsystem Riot beitet ebenfalls Ende-zu-Ende-Verschlüsselung an und kann als Alternative zu Slack betrachtet weden. Die eingesetzt Verschlüsselung funktioniert bereits, ist aber aus sicherheitstechnischer Sicht noch als nicht abgeschlossen und experimentell zu betrachten.

Riochet bietet Chatkommunzikation mit zwei Teilnehmern an und setzt zur Verschleierung der dabei anfallenden Metadaten Funktionen des Tor-Netzwerkes ein.

Bitmessage ist ein alternativer Messenger, der neben Verschlüsslung hohen Wert auf die Verschleierung von Metadaten legt. Der aktuelle Client steht für Windows, OSX und Linux sowie BSD-Systeme zur Verfügung. Die Entwickler bieten Installer für Windows und OSX an. Auf Linux und BSD-Systemen können Nutzer*Innen den Messenger-Client auch ohne Installation starten. Die dafür notwendige Software – python2 – ist üblicherweise vorinstalliert.

Tox ist ein relative junger Instant-Messenger, der in Zukunft auch verschlüsselte Voice-Over-IP und Video-Chats erlauben soll. Derzeit existieren verschiedene grafische Clients: µTox (Windows, OSX, Linux), qTox (Windows, Mac OS X, Linux) und Toxy (Windows). Das Projekt Posion für den OSX-Client Posion bietet derzeit noch keine Installer (Binaries) zum Download an. Posion kann mit Homebrew kompiliert werden. Nutzer*Innen, denen das zu aufwendig ist können alternativ auf diese Installer zurückgreifen. Da das eingensetzt Protokoll für die Ende-zu-Ende-Verschlüsselung durch das Tox-Team selbst gestrickt wurde und sich dabei nicht an den aktuellen Protokollen wie etwa Noise, OMEMO oder dem Double Ratchet Algorithm orientiert, ist Tox aktuell  als experimentelle Software zu betrachten und nicht für den ernsthaften Gebrauch zu empfehlen

CryptoCat hingegen ist ein seit kurzem für Windows-, Linux, und Mac-Systeme erhäftliches Chat-Programm mit Ende-zu-Ende-Verschlüsselung sowie Gruppenchats und hebt sich vor allem durch die einfache, intutive Bediehbarkeit hevor.

Weiterführende Links

Ein kompletter Einführungskurs zur Kryptografie mit Videos, konzipiert über mehrere Wochen, komplett in englisch, findet sich bei coursera.org.

Explain Like I’m Five: How Does Off-The-Record Encryption Work?

OTR im XMPP-Wiki.

Off-the-Record Messaging: Useful Security and Privacy for IM. YouTube-Video. Vortrag vom Ian Goldberg Jahr aus dem Jahr 2007 für das Stanford University Computer Systems Colloquium.

A User Study of Off-the-Record Messaging (PDF). Studie aus dem Jahr 2008 über die Nutzung des OTR Protokolls mit Pidgin und einer Empfehlung, wie die Schwächen in der Benutzerführung und Verwendbarkeit (Usability) gefixt werden können.

Vorträge vom CCC-Kongress Dezember 2014:
ECCHacks: A gentle introduction to elliptic-curve cryptograph

Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.