Cryptoparty 11. Februar 2015 – Programme, Materialien, Links

Materialien

Hier ist der Link zu unserer Präsentation.

Risiken und Nebenwirkungen von Mobilgeräten

The top ten information security risks for smartphone users – Information der European Union Agency for Netword and Information Security

Generation Smartphone: A Guide for Parents of Tweens & Teens – Empfehlungen für Eltern, Kids und Teens. Wird auch als Downloas angeboten.

Tutorials und HowTos

How to harden your smartphone against stalkers – Android edition: Kontrollverlust über die eigenen Daten bei Android eindämmen.

How to harden your smartphone against stalkers – iPhone edition: Mein Phone, der Spion.

Hardening Android for Security and Privacy – Eine umfassende, leider sehr anspruchvoller Anleitung zum Rooten des Android-Phones, Vollverschlüsslung und Backup ohne Google sowie Problematisierung einiger Schwächen gängiger Android ROMs. Die Nennung einiger nützlicher Apps runden das Tutorial ab.

Security-in-a-Box bietet mit Mobile Security und Basic Security Setup for Android Devices einen Einstieg in die Thematik Sicherheit und Smartphones.

Tutorial zu Off-The-Record (OTR) Instant-Messaging für Windows und Mac mit Pidgin und Chat­Secure. Off-the-Record-Messaging ermöglicht das Versenden von verschlüsselten Sofortnachrichten (Instant-Messaging).

Eine Übersicht zu Alternativen für verschlüsselten Versand und Empfang von Sofortnachrichten und E-Mails findet sich bei prism.break.org.

Empfehlenswerte Apps für Mobilgeräte

Prism.break.org listet eine Reihe von Apps, Diensten und Werkzeugen, für Android und iOS (iPhone, iPad) an und legt dabei den Schwerpunkt auf quelloffene Alternativen.

  • Android: Redphone – Erlaubt verschlüsselte Telefonie (VoIP) zwischen zwei Teilnehmern. (PlayStore)
  • iOs: Signal – Erlaubt verschlüsselte Telefonie (VoIP) zwischen zwei Teilnehmern. Kompatible mit Redphone-Nutzern (AppStore)
  • Android/iOS: ChatSecure – Ermöglicht verschüsselten Online-Chat (AppStore, PlayStore, FDroid)
  • Android: TextSecure – Verschlüsselter Messenger (Ende-zu-Ende-Verschüsselung). Erlaubt derzeit noch den Versand veschlüsselter SMS (Playstore)
  • Android: ObscuraCamera – Kann Gesichter auf Fotografien unkenntlich machen.
  • Android: Secure Update Scanner
  • Andorid: Plumble – Mumble-Client für Andorid. Erlaubt verschlüsselte Internettelefonie (VoIP)
  • Android: Linphone – Erlaubt verschlüsselte Internettelefonie(VoIP)
  • Android: Offline Calendar – Erzeugt ein Fake-Google Account, so das der Kalender ohne Synchronisation zu Google verwendet werden kann.
  • Android: Xabber – Ermöglicht verschlüsselten Online-Chat

CryptoPhones

Ein CryptoPhone verspricht eine höhre Sicherheit für den Nuzter. Die Praxis zeigt, dass dies nicht immer der Fall sein muss.

Beta-Software für Mobilgeräte

Bedenke bitte, dass durch die Nutzung von Beta-Software Instabilitäten auf deinem Mobilgeräten auftreten können.

Für Tox existiert der experimentelle Atox Client für Android kann über die Tox Website oder über einen weiteres Repository mittels FDroid heruntergeladen werden, ist aber noch als Beta deklariert. Der iOS Client Antidote ist ebenfalls Beta und kann derzeit über die App Testflight installiert und getestet werden.

Bitseal ist ein Bitmessage-Client für Android. Der sich derzeit noch im Beta-Stadium befindet. Das installierbare Paket (APK) der aktuellen Version 0.5.3 kann derzeit leider nur über einen Google-Drive-Share bezogen werden. Weitere Informationen findest du im Bitmessage-Forum.

Empfehlenswerte Chat- und Messenger-Programme für PCs und Laptops

Für Off-the-Record-Messaging steht Pidgin für Windows und Linux-Nutzer zur Verfügung. Eine gute Einführung für die Nutzung von Pidgin findet sich bei Security-In-A-Box, sowie im CryptoParty-Handbook. (beide engl.)

Mac-OSX-Nutzer*Innen können Adium für Off-the-Record-Messaging verwenden.

Nutzter des auf Sicherheit optimierten Linux-Life-Betriebsystems Tails können auf weitere Pidgin-Features zurückgreifen: Dort wird bei jedem Systemstart ein zufälliger, neuer Benutzername für Pidgin ausgewählt.

Puristen können auf den Kommandozeilen-Instant-Messanger xmpp-client zurückgreifen, der zusätzliches über Tor die Metadaten bei der Off-the-Record-Kommunikation zu verschleiern versucht. (Mehr zu Tor und Verschleierung von Metadatan wird in der CrytoParty zum „Sicheren Surfen“ erklärt.)

Bitmessage ist ein alternativer Messenger, der neben Verschlüsslung hohen Wert auf die Verschleierung von Metadaten legt. Der aktuelle Client steht für Windows, OSX und Linux sowie BSD-Systeme zur Verfügung. Die Entwickler bieten Installer für Windows und OSX an. Auf Linux und BSD-Systemen können Nutzer*Innen den Messenger-Client auch ohne Installation starten. Die dafür notwendige Software – python2 – ist üblicherweise vorinstalliert.

Tox ist ein relative junger Instant-Messanger, der in Zukunft auch verschlüsselte Voice-Over-IP und Video-Chats erlauben soll. Derzeit existieren verschiedene grafische Clients: µTox (Windows, OSX, Linux), qTox (Windows, Mac OS X, Linux) und Toxy (Windows). Das Projekt Posion für den OSX-Client Posion bietet derzeit noch keine Installer (Binaries) zum Download an. Posion kann mit Homebrew kompiliert. Nutzer*Innen, denen das zu aufwendig ist können alternativ auf diese Installer zurückgreifen.

Cameo verspricht für die frei verfügbare Basic Version Ende-zu-Ende verschlüsselte Chats, Dateiübertragungen sowie GruppenChats. Anders als bei TextSecure melden sich Nutzer*Innen über Nuzternamen und Passwort an. Für PC- oder Laptop-Betriebssysteme steht derzeit lediglich ein Browser-Addon zur Verfügung. In Zukunft sollen aber auch für jedes Betriebssystem installierbare Versionen folgen.

Das noch junge Peerio setzt in der jetzigen Version ebenfalls auf ein Brower-Addon. Peerio erlaubt Dateiübertragungen, Gruppenchats und verspricht echte Ende-zu-Ende-Verschlüsselung. Für Windows und MacOSX existieren bereits installierbare Clients. Linux soll in kürze folgen. Apps für iOS und Android sind ebenfalls in Vorbereitung.

CryptoCat hingegen ist seit längerem als Browser-Addon verfügbar und erlaubt Ende-zu-Ende-Verschlüsselung sowie Gruppenchats.

Als noch sehr experimentell betrachtet werden sollte Pond, dass versucht – zusätzlich zur Ende-zu-Ende-Verschüsselung – die bei der Kommunikation anfallenden Metadaten zu verschleiern.

Weiterführende Links

Ein kompletter Einführungskurs zur Kryptografie mit Videos, konzipiert über mehrere Wochen, komplett in englisch, findet sich bei coursera.org.

Explain Like I’m Five: How Does Off-The-Record Encryption Work?

OTR im XMPP-Wiki.

Off-the-Record Messaging: Useful Security and Privacy for IM. YouTube-Video. Vortrag vom Ian Goldberg Jahr aus dem Jahr 2007 für das Stanford University Computer Systems Colloquium.

A User Study of Off-the-Record Messaging (PDF). Studie aus dem Jahr 2008 über die Nutzung des OTR Protokolls mit Pidgin und einer Empfehlung, wie die Schwächen in der Benutzerführung und Verwendbarkeit (Usability) gefixt werden können.

Vorträge vom CCC-Kongress Dezember 2014:
ECCHacks: A gentle introduction to elliptic-curve cryptograph

Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.