Crypto macht Schule: CryptoParty Montessori 27. Oktober 2015 – Programme, Materialien, Links

Materialien

Hier ist der Link zu unserer Präsentation.

Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen. Einfach registrieren und loslegen.

Bedrohungsmodell (threat models) allgemein

Bedrohungsmodelle ermöglichen die Auseinandersetzung mit potentiellen Risiken, die durch die Nutzung digitalisierter Kommunikation entstehen können. Sie beschreiben also Möglichkeiten von Angriffen oder decken Verhalten oder Übertragungsformen auf, die mit Risiken verbunden sein können. Das Wissen um diese Risiken kann eine Hilfe sein, die Grenzen und Möglichkeiten von Ende-zu-Ende-Verschlüsselung für die jeweilige Anwendung besser einzuschätzen.

Die Folien zu dem Vortrag What the Hell is Threat Modelling Anyway? sind eine Einführung diese Konzeptualisierung von Risiken, die mit der Verwendung digitaler Kommunikationsmittel einhergehen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt unter dem Abschnitt Themen der Cybersicherheit eine Information zu den Begriffen Bedrohung, Gefährdung und Risiko zur Verfügung.

Digitaler Schatten und Webtracking

Wenn wir digitale Dienste mit unseren PCs, Laptops oder Mobiltelefonen nutzen, hinterlassen wir – bewusst oder unbewusst – digitale Spuren. Wir surfen mit unserem Browser durchs Netz, rufen Webseiten auf, beschweren uns via Twitter, stellen Fotos auf Facebook, kommentieren YouTube-Video-Clips, bloggen, telefonieren oder schreiben Messages.
 
Unser Digitaler Schatten ist weitgehend unsichtbar. Mit My Digital Shadow stellt das Tactical Technology Collective ein nützliches Tool zur Verfügung, um das Aufkommen von Daten sichtbar zu machen.
 
Die meisten Websites nutzen sogenannte Cookies um individuelle Nutzer*Innen-Informationen abzuspeichern. Andere Seiten gehen weiter und setzen auf Supercookies, die permanent sind, sich mit den Bordmitteln der Browser nicht löschen lassen und in denen ganze Surfverläufe aufgezeichnet werden. Und schließlich gibt es noch Internetanbieter (ISPs), die an jeden Seitenabruf einen eindeutig identifizierbaren Fingerabdruck anhängen.
 
Onlinemedien setzten eine Vielzahl sog. Tracker ein, um Besucher ihrer Seiten als werberelevantes Publikum zu identifizieren. Das Projekt Trackography versucht die damit verbundene enorme Datensammlung durch Visualisierung greifbar zu machen.
 
Browser Fingerprints sind ein digitaler Fingerabdruck der eigenen Systemkonfiguration, die die Besucher*In eindeutig identifizierbar werden lassen. Mit Hilfe der Werkzeuge Panopticlick und HTML5 Canvas Fingerprinting kann überprüft werden, wie eindeutig der Fingerabdruck ist. Selbst mit dem Verzicht auf JavaScript lässt sich der Fingerabdruck nicht vollkommen vermeiden, wird aber deutlich schwieriger einer Nutzer*In eindeutig zuordenbar.

SSL und TLS

SSL bzw. TLS definieren die Standardverschlüsselung, die beim Abruf von Webseiten eingesetzt wird und dabei als HTTPS abgekürzt ist. Dabei handelt es sich um ein komplexes Kommunikationsprotokoll, dass jedoch mit einem Vertrauensdilemma verbunden ist. 2014 sind, nicht nur durch die Enthüllung von Edward Snowden, gravierenden Schwächen in einigen Versionen des Protokolls sowie deren Umsetzung in Browsern oder bestimmten VPNs bekannt geworden.
Höchste Sicherheit bietet derzeit das HTSTS Protokoll (Prefect Forward Secrecy) das einen aktuellen Browser und einen speziell angepassten Server des Anbieters erfordert. Viele Untersuchungen der jüngeren Zeit, zeigen, dass die Anbieter von Webseiten erschreckend schlecht konfigurierte SSL und TLS-Sicherheit anbieten. Zeitweilig war dies sogar beim Bundesamt für Sicherheit in der Informationstechnik der Fall.
 
Die Achillesferse stellen bei HTTPS die Zertifikate dar, die von sog. Trustcentern ausgestellt werden. In der Vergangenheit ist es gelungen dieses Vertrauensmodell anzugreifen, dass auf einigen wenigen sog. Rootzertifikaten basiert, die in der zu prüfenden Hierarchie ganz oben stehen. Root Zertifikate werden üblicherweise mit dem installierten Betriebssystem mitgeliefert. Beispielsweise unter dem Schlagwort Superfish ist bekannt geworden, dass es dubiosen Angreifern gelungen ist, mit dem vorinstallierten Windows-Betriebsystem ein spezielles Wurzelzertifikat auf Laptops zu verbreiten und damit die ganze Vertrauensstruktur zu kompromitieren.
Die Überprüfung der Gültigkeit eines Serverzertifikates ist etwa beim Onlinebanking sinnvoll und erfolgt über einen Fingerabdruck der vorher über einen sicheren Kanal vom Anbieter der Seite mitgeteilt worden sein sollte.
 
Mit HTTP/2, dem Nachfolger des aktuellen Protokolls zur Übertragung von Webinhalten, soll die Übertragung beschleunigt und optimiert werden. HTTP/2 wird nach aktuellem Stand zwingend eine Transportverschlüsselung mittels TLS erfordern. Dadurch fallen hohen Kosten für die Ausstellung der Zertifikate für die Anbieter von Webseiten an. Aus diesem Grund und wegen der Vertrauensproblematik von Zertifikaten wird von Experten der vorgesehene Zwang zur Verschlüsselung nicht nur positiv aufgenommen.

Risiken und Nebenwirkungen von Mobilgeräten

The top ten information security risks for smartphone users – Information der European Union Agency for Netword and Information Security

Generation Smartphone: A Guide for Parents of Tweens & Teens – Empfehlungen für Eltern, Kids und Teens. Wird auch als Downloas angeboten.

Tutorials und HowTos

How to harden your smartphone against stalkers – Android edition: Kontrollverlust über die eigenen Daten bei Android eindämmen.

How to harden your smartphone against stalkers – iPhone edition: Mein Phone, der Spion.

Hardening Android for Security and Privacy – Eine umfassende, leider sehr anspruchvoller Anleitung zum Rooten des Android-Phones, Vollverschlüsslung und Backup ohne Google sowie Problematisierung einiger Schwächen gängiger Android ROMs. Die Nennung einiger nützlicher Apps runden das Tutorial ab.

Security-in-a-Box bietet mit Mobile Security und Basic Security Setup for Android Devices einen Einstieg in die Thematik Sicherheit und Smartphones.

Einen sehr guten Überblick, der die Auswahl sicherer Messenger erleichtert, bietet die Secure Messaging Scorecard der Electronic Frontier Foundation.

Eine Übersicht zu Alternativen für verschlüsselten Versand und Empfang von Sofortnachrichten und E-Mails findet sich bei prism.break.org.

Empfehlenswerte Apps für Mobilgeräte

Prism.break.org listet eine Reihe von Apps, Diensten und Werkzeugen, für Android und iOS (iPhone, iPad) an und legt dabei den Schwerpunkt auf quelloffene Alternativen.

  • Android: Redphone – Erlaubt verschlüsselte Telefonie (VoIP) zwischen zwei Teilnehmern. (PlayStore)
  • iOs: Signal – Erlaubt verschlüsselte Telefonie (VoIP) zwischen zwei Teilnehmern. Kompatible mit Redphone-Nutzern (AppStore)
  • Android/iOS: ChatSecure – Ermöglicht verschüsselten Online-Chat (AppStore, PlayStore, FDroid)
  • Android: TextSecure – Verschlüsselter Messenger (Ende-zu-Ende-Verschüsselung). Erlaubt derzeit noch den Versand veschlüsselter SMS (Playstore)
  • Android: ObscuraCamera – Kann Gesichter auf Fotografien unkenntlich machen.
  • Android: Secure Update Scanner
  • Andorid: Plumble – Mumble-Client für Andorid. Erlaubt verschlüsselte Internettelefonie (VoIP)
  • Android: Linphone – Erlaubt verschlüsselte Internettelefonie(VoIP)
  • Android: Offline Calendar – Erzeugt ein Fake-Google Account, so das der Kalender ohne Synchronisation zu Google verwendet werden kann.
  • Android: Xabber – Ermöglicht verschlüsselten Online-Chat

CryptoPhones

Ein CryptoPhone verspricht eine höhre Sicherheit für den Nuzter. Die Praxis zeigt, dass dies nicht immer der Fall sein muss.

Empfehlenswerte Chat- und Messenger-Programme für PCs und Laptops

Tox ist ein relative junger Instant-Messenger, der in Zukunft auch verschlüsselte Voice-Over-IP und Video-Chats erlauben soll. Derzeit existieren verschiedene grafische Clients: µTox (Windows, OSX, Linux), qTox (Windows, Mac OS X, Linux) und Toxy (Windows). Das Projekt Posion für den OSX-Client Posion bietet derzeit noch keine Installer (Binaries) zum Download an. Posion kann mit Homebrew kompiliert werden. Nutzer*Innen, denen das zu aufwendig ist können alternativ auf diese Installer zurückgreifen.

CryptoCat hingegen ist seit längerem als Browser-Addon verfügbar und erlaubt Ende-zu-Ende-Verschlüsselung sowie Gruppenchats.

Weiterführende Links

Ein kompletter Einführungskurs zur Kryptografie mit Videos, konzipiert über mehrere Wochen, komplett in englisch, findet sich bei coursera.org.

Explain Like I’m Five: How Does Off-The-Record Encryption Work?

OTR im XMPP-Wiki.

Off-the-Record Messaging: Useful Security and Privacy for IM. YouTube-Video. Vortrag vom Ian Goldberg Jahr aus dem Jahr 2007 für das Stanford University Computer Systems Colloquium.

A User Study of Off-the-Record Messaging (PDF). Studie aus dem Jahr 2008 über die Nutzung des OTR Protokolls mit Pidgin und einer Empfehlung, wie die Schwächen in der Benutzerführung und Verwendbarkeit (Usability) gefixt werden können.

Vorträge vom CCC-Kongress Dezember 2014:
ECCHacks: A gentle introduction to elliptic-curve cryptograph

Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.