Das Bündnis Privatsphäre Leipzig e. V. ist eine überparteiliche Bürgerinitiative mit dem Ziel, Überwachung, Rechtsstaatlichkeit und Demokratie in einem breiten öffentlichen Diskurs zu thematisieren.
Wir treffen jeden ersten, dritten und fünften Dienstag des Monats immer 19:00 Uhr in der
Ganzen Bäckerei. (Öffentliches Plenum)
CryptoParty is a decentralized, global initiative to introduce the most basic cryptography programs and the fundamental concepts of their operation to the general public.
Wir verstehen Cyptoparties als Vermittlung von Wissen zur „Digitale Selbstverteidigung“.
CryptoParty on Tour Season 2/2017 (Sommer–Winter)
11. Juli 2017 – Sicherer Surfen und Anonymisierung. Pöge-Haus (TBC)
09. August 2017 – Messenger & Chats. nato
20. September 2017 – Alternative Soziale Netzwerke und Cloud-Systeme. Haus- und Wagenrat e. V.
Oktober 2017 – E-Mail-Verschlüsselung. (TBA)
November 2017 – Datei- und Festplattenverschlüsselung. (TBA)
Dezember 2017 – Windows 10 und Security by Isolation. (TBA)
Technik der Selbstkultivierung: Vita activa (Hannah Arendt), Technologie des digitalen Selbst (in Ahnlehnung an Focault)
Analogie: Digitale Hygiene, Datenhygiene
Versuch das Recht auf informationelle Selbstbestimmung (= Grundrecht) im digitalen Zeitalter wahrnehmen zu können
Versuch der Teilrestauration eines Kontrollverlustes von Privatheit
Digitale Selbstverteidigung
Technologie des digitalen Selbst (in Ahnlehnung an Focault)
„Darunter sind gewusste und gewollte Praktiken zu verstehen, mit denen die Menschen nicht nur die Regeln ihres Verhaltens festlegen,
sondern sich selber zu transformieren, sich in ihrem besonderen Sein zu modifizieren und aus ihrem Leben ein Werk zu machen suchen, das gewisse ästhetische Werte trägt und gewissen Stilkriterien entspricht.“ (Foucault, Sexualität
und Wahrheit. 2. S. 18)
Digitale Selbstverteidigung
Digitale Selbstverteidigung als Aufklärungsmodell
Habe Mut, dich deines eigenen Verstandes zu bedienen!
beschreiben Möglichkeiten von Angriffen und decken Verhaltensweisen oder Übertragungswege und -formen auf, die mit Risiken verbunden sein können
helfen Grenzen und Möglichkeiten von technischen Lösungen wie Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung besser einzuschätzen und eigenes Verhalten anzupassen.
Bedrohungsmodell
Übersicht
Schutzinteressen und -rahmen
Die W-Fragen
Was möchte ich schützen?
Wie wahrscheinlich ist die Notwendigkeit es schützen zu müssen?
Vor wem möchte ich es schützen?
Was sind die Konsequenzen, wenn der Schutz versagt?
Wie viel Aufwand und Umstände möchte ich in Kauf nehmen und worauf möchte ich verzichten, um es zu schützen?
Starke Passwörter schützen kaum oder nur gering vor Social engineering, Datenverlust, schlechter Passwortverwaltung beim Anbieter (Infrastruktur), Sicherheitslücken
klare Zuordnung Schlüssel–Besitzer, mindestens in Form der E-Mail Adresse
keine plausible Bestreitbarkeit/Verneinbarkeit bei Einsatz eines Schlüssels
Schlüssel-Generierung
Menü → Enigmail → Schlüssel verwalten
Erzeugen → Neues Schlüsselpaar
Schlüssel-Generierung
Benutzererkennung: Mailadresse mit dem der Schlüssel verknüpft wird (Mehrfachverknüpfungen möglich)
Haken bei Schlüssel zum Unterschreiben verwenden setzen
sichere Passphrase eingeben
Kommentar zum Schlüssel: für andere Einsehbar → Eindeutige Identifizierung
Ablaufzeit: Benutzbarkeit vs. Komfort
Erweitert: Schlüsselstärke 4096; Algorithmus RSA
Schlüsselpaar erzeugen
Schlüssel-Generierung
Widerrufszertifikat anlegen
Wofür?
im Zusammenhang mit der Verwendung von Key-Servern
bei Verlust/Kompromittierung des geheimen Schlüssels für dessen Widerruf
wenn der Schlüssel ungültig gemacht werden soll, z. B. weil man einen stärkeren einsetzen will (größer/länger, andere Standards, z. B. elliptische Kurven in Zukunft)
WICHTIG: Separates Backup unabhängig vom Arbeitssystem anlegen!
Diese Dateien gehören zu Installation und bleiben auf dem System.
Schlüsselmanagement/-verwaltung
Warum?
Austausch von verschlüsselten Nachrichten erst nach Austausch von Schlüsseln möglich
wichtig/sinnvoll für Backup Einsatz auf mehreren Geräten/Systemen
Wie?
Import/Export in den/vom Keyring von/in Dateien
Kopien werden angelegt, Schlüssel bleibt im Bund erhalten beim Export und als Datei beim Import
bevorzugte Dateiendung für Schlüsseldateien .asc
Schlüsselmanagement/-verwaltung
Export, automatisiert (E-Mailanhang)
Bearbeiten → E-Mail-Einstellungen → im Profil OpenPGP-Sicherheit auswählen → Erweitert … aufrufen → Öffentlichen Schlüssel an Nachricht anhängen aktivieren
Schlüsselmanagement/-verwaltung
Export, händisch (E-Mailanhang)
Im Menü Enigmail → Schlüssel verwalten aufrufen → Schlüssel auswählen/markieren → Über Datei → Öffentlichen Schlüssel per E-Mail senden → neue Nachricht zum Verfassen öffnen → Schlüssel erscheint unter „Anhänge“ als Datei (Schlüsselkurz-ID.asc)
neu Nachricht verfassen aufrufen → in der enigmail-Zeile „Meinen öffentlichen Schlüssel anhängen“ auswählen → Schlüssel erscheint unter „Anhänge“ als Datei (Schlüsselkurz-ID.asc)
Schlüsselmanagement/-verwaltung
Export, Stick/Speichermedium
Im Menü Enigmail → Schlüssel verwalten aufrufen → Schlüssel auswählen/markieren → Über Menü Datei > Exportieren wählen → Nachfrage mit „Nur öffentlichen Schlüssel exportieren” beantworten → Speichermedium/Speicherort auswählen und den Export
bestätigen, ggf. vorher Dateiname anpassen
Schlüsselmanagement/-verwaltung
Import, immer vom Speichermedium
Im Menü Enigmail → Schlüssel verwalten aufrufen → Über Menü Datei > Importieren wählen → zum Speichermedium/Speicherort navigieren → Schlüsseldatei auswählen und den Import bestätigen
funktioniert für private/geheime und öffentliche Schlüssel
Schlüsselmanagement/-verwaltung
Authentifizierung/Trust
öffentliche Schlüssel müssen grundsätzlich vor Einsatz überprüft werden, spätestens nach dem Import in den Schlüsselbund (Keyring)
kurz/lange ID sind unzureichend → mögliche Kollisionen
Fingerprint über einen sicheren Kanal austauschen (z. B. telefonisch oder persönlich) und überprüfen
nur Schlüsseln vertrauen, die man überprüft hat
Hilfskonstruktion: veröffentlichte Fingerprints von Websites mit dem Fingerprint des entsprechenden Schlüssels vergleichen
Schlüsselmanagement/-verwaltung
Key-Server
Server auf denen öffentliche Schlüssel in Datenbanken abgelegt werden, so das sie für alle andern im Netz auffindbar sind
Datenbank ist durchsuchbar nach allen Informationen, die mit dem Schlüssel verknüpft sind:
Name
E-Mail
Ids (Kurz, lang)
Fingerprint
Schlüsselmanagement/-verwaltung
Key-Server und Enigmail
erlaubt die Konfiguration von Key-Servern zum automatischen Abgleich
Im Menü Enigmal → Einstellungen aufrufen → Schlüsselserver auswählen → unter Schlüsselserver eintragen:
pool.sks-keyservers.net
→ unter Schlüssel zu Signatur-Überprüfung eintragen:
installierbar aber auch portabel nutzbar, dann Admin-Rechte nötig (Windows)
Wichtig: Downloads verifizieren via GPG-Signatur und/oder Hashsumme, Programmdownload für Hashsummen unter Windows
VeraCrypt
Wie funktioniert’s? (1)
beim Erstellen des Datenträgers werden Masterkeys und weitere Informationen für Ver- und Entschlüsselung der Inhalte des Containers/der Partition/Platte verschlüsselt im Volume Header abgelegt
für deren Verschlüsselung wird aus dem Passwort oder/und eingesetzten Keyfiles ein Header Key mit PBKDF2 (Password-Based Key Derivation Function 2) abgeleitet
als Betriebsmodus kommt XTS zum Einsatz, der aktuelle Quasi-Standard für Datenträgerverschlüsselung, eingesetzt auch bei BestCrypt, dm-crypt, FreeOTFE, DiskCryptor, FreeBSD geli, OpenBSD softraid disk encryption software
und Mac OS X Lion FileVault 2
RIPEMD 160, in 1996 gestärkte Version des im Rahmen des Projekts RACE Integrity Primitives Evaluation (RIPE) der EU entwickelten Algorithmus
SHA-512 oder SHA-256, entwickelt von der NSA und vom NIST publiziert.
Wirlpool, vom NESSIE-Projekt der EU empfohlen und von der ISO übernommen
Streebog-512 Russischer nationaler Standard GOST R 34.11-2012 Information Technology – Cryptographic Information Security – Hash Function, auch in RFC 6986 beschrieben
Alternativen
Windows
Bitlocker, Microsoft, ab Windows Vista, vielfach aber nur ab Pro-Version einsetzbar, Closed Source. Bitlocker wurde unlängst durch die Entscheidung Microsofts den sog. Elephant Diffuser zu entfernen geschwächt.
Bei Windows 10 werden (wurden?) die Wiederherstellungsschlüssel per Voreinstellung in der Microsoft Cloud gespeichert (Hintergund)
Alternativen
Mac OS X/Linux/BSD
Lion’s FileVault 2 Mac OS X, Closed Source
dm-crypt mit LUKS, via Repository der Distribution