Crypto macht Schule

Montessori 29. Oktober 2018

https://privatsphaere-leizig.org/
@privacy_leipzig
@CryptoPartyLE

Dozenten: Rainer R. | Tobias R.

Let’s have a party!

  1. Einführung / Opening
  2. Grenzen von Verschlüsselung und IT-Sicherheitssystemen
  3. Crypto-Messenger für Smartphones
  4. Alternative Soziale Netzwerke

Let's start a party!

Das Bündnis Privatsphäre Leipzig e. V. ist eine überparteiliche Bürgerinitiative mit dem Ziel, Überwachung, Rechtsstaatlichkeit und Demokratie in einem breiten öffentlichen Diskurs zu thematisieren.

Monatliche Meetups

Monatliches Meetup (Stammtisch) immer am letzten Donnerstag des Monats ab 19 Uhr

  • 29. 11. 2018 – Greensoul
  • 27. 12. 2018 – TBA → 35c3
  • 24. 01. 2019 – Café Telegraph
  • 21. 02. 2019 – Süß & Salzig
  • 28. 03. 2019 – Hotel Seeblick
  • 25. 04. 2019 – Café Maître

→ Ankündigungen auf unserer Seite, bei Meetup, Twitter und Facebook

CryptoParty is a decentralized, global initiative to introduce the most basic cryptography programs and the fundamental concepts of their operation to the general public.

Wir verstehen Cyptoparties als Vermittlung von Wissen zur „Digitale Selbstverteidigung“.

CryptoParty Season 2/2018 (Herbst/Winter) in der naTo

  • 10. September 2018 – Beobachte mich nicht, Teil 1 – HTTPS, Tracking, Browser-Addons;
  • 22. Oktober 2018 – Beobachte mich nicht, Teil 2 – Anonymisierung mit Tor und VPNs, Passwörter und Passwort-Manager
  • 12. November 2018 – Das können wir selber – Alternative Soziale Netzwerke, Self Hosting (TBC)

CryptoParty Season 2/2018 (Herbst/Winter) in der naTo

  • 03. Dezember 2018 – Wir unterhalten uns privat – Crypto-Messenger Apps für Mobilgeräte (TBC)
  • 07. Januar 2019 – Der elektronische Briefumschlag – E-Mail-Verschlüsselung, asynchrone Verschlüsselung (TBC)
  • 25. Februar 2019 – Clouldsysteme und Backups (TBC).
  • März 2019 (TBD) – Datei- und Festplattenverschlüsselung (TBD).

Weitere Projekte (z. T. in Planung):

  • Lesungen für Privatsphäre (z. B. zum Safer Internet Day)
  • Teilnahme an den Kritischen Einführungswochen (KEW) an der Uni Leipzig
  • CryptoParties für Schüler*innen, Journalist*innen, Jurist*innen, Student*innen
  • Teilnahme an Podiumsdiskussionen, Interviewprojekten
  • Podcast zu Datenschutz und Datensicherheit

Digitale Selbstverteidigung

»Wenn wir nichts Falsches tun, dann haben wir das Recht, alles in unserer Macht Stehende zu unternehmen, um das traditionelle Gleichgewicht zwischen uns und der lauschenden Macht aufrechtzuerhalten.«
Eben Moglen, »Privacy under attack: The NSA files revealed new threats to democracy«, Guardian (27. Mai 2014)

Digitale Selbstverteidigung

Was ist digitale Selbstverteidigung?

  • Metapher: Digitale Hygiene, Datenhygiene
  • Versuch des Empowerments: das Recht auf informationelle Selbstbestimmung (= Grundrecht) im digitalen Zeitalter wahrzunehmen
  • Aufruf zur Selbstbestimmung durch Teilrestauration gegen den neuen Kontrollverlust von Privatheit

Digitale Selbstverteidigung

around by Jems Mayor from the Noun Project Invisible by Viktor Vorobyev from the Noun Project Guy Fawkes Mask by Henry Ryder from the Noun Project
Überwachung a) vermeiden, b) blockieren, c) verfälschen (Bruce Schneier, Data vs Goliath)

Digitale Selbstverteidigung

Prinzipien und Praxisformen

Prinzip Praxisformen
Überwachung vermeiden Selbstdatenschutz
Überwachung blockieren Selbstdatenschutz, Transportverschlüsselung, Ende-zu-Ende-Verschlüsselung
Überwachung verfälschen Verschleierung, Transportverschlüsselung, Ende-zu-Ende-Verschlüsselung

Motive/Anlass für Digitale Selbstverteidigung

Surveillance by Datacrafted from the Noun Project Surveillance by Luis Prado from the Noun Project
Datensammlungen a) staatlicher Akteure, b) privater Akteure

Herausforderungen

economy by priyanka from the Noun Project Society by David García from the Noun Project
ökonomische und gesellschafts-politische Herausforderungen

Überwachung, Disziplin und Kontrolle (Focault/Deleuze/Han)

Datengetriebene Gesellschaft

Fazit

Wendet sich gegen Massenüberwachung

Grenzen digitaler Selbstverteidigung

Verschlüsselung funktioniert. Richtig implementierte, starke Crypto-Systeme sind eines der wenigen Dinge, auf die man sich verlassen kann.

Verschlüsselung funktioniert

  • gute Nachricht weil Verschlüsselung – nahezu immer – Grundlage digitaler Selbstverteidigung ist
  • aber:
    • richtige Implementierung → setzt deren Überprüfbarkeit voraus → OpenSource
    • starke Crypto-Systeme → standardisierte, aktuelle und öffentlich überprüfte Verfahren und Algorithmen
  • Also quelloffene, empfohlene Lösungen im eigenen Alltag einsetzen und alles ist gut?

Verschlüsselung umgehen

Bedrohungsmodell

Übersicht

Smartphones

Datensicherheit und -schutz

Fazit

Bedrohungsmodelle als Mittel zur Selbstermächtigung

  • Bedrohungsmodelle unterstützen bei der Abwägung von Risiken in Bezug auf Datensicherheit und -schutz
  • Bedrohungsmodelle identifizieren schützenswerte Güter (Assets), Angreifer*Innen, Risiken und Angriffspotentiale
  • Identifizierte Bedrohungen können besser eingeschätzt werden (Entscheidung für oder gegen Maßnahmen)
  • Rationalisierung: Kosten-Nutzen-Abwägung (zu einem bestimmten Grad)

Risiken vs. Gegenmaßnahmen

I

Risiken Gegenmaßnahmen (Empfehlung)
Personenüberwachung
Passwortdiebstahl und Identitätsdiebstahl Ein Passwort pro Dienst verwenden
(→ CyptoParty zu Passwörtern)
Einbruch in Anbieter-Datenbanken
(Zugänge, Bankdaten, Kreditkarteninformationen)

Risiken vs. Gegenmaßnahmen

II

Risiken Gegenmaßnahmen (Empfehlung)
Viren neue Dateien direkt scannen, Virenscanner (bedingt), Cloud-basierte Virenscanner vermeiden
Würmer keine unbekannten E-Mail-Anhänge öffnen, Virenscanner (bedingt)
Trojaner (z. B. Ransomware, Keylogger, Videoüberwachung) Backups; Kamera abkleben; Virenscanner (bedingt)

Fazit

Gegenmaßnahmen

Risiko Gegenmaßnahmen
Namensauflösung (DNS) https://wiki.ipfire.org/dns/public-servers.
Cookies, Fingerprinting, Behavioral-Profiling begrenzt: Browser-Einstellungen, vertrauenswürdige Browser-Erweiterungen (Plugins/Extensions)
Ultrasound-Cross-Device-Tracking (uXDT) ?
Evercookies ?
SSL-Verwundbarkeiten (Client) aktuellste Browser verwenden, Betriebssystem aktualisieren
SSL-Verwundbarkeiten (Anbieter/Server) auf HSTS-Wert legen, Seiten mit veralteter Verschlüsselung nicht vertrauen

Fazit

Gegenmaßnahmen

Risikopotentiale Gegenmaßnahmen
Profilbildung,
Surfhistorie bei Brokern
  • begrenzt: vertrauenswürdige Browser-Erweiterungen (Plugins/Extensions), Transportverschlüsselung (SSL/TLS)
  • sehr eingeschränkt: Verschleierung (HTTPS + Tor + Tails/Parrot-/CubesOs)
  • ungeeignet: VPN
Phishing Selbstdatenschutz (→ never trust anyone), Echtheit von SSL/TLS-Zertifikaten prüfen
Identitätsdiebstahl Transportverschlüsselung (SSL/TLS), sichere Passwörter, Selbstdatenschutz (→ never trust anyone)

Chat-Apps und Messenger

Kernproblem

Grundkonzepte

  • Ende-zu-Ende-Verschlüsselung
  • realisiert durch Perfect Forward Secrecy
  • Problem: Asynchrone Nachrichten

Perfect Forward Secrecy

  • Späteres Aufdecken oder Brechen von geheimen Nutzerschlüsseln darf es nicht erlauben, früher aufgezeichnete Nachrichten zu entschlüsseln
  • neue Schlüssel für jede Nachricht erzeugen

PFS-Problem

  • Schlüsselerzeugung ohne Schlüsselaustausch
  • erfordert, dass beide Teilnehmer online sind
  • erfordert einige Hilfsdaten in beide Richtungen
  • die Forderung FS ist strenggenommen unvereinbar mit asynchronen Nachrichten (wie SMS)
  • durch double ratchet gelöst, nicht bei allen implementiert (z.B. Threema)

OTR

 

Forderungen an OTR

  • Beglaubigung während der Konversation
  • Abstreitbarkeit nach der Konversation
  • Perfect Forward Secrecy (PFS)
  • Alle 3 Features auch in Nachfolgern (OMEMO, double ratchet, mpOTR)
  • kann als Layer auf Chatsystem laufen (z.B. Plugin in ICQ/Client), bessere Protokolle brauchen Servererweiterung (XEP-0384 für Clients verlangt 0334 und/oder 0313 für Server)

Kontaktfindung

  • Problem: Metadaten-Sicherheit vs. Kontaktfindung:
    https://whispersystems.org/blog/contact-discovery/
  • Besonders einfach, aber nicht privatsphäre-freundlich: Whatsapp lädt beim Installieren das Adressbuch zum Server hoch (wohl nicht alle Felder)
  • Unvermeidbarer Zielkonflikt, Kompromisse
  • Viele andere Messenger laden die eigene Telefonnummer oder Emailadresse hoch

Whispersystems Blog: "The Difficulty Of Private Contact Discovery",
https://whispersystems.org/blog/contact-discovery/

Apps für Mobilgeräte

Übersicht I

App Anmerkung Empfehlung
Signal OpenSource, Axolotl-Protokoll, lädt Fingerabdruck des Telefonbuchs hoch (Kontaktidentifizierung), abhängig von PlayStore/AppStore
Wire teileweise OpenSource, Axolotl-Protokoll
Threema keine vollständige Forward-Secrecy; nur Client OpenSource
Hoccer kein Audit, nicht OpenSource, Protokoll unbekannt

Apps für Mobilgeräte

Übersicht II

App Anmerkung Empfehlung
Telegram keine vertrauenswürdige Verschlüsselung
WhatsApp nicht-quelloffene Ende-zu-Ende-Verschlüsselung, Kontaktdaten beim Anbieter
SnapChat keine Verschlüsselung, App unsicher (Sicherheitslücken)
Hangout, Ello, Facebook-Chat keine Verschlüsselung, App protokolliert teilweise Nutzerverhalten

Apps für Mobilgeräte

Alternative

App Alternative
Signal , , , Ello
Wire , , , Ello

Fazit

Chats und Messenger I

  • Übersicht
  • Nur sichere implementierte Ende-zu-Ende-Verschlüsselungen bietet angemessenen Schutz
  • Ende-zu-Ende-Verschlüsselung heißt, dass kein*e Angreifer*In die Nachrichten abfangen kann (Man-in-the-Middel); Nachricht kann nur vom Empfänger und Sender gelesen werden
  • Apps/Chats sollten offene, von Experten anerkannte Protokolle verwenden und als OpenSource vorliegen

Fazit

Chats und Messenger II

  • Herstellerversprechen sollte man kritisch prüfen (Audits? OpenSource? Protokolle?)
  • Smartphones sind schwer abzusichern und unsichere Umgebung für Verschlüsselung
  • Empfehlung: Signal, Wire für iOS/Android

Übung

Smartphone-Sicherheit

  • Smartphone-PIN vergeben (Lock-Screen)
  • Diebstahlsicherungs-App installieren (Android Geräte-Manager, Find my iPhone)

Übung

Chats und Messenger

  • Wire installieren
  • Chatten mit der Wire-Gruppe zur CryptoParty

Übung

Chats und Messenger

  • Signal installieren
  • Ausprobieren und Nachichten mit Password schützen (verschlüsseln)

Alternative Soziale Netzwerke

Übung

Social-Media-Stuhlkreis

  • Stuhlkreis bilden
  • Social-Media-Gruppen bilden, nach Nutzung (z. B. Instagram, SnapChat, YouTube, Facebook, WhatsApp etc.)
  • 5 Minuten Zeit
  • Anschließend stellt jede Gruppe (max. 5 Minuten) kurz vor, was sie zusammnen getragen hat

Übung

Social-Media-Stuhlkreis: Fragen?

  • Warum nutze ich XY und wozu?
  • Was gefällt mir besonders?
  • Welche Probleme gibt es bei der Nutzung von XY?
  • Wer hat Zugriff auf meine Daten bei XY?

Problematisierung von Sozialen Netzwerken

Zentrale Datenhaltung und BigData

  • Zentrale Datenhaltung (Zugriff?)
  • Verwertungsrechte der eingestellten Inhalte durch AGBs; Sichtbarkeiten und Vernetzung einschränken geregelt
  • Profilbildung und Verknüpfung durch Big-Data-Analysen
  • Langzeitspeicherung und massive Datensammlung (→ Personensuchmaschien; Einreise in die USA)
  • Schattenprofile
  • Übertragung/Veräußerung von Privatheit an einen fremden Akteur

Überwachungskapitalismus

Walled Gardens und soziale Experimente

  • Walled Gardens als isolierte, selbstreferenzielle Systeme (Filterbubble)
  • Algorithmen bestimmen Relevanzen dargebotener Inhalte (Filterung; Social Sort)
  • Einschränkung oder Aufgabe von Autonomie
  • kontinuierliche soziale Experimente

Durchlässige Mauern

Datensicherheit und Zugriffe von Außen

  • Nadel im Heuhaufen: Soziale Netze und Clouds als Teil von PRISM und Tempora
  • BND wollte Überwachung auf soziale Netze ebenfalls ausweiten (Vorhaben aufgrund des #NSAU derzeit ausgesetzt)
  • Kreditkartenbetrüger und Kettenbriefe
  • Identitätsdiebstahl
  • Online Harassment und Cyber Bulling: Von Trollen und Mobbing
  • Stalking
  • Sexting (Vorsicht bei SnapChat!)

Sichtbarkeiten und Vernetzung einschränken

Clicktivism

Friendica

kurz vorgestellt

  • OpenSource-Projekt (PHP)
  • Dezentrale Architektur die Vernetzung über alle Installationen ermöglichen will (föderiertes System)
  • Durchgängige Berücksichtigung der Privatsphäre (jeder Entscheidet über preisgegebene Daten)
  • Anlage detaillierter Profile möglich

Friendica

kurz vorgestellt

  • Eingebettete Inhalte
  • Austausch von Fotos und Anlage von Fotogalerien
  • Events (z. B. Geburtstage)
  • Gruppen und Hashtags werden unterstützt
  • Einführung im umfangreichen Wiki

Ausprobieren

Diaspora*

kurz vorgestellt

  • OpenSource-Projekt (Ruby on Rails)
  • Dezentrale Architektur die Vernetzung über alle Installationen ermöglichen will (föderiertes System)
  • Datensparsamkeit

Diaspora*

kurz vorgestellt

Ausprobieren

Mastodon

kurz vorgestellt

  • Offene Standards: Atom Feeds, ActivityStreams, Salmon, PubSubHubbub und Webfinger
  • Interoperatblität: Austausch mit GNU social und OStatus Plattformen

Mastodon

kurz vorgestellt

  • Diskussionen (Threads) werden online verteilt (föderiert)
  • hohe Integrierbarkeit (OAuth und REST)
  • Hosting: vereinfachtes Deployment trotz anspruchsvollem Technologie-Stack (Devops/Docker)

Mastodon

Ausprobieren

Fazit

Alternative Soziale Netzwerke

  • jenseits des Mainstream: Alternative Netzwerke existieren, sind aber relativ unbekannt
  • Es fehlt an entsprechenden, fancy Smartphone-Apps
  • kritische Masse/Publicity
  • Entwicklern fehlt Dialog mit Nutzer*Innen → Gründung von UserGroups?
  • geeignet für kleinere, abgeschlossene Netze (Familie, Vereine, regionale Gruppen, kleinere Netzwerke)

Weiterführende Links

Vielen Dank!