Grenzen von Verschlüsslung und IT-Sicherheitsystemen

Verschlüsselung funktioniert. Richtig implementierte, starke Crypto-Systeme sind eines der wenigen Dinge, auf die man sich verlassen kann.

Grenzen

1. Sicherheitslücke (heartbleed, shell shock)
2. Exploits (heartbleed, shell shock)
3. Schadsoftware: Viren/Würfer/Trojaner
4. Spionagesoftware: Keylogger, Rootkits, Bundestrojaner
5. Computerforensik
6. Sicherheit eines Betriebssystems (Updates, Zufallsgeneratoren, Backdoors)
7. Hardware (Fehler, Backdoors, cold boot attack)

Grenzen

Grundregeln

1. Update, Updates, Updates
2. Backups, Backups, Backups
3. Virenscanner (+/-)
4. Sensible Daten auf System ohne Netzzugang aufbewahren

Sesam öffne dich: Geheime Zugänge

1. Wozu Passwörter und Passphrasen?
2. Probleme mit Passwörtern und PINs
3. Das Geheimnis eines guten Passworts
4. Spuren hinterlassen: Warum Fingerabdrücke keine guten Passwörter sind

Probleme mit Passwörtern und PINs

1. Sicherheit versus Memorisierbarkeit
2. Passwortregeln von Unternehmen und Anbietern
3. Unachtsamer Umgang mit Passwörtern (Post-Its, shoulder surfing)
4. Aufbewahrung: Passwortlisten und problematische Sicherheitskonzepte von Anbeitern im Netz
5. Häufigkeitsanalysen bei Pins
6. Wörterbuchangriffe und Botnetzwerke

LOL, owned

Aktuellere Sicherheitskanalde rund um Passwörter

• 7 million Dropbox username/password pairs apparently leaked
• How an epic blunder by Adobe could strengthen hand of password crackers

LOL, owned

Aktuellere Sicherheitskanalde rund um Passwörter

Nicht nachmachen: Schlechte Passwörter

• kurze Passwörter
• passwort1235, geheim
• Einfache Zahlenfolgen: 12345
• Eigennahmen, Romanfiguren, Orte, fiktive Orte usw. (Wörterbuchangriffe)
• Geburtstage, Jahrestage
• Durchnummerieren: passwort1, passwort2, passwort3 usw.
• Ein Passwort für Alles

Das Geheimnis eines guten Passworts

• Sind alle Zeichen erlaubt sind? (Anbieterseitig)
• Verschiende Passwörter für verscheidene Zwecke, Dienste, etc.
• Länge schlägt Komplexität
• Verwendungszweck bestimmt die Strategie
• Memorisierungstechniken
• Leetspeak? (1337 5P34K)

Strategie I

Vergiss-mein-nicht!

Strategie I

Vergiss-mein-nicht!

• Erinnerbare längere Sätze oder zusammengesetzte Begriffe
• Länge schlägt Komplexität
• Memorisierungstechniken (Mnemonics)
  • Imagination, Assocication, Location
  • Wiederholung: Jeden Tag benutzen!
• Geeignet für Masterpasswörter

Strategie II

Passwörter generieren

• Passwortgenerator einsetzen (OpenSource)
• Keinen Cloud-Dienst oder Netzdienst verwenden
• Länge schlägt Komplexität
• Geeignet für unsere tausend Webdienste

Der ideale Aufbewahrungsort?

• Gedächtnis? (false memory)
• Tagebuch?
• Schlüsselbund (key chain) des Betriebssystems?
• PasswordManager?

Spuren hinterlassen

Warum Fingerabdrücke keine guten Passwörter sind

• Etwas, was wir täglich überall hinterlassen ist kein Geheimnis
• Scanner kann ggf. überlistet werden (Smartphones)
• Speichern einer zentralen Datenbank problematisch (Grundlage für Apple Zahlungssystem)

Biometric systems are seductive, but the reality isn't that simple. They have complicated security properties. For example, they are not keys. Your fingerprint isn't a secret; you leave it everywhere you touch.

Spuren hinterlassen

Warum Fingerabdrücke keine guten Passwörter sind

It's fine if your fingers unlock your phone. It's a different matter entirely if your fingerprint is used to authenticate your iCloud account. The centralized database required for that application would create an enormous security risk.

Schlüsselmeister: Password Manager

• KeePass, KeePassX und KeepassDroid
• PasswordSafe

KeePassX

Was ist das?

• Offener, cross-platform Passwortverwalter
• KeePass oder KeePassX?
• KeePass
• Windows
• KeePassX
• Windows, Linux, Mac
• Android, IOS und Windows-Phone Kompatibel
• vom Bundesamt für Sicherheit in der Informationstechnik empfohlen

Verschlüsselung

• Nutzt
  • AES-256 (Standard)
  • TWOFISH-256
• Kombination nicht möglich
• Passwort+Schlüsseldatei zur Authentifikation
• Passwort
• Schlüsseldatei

Funktionen

• Gruppen- bzw. Untergruppen
• Passwortgenerierung
• Passwort in Zwischenablage Kopieren
• Auto-Type
• ablaufende Einträge

How To Do?

http://wiki.ubuntuusers.de/KeePassX

PasswordSafe

Features

• Twofish-Verschlüssslung
• Integritätsprüfung mit HMAC
• Passwortübernahme in das ClipBoard des Betriebsystems(Copy&Paste)
• Passwort-Generator

PasswordSafe

Verfügbarkeit

PasswordSafe

Eintrag anlegen I

PasswordSafe

Eintrag anlegen II

PasswordSafe

Eintrag auswählen

Symmetrische Verschlüsselung

https://de.wikipedia.org/wiki/Symmetrisches_Kryptosystem

Gleicher Schlüssel für Verschlüsselung und Entschlüsselung der Nachricht
(oder Berechnung beider Schlüssel auseinander)

2 Verfahrenstypen:

• Stromverschlüsselung
• Blockverschlüsselung

Stromverschlüsselung

https://de.wikipedia.org/wiki/Stromchiffre

• Zeichen des Klartextes werden mit den Zeichen eines Schlüsselstroms verknüpft
• Schlüsselstrom ist als pseudozufällige Zeichenfolge aus dem Schlüssel abgeleitet
• jedes Klartextzeichen kann sofort in ein chiffriertes Ausgabezeichen übersetzen werden
• besonders für Echtzeitübertragungen geeignet, z. B. für Mobilfunk

Blockverschlüsselung (1)

https://de.wikipedia.org/wiki/Blockchiffre

• festen Blockgröße, d. h. Klartext fester Länge wird – bestimmt durch den Schlüssel – auf einen Chiffretext fester Länge abgebildet
• mehrere Zeichen werden in einem Schritt ver- bzw. entschlüsselt, daher schnell
• Blockchiffren können jeweils nur einen einzigen Block verschlüsseln
• für Texte beliebiger Länge wird ein kryptographischer Betriebsmodus der die Anwendung des Verschlüsselungsalgorithmus auf den Datenstrom festlegt definiert

Blockverschlüsselung (2)

https://de.wikipedia.org/wiki/Blockchiffre

• modernen Blockchiffren als iterierte Blockchiffren konzipiert:
  • Eingabe wird in mehreren gleich aufgebauten Runden verarbeitet
  • Dazu werden aus dem Schlüssel sogenannte Rundenschlüssel abgeleitet

Blockverschlüsselung (3)

https://de.wikipedia.org/wiki/Blockchiffre

Die Verschlüsselung hat zwei grundsätzliche Ziele:

• 1.) Konfusion:
  • Zusammenhang zwischen Geheimtext und Schlüssel so komplex wie möglich machen
  • damit Kryptoanalyse erschweren
  • z. B. durch nichtlineare Substitutionen von Eingabe und Ausgabe

Blockverschlüsselung (4)

https://de.wikipedia.org/wiki/Blockchiffre

Die Verschlüsselung hat zwei grundsätzliche Ziele:

• 2.) Diffusion:
  • Auflösen von statistischen Strukturen des Klartextes
  • statistische Analyse nach Buchstabenhäufigkeit im Chiffretext läuft ins Leere


guter Chiffretext ist nicht von Zufallszahlen und -zeichen zu unterscheiden

GPG

GnuPrivacyGuard

Was ist das?

• System zum Ver- und Entschlüsseln von Daten sowie zum erstellen und prüfen von Signaturen
• bekannt aus der Mailverschlüsselung (→ unsere 1. CryptoParty)
• Cross Platform und Open Source

Wie geht das?

• Symmetrische Verschlüsselung
• Schlüssellänge → je länger desto besser

before:use

• Konfigurationsdatei anpassen

					
personal-cipher-preferences AES256 AES192 AES TWOFISH
cipher-algo TWOFISH				
					
				

about:use

• Verschlüsselung einzelner Dateien
• nur für Versand von Dateien sinnvoll
• für dauerhafte Nutzung Container bzw. Partition → symmetrische Verschlüsselung)

HOW TO USE #1

• Linux
• Terminal
• Windows
• Kontextmenü (+ Kommandozeile)
• OSX
• Mit GPGServices (Teil von GPG Suite)
• How to decrypt and verify text or files with GPGServices?

Anleitung unter dem Abschnitt: „Dateianhänge“

EncFs

encyped filesystem

Was ist das?

• Dateiverschlüsselung
• Open-Source
• Cross-Platoform

Wie geht das?

• 2 Verzeichnisse
• Quellverzeichniss (Verschlüsselte Daten)
• Zielverzeichniss (Entschlüsselte Daten)

Vorteile

• dynamisch → keine feste Größe
• Cloudfähig
• schneller: nur Veränderte Datei auf Datenträger schreiben, nicht der ganze (große) Container

Nachteile

• Keine Verschlüsselung der Metadaten

How to do #1

					encfs /home/user/.wurzelverzeichniss /home/master/zielverzeichniss				
				
				

1. Nutzung des „vorkonfigurierten Paranoia-Modus“
2. Passwort eingeben
3. Fertig

• Einbinden:
  • encfs /home/user/.wurzelverzeichniss /home/master/zielverzeichniss

How to do #2

• CryptKeeper (GNOME, Unity (→Ubuntu)
• Gnome Encfs Manager

Data Erasure Software

Linux

• BleachBit
• shred
• wipe
• srm & Co.

					      
$ shred -vn $Durchgänge $Gerät 

$ wipe -q -Q 1 -R /dev/zero -S r -r $PFAD 
$ srm $DATEI 
$ sfill -l -lv $PFAD 
                          
						

Data Erasure Software

MacOSX

• Sicheres Löschen als Systemeinstellung
• rm -p
• diskutil (Sichers Löschen als Option nicht bei SSDs verfügbar)
• shred (brew install coreutils)

Data Erasure Software

Windows

• Eraser
• AxCrypt (Fragwürdige Werbeeinblendungen!)

Data Erasure Software

Windows: Bleachbit

Data Erasure Software

Sonderfall Solid State Drive (SSD) I

• Sicheres Löschen garantiert?
• ATA Secure Erase (SE) und hdparm
• BSI Information: So löschen Sie Daten richtig
• Vollverschlüsslung bevor Nutzung!

					      
$ sudo hdparm -I /dev/sda 
$ sudo hdparm --user-master u --security-set-pass GEHEIM /dev/sda 
$ sudo hdparm -I /dev/sda 
$ sudo time hdparm --user-master u --security-erase GEHEIM /dev/sda 
$ sudo hdparm -I /dev/sda 
                          
						

Data Erasure Software

Sonderfall Solid State Drive (SSD) II

Autothysis (Selbstzerstörende SSD)

Dateiverschlüsslung

• Wofür? Einzelne Dateien zur Übertragung/bei Kommunikation oder für die Ablage in der Cloud
• Wichtig: Dateien nach dem Verschlüsseln sicherer löschen falls nur noch die verschlüsselten Daten vorliegen sollen.

Dateiverschlüsslung mit AEScrypt

https://www.aescrypt.com/download/

• plattformübergreifend (Windows 32 und 64, Anroid, iPhone/iPad, MacOS, Linux)
• (meistens) mit grafischer Oberfläche und als Komandozeilentool
• einfach zu installieren und in der Anwendung
• quelloffen (Open Source)
• Allerdings: Original und verschlüsselte Datei sind im Dateisystem sichtbar

Festplatten-/Containerverschlüsslung

Wofür Festplatten-/Containerverschlüsslung

• Sinnvoll, wenn mehrere Daten gemeinsam verschlüsselt werden sollen (z. B. ganze Verzeichnisse oder Verzeichnissbäume)
• Schutz aller Daten gegen (Offline-)Diebstahl (insbesondere bei mobilen Geräten wie Notebooks) oder auch nur neugierige Fremde oder Freunde
• Schutz gegen Datenwiederherstellung nach Verkauf, Entsorgung oder bei Reklamation von Datenträgern.

Festplatten-/Containerverschlüsslung

• 2 Varianten
  • Partitionen oder ganze Festplatten
  • Container, die wie normale Dateien auf dem Recher liegen (dadurch z. B. einfaches Backup)
• wenn geöffnet sind beide wie normale Laufwerke verwendbar, transparent
• geschlossen keine Infos über gespeicherte Inhalte