Wir unterhalten uns privat
Verschlüsselte Messenger- und Chat-Anwendungen auf Mobilgeräten und PCs.
Dozenten: Ralf M. | Max B. | Tobias R.
Let's have a party!
- Einführung
- Grenzen von Verschlüsslung und IT-Sicherheitsystemen
- Chat-Apps und Messenger auf Mobilgeräte
- Chat-Apps und Messenger für PCs und Laptops
- Beach Boys: Browserbasierte Chats- und Messenger
- WebRTC: Goldende Zukunft?
- Diskussion
Let's start a party!
Das Bündnis Privatsphäre Leipzig e. V. ist eine überparteiliche Bürgerinitiative mit dem Ziel, Überwachung, Rechtsstaatlichkeit und Demokratie in einem breiten öffentlichen Diskurs zu thematisieren.
Wir treffen uns jeden ersten, dritten und fünften Dienstag des Monats immer 19:00 Uhr im Sublab. (Öffentliches Plenum)
CryptoParty is a decentralized, global initiative to introduce the most basic cryptography programs and the fundamental concepts of their operation to the general public.
Weitere Projekte (z. T. in Planung):
- regionale und überregionale Vernetzung
- Lesungen (z. B. zum Safer Internet Day)
- CryptoCon15 (Sublab)
- Podiumsdiskussionen
- Aktionen und Barcamps
- Informationsveranstaltungen
CryptoParty Sommersemester 2015
- 14. Januar 2015 - PGP und Passwörter
- 11. Februar 2015 - Messenger & Chats
- 11. März 2015 - Datei-/Festplattenverschlüsselung
- 15. April 2015 - Sicherer Surfen und Anonymisierung
- 07. bis 10.5.2015 - CryptoCon15 in Kooperation mit dem Sublab
- 10. Juni 2015 - Alternative Soziale Netzwerke und Cloud-Systeme
Grenzen von Verschlüsslung und IT-Sicherheitsystemen
Verschlüsselung funktioniert. Richtig implementierte, starke Crypto-Systeme sind eines der wenigen Dinge, auf die man sich verlassen kann.
Grenzen
- Sicherheitslücke (heartbleed, shell shock)
- Exploits (heartbleed, shell shock)
- Schadsoftware: Viren/Würmer/Trojaner (Mail-Anhänge!)
- Spionagesoftware: Keylogger, Rootkits, Bundestrojaner
- Computerforensik
- Sicherheit eines Betriebssystems (Updates, Zufallsgeneratoren, Backdoors)
- Hardware (Fehler, Backdoors, cold boot attack)
Grenzen
Grundregeln
- Update, Updates, Updates
- Backups, Backups, Backups
- Virenscanner (+/-)
- Unplugged: Sensible Daten auf System ohne Netzzugang aufbewahren
- Mobilgeräte in sensiblen Situationen ausschalten/deaktiveren/nicht mitführen
Bedrohungsmodelle
Threat models
Smartphones und Handys
Kontrollverlust
Grenzen von Messenger und verschlüssteter Chat-Sofware
- vertrauenswürdiges Protokoll (OTR, ZRTP/SRTP)
- regelmäßige Audits
- vollständig OpenSource (nicht nur der Client)
- Verfügbarkeit (Betriebssysteme)
- Kritische Masse & Gruppenzwang: Wer nutzt welchen Messenger?
Asynchrone Tools
Schlechte Beispiele
- E-Mail: kaputt in vielerlei Hinsicht
- SMS: unsicher, aber Kontaktdaten gehen nur an Stellen (Provider), die sie schon haben
- Whatsapp: unsicher und lädt Kontakte hoch an den Betreiber
Asynchrone Tools für Mobilgeräte 1
Textsecure
- https://play.google.com/store/apps/details?id=org.thoughtcrime.securesms
- Lädt Hashes der Telefonnummern hoch (nur marginal besser)
- Problem: Metadaten-Sicherheit vs. Kontaktfindung: https://whispersystems.org/blog/contact-discovery/
Textsecure
Asynchrone Tools für Mobilgeräte 2
- SMS-Ersatz
- Benutzt Internetverbindung, wenn bei beiden Teilnehmern verfügbar, sonst SMS
- speichert Nachrichten verschlüsselt
Asynchrone Tools für Mobilgeräte 3
Surespot
- https://play.google.com/store/apps/details?id=com.twofours.surespot
- Keine Funktion als Soziales Netzwerk, man legt beliebig viele Kontakte an (Server speichert nur Kontaktnamen) und verbindet sich manuell
Surespot
Asynchrone Tools für Mobilgeräte 4
Threema
- https://play.google.com/store/apps/details?id=ch.threema.app
- Installiert, wenig getestet
- Kostet Geld
Threema
Chat-Tools für Mobilgeräte 1
Xabber
Xabber
Chat-Tools für Mobilgeräte 2
Chatsecure (ehemals Gibberbot)
Chatsecure (Gibberbot)
Messenger
Für PC und Laptop
XMPP
Mit Pidgin und OTR
Was ist das?
- Instant-Messenger-Client für das XMPP-Protokoll
- startke Verschlüsselung dank OTR-Protokoll
- Metadatenaufkommen kann über Tor-Nutzung reduziert werden (Vorsicht: Pidgin plaudert sehr viel aus → AppArmor Ubunut, Arch)
- nur zum Versand von Textnachrichten
Installation
Account erstellen
Authentifizierung und Chat mit OTR
- OTR-Plugin aktivieren: Werkzeuge → Plugins → Haken bei OTR setzen
- Fingerprint-Vergleich
- Geteiltes Geheimnis (Passphrase)
- Frage und Antwort
Pros und Cons
- sehr gut geeignet für Sofortnachrichten (IM)
- OTR ist ein sehr sicheres Protokoll
- Pidgin: Teilweise Schwächen in der Implementierung → TAILS Variante
- Chatten für Nostalgiker: „angestaubte“ Oberfläche
- eigenen Account für Smartphone nutzen
Bitmessage
Was ist Bitmessage
- dezentraler Nachrichtenversand
- Peer-to-Peer
- Ziel: Vermeidung von Meta-Daten
Features
- mehrere Identitäten
- intiutiv bedienbare Oberfläche
- Channels
- Broadcast von Nachrichten an alle Abonennten
- können von mehreren Nutzern verschickt werden
Installation
- Windows: fertiges Binary
- Linux: github-Repo klonen und Code über python2 laufen lassen
- Mac OSX: fertiges Binary
Backup und Umzug
- Linux und Mac OSX: $HOME/.config/PyBitmessage/
- Windows: %Appdata%\PyBitmessage\
- kopieren oder archivieren
Pros und Cons
- Vermeingung von Metadaten konsequent umgesetzt
- Oberfläche nutzbar, aber verbesserungswürdig
- kein Versand von Anhängen möglich
- teilweise hoher Ressourcenverbrauch (ältere Geräte)
- teilweise recht lange Transportzeiten für Nachrichten
- hohes Datenaufkommen → ungeeignet für Mobiles Netz
- frühes Stadium → noch kein Audit
- Kommunikationsteilnehmer müssen nicht gleichzeit online sein
Tox
Was ist Tox
- dezentraler und verschlüsselter Messenger- und Videotelefoniesoftware
- Skype ähnlich
- Peer-to-Peer
Features
- Chatten
- Telefonieren
- Videotelefonie
- Dateiaustausch möglich
- Gruppenchats
qTox
- Client der unter Windows, Linux und Mac alle Funktionen unterstützt
- Emojis werden unterstützt
- Proxys möglich → TOR
µTox
- Client der unter Windows und Linux alle Funktionen unterstützt
- unter OSX kein Videochat möglich
- Proxys möglich → TOR
Pros und Contras
- „Online-Pflicht“
- frühes Entwicklungsstadium (viele Clients, unterschiedliche Feature Sets
- kein Audit
Browser Addons
Browser basierte Chats- und Messenger
Making crypto fun?
Browser basierte Chats- und Messenger
- Einfache Installation und Bedienbarkeit
- geringe Einstiegshürde
- hohe Verfügbarkeit (Browser auf vielen Systemen verfügbar)
- Browser? Sichere Umgebung? (JavaScript!)
- Vertrauliche Kommunikation?
Cameo
Basic Version
- Ende-Zu-Ende-Verschlüsselung (RSA & AES & TLS )
- Client und Server Open-Source
- Mehrfache Identitäten (Datensparsamkeit: Nutername & Passwort)
- Gruppenchats, Video- und Voicemessages
Cameo
Basic Version
- verschlüsselte Dateiübertragung
- Authentifzierung des Kommunikationsparnters vs. Anomymität
- Apps (Android, iOs) verfügbar
- installierbare Version in Planung (native Apps)
Peerio
- Ende-Zu-Ende-Verschlüsselung
- Client ist Open-Source
- verschlüsselte Dateiübertragung
- Zwang zu langer Passprase und optonale Zwei-Faktor-Authentifzierung
Peerio
- Daten werden verschlüsselt in der Cloud gespeichert (Microsoft Azure Storage)
- Windows, Mac OSX Versionen verfügbar, Linux in Planung
- Android und iO Apps in Planung
- Peerio hands-on: This secure messaging suite packs dead simple end-to-end encryption
CryptoCat
- Ende-Zu-Ende-Verschlüsselung (OTR, Multiparty, mpOTR in Planung)
- Bedienbarkeit (Usablity)
- Client ist Open-Source
- GruppenChats und verschlüsselte Dateiübertragung
- Mac OSX, iO App verfügbar (Andriod in Planung, Crowdfunding)
CryptoCat
Threat-Model
WebRTC
Goldene Zukunft?
- SRTP-Verschlüsselung
- erbt typische VoIP-Angriffe
- Zugriff auf Kamera und Mirkofon ohne Frage des Nutzers?
- Browser? Sichere Umgebung? (JavaScript!)
- Ein Windows-Netzwerk-Feature (Routing) gibt IP-Adresse trotz Verschleierung (VPN, Tor) preis
Chat und Messenger Protokolle
Vertiefung
Vielen Dank!
