Digitale Selbstverteidigung
für Aktivist*innen
Tierrechtskongress im ConneIsland, Leipzig
02. Oktober 2021
Wer sind wir?
Das Bündnis Privatsphäre Leipzig e. V. ist eine überparteiliche Bürgerinitiative mit dem Ziel, Überwachung, Rechtsstaatlichkeit und Demokratie in einem breiten öffentlichen Diskurs zu thematisieren.
Wie wir das machen:
- CryptoParties
sowohl öffentliche, als auch speziell für Schüler*innen, Journalist*innen, Jurist*innen, Student*innen - Lesungen für Privatsphäre (bspw. zum Safer Internet Day)
- Teilnahme an den Kritischen Einführungswochen (KEW) an der Uni Leipzig
- Teilnahme an Podiumsdiskussionen, Interviewprojekten
- Podcast zu Datenschutz und Datensicherheit
Eine CryptoParty bezeichnet ein Treffen von Menschen mit dem Ziel, sich gegenseitig grundlegende Verschlüsselungs- und Verschleierungstechniken beizubringen.
CryptoPartys sind öffentlich und unkommerziell, mit dem Fokus auf Open-Source-Software.
→ Wir verstehen Cyptoparties als Vermittlung von Wissen zur „Digitale Selbstverteidigung“.
Fahrplan
- Digitale Selbstverteidigung und ihre Grenzen
- Tools und Konzepte zur digitalen Selbstverteidigung:
- Chat-Apps und Messenger
- Emailverschlüsselung
- Tor
- Passwörter und Passwordmanager
- Festplattenverschlüsselung
- Praktische Anwendungen / Handlungsideen
Digitale
Selbstverteidigung
»Wenn wir nichts Falsches tun, dann haben wir das Recht, alles in unserer Macht Stehende zu unternehmen, um das traditionelle Gleichgewicht zwischen uns und der lauschenden Macht aufrechtzuerhalten.«
Eben Moglen
»Privacy under attack: The NSA files revealed new threats to democracy«, Guardian (27. Mai 2014)
»Privacy under attack: The NSA files revealed new threats to democracy«, Guardian (27. Mai 2014)
Digitale
Selbstverteidigung
Was ist das?
- Metapher: Digitale Hygiene, Datenhygiene
- Versuch des Empowerments: das Recht auf informationelle Selbstbestimmung (= Grundrecht) im digitalen Zeitalter wahrzunehmen
- Aufruf zur Selbstbestimmung durch Teilrestauration gegen den neuen Kontrollverlust von Privatheit
Warum digitale Selbstverteidigung?
Datensammlungen → Überwachung
a) staatliche Akteure
- Aufrechterhaltung von gesellschaftlicher Ordnung
- Potential, leicht zu missbrauchen
b) private Akteure
- erhöhter Komfort durch technische Lösungen
- Gewinnmaximierung durch maximales Targeting
↓
politische und gesellschaftliche Aushandlung erforderlich
Digitale
Selbstverteidigung
Wie geht das?
a) vermeiden, b) blockieren, c) verfälschen
(Bruce Schneier, Data vs Goliath)
Prinzipien und Praxisformen
- Überwachung vermeiden:
- Selbstdatenschutz
→ was nicht existiert, kann nicht überwacht werden
- Überwachung blockieren:
- Verschlüsselung
(Festplatten~ ,Transport~ , Ende-zu-Ende~ )
→ Postkarte vs Brief im verschlossenen Umschlag
- Verschlüsselung
- Überwachung verfälschen:
- Verschleierung
→ Nadel im Heuhaufen suchen
Fazit
Grenzen digitaler Selbstverteidigung
Verschlüsselung funktioniert. Richtig implementierte, starke Crypto-Systeme sind eines der wenigen Dinge, auf die man sich verlassen kann.
Verschlüsselung
funktioniert
- gute Nachricht weil Verschlüsselung – nahezu immer – Grundlage digitaler Selbstverteidigung ist
- aber:
- richtige Implementierung → setzt deren Überprüfbarkeit voraus → OpenSource
- starke Crypto-Systeme → standardisierte, aktuelle und öffentlich überprüfte Verfahren und Algorithmen
- Also quelloffene, empfohlene Lösungen im eigenen Alltag einsetzen und alles ist gut?
Verschlüsselung umgehen
Verschlüsselung schwächen
- CryptoWars
- 2020: Crypto Wars: Grünes Licht für umkämpfte EU-Erklärung zu Entschlüsselung
- 2021: Crypto Wars: EU-Kommission will verschlüsselte Kommunikation nicht schwächen
Exkurs – Verschlüsselung und mobile Geräte
Datensicherheit und Bedrohungsmodelle
Exkurs – Verschlüsselung und Metadaten (1)
- Daten über (Inhalts)daten
z. B. Zeit, Datum, Größe/Umfang, bei Kommunikation zusätzlich: Absender, Empfänger, Standort - Problem: nicht von eingesetzter Verschlüsselung geschützt die sich üblicherweise auf die Inhaltsdaten bezieht
- Ansatzweise bei Festplattenverschlüsselung (sofern es sich um eine Vollverschlüsselung inklusive System handelt)
- Ansatzweise bei Tor oder vergleichbaren Diensten
Exkurs – Verschlüsselung und Metadaten (2)
- Problem bei Kommunikation: Beziehungen zwischen Kommunikationsteilnehmern können sichtbar werden (bei entsprechend großem Angreifer)
- Das kann schon reichen um auf die Abschussliste z. B. von Geheimdiensten zu geraten.
Beispiel CIA/NSA in Bezug auf Drohnenangriffe im sogenannten “War on Terror”:
“We kill people based on metadata”
Michael Hayden, ehemaligen Chef der National Security Agency (NSA), Link z. B. https://abcnews.go.com/blogs/headlines/2014/05/ex-nsa-chief-we-kill-people-based-on-metadata
- Das kann schon reichen um auf die Abschussliste z. B. von Geheimdiensten zu geraten.
Bedrohungsmodell
Übersicht
 |
 |
|
 |
||
 |
 |
|
Fazit
Bedrohungsmodelle als Mittel zur Selbstermächtigung
- Bedrohungsmodelle unterstützen bei der Abwägung von Risiken in Bezug auf Datensicherheit und -schutz
- Bedrohungsmodelle identifizieren schützenswerte Güter (Assets), Angreifer*Innen, Risiken und Angriffspotentiale
- Identifizierte Bedrohungen können besser eingeschätzt werden (Entscheidung für oder gegen Maßnahmen)
- Rationalisierung: Kosten-Nutzen-Abwägung (zu einem bestimmten Grad)
Chat-Apps und Messenger
Kernproblem
Grundkonzepte
Was sollte ein
privater Messenger können?
- Niemand kann lesen, was ich schreibe
- Niemand weiß, mit wem ich kommuniziere
↓
Vertraulichkeit
Authentizität
Verschlüsselung
- am besten: Ende-zu-Ende-Verschlüsselung
- niemand außer Sender und Empfänger kann die Nachricht lesen (Man-in-the-Middle Angriff unterbunden)
- plausible deniability (Abstreitbarkeit des Ursprungs)
- Perfect Forward Secrecy (PFS)
- späteres Aufdecken oder Brechen von geheimen Nutzerschlüsseln darf es nicht erlauben, früher aufgezeichnete Nachrichten zu entschlüsseln
- neue Schlüssel für jede Nachricht erzeugen
- Problem: Asynchrone Nachrichten
- Lösung: Double Ratchet Protokoll
Kontaktfindung
- Problem: Metadaten-Sicherheit vs. Kontaktfindung:
https://whispersystems.org/blog/contact-discovery/ - Besonders einfach, aber nicht privatsphäre-freundlich: Whatsapp lädt beim Installieren das Adressbuch zum Server hoch
- unvermeidbarer Zielkonflikt zwischen Privatsphäre und Komfort → Kompromisse
- gängige Praxis vieler andere Messenger
(Hochladen von Telefonnummer oder Emailadresse)
Apps für Mobilgeräte
Übersicht I: Use it!
| App | Anmerkung | Empfehlung |
|---|---|---|
| Signal | vollstängig OpenSource und Ende-zu-Ende verschlüsselt, Kontaktfindung per Hash, abhängig von PlayStore/AppStore, Desktop-Version verfügbar | |
| Riot/Element | vollstängig OpenSource, E2E-Verschlüsselung verfügbar, föderiert (Email-like), Chat-Räume | |
| Threema | nicht OpenSource, aber Sicherheits-Audit (März 2019) durchgeführt, kostenpflichtig, PFS oder E2E | () |
| Wire | teileweise OpenSource, Axolotl-Protokoll, US-Holding | () |
Apps für Mobilgeräte
Übersicht II: Don't, just don't.
| App | Anmerkung | Empfehlung |
|---|---|---|
| Ende-zu-Ende-Verschlüsselung aber nicht quelloffen, Kontaktdaten bei Facebook | ||
| Telegram | nur quelloffener Client, keine anerkannte und nur optionale E2E-Verschlüsselung | |
| Messenger (FB) | E2E-Verschlüsselung opt-in und nicht quelloffen, Kontaktdaten bei Facebook | |
| SnapChat Hangouts Instagram-Chat Twitter-DMs ... |
keine Verschlüsselung, App protokolliert teilweise Nutzerverhalten |
Fazit
Chats und Messenger
- Übersicht: securemessagingapps.com
- Herstellerversprechen sollte man immer kritisch prüfen
und Monetarisierungsmodelle hinterfragen - Apps/Chats sollten offene, von Experten anerkannte Protokolle verwenden und als OpenSource vorliegen
- nur (sicher implementierte) Ende-zu-Ende-Verschlüsselungen bietet angemessenen Schutz
- klare Empfehlung: Signal für iOS & Android
E-Mail Verschlüsselung
mit GPG/PGP
Was ist GPG/PGP
- PGP
- Pretty Good Privacy
- das Original
- kommerziell vermarktetes Programm
- Prinzip das heute jeder nutzt
- GPG
- Gnu Privacy Guard
- freie Weiterentwicklung von PGP
- Programm/Implementierung die heute jeder nutzt
GPG/PGP und E-Mail-Verschlüsselung
- Setzt auf vorhandenen E-Mail-Protokoll auf
- zusätzliches Program ver- und entschlüsselt E-Mails für Sender/Empfänger
Prinzip Public Key Kryptographie I
Prinzip Public Key Kryptographie II
- Sender bekommt öffentlichen Schlüssel von Empfänger zum verschlüsseln
- Empfänger nutzt privaten Schlüssel zum entschlüsseln
Software
- Thunderbird (integrierter Support)
- Benutzung auf Mobilgeräten eher nicht empfehlenswert
E-Mail Verschlüsselung
generell
- Vorteile
- Ende zu Ende
- Verschlüsselte E-Mails selbst bei Drittanbietern
- klare Zuordnung Schlüssel–Besitzer
E-Mail Verschlüsselung
generell
- Nachteile
- Schlüsselhandling: Verwaltung, Backup, Verteilung
- Privater Schlüssel muss sicher aufbewahrt werden (Passphrase, Backup)
- Öffentlicher Schlüssel muss dem Sender zugänglich gemacht werden
- Authentizität muss beim Schlüsselaustausch überprüft werden (Schlüssel-ID/Hash)
- keine plausible Bestreitbarkeit/Verneinbarkeit bei Einsatz eines Schlüssels
- relativ aufwändiges Setup
- Meta-Daten nicht verschlüsselt z.B. Betreff
Tor
Agenda
- Einführung
- Wie funktioniert Tor?
- Wie nutze ich das?
- Verhaltensregeln
- Zusammenfassung / Grenzen
Tor
Was ist Tor (I)
- Anonymisierungs-/Pseudonymisierungsnetzwerk: Darkweb
- Ziel: IP-Adresse und Ort verschleiern, Tracking erschweren
- wird von einem Netz von Freiwilligen betrieben
Tor
Was ist Tor (II)
- Entwicklung in der Vergangenheit stark durch US-Staatsmittel gefördert → Spenden und privates Engagement
- wird von Aktivist*innen, Behörden und anderen Netznutzer*innen gleichermaßen verwendet
- Schattenseite: Drogenhandel (Silkroad), Waffenhandler, Kinderpornographie,...
Tor
Wofür Tor nutzen
- Internet-Dienste anonym nutzen, z.B. für anonyme Kommunikation
- um mehrere Identitäten voneinander zu trennen
- um Geo-Einschränkungen oder Web-Blockaden auf IP-Basis zu umgehen
Onion-Routing
Wie Tor funktioniert (I)
- Tor-Netz besteht aus >7000 Relay-Knoten
- mind. 3 Knoten zufällig gewählt
- Onion Routing: geschachtelte Zwiebelschichten an Verschlüsselung
Exkurs: Hidden-Services
- Dienst innerhalb des Tor-Netzwerks
- Client und Service können anonym bleiben
- Dadurch ist es möglich z. B. anonym eine Webseite bereit zustellen
- erreichbar nur über eine sogenannte Onion-Adresse
- Beispiel: DuckDuckGo ist erreichbar unter 3g2upl4pq6kufc4m.onion
Tor Browser
Der einfachste Weg
- Live-Betriebssystem, startbar von USB-Stick
- Nutzung eines verschlüsselten Langzeitspeichers möglich (Persistant-Mode)
- basiert auf Debian Linux
- nur noch für 64-bit Systeme verfügbar
- kommt mit so gut wie allen Programmen die man zum digitalen Leben braucht
- nutzt von Haus aus das Tor-Netzwerk für Internetzugang für alle Applikationen
Warum Tails nutzen?
- einfache und vergleichsweise sichere Anonymisierung des ganzen Internetverkehrs
- nutzbar auf Fremdrechnern ohne dort Spuren zu hinterlassen
- mit verschlüsseltem Langzeitspeicher verschiedene Identitäten verwaltbar (ein Daten-Stick pro Identität verwenden!)
- Anonymity Operating System Comparison
Tornutzung (I)
Nicht-anonymisierten Datenverkehr vermeiden
- Anonymitätsmodi nicht vermischen
- keine Klarnamen verwenden
- Aber: Kommunikationspartner*innen können Identität kennen
- kein Bit-Torrent verwenden
- Ende-zu-Ende-Verschlüsselung einsetzen! (HTTPS, Mails, Messenger etc.)
Tornutzung (II)
Keine Hinweise auf Realidentität geben
- keine nicht-anonymen Dienste aufrufen (Bankkonto, Paypal, Ebay, Amazon, etc.)
- nicht die eigene Website oder das eigene Blog aufrufen
- Keine Daten angeben, die Rückschlüsse auf die eigene Identität ermöglichen
Tornutzung (III)
Tracking und Sicherheitslücken
- Tracking de-anonymisiert
- HTTPS verwenden → HTTPS Everywhere
- JavaScript deaktivieren wenn möglich → NoScript
- Regelmäßig Cookies löschen → New Identity
- Soziale Netzwerke nur so lange wie nötig verwenden
- nicht Google / Bing als Suchmaschine verwenden
- Hacking de-anonymisiert
- Software und Plugins aktuell halten
- Windows beliebtes Angriffsziel
Tornutzung (IV)
Lokalität
- Tor nicht von Zuhause aus anwenden, es sei denn:
- der gesamte Netzverkehr wird durch Tor geleitet (Tails, Whonix)
- Einwahlorte wechseln (Offene WLANs, Freifunk-Netze, etc.)
- Anonym erworbenes Smartphone mit anonymer Pre-Paid-Karte nutzen
- Akku entfernen und erst bei Nutzung einlegen/aktivieren
- Tor-Phone nicht in der Nähe des eigenen Zuhause nutzen (Faustregel: min. 16km entfernt)
- Laptop verwenden (Gerät stets mitführen)
Mythenzerstörung
Wie anyonym kann Tor sein?
- Zahl der Exit-Nodes begrenzt
- Exit-Nodes werden häufig von Marktplatzbetreibern des Darkweb betrieben (Tracking-Risikio)
- ... oder auch von Nachrichtendiensten
- »Tor schützt Sie nicht vor globalen Angreifenden«
- verdächtige Tor-Nodes finden: badonions
Tornutzung, Fazit
Weitere Informationen
- If you still trust Tor to keep you safe, you’re out of your damn mind
- Sammlung wissenschaftlicher Arbeiten zur Anonymsierung
- Linksammlung zum iX Artikel Entzaubert. Grenzen der Anonymität im Darknet (7/2017)
- Hacker OPSEC (Blog)
- How to access the Darknet. The safe way.
- Anonymes Surfen: Forschern gelingt Enttarnung vieler Tor-Nutzer
Tornutzung, Fazit
Weitere Informationen
- Want Tor to really work?
- Rise of Darknet Stokes Fear of The Insider
- Tor best practices
- Best practices for Tor use, in light of released NSA slides
- »One cell is enough to break Tor's anonymity«
- Users Get Routed: Traffic Correlation on Tor by Realistic Adversaries (PDF)
- On the Effectiveness of Traffic Analysis Against Anonymity Networks Using Flow Records (PDF)
Zugänge zu Geräten, Webseiten oder -diensten
- Kombination mit Nutzernamen (E-Mailadresse oder Telefonnummer)
- Alltäglich und allgegenwärtig
- Nutzerauthentisierung (Anmeldung)
- Generierung eines kryptographischen Schlüssels (bspw. SSH oder PGP)
- Passwörter sind Geheimnisse
Problem: Mehrfachnutzung
Wiederverwendung von 5 - 8 Passworten
- Passwörter von Websites oder -diensten gestohlen (dort schlecht gesichert)
- Passworte vom Nutzer gestohlen (Phishing, Social Engineering, Unachtsamkeit)
→ Angreifer haben weitere Zugänge des Nutzers (PC, Mobiltelefon, Netzwerk oder E-Mail)
Beispiele verlorener Passwörter
Aktuelle Sicherheits- und Datenschutzskandale
Problem: Unsichere Passwörter
Ab wann ist ein Passwort sicher?
Wann ist ein Passwort sicher?
Problem: Unsichere Passwörter
Der ideale Aufbewahrungsort?
- Gedächtnis? (false memory)
- Tagebuch?
- Schlüsselbund (key chain) des Betriebssystems?
- PasswordManager?
- Facebook?
- Cloudsysteme?
Lösung für alles
Passwortmanager mit starkem Masterpasswort
→ gespeicherte Passwörter sind:
- verschlüsselt gespeichert
- beliebig lang und i. d. R. zufällig generiert
- leicht zu sichern (Backup)
Lösung: Passwort merken
für Problem Merken und Aufbewahrung
Mnemotechnik zum merken des Passworts
- Imagination, Assoziation, Location
- Wiederholung: Jeden Tag benutzen!
- Erinnerbare zusammengesetzte Sätze oder Begriffe
Biometrische Daten
Zur Zugangskontrolle ungeeignet
- Biometrische Daten können gestohlen werden
- Scanner oder Algorithmen können überlistet werden
- Speichern in zentralen Datenbanken problematisch
Biometrische Authentifizierung
Broken by Design
Ich sehe, also bin ich ... Du: Gefahren von Kameras für (biometrische) Authentifizierungsverfahren
Zwei-Faktor-Authentisierung (2FA)
Verschiedene Verfahren
- Google der Microsoft Authenticator
- Kryptographische Verfahren:
- Hardware-Dongle, wie bspw. yubikey
- SMS-TANs (veraltet, selten oder nicht mehr verwendet)
Zwei-Faktor-Authentisierung (2FA)
Verschiedene Verfahren
Fazit
Passwörter
- Passwörter dienen der Zugangsbeschränkung (Authentisierung und Authentifizierung)
- Starke Passwörter schützen:
- vor Identitätsdiebstahl
- Zugang zu privaten Geräten oder Diensten
- Zugang zu verschlüsselten Daten
- Länge schlägt Komplexität
- Zwei-Faktor- oder Mehrfaktor-Authentisierung sinnvoll
Fazit
Empfehlungen
- zufällige, ausreichend lange Passwörter (Passwortgenerator)
- Empfohlen mind. 12 Stellen aus 96 Zeichen (a-z, A-Z, 0-9, Sonderzeichen)
- Passwortmanager mit Masterpasswort nutzen
- starkes Masterpasswort mit Mnemotechniken merken
Schlüsselmeister: Password Manager
- KeePass, KeePassX, KeePassXC, MacPass
- KeepassDroid, Keepass2Android
- PasswordSafe
Warum OpenSource?
- Audits durch unabhängige Sicherheitsforscher*innen
- Nachrüsten von Hintertüren oder Schnittstellen schwer
→ Daten verschlüsseln auf dem eigenen Gerät
KeePass/KeePassX
PasswordSafe
Password Safe und KeePass
| Windows | Mac OS | Linux | Android | iOS | |
|---|---|---|---|---|---|
| KeePass | |||||
| KeePassX | |||||
| KeePassXC | |||||
| KeepassDroid | |||||
| Keepass2Android | |||||
| MacPass | |||||
| Strongbox* | |||||
| KeeWeb | |||||
| Password Safe |
* = Open Source Software, aber kostenlose Version mit funktionalen Einschränkungen
Verschlüsselung bei KeePass, KeePassX oder KeePassXC
- Nutzt AES-256 und SHA256 (Authentifizierende Kryptografie ab Keepass 2.x)
- Kombination (Kaskaden) nicht möglich
- Authentisierung
- Passwort
- Schlüsseldatei (Two-Faktor-Authentisierung)
- Version 4 of the KDBX mit Argon2-Unterstützung
- Detailed information about the security of KeePass.
- On the Security of Password Manager Database Formats
Verschlüsselung bei Password Safe
- Nutzt Twofish-256
- Kombination (Kaskaden) nicht möglich
- Authentisierung
- Passwort
- Schlüsseldatei (Two-Faktor-Authentisierung)
- yubico Unterstützung
- On the Security of Password Manager Database Formats
Funktionen
- Gruppen- bzw. Untergruppen
- Passwortgenerierung
- Passwort in Zwischenablage Kopieren
- Auto-Type
- ablaufende Einträge
- verschiedene Versionen, bspw. für mobile Endgeräte
Fazit
Password Manager
- erleichtert Umgang mit vielen Zugängen (Passwörter, Online-Konten etc.)
- Generierung langer Passwörter möglich
- erleichtern regelmäßige Wechsel von Passwörtern
- Schutz hängt von der Qualität des Masterpassworts ab
- Vertrauen in die Implementierung erforderlich → OpenSource
- manche Passwort-Datenbank ungeeignet für Cloud-Betrieb (→ Passwordsafe- oder Keepass 2.x-Datenbanken verwenden)
Festplatten-/Container-Verschlüsselung
Wofür?
- mehrere Dateien gemeinsam verschlüsseln (z. B. Festplatten, Partitionen oder ganze Verzeichnisse)
- Schutz aller Daten auf dem Endgerät, bspw. bei Diebstahl, Verlust oder Beschlagnahmung
- Schutz gegen Datenwiederherstellung nach Verkauf, Entsorgung oder bei Reklamation von Datenträgern
Festplatten- oder Container-Verschlüsselung
- Zwei Varianten
- Partitionen oder ganze Festplatten
- Container - Bereiche auf der Festplatte fester größe
- wenn geöffnet wie normale Laufwerke verwendbar
- geschlossen keine Infos über gespeicherte Inhalte
Festplatten- oder Container-Verschlüsselung
Die Daten sind nur sicher, wenn Rechner ausgeschaltet ist!
Mögliche Tools
| Mögliches Tool | Betriebssystem | Anmerkungen | Empfehlung |
|---|---|---|---|
| Bitlocker | Windows |
|
() |
Mögliche Tools II
| Mögliches Tool | Betriebssystem | Anmerkungen | Empfehlung |
|---|---|---|---|
| File Vault 2 | Mac-OS |
|
() |
Mögliche Tools III
| Mögliches Tool | Betriebssystem | Anmerkungen | Empfehlung |
|---|---|---|---|
| dm-crypt, ohne oder mit LUKS, ext4 Verschlüsselung | Linux |
|
VeraCrypt
- Features:
- Systemverschlüsselung (Windows, komplette Platte)
- komplette Datenträger (ohne System)
- Partitionen
- Container
- plausible Abstreitbarkeit (plausible deniability)
- Audit durch Quarkslab im Herbst 2016
VeraCrypt
- Projektseiten: https://www.veracrypt.fr
- installierbar aber auch portabel nutzbar, dann Admin-Rechte nötig
- verschlüsselte Datenträger systemübergreifend nutzbar (Windows, Linux, MacOSX, FreeBSD)
- Wichtig: Downloads verifizieren via GPG-Signatur und/oder Hashsumme,
Programmdownload für Hashsummen unter Windows
VeraCrypt
Wie funktioniert’s? (1)
- beim Erstellen des Datenträgers werden Masterkeys und weitere Informationen für Ver- und Entschlüsselung der Inhalte des Containers/der Partition/Platte verschlüsselt im Volume Header abgelegt
- für deren Verschlüsselung wird aus dem Passwort oder/und eingesetzten Keyfiles ein Header Key mit PBKDF2 (Password-Based Key Derivation Function 2) abgeleitet
- zusätzlich: PIM (Personal Iterations Multiplier) einstellbar
VeraCrypt
Wie funktioniert es? (2)
- als Betriebsmodus kommt XTS zum Einsatz, der aktuelle Quasi-Standard für Datenträgerverschlüsselung,
- eingesetzt auch bei BestCrypt, dm-crypt, FreeOTFE, DiskCryptor, FreeBSD geli, OpenBSD softraid disk encryption software, Bitlocker (seit Windows 10) und Mac OS FileVault 2
VeraCrypt
Verschlüsselungsalgorithmen (1)
- Verfahren waren Finalisten für den Advanced Encryption Standard (AES) des National Institute of
Standards and Technology (NIST) der USA in 2000
- Rijndael/AES (Joan Daemen, Vincent Rijmen), der spätere Gewinner des Ausscheidungsverfahrens
- Serpent (Ross Anderson, Eli Biham, Lars Knudsen)
- Towfish (Bruce Schneier, Niels Ferguson, John Kelsey, Doug Whiting, David Wagner und Chris Hall)
VeraCrypt
Verschlüsselungsalgorithmen (2)
- Camellia, entwicklet von Mitsubishi Electric und dem NTT Japan, genehmigt für das NESSIE-Projekt der EU und das Japanische CRYPTREC-Projekt.
- Kuznyechik, nationaler Standard der Russischen Föderation, GOST R
34.12-2015
- Kaskaden möglich → höhere Sicherheit aber auch längere Zeit zum Ver- und Entschlüsseln
VeraCrypt
Hash-Algorithmen
- SHA-512 oder SHA-256, entwickelt von der NSA und vom NIST publiziert.
- Wirlpool, vom NESSIE-Projekt der EU empfohlen und von der ISO übernommen
- Streebog-512 Russischer nationaler Standard GOST R 34.11-2012 Information Technology – Cryptographic Information Security – Hash Function, auch in RFC 6986 beschrieben
Verschlüsselung mit dm-crypt / LUKS
Allgemeines
- Kryptographie-Modul dm-crypt bzw. die Erweiterung Linux Unified Key Setup (LUKS) seit Kernelversion 2.6 im Linux-Kernel
- Neben Festplatten auch USB-Sticks oder externe Laufwerke verschlüsselbar
- Container fester Größe verschlüsselbar, die auf verschiedene Datenträger kopiert werden können
Verschlüsselung mit dm-crypt / LUKS
Allgemeines (2)
- verschiedene Hash- bzw. Verschlüsselungsalgorithmen auswählbar
- längere Schlüssel besser, als kürzere
- mehrere Verschlüsselungsalgorithmen sequentiell anwenden
- verstecken von verschlüsselten Partitionen möglich
Praktische Anwendungen / Handlungsideen
Staatliche Überwachung, Überwachungskapitalismus und wer einen noch verraten könnte
Vortragsempfehlungen am Ende dieses Parts
Kommunikation
- achte darauf wie und mit was du kommunizierst.
- offline unterwegs sein ist manchmal von Vorteil
- Online-Plenum mit Jitsi/BBB —
Teams/Zoom - im Internet versuchen verschlüsselt und mit nicht proprietären Mitteln
überall gilt: nicht prahlen
Alternativen zu den Großen
| Original | Alternative(n) | Bemerkung |
|---|---|---|
| RiseUp, Sytemli.org, Mailbox.org, systemausfall.org | Dienste wie Mail, Docs, Drive, (weiteren Anbieter hier) | |
| GoogleMaps | OpenStreetMap | Crowd Source Karten (offline!) |
| Google Suche | StartPage, DuckDuckgo | Ohne Profile |
| Amazon | Kaufland.de, rewe.de, geniallokal.de, deine Innenstadt | bei vielen Anbietern direkt, oder offline |
| Fediverse, Diaspora, Friendica | Alternative (A)Soziale Medien |
Öffentlichkeitsarbeit
- Impressumspflicht
- größere Vereine
- Bekannte Persönlichkeiten — Vegan in Leipzig
- Vorsicht bei Fotos
- Fingerabdrücke
- Metadaten entfernen
- Ideen gegen verräterische Grammatik / Rechtschreibung:
- Texte gemeinsam erarbeiten
- Hin- und herübersetzen mit Online-Tools
Demos / ziviler Ungehorsam
- Videoüberwachung
- Kameras vermeiden
- Tarnung — Maskenpflicht 😷
- Handyüberwachung mit IMSI Catchern oder Funkzellenabfragen
- Idee: Separates Handy oder ohne Handy
- Durchsuchungen
- Idee: Speichermedien/Geräte verschlüsseln
- langer Passcode, Android ausschalten, iPhone SOS Mode
- KFZ-Kennzeichen — Scanner
Bei Hausdurchsuchungen
- Eigene Rechte kennen!
- Geräteverschlüsselung
- Namen an Zimmertüren
- Handlungsleitfaden — Rote Hilfe & Aufkleber
Vortragsempfehlungen
Vielen Dank!
Optionale Folien
Alternative
Soziale Netzwerke
Übung
Social-Media-Stuhlkreis
- Stuhlkreis bilden
- Social-Media-Gruppen bilden, nach Nutzung (z. B. Instagram, SnapChat, YouTube, Facebook, WhatsApp etc.)
- 5 Minuten Zeit
- Anschließend stellt jede Gruppe (max. 5 Minuten) kurz vor, was sie zusammen getragen hat
Übung
Social-Media-Stuhlkreis: Fragen?
- Warum nutze ich XY und wozu?
- Was gefällt mir besonders?
- Welche Probleme gibt es bei der Nutzung von XY?
- Wer hat Zugriff auf meine Daten bei XY?
Problematisierung von
Sozialen Netzwerken
Zentrale Datenhaltung und BigData
- Zentrale Datenhaltung (Zugriff?)
- Verwertungsrechte der eingestellten Inhalte durch AGBs; Sichtbarkeiten und Vernetzung einschränken geregelt
- Profilbildung und Verknüpfung durch Big-Data-Analysen
- Langzeitspeicherung und massive Datensammlung (→ Personensuchmaschien; Einreise in die USA)
- Schattenprofile
- Übertragung/Veräußerung von Privatheit an einen fremden Akteur
Überwachungskapitalismus
Walled Gardens und soziale Experimente
- Walled Gardens als isolierte, selbstreferenzielle Systeme (Filterbubble)
- Algorithmen bestimmen Relevanzen dargebotener Inhalte (Filterung; Social Sort)
- Einschränkung oder Aufgabe von Autonomie
- kontinuierliche soziale Experimente
Durchlässige Mauern
Datensicherheit und Zugriffe von Außen
- Nadel im Heuhaufen: Soziale Netze und Clouds als Teil von PRISM und Tempora
- BND wollte Überwachung auf soziale Netze ebenfalls ausweiten (Vorhaben aufgrund des #NSAU derzeit ausgesetzt)
- Kreditkartenbetrüger und Kettenbriefe
- Identitätsdiebstahl
- Online Harassment und Cyber Bulling: Von Trollen und Mobbing
- Stalking
- Sexting (Vorsicht bei SnapChat!)
Sichtbarkeiten und
Vernetzung einschränken
Clicktivism
Friendica
kurz vorgestellt
- OpenSource-Projekt (PHP)
- Dezentrale Architektur die Vernetzung über alle Installationen ermöglichen will (föderiertes System)
- Durchgängige Berücksichtigung der Privatsphäre (jeder Entscheidet über preisgegebene Daten)
- Anlage detaillierter Profile möglich
Friendica
kurz vorgestellt
- Eingebettete Inhalte
- Austausch von Fotos und Anlage von Fotogalerien
- Events (z. B. Geburtstage)
- Gruppen und Hashtags werden unterstützt
- Einführung im umfangreichen Wiki
Ausprobieren
Diaspora*
kurz vorgestellt
- OpenSource-Projekt (Ruby on Rails)
- Dezentrale Architektur die Vernetzung über alle Installationen ermöglichen will (föderiertes System)
- Datensparsamkeit
Diaspora*
kurz vorgestellt
- Aspekte zur Sichtbarkeitskontrolle von Posts und Hashtags
- Eingebettete Inhalte und Posting in Markdown
- diaspora* Anleitungen
- Liste von Diaspora-Servern, auf denen sich Benutzer anmelden können, um an dem sozialen Netzwerk teilzunehmen
Ausprobieren
Mastodon
kurz vorgestellt
- Offene Standards: Atom Feeds, ActivityStreams, Salmon, PubSubHubbub und Webfinger
- Interoperatblität: Austausch mit GNU social und OStatus Plattformen
Mastodon
kurz vorgestellt
- Diskussionen (Threads) werden online verteilt (föderiert)
- hohe Integrierbarkeit (OAuth und REST)
- Hosting: vereinfachtes Deployment trotz anspruchsvollem Technologie-Stack (Devops/Docker)
Mastodon
Ausprobieren
Fazit
Alternative Soziale Netzwerke
- jenseits des Mainstream: Alternative Netzwerke existieren, sind aber relativ unbekannt
- Es fehlt an entsprechenden, fancy Smartphone-Apps
- kritische Masse/Publicity
- Entwicklern fehlt Dialog mit Nutzer*Innen → Gründung von UserGroups?
- geeignet für kleinere, abgeschlossene Netze (Familie, Vereine, regionale Gruppen, kleinere Netzwerke)
Weiterführende Links
E-Mail-Verschlüsselung: Installation
Thunderbird, GPG (optional ggf. enigmail)
- Linux
- Software in allen Repositories vorhanden
- Windows
- Thunderbird und GPG
- Mac
- Thunderbird und GPG
E-Mail-Verschlüsselung: GPG und Mobilgeräte
- prinzipbedingt nicht empfehlenswert
- iOS
- keine Integrierte Lösung
- aktueller Status unklar
- Android
- K9-Mail als Thunderbird Link zum PlayStore
- OpenKeyChain als PGP Implementation Link zum PlayStore
- Schlüsselgenerierung nicht auf dem Smartphone zu empfehlen
- ggf. Eigene Schlüssel, eigene E-Mail-Adresse für Smartphone-Nutzung empfehlenswert
Exkurs: Hidden-Services II
