warum verschlüsseln? dein leben - deine daten - deine freiheit
DESCRIPTION
Kurze Einführungspräsentation für die Crypto-Party 01 der FDP Nürnberg am 01.08.2013.TRANSCRIPT
Warum verschlüsseln?
Dein Leben – Deine Daten – Deine FreiheitArian Kriesch - @freiheitsfreund
“Paranoid” oder datenschutzbewusst?
Eine Frage des Vertrauens und der Verhältnismäßigkeit.Speicherplatz wird immer billiger, Rechner leistungsfähiger.Quelle: Washingtonpost.com http://goo.gl/SqnPA und wired.com
1. Grundsatz im Internet: Datensparsamkeit
Bewusstsein: Wer kann auf was zugreifen?
Unverhältnismäßigkeit:Wenn ein Akteur (z.B. NSA) alles liest und
speichert
Was ist “Daten”-Sicherheit?
AuthentizitätSind Absender und Daten echt?Signatur
ZugriffsschutzWer kann meine Information lesen?Krypto- + Steganographie
DatensicherheitWie sicher sind Daten vor Verlust?Backups + Redundanz
AnonymitätIst der Absender zurückverfolgbar?
• Verteilte Speicherung und Verbindungen• Redundantes, dezentrales Netz• Dynamische Informationsleitung• Weltweit
Das Internet ist “ausfallsicher”
DatensicherheitWie sicher sind Daten vor Verlust?
AuthentizitätSind Absender und Daten echt?
ideal für verkompliziert
z.B. Sicherung in “Cloud”Integriert in OS und HandysDezentral. Oft nur transportverschlüsselt.
ZugriffsschutzWer kann meine Information lesen?
Verschlüssellung + Authentifizierung sind eine Frage des Vertrauens
Wem vertrauen?
Vertrauen delegierenHierarchisches Konzept
Netzwerk des VertrauensDezentrales Konzept
z.B. SSL + HTTPSZentrale Instanz stellt Zertifikate aus und verkauft diese
z.B. Pretty Good Privacy (PGP/GPG)User signieren gegenseitig ihre Zertifikate
• “Root-Zertifikate” sind z.B. in Webbrowsern eingebaut
• Diese können gestohlen werden• Gesamte Kette dann unsicher
(Beispiel “Diginotar”, Google-Zertifikate und Iran, 2011)
• Niemand kann von jedem ein Zertifikat beglaubigen
• Vertrauen hierbei also auch delegiert, nur verteilter
Vertrauen in SoftwareherstellerOpen SourceQuellcode kann von jedem überprüft werden. Kann trotzdem kommerziell sein.
Closed SourceSchwacher Ansatz: “Security by Obfuscation”
• Backdoors sind nicht nachvollziehbar• Verschlüsselung mit “Zweitschlüssel”
umgehbar• Offiziell kooperieren die Hersteller
mind. “gemäß den jeweils geltenden Gesetzen” wie G10.
• Code ist offen zugänglich• Backdoors könnten von
jedem zumindest theoretisch gefunden werden
• Praktisch: Vertrauen in die Community
z.B. Linux, GPG, OTR
Verschlüsselungsansätze
TransportverschlüsselungZwischen User und Provider
Ende-zu-Ende-Verschl.Von einem Benutzer zum anderen
Absoluter Minimalstandard!
Emails, Online-Banking, immer einschalten!
z.B. HTTPS-everywhere. Kein Nachteil
• Der Anbieter hat vollen Datenzugriff• Verschlüsselung sperrt Dritte auf dem
Transportkanal aus• Authentifizierung eingebaut:
z.B. “Das ist wirklich meine Bank”• Auch bei Handys in Hardware
eingebaut (SIM)• Z.B. HTTPS, HBCI,SIM-Verschlüsselung
• Nur die Entnutzer können die Informationen entschlüsseln
• Der Provider sieht und vermittelt nur Datenpakete
• Authentifizierung eingebaut• Nicht automatisch anonym!• Z.B. PGP/GPG, Threema, verschlüsselte
Dateien
Technische vs. gesetzliche Sicherheit
GG Artikel 10(1) Das Briefgeheimnis sowie das Post- und
Fernmeldegeheimnis sind unverletzlich.
(2) Beschränkungen dürfen nur auf Grund eines Gesetzes
angeordnet werden. Dient die Beschränkung dem Schutze
der freiheitlichen demokratischen Grundordnung oder
des Bestandes oder der Sicherung des Bundes oder eines
Landes, so kann das Gesetz bestimmen, daß sie dem
Betroffenen nicht mitgeteilt wird und daß an die Stelle
des Rechtsweges die Nachprüfung durch von der
Volksvertretung bestellte Organe und Hilfsorgane tritt.• “G10-Gesetz”• Definiert die Eingriffsrechte der Geheimdienste und
regelt die Ausnahmen zu Artikel 10• 2011 extrem erweitert• Welcher Datenschutz gilt bei der internationalen
Verarbeitung von Daten?
Verschlüsselung vs. AnonymitätVerschlüsselung heißt nicht automatisch, dass der Kommunikationskanal nicht nachvollziehbar ist! Wichtig nicht nur für Quellenschutz, Whistleblower, sondern für jeden User.
Umgehung teilweise möglich z.B. TOR Solche Software kann über Spuren im Internet verwischen
• Programme wie “XKeyscore” (NSA) filtern laut Berichten gezielt nach Absendern verschlüsselter Nachrichten
• PGP/GPG z.B. bettet standardmäßig Absender und Adressaten ein!
Quelle: https://www.documentcloud.org/documents/743244-xkeyscore-slidedeck.html
Grundlage: Sichere “Passphrase”Computer können Passwörter sehr effizient “knacken”Dazu probiert der Rechner einfach Variationen aus. Passwort = Relative Sicherheit!
“Brute Force”Systematisch werden alle Zeichenkombinationen durchprobiert
WörterbuchattackeNoch leichter: Wörterbucheinträge und einfache Zahlenkombinationen
Niemals einfache Wörter verwenden!
Buchstaben, Zahlen und Sonderzeichen kombinieren.Am besten: Völlig zufällig
6 Stellen zu knacken: Ca. 0,16 €8 Stellen zu knacken: Ca. 400 – 800 €11 + Stellen: Derzeit relativ sicher
Tausende Passwörter in kürzester Zeit automatisch zu lösen.
Für jede Anwendung / Website ein eigenes PasswortNur dann sind andere Accounts sicher, wenn das Passwort einer Seite geklaut wird.
Wer kann sich sowas merken?
“Aufschreiben” / SpeichernViele, rein zufällige PasswörterIn entsprechendem Programm (“Passwortmanager”) mit Masterpasswort sichern
Passphrase systematisch variierenz.B. Geschichte mit Zahlen und Zeichen anreichern
Strapaziert weiterhin das GedächtnisMüssen trotzdem regelmäßig geändert werden.
Verlagert das Verlustrisiko auf ein einziges Master-Passwort und GerätVorsicht: Nicht online speichern!
Passwortmanager gibt es für PC/Mac/Linux/Firefox oder Smartphonesz.B. im Mac der “secure Keyring”
Stärke des Menschen über den Computer: Semantik, Sinn über die Worte und Zeichen hinaus.
Speichern? Aufschreiben? Eines für alles?
• Trojaner und Viren unterminieren jeden techn. Schutz• Wer die Tastatur mitliest hat jede Nachricht• Geräte-Diebstahl ist großes Sicherheitsproblem
Grundlage 2: Sicherer Rechner
Immer aktuelle Updates einspielenAm kritischsten: Webbrowser, Betriebssystem und Emailprogramm
Immer Antiviren-Software verwendenBei Windows-Rechnern
Auf jedem Rechner und Smartphone ein Passwort setzenAktuelle Android und iOS-Geräte verschlüsseln dann auch die Festplatten
Jede Festplatte verschlüsseln und Backups sichernWindows: Bitlocker, Mac OS X eingebaut, Linux eingebaut.
Praktisches Beispiel: Threema statt Whatsapp• Whatsapp is sicherheitskritisch• Überträgt Kontaktdaten• Unverschlüsselte Nachrichten
• Threema:Ende-zu-Ende verschlüsselt
• Nachteil: Kein Open-Source, nicht kostenlos, nur ein Gerät je Account
• Vorteil: Sehr einfache Nutzung• Adressbuchabgleich via “Hash”
statt Upload der vollen Adressbücher Reiner Offline-Kontaktaustausch möglich
• Ebenfalls kommerzielles Produkt
Bisher nur füriOS Android
Quelle Bilder: www.threema.ch
• Wir installieren auf Wunsch GPG (Email-Verschlüsselung)
• Wir installieren HTTPS everywhere (EFF)• Wir tauschen GPG-Schlüssel aus und signieren diese• Wir aktivieren die Festplatten-Verschlüsselungen• Wir erklären auf Wunsch
GPG, Jitsy, Festplattenverschlüsselung, Threema, etc.
Praktische Phase
Vielen Dank für Ihre Aufmerksamkeit
Verwendete Quellen und Logos mit gesonderter Lizenz: Simple Icons von Dan Leech (Free Art Licence, github.com/danleech/simple-icons. Folgende Icons stehen unter CC BY Lizenz und sind von www.thenounproject.com: Key designed by William J. Salvador from the Noun Project. Hard Disk Drive designed by Eddie Alshehrie from the Noun Project. Mask designed by Gilad Fried from the Noun Project. Passport designed by Katia Marsh Mallow from the Noun Project. Cloud designed by Edward Boatmanfrom the Noun Project. Conversation, designed by Murali Krishna from the Noun Project. Inspiriert von Emiland De Cubber “Dear NSA” @emilanddc.
Arian Kriesch www.arian-kriesch.de @freiheitsfreund Diese Präsentation steht, bis auf anders gekennzeichnete Bestandteile, unter der Creative Commons Namensnennung – Nicht-kommerziell – Weitergabe unter gleichen Bedingungen 3.0 Unported Lizenz.