Kryptographie Einführung

Transkript

1 Kryptographie Einführung 1/42

2 Inhalt: Vortrag Einführung Freie Software Passwörter Kommunikation im Internet Browsen Mail Metadaten Cloud Smartphones Wie funktioniert Verschlüsselung Lokale Verschlüsselung 2/42

3 Inhalt: Praktischer Teil Mail Verschlüsselung mit Thunderbird und Enigmail Key-Signing 3/42

4 Einführung Und warum nur freie Software vorgestellt wird. 4/42

5 Passwörter 5/42

6 Passwörter Erster Schritt zum Schutz der eigenen sensiblen Daten Brute-Force mit Wörterbuch-Angriff bei Standard PC: 1 Milliarde Schlüssel/Sekunde Sechsstelliges Passwort [A-Z;a-z;0-9]: 58 Sekunden Zehnstelliges Passwort [A-Z;a-z;0-9+Sonderzeichen]: 2108 Jahre Sichere Passwörter Für jede Anwendung ein eigenes Passwort Keine Wörterbucheinträge/Daten die leicht zu erraten sind Ausreichende Länge Unkonventionelle Zeichen (,, ) Software: KeePassX en.wikipedia.org/wiki/keepass 6/42

7 Kommunikation im Internet Browsing 7/42

8 Einfachster Fall 8/42

9 Browsing: technischer Hintergrund Mit http werden die Daten unverschlüsselt im Klartext übertragen 9/42

10 Browsing: Angriffsmöglichkeiten Abfangen und Mitlesen des Datenverkehrs möglich Gefahr von man in the middle Attacken (Phishing) Inhalte können manipuliert werden 10/42

11 Browsing: HTTPS Absicherung der Verbindung durch Verschlüsselung (HTTPS) Infrastruktur gewährleistet auch Athentizität des Servers (PKI) Gibt auch unsichere Zertifikate (ssllabs.com/ssltest) Addon: HTTPS-Everywhere 11/42

12 Browsing: Tracking IP-Tracking Inhalte von Dritten (Werbung, Social Buttons, Tracking-Pixel) Javascript-Tags Sammeln auch Informationen über den Browser Ermöglichen Wiedererkennen auch bei neuer Sitzung Software: Requestpolicy, Tor, Adblock Edge, Disconnect 12/42

13 Browsing: Cookies Textdateien, welche Internetseiten lokal ablegen um Informationen bereit zu halten (Logins, Warenkörbe, etc Erst mal ungefährlich Tracking möglich, wenn Internetseiten fremde Inhalte nachladen (Werbung, FB Like Button, etc.) LSO/Flash Cookies Löschen mittels Browser, BetterPrivacy, Self Destructing Cookies, RequestPolicy flickr.com/photos/shellewill79/ /42

14 Tor Sogenannter Proxy Zur Verschleierung der IP-Adresse 14/42

15 Tor II Auch für Webseitenbetreiber Verschleierung möglich Darknet Sehr komplex und bietet auch Gefahren Exit Nodes Nur sinnvoll bei Beachten einiger Dinge Cookies/Flash Cookies (aktive Logins) Browser Konfiguration Am besten fertig eingerichtete Live CD (Tails) Sonst Tor Browser Bundle zurückgreifen en.wikipedia.org/wiki/tor_(anonymity_network) 15/42

16 technischer Hintergrund Mail ist Textdatei Empfänger ruft diese vom Server seines Anbieters ab Chatprogramme funktionieren meist nach ähnlichem Prinzip Standardmäßig ohne Verschlüsselung Mail wie Postkarte 16/42

17 Quelltext 17/42

18 Angriffsmöglichkeiten Abfangen und Mitlesen des Datenverkehrs möglich Gefahr von man in the middle Attacken (Phishing) Inhalte können manipuliert werden 18/42

19 Punkt-zu-Punkt Verschlüsselung Punkt-zu-Punkt-Verschlüsselung (p2p): Wirkungslos, sobald eine Teilverbindung ungeschützt ist Abgabe von Kontrolle an Serverbetreiber In welchem Maße kann man diesen Vertrauen ( Überwachungsprogramme) 19/42

20 Ende-zu-Ende-Verschlüsselung Ende-zu-Ende-Verschlüsselung (e2e): Inhalt wird verschlüsselt (siehe Quelltext) Header nicht ( Bitmessage) Optimalerweise mit p2p kombiniert Verschlüsselung gewährleistet nicht Authentizität des Gegenübers Signatur Technische Umsetzung und Hintergründe später 20/42

21 Metadaten 21/42

22 Metadaten Auch bei Verschüsselung können Verbindungsdaten abgefangen werden Sowohl bei Mails als auch beim Browsing Geben Informationen über Surfgewohnheiten Arbeit Sexuelle Orientierung Werden bei der Vorratsdatenspeicherung gesammelt Software: Tor wiki.vorratsdatenspeicherung.de/images/eye.gif 22/42

23 Cloud-Computing 23/42

24 Cloud: Überblick Servers Application Laptops Desktops F E Monitoring Collaboration Communication Content Finance Platform Identity Object Storage Runtime Queue Database Infrastructure Compute Phones Block Storage Network Tablets 24/42

25 Cloud: Vorteile Spart Geld Einfaches und zentrales Bereitstellen von Daten Möglichkeit Infrastrukturen nutzen die man sonst nicht zur Verfügung hätte Hohe Verfügbarkeit 25/42

26 Cloud: Nachteile Nachteile: Absicherung des Datenzugriffs oft unklar Anbieter haben meist umfassenden Zugriff auf die Daten Zentrale Speicherung der Daten birgt Gefahren Rechtliche Situation oft unklar Safe Harbour Abkommen 26/42

27 Cloud: Alternativen Cloud Anbieter, die Quellen offenlegen und konsequent auf Verschlüsselung setzen Mykolab.ch, Posteo (als Komplettlösung) Jitsi (statt Skype, etc.) Disconnect Search, Startpage (statt Google) Selbst die Daten in die Hand nehmen OwnCloud (als Komplettlösung) Arkos Dudle (statt Doodle) Etherpad (statt Google Docs, etc) Hervorragende Zusammenfassung: Prism-break.org 27/42

28 Smartphones Gefahren Lösungsvorschläge 28/42

29 Smartphones: Gefahren Apps können sensible Daten auslesen (Telefonbuch, Konten, Standort, etc.) Über die Standortfunktion lassen sich Bewegungsprofile erstellen Ortung und Bewegungsprofile über Netzmasten Über IMSI-Catcher Mitlesen/Aufzeichnen und Manipulation der klassischen Telefon Funktionen möglich (SMS, Anrufe) Man-in-the-Middle 29/42

30 Smartphones: Lösungsvorschläge Genau auf Berechtigungen von Apps achten LBE Privacy Guard, Root: Xprivacy Ortungsdienste, WLAN, etc. nur bei Notwendigkeit aktivieren Verschlüsselte Chats und Anrufe TextSecure, RedPhone CustomRom bei Android Cyanogenmod FSFE Free your Android commons.wikimedia.org/wiki/file:android_robot_skateboarding.svg 30/42

31 Verschlüsselungsprinzipien Symmetrische Verschlüsselung Asymmetrische Verschlüsselung Signieren 31/42

32 Verschlüsselungsprinzipien: symmetrisch Technisch einfach umsetzbar Zur Kommunikation: Wie kommt der Schlüssel zum Empfänger? 32/42

33 Verschlüsselungsprinzipien: asymmetrisch Öffentlicher Schlüssel zum Verschlüsseln Privater Schlüssel zum Entschlüsseln und Unterschreiben Verschiedene Algorithmen zur Erstellung des Schlüsselpaares RSA: Produkt zweier großer Primzahlen Erzeugung des Schlüsselpaares 33/42

34 Verschlüsselungsprinzipien: asymmetrisch Verschlüsselung/Entschlüsselung Signatur/Überprüfung 34/42

35 Lokale Verschlüsselung 35/42

36 Lokale Verschlüsselung Problem: Wenn Rechner, Laptop gestohlen wird Sich eine Person Zugriff zum Rechner verschafft Externe Datenträger die in fremde Hände gelangen Lösung lokale Verschlüsselung (symmetrisch) Verschlüsselung des Systems Windows (Truecrypt, DiskCryptor) Linux (EncFS,...) Mac (FileVault) Verschlüsselung einzelner Dateien und Datenträger Truecrypt 36/42

37 Weiterführende Links/Quellen Prism-Break.org Krypto Party Handbook Wiki.Piratenpartei.de/HowTo_Anonym_Browsen und weitere Artikel der HowTo Anonym Serie Heise.de/thema/NSA The intercept (Glenn Greenwald) Grafiken selbst ersellt, falls nicht mit Quelle versehen 37/42

38 Praktischer Teil Kurze Einführung Einrichtung 38/42

39 Welche Software wird benutzt Thunderbird (auf vielen Plattformen verfügbar) GnuPG eine freie Implementierung für asymmetrische Verschlüsselung Enigmail (Schlüsselverwaltung für GnuPG in Thunderbird integriert) Zentralisierte Alternative: SMIME 39/42

40 Web of Trust Alternative zum PKI Verfahren (SMIME) ii i OK OK shop.com Web of Trust Public Key Infrastructure 40/42

41 Links zur Mail-Verschlüsselung mit GnuPG Verschlüsselung mit Thunderbird (alle Artikel lesenswert) Portabel/USB: Verschlüsselung mit Apple Mail Verschlüsselung Outlook Verschlüsselung Android K9Mail mit APG sselung-mit-k9-und-apg/ 41/42

42 Danke für eure Aufmerksamkeit! Fragen auch später gerne an mich: Schlüssel ID: B4 Kryptographie Einführung - GJ Tü von ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 4.0 International Lizenz.Beruht auf dem Werk unter 42/42