Ich möchte nicht in einer Welt leben, in der alles, was ich sage, alles, was ich tue, jedes Gespräch, jeder Ausdruck von Kreativität, Liebe oder Freundschaft aufgezeichnet wird. Das ist nichts, was ich bereit bin zu unterstützen. Das ist nichts, das ich bereit bin mit aufzubauen. Das ist nichts, unter dem ich zu leben bereit bin. Ich denke, jeder, der eine solche Welt ablehnt, hat die Verpflichtung, im Rahmen seiner Möglichkeiten zu handeln. - Edward Snowden
Was ist eine CryptoParty? Workshop zur digitalen Selbstverteidigung "Tupperware-Party zum Lernen von Kryptographie" (Cory Doctorow) Einsteigerfreundlich Fokus auf Freier Software Von Anwendern für Anwender -> Gelerntes weitertragen 3 / 51
Agenda Inputvortrag zu: Sichere Passwörter Verschlüsselung von E-Mails (PGP) Tracking beim Browsen vermeiden Dateiverschlüsselung (VeraCrypt) Smartphones Praxis 4 / 51
Sichere Passwörter Wie werden Passwörter geknackt? Brute Force Listen / Wörterbuch-Angriffe Alle möglichen Kombinationen ausprobieren Alle Wörter einer Liste ausprobieren Social Engineering Phishing, Person austricksen um PW zu erfahren 5 / 51
Wie erschwert man das Knacken des Passworts? Brute Force => Länge (10+ Zeichen) => Verschiedene Zeichentypen (Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen) 6 / 51
Wie erschwert man das Knacken des Passworts? Brute Force => Länge (10+ Zeichen) => Verschiedene Zeichentypen (Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen) Listen / Wörterbuch-Angriffe => Kein einzelnes Wort als PW verwenden => Keine Wörter aus dem Umfeld (Namen, Geburtsdaten) 7 / 51
Wie erschwert man das Knacken des Passworts? Brute Force => Länge (10+ Zeichen) => Verschiedene Zeichentypen (Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen) Listen / Wörterbuch-Angriffe => Kein einzelnes Wort als PW verwenden => Keine Wörter aus dem Umfeld (Namen, Geburtsdaten) Social Engineering => Niemandem das Passwort verraten! 8 / 51
Brute-Force-Angriffe und Passwortlänge Nutzung von Kleinbuchstaben (26 Zeichen) Quelle: http://www.1pw.de/brute-force.html (Rechengeschwindigkeit: 2096204400 Schlüssel pro Sekunde (Keys/sec)) 9 / 51
Brute-Force-Angriffe und Passwortlänge Nutzung von Groß-, Kleinbuchstaben und Zahlen (62 Zeichen) Quelle: http://www.1pw.de/brute-force.html (Rechengeschwindigkeit: 2096204400 Schlüssel pro Sekunde (Keys/sec)) 10 / 51
Wie erstelle ich ein sicheres Passwort? DBiR&dSd90M! HausLocherTasteMeloneBagger Merksatz:»Der Ball ist Rund & das Spiel dauert 90 Minuten!«Wortreihung 2UrN47oCfK6jAZ8xuKHiop4upPsI73 Passwortgenerator 11 / 51
Passwortverwaltung Wichtig: Für jeden Dienst ein anderes Passwort verwenden! Software: KeePassX Vorteile Freie Software Viele Plattformen Nachteile Win, Linux, Mac, Android Passwortgenerator Masterpasswort Komfort Verschlüsselt gespeichert Darf nicht vergessen oder geknackt werden! Kein Sync zwischen verschiedenen Geräten 12 / 51
13 / 51
E-Mail Anbieter Quelle: http://apps.opendatacity.de/prism/de 14 / 51
Alternativen zu "kostenlosen" E-Mail-Anbietern Posteo.de oder mailbox.org Gratis 24h-Einmal-E-Mail-Adresse: anonbox.net (CA-Cert) Vorteile Standort in Deutschland Datensparsamkeit Keine Inhaltsanalyse Keine Werbung Anonyme Nutzung möglich Datenschutz hat Priorität Nachteile Kostet 1,- pro Monat 15 / 51
E-Mail Verwaltung Software: Mozilla Thunderbird Freie Software Mehrere Mail-Konten möglich Verwaltung mit Filtern und Ordnern HTML Abschalten möglich Mails offline lesen und speichern Plug-Ins: Kalender, Massenmails, Verschlüsselung 16 / 51
17 / 51
E-Mail Verschlüsselung (PGP) Vorteile Inhalt Ende-zu-Ende verschlüsselt Nachteile Sender & Empfänger sind eindeutig Metadaten unverschlüsselt Sender & Empfänger müssen PGP nutzen Benötigte Software: E-Mail Programm: Thunderbird Add-on: Enigmail 18 / 51
Unterschied Symmetrische / Asymmetrische Verschlüsselung Symmetrische Verschlüsselung (secret key) Wie analoge Schlüssel Ein Schlüssel zum ver- und entschlüsseln Alle Teilnehmer brauchen den Schlüssel Asymmetrische Verschlüsselung (public key) Schlüsselpaar 19 / 51
Wie funktioniert PGP (Pretty Good Privacy)? Asymmetrische Verschlüsselung Schlüsselpaar: privater und öffentlicher Schlüssel. Öffentlicher Schlüssel: verschlüsselt die E-Mail gibst du deinen Kommunikationspartnern Privater Schlüssel: entschlüsselt die E-Mail bleibt privat, gibst du niemals raus! 20 / 51
21 / 51
PGP Public Keys austauschen E-Mail Anhang.asc Datei Key-Server Bequem durchsuchbar E-Mail-Adresse öffentlich einsehbar 22 / 51
23 / 51
Verbreitung von PGP Quelle: https://sks-keyservers.net/status/key_development.php 24 / 51
Tracking beim Browsen vermeiden Quelle: https://trackography.org/ 25 / 51
Analyse mit Firefox-Addon Lightbeam 26 / 51
Analyse mit Firefox-Addon Lightbeam 27 / 51
Wie kann ein Webserver mich identifizieren und verfolgen (Tracking)? Cookies: Passive Merkmale: kleine Textdateien, die die aufgerufene Webseite im Browser speichern und wieder abrufen kann. IP-Adresse, Sprache, Browser, Betriebssystem Aktive Merkmale (Javascript, Flash, Java, h264,...) Schriftarten, Browser-Add-ons, Bildschirmauflösung, uvm. => Eindeutiger Browser-Fingerabdruck siehe https://panopticlick.eff.org/ 28 / 51
Wie kann ich mich vor Tracking schützen? Browser-Wahl Browser-Einstellungen Do-not-Track Option Benutzerdefinierte Chronik: Cookies (für Drittanbieter) deaktivieren Suchmaschinen Firefox, Chromium (https://download-chromium.appspot.com) Ixquick.com, Startpage.com, DuckDuckGo.com, MetaGer.de, etc. (im Gegensatz zu Google auch keine individuellen Ergebnisse) Browser-Add-ons!... 29 / 51
Schutz durch Firefox-Add-ons Tracker und Werbung blocken: ublock origin Aktive Inhalte blocken: NoScript Skripte allgemein erlauben (laut Hersteller nicht empfohlen) Webseiten immer verschlüsseln: HTTPS Everywhere Flash-Cookies löschen: BetterPrivacy Etwas komplizierter und aufwendiger: Alle Skripte blocken: NoScript Anfragen an Drittanbieter blocken: RequestPolicy Referer blocken: RefControl (Vorsicht!) 30 / 51
TOR-Browser Was ist der TOR-Browser? Modifizierter Firefox Nutzt TOR zum anonymen Server 31 / 51
TOR (The Onion Router) Was ist TOR? Netzwerk zur Anonymisierung von Verbindungsdaten IP-Adresse wird verschleiert Vorteile Freie Software Anonymes Surfen Nachteile Login bei personalisierten Seiten nicht sinnvoll 32 / 51
33 / 51
Dateiverschlüsselung Software: VeraCrypt Weiterentwicklung von TrueCrypt Software zur Datenverschlüsselung Was kann ich mit VeraCrypt machen? Verschlüsselte Container (Ordner) erstellen Komplette Festplatte verschlüsseln USB-Sticks und andere Wechseldatenträger verschlüsseln 34 / 51
VeraCrypt Vorteile Plattformübergreifend Win, Mac, Linux Freie Software Nachteile Komfort Passwort vergessen? => Daten weg! Kompatibel mit alten TrueCrypt-Containern 35 / 51
Smartphones & Tablets Hardware ("Super-Wanze") Mikrofon, Kamera, GPS, Bewegungssensor Betriebssystem IOS (Apple) oder Windows (Microsoft) = Pest oder Cholera Apps nur aus einer Quelle (zentraler App-Store) Geschlossene Systeme, keine Gerätehoheit Mehr Freiheit durch Jailbreak (Gefängnisausbruch) 36 / 51
Android Theoretisch gute Basis Linux basiert, Freie Software ABER: Tiefe Integrierung proprietärer Google-Software Suche, Browser, Gmail, Maps, Kalender- / Kontakte-Sync...etc. Play Store & Google Play Dienste Fernzugriff, Datenübermittlung (ca. 700 mal pro Tag) Keine Root-Rechte 37 / 51
Erste Schritte Sichere Bildschirmsperre von unsicher zu sicherer: Wischgeste, Muster, Biometrisch, PIN, Passwort Speicher verschlüsseln WLAN, GPS, Bluetooth, etc. ausschalten, wenn nicht genutzt Browser gegen Tracking schützen 38 / 51
Typische Wischgesten 39 / 51
Ansprüche an Messenger Für alle gängigen Betriebsysteme verfügbar Ende-zu-Ende-Verschlüsselung Sicheren Verschlüsselungsalgorithmus (AES) Open Source (Überprüfung durch unabhängige Experten) Upload von Daten (z.b. Adressbuch) nur mit ausdrücklicher Bestätigung des Nutzers Unabhängige Installation und Betrieb z.b. ohne GooglePlayStore & PlayDienste 40 / 51
Messenger Vergleich Signal Telegram Surespot Threema WhatsApp Freie Software Ja Teils Ja Nein Nein Ende-zu-Ende Verschlüsselung Ja (Ja) Ja (Ja) (Ja) Unabhängiges Audit Ja Ja Nein (Ja) Nein Kein Auslesen des Adressbuchs Nein Nein Ja (Ja) (Ja) Nicknames Nein Nein Ja Ja Nein Nicht nur über App-Store erhältlich Nein Ja Nein Ja Ja Ohne PlayDienste Nein Ja Nein Ja Nein Verbreitung Mittel Weit Kaum Mittel Sehr Weit 41 / 51
Android 'entgoogeln' 1. Unnötiges entfernen Google-Einstellungen (G+, Standort, Suche, Werbe-ID) 2. Alternativ-Dienste nutzen Browser, Suche, Mail, Kalender- / Kontakte-Sync 3. Play-Store löschen mindestens eingeschränkt nutzen 4. Freies Android-Betriebsystem installieren z.b. Replicant, Cyanogen Mod, Paranoid Android 42 / 51
Empfehlenswerte Apps App-Store: F-Droid Mail: K-9 PGP: OpenKeychain Browser: Firefox Messenger: Signal (Eingeschränkt) 43 / 51
Weitere Projekte I Prism-break.org: ( https://prism-break.org/de/all/ ) Liste datenschutzfreundlicher Software und Anbieter, z.b.: Startpage und DuckDuckGo statt Google-Suche OpenStreetMap statt Google Maps Dudle statt doodle EtherCalc und EtherPad statt Google Docs Diaspora* statt facebook oder Google+... DigitalCourage: Digitale Selbstverteidigung ( https://digitalcourage.de/digitale-selbstverteidigung ) 44 / 51
Weitere Projekte II freifunk: freie, eigene Internet-Infrastruktur mit offenen WLANs (auch in Dortmund) Tails (The amnesic incognito live system): Anonyme LiveDVD Noch in Entwicklung: p p (Pretty Easy Privacy): Einfach zu bedienende E-Mailund Chat-Verschlüsselung (PGP kompatibel) für Outlook, Thunderbird, WhatsApp, Facebook und Jabber, auf ios-, Android-, Windows- und GNU/Linux-Geräten 45 / 51
Kontakt E-Mail: digitalcourage.hsg@uni-bielefeld.de Homepage: https://hsg.digitalcourage.de 46 / 51
Bonus Noch Zeit und Lust für mehr Theorie? Verschlüsselung von Chats Windows 10 47 / 51
Verschlüsselung von Chats Software: Pidgin Chatprogramm Beherrscht alle gängigen Chat-Protokolle ICQ, MSN, Facebook-Chat, Jabber Plugin: OTR (Off-The-Record) Chat wird verschleiert Kommunikationspartner sind eindeutig 48 / 51
Chatdienst Jabber Dezentraler Service Jeder kann einen Jabber-Server betreiben Quelloffenes XMPP-Protokoll Gruppenchats möglich 49 / 51
"Datenschutzalbtraum" Windows 10 (1) Windows Store mit zahlreichen vorinstallieren Apps (z.b. Cloud-Dienst "OneDrive") "Sprachassistentin" Cortana Systemupgrades, die nur aufgeschoben werden können. Sammelt und sendet standardmäßig fleißig Daten und sendet diese an Microsoft. Zwar kann man einen Teil der Datensammelei über die Einstellungen unterbinden... 50 / 51
"Datenschutzalbtraum" Windows 10 (2)... allerdings sendet das System weiterhin Daten an Microsoft. Diverse Tools verfügbar, die den Nutzer beim Setzen der entsprechenden Datenschutzeinstellungen unterstützt Empfehlung: Übergangslösung: So lang wie möglich bei einer älteren Windows-Version bleiben Auf Linux umsteigen 51 / 51