Cryptoparty. Michael Weiner. 29. Mai 2017

Ähnliche Dokumente
Cryptoparty. Florian Wilde. 26. Oktober basierend auf Cryptoparty an der LMU von Michael Weiner

Tipps für sichere Kommunikation

Grundlagen der Verschlüsselung

SICHERE DIGITALE KOMMUNIKATION LERNEINHEIT 2

Politisch oder ideell interessante Alternativen zu den Standard-Diensten und Grundregeln zum Datenschutz. Silke Meyer

Instant Messaging mit XMPP

CCC Bremen R.M.Albrecht

PGP. Warum es gut ist. Sascha Hesseler [Datum]

Was ist eine CryptoParty?

OpenChaos-Reihe Digitale VerhütungTeil 2: Sichere Kommunikation

Tutorium Fortgeschrittene

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen

s verschlüsseln. Von der Erfindung des E-Vorhängeschlosses

Smartphone-Sicherheit 10 goldene Regeln

Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik

Matej Pfajfar begann die Arbeit an Tor. Am 20.September wurde die erste Alpha-Version veröffentlicht.

Einführung in PGP/GPG Mailverschlüsselung

Kryptografie-Schulung

Sichere Nutzung

Was brauche ich um ein senden/empfangen zu können?:

12. Kieler OpenSource und Linux Tage. Wie funktioniert eigentlich Mail? , Frank Agerholm, Linux User Group Flensburg e.v.

Einleitung Verfahren Programme Schlüsselverwaltung Passwörter Ende. GPG-Einführung. Martin Schütte. 13. April 2008

Digitale Selbstverteidigung ein Überblick. Michael Hensel

Digitale Selbstverteidigung

s verschlüsseln

-Verschlüsselung

Nach PRISM Crashkurs Selbstdatenschutz

Verschlüsselung des -Verkehrs mit GnuPG

Empfohlene Sicherheitsmaßnahmen aus Sicht eines Betreibers. Wien,

CryptoParty. Verschlüsselung und Passwortschutz zum Schutz der Privatsphäre. Cryptoparty

Das wichtigste zu den Einstellungen

Computersicherheit im Informationszeitalter / Seth Buchli

Selbstdatenschutz - Tools und Technik

WEB TRACKING WIE WIR BEIM SURFEN VERFOLGT WERDEN

Showcase PGP-Verschlüsselung und Integration in Multikanalstrategie

Übung GSS Blatt 6. SVS Sicherheit in Verteilten Systemen

Verschlüsselte s: Wie sicher ist sicher?

Digitale Signaturen in Theorie und Praxis

Thunderbird Portable + GPG/Enigmail

Die Idee des Jahres 2013: Kommunikation verschlüsseln

verschlüsselung mit Thunderbird

Daten sind unsterblich was bedeutet das für uns in der heutigen Zeit?

- Grundlagen und

Sichere . s versenden aber sicher! Kundenleitfaden Kurzversion. Sparkasse Leverkusen

Kryptographie Einführung

Mail-Client & -Verschlüsselung

Vorwort. Sichere bietet. Kundenleitfaden Sichere

5. Erlanger Linuxtage Thema: Verschlüsselung und Signatur in der Praxis. Referent: Robert Krugmann mailto:

Cryptoparty: Einführung

DIE Bank der Region Raiffeisenbank Elsavatal eg. Tipps zur Verbesserung der Sicherheit im Online-Banking. Seite 1 von 5

Welchen Messenger-Dienst nutzen Sie hauptsächlich auf Ihrem Smartphone? *

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen

Lange Nacht der Wissenschaften Gefahr aus dem Internet Wie kann ich mein Windows System schützen?

Sichere Pragmatische Lösungsansätze für die Wirtschaft

Passwort-Management und Datensicherheit./. Jens Glutsch Manufaktur für digitale Selbstverteidigung

Selbstdatenschutz. -Inhalte schützen. Verschlüsselung mit GPGTools for Mac. Was ist GPGTools? Woher bekomme ich GPGTools?

verschlüsselung mit gpg4o für Firmen und Privatanwender

Praktikum IT-Sicherheit

Zu meiner Person. 0 Dipl.-Ing., Dipl.-Wirtschaftsing Jörg Huber 0 Leiter IT-Systems 0 Bankhaus Metzler, Frankfurt,

Computeria Kurs vom

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface.

2.7 Digitale Signatur (3) 2.7 Digitale Signatur (4) Bedeutung der digitalen Signatur. Bedeutung der digitalen Signatur (fortges.)

PGP warum, was und wie?

Anleitung Sichere Kommunikation mit Pidgin, Jabber und OTR

Datenschutz & Sicherheit Verschlüsselung von Daten Anonymisierte Kommunikation im Netz

Verschlüsselung und Signatur

EDV-Service-Germany. Handy schützen

Selbstdatenschutz. -Inhalte schützen. Verschlüsselung mit GPG4Win. Was ist GPG4Win? Woher bekomme ich GPG4Win? I.

Die Übermittlung dieses Sitzungsschlüssels erfolgt ebenfalls verschlüsselt, ist also sicher.

Internet: Was ist das? - Routing

Softwareproduktinformation

Sichere für Rechtsanwälte & Notare

Allgemeine Erläuterungen zu

Das Tablet mit Android 6.x. Kommunikation & Organisation Fotos, Videos & Medien. Markus Krimm. 1. Ausgabe, Juli 2016 ISBN

Cryptoparty Treptow. Schlüsselitits für Anfänger. Mit freundlicher Unterstützung / auf Einladung von:

Merkblatt: Sichere -Kommunikation zur datenschutz cert GmbH

LINKSYS Smart Wi-Fi. Für den größtmöglichen Komfort. Software, Cloud-, Partner, High-Performance-Hardware. Benutzerkomfort mit zusätzlichen App s

Verschlüsselte Kommunikation und Datensicherung

Public-Key-Kryptographie

Schwachstellenanalyse 2012

Digitale Selbstverteidigung

Sicherheit bei PCs, Tablets und Smartphones

New Secure Mail Gateway

Rechtliche, technische und ethische Optionen für kirchliche Handlungsfelder

Anleitung zum Umgang:

Karlsruher IT-Sicherheitsinitiative April "For your eyes only" Sichere in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

WIE SCHÜTZE ICH PERSONENBEZOGENE DATEN IM INTERNET?

Schöne neue Online-Welt wo ist Ihre persönliche Grenze? Dr. Cora Burger

Smartphone-Sicherheit

Inhaltsverzeichnis. Willkommen, Smartphone, willkommen, Android!

Ein paar Fakten zum Heft Seit 1995 Die grösste Schweizer Computerzeitschrift Abonnenten LeserInnen Alles rund ums digitale Leben

Bei den folgenden 14 Fragen ist immer nur eine Antwort richtig. Bitte den jeweiligen Buchstaben ankreuzen.

Big Brother is watching you

FÜR GOOGLE ANDROID OPERATING SYSTEM. Dokumentation. Version NAM.IT Software-Entwicklung Alle Rechte vorbehalten.

Inhalt. Teil 1 EINRICHTEN 15. Kapitel 1 Anschlusssache 17. Einleitung 11

Watt wer bist Du denn?

OpenPGP Eine Einführung

-Verschlüsselung

Steganos Secure Schritt für Schritt-Anleitung EINLEITUNG SCHRITT 1: INSTALLATION

AV-TEST. Sicherheitslage Android

Transkript:

29. Mai 2017

Fahrplan 1 Über den Veranstalter und s 2 Grundlegendes 3 Passwörter 4 Web-Surfen 5 E-Mail 6 Messenger 7 Fragen, Feedback 2/42

Fahrplan 1 Über den Veranstalter und s 2 Grundlegendes 3 Passwörter 4 Web-Surfen 5 E-Mail 6 Messenger 7 Fragen, Feedback 3/42

Die Veranstalter Chaos Computer Club München e.v. Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e.v. Medienzentrum München (MZM) Institut für Medienpädagogik in Forschung und Praxis JFF Jugend Film Fernsehen e.v. 4/42

Die Weltweite Bewegung von technisch interessierten Ziel: Datensicherheit für jedermann Themen sind z.b. Kommunikation: E-Mail, Anrufe, Chat Datenspeicherung und -weitergabe Veröffentlichen von Informationen Passwörter Aus Zeitgründen beschränken wir uns heute auf Passwort-Management Anonyme(re)s Web-Surfen E-Mail-Verschlüsselung und -Signatur... und mehr auf Anfrage, wenn noch Zeit ist 5/42

Fahrplan 1 Über den Veranstalter und s 2 Grundlegendes 3 Passwörter 4 Web-Surfen 5 E-Mail 6 Messenger 7 Fragen, Feedback 6/42

Warnhinweise 100% Sicherheit gibt es nicht Absichern heißt, Angriffe teurer zu machen Die Kosten für den Angriff müssen den Wert der Daten übersteigen Ein Angriff darf sich nicht mehr lohnen Problem: Wert wird oft unterschätzt Was wir hier zeigen, ist ein Anfang Hilft dagegen, als Beifang zu enden Gegen gezielte Angriffe auch durch Verwechslung benötigt es deutlich mehr Irren ist menschlich auch was die Inhalte der folgenden Folien betrifft :-) 7/42

Leitfragen Was soll sichergestellt werden? Eigene Anonymität Echtheit des Gegenübers (Authentizität) Unverfälschtheit der Nachricht (Integrität) Geheimhaltung der Nachricht (Vertraulichkeit)... Wem vertraut Ihr? 8/42

Vertrauen Woher weiß man, wem man vertrauen kann? Kurze Antwort: weiß man nicht Lange Antwort es gibt Fragen, die man stellen kann...... und es gibt das Bauchgefühl 9/42

Welche Fragen kann man stellen? Beispiel: Wo sind meine Daten? Auf einem Blatt Papier zuhause in meiner Schublade. Auf meinem Computer: Wie gut ist die Software überprüfbar, die meine Daten verwaltet? Open Source (in menschenlesbarer Form öffentlich): gut überprüfbar Closed Source (menschenlesbare Form geheim): quasi nicht überprüfbar In der Cloud Wer betreibt einen Dienst? Womit verdient der Betreiber sein Geld? Wem könnten die Daten nutzen oder schaden? Was lernt der Betreiber über mich? 10/42

Meta- und Nutzdaten Meta-/Verbindungsdaten ( Briefumschlag ) Absender, Empfänger, Betreff einer E-Mail Besuch und Aufenthaltsdauer auf einer Webseite Wer, wann, wie lange mit wem telefoniert Aufenthaltsort von Mobiltelefonen: Bewegungsprofil! Nutz-/Inhaltsdaten ( Brief ) E-Mail-Text und -Anhänge Webseiten-Inhalte Gesprochene Sprache beim Telefonieren SMS-Inhalt Metadaten zu verschlüsseln ist nicht möglich, sie zu verschleiern schwierig. 11/42

Fahrplan 1 Über den Veranstalter und s 2 Grundlegendes 3 Passwörter 4 Web-Surfen 5 E-Mail 6 Messenger 7 Fragen, Feedback 12/42

Passwörter Wer hat mindestens fünf Online-Accounts? 13/42

Passwörter Wer hat mindestens fünf Online-Accounts? Wer hat dafür mindestens drei verschiedene Passwörter? 13/42

Passwörter Wer hat mindestens fünf Online-Accounts? Wer hat dafür mindestens drei verschiedene Passwörter? Wer beachtet, Passwörter nur über HTTPS einzugeben? 13/42

Anzahl Passwörter Zugangsdaten von Diensteanbietern werden bei Hackerangriffen gestohlen Angreifer versuchen, die Zugangsdaten auch bei anderen Anbietern zu verwenden Schaden lässt sich begrenzen, wenn Benutzername und Passwort nur bei diesem einen Anbieter passen Besonders wichtig: E-Mail-Accounts Weil Passwort zurücksetzen oft via E-Mail Wer den E-Mail Account übernommen hat, kann dadurch sämtliche Accounts übernehmen Ideal: Jedes Passwort nur einmal verwenden Alternative: Passwörter salzen passwort.amz für Onlineshop a passwort.zal für Onlineshop z anderespasswort für Mails 14/42

Passwort Wiederverwertung Bildquelle: Ausschnitt aus xkcd: Password Reuse / CC BY-NC 2.5 15/42

Sichere Passwörter Anforderungen Klein- und Großbuchstaben, Zahlen, begrenzt: Sonderzeichen Wichtiger: Lang genug! Merkbarkeit Passsatz statt Passwort Beispiel: margaretthatcheris110%sexy (aus Snowden-Interview: https://www.youtube.com/watch?v=yzgzb-yykcc) würfeln, dann sieben zufällige Wörter verwenden siehe https://theintercept.com/2015/03/26/ passphrases-can-memorize-attackers-cant-guess/ 16/42

Passwort-Manager Passwort-Manager Passwort-Manager verwalten Passwörter in einer verschlüsselten Datenbank; der Anwender muss sich idealerweise nur das Datenbank-Passwort merken. 17/42

Passwort-Manager Passwort-Manager Passwort-Manager verwalten Passwörter in einer verschlüsselten Datenbank; der Anwender muss sich idealerweise nur das Datenbank-Passwort merken. Vorteile erzeugt statistisch zufällige Passwörter ermöglicht es, jedes Passwort nur einmal zu verwenden 17/42

Passwort-Manager Passwort-Manager Passwort-Manager verwalten Passwörter in einer verschlüsselten Datenbank; der Anwender muss sich idealerweise nur das Datenbank-Passwort merken. Vorteile erzeugt statistisch zufällige Passwörter ermöglicht es, jedes Passwort nur einmal zu verwenden Nachteil Eingefangene Malware bekommt alle Passwörter auf einmal allerdings: auch ohne Passwort-Manager kann Malware Tastatureingaben mitlesen 17/42

Passwort-Manager Passwort-Manager Passwort-Manager verwalten Passwörter in einer verschlüsselten Datenbank; der Anwender muss sich idealerweise nur das Datenbank-Passwort merken. Vorteile erzeugt statistisch zufällige Passwörter ermöglicht es, jedes Passwort nur einmal zu verwenden Nachteil Eingefangene Malware bekommt alle Passwörter auf einmal allerdings: auch ohne Passwort-Manager kann Malware Tastatureingaben mitlesen Anmerkungen Entscheidung zwischen lokalen und Cloud -Datenbanken = klassischer Tradeoff zwischen Sicherheit und Komfort Backups machen und wichtige Passwörter trotzdem merken! unsere Empfehlung: KeePass(X) 17/42

Fahrplan 1 Über den Veranstalter und s 2 Grundlegendes 3 Passwörter 4 Web-Surfen 5 E-Mail 6 Messenger 7 Fragen, Feedback 18/42

Tracking Ausgangslage Ein Großteil aller Websites nutzen Drittanbieter für Werbung Social Media -Präsenz statistische Analysen... 19/42

Tracking Ausgangslage Ein Großteil aller Websites nutzen Drittanbieter für Werbung Social Media -Präsenz statistische Analysen... Diese Drittanbieter bekommen jeden Besuch einer solchen Webseite mit 19/42

Tracking Ausgangslage Ein Großteil aller Websites nutzen Drittanbieter für Werbung Social Media -Präsenz statistische Analysen... Diese Drittanbieter bekommen jeden Besuch einer solchen Webseite mit können Besucher seitenübergreifend identifizieren 19/42

Tracking Ausgangslage Ein Großteil aller Websites nutzen Drittanbieter für Werbung Social Media -Präsenz statistische Analysen... Diese Drittanbieter bekommen jeden Besuch einer solchen Webseite mit können Besucher seitenübergreifend identifizieren sind oft Dienstleister für sehr viele Webseiten gleichzeitig 19/42

Tracking Ausgangslage Ein Großteil aller Websites nutzen Drittanbieter für Werbung Social Media -Präsenz statistische Analysen... Diese Drittanbieter bekommen jeden Besuch einer solchen Webseite mit können Besucher seitenübergreifend identifizieren sind oft Dienstleister für sehr viele Webseiten gleichzeitig Ja und? 19/42

Tracking Ausgangslage Ein Großteil aller Websites nutzen Drittanbieter für Werbung Social Media -Präsenz statistische Analysen... Diese Drittanbieter bekommen jeden Besuch einer solchen Webseite mit können Besucher seitenübergreifend identifizieren sind oft Dienstleister für sehr viele Webseiten gleichzeitig Ja und? wenige Anbieter lernen sehr viel über jeden Nutzer 19/42

Tracking Ausgangslage Ein Großteil aller Websites nutzen Drittanbieter für Werbung Social Media -Präsenz statistische Analysen... Diese Drittanbieter bekommen jeden Besuch einer solchen Webseite mit können Besucher seitenübergreifend identifizieren sind oft Dienstleister für sehr viele Webseiten gleichzeitig Ja und? wenige Anbieter lernen sehr viel über jeden Nutzer... und verteilen manchmal (unfreiwillig) Schadsoftware 19/42

Tracking Technische Umsetzung IP-Adresse Cookies und Co (HTML5 Persistent Local Storage, Flashcookies,... ) Visualisierung: http://datenblumen.wired.de/ Browser-Fingerabdruck Visualisierung: https://panopticlick.eff.org/ 20/42

Schutzmaßnahmen Level 1 Nur Einstellungen ändern Standardsuchmaschine auf datenschutzfreundliche Anbieter ändern, z.b. DuckDuckGo Startpage Cookies verbieten oder nur selektiv erlauben Plugins auf Click-to-use stellen Verlauf beim Beenden löschen 21/42

Schutzmaßnahmen Level 2 Plug-Ins installieren Adblocker Tracking-Blocker Cross-Domain-Request-Blocker Referer-Manager... 22/42

Schutzmaßnahmen Level 2 Plug-Ins installieren Adblocker Tracking-Blocker Cross-Domain-Request-Blocker Referer-Manager... Details später in Kleingruppen 22/42

Schutzmaßnahmen Level 3 Neue Programme installieren oder benutzen Tor Browser Bundle (Freie Software) Anonymisierung des Webverkehrs durch intelligente Umwege https://www.torproject.org/about/overview Fingerabdruck bei allen Tor Browsern identisch Gewählte Plugins vorinstalliert Automatische Updates Hohe Sicherheit, aber prinzipbedingt langsamer 23/42

Schutzmaßnahmen Level 3 Neue Programme installieren oder benutzen Tor Browser Bundle (Freie Software) Anonymisierung des Webverkehrs durch intelligente Umwege https://www.torproject.org/about/overview Fingerabdruck bei allen Tor Browsern identisch Gewählte Plugins vorinstalliert Automatische Updates Hohe Sicherheit, aber prinzipbedingt langsamer Tails (Freie Software) Abgesichertes Betriebssystem inkl. Tor Live System = kann direkt von CD gebootet werden hinterlässt keinerlei Spuren am PC Leitet gesamten Verkehr über Tor 23/42

Fahrplan 1 Über den Veranstalter und s 2 Grundlegendes 3 Passwörter 4 Web-Surfen 5 E-Mail 6 Messenger 7 Fragen, Feedback 24/42

E-Mails: Was soll geschützt werden? E-Mails können abgehört gefälscht werden. 25/42

E-Mails: Was soll geschützt werden? E-Mails können abgehört gefälscht werden. Deshalb stellen wir vor, wie man 25/42

E-Mails: Was soll geschützt werden? E-Mails können abgehört gefälscht werden. Deshalb stellen wir vor, wie man die Vertraulichkeit (das Briefgeheimnis ) umsetzt Verschlüsselung 25/42

E-Mails: Was soll geschützt werden? E-Mails können abgehört gefälscht werden. Deshalb stellen wir vor, wie man die Vertraulichkeit (das Briefgeheimnis ) umsetzt Verschlüsselung die Echtheit des Gegenübers sicherstellt Digitale Signatur 25/42

E-Mails: Was soll geschützt werden? E-Mails können abgehört gefälscht werden. Deshalb stellen wir vor, wie man die Vertraulichkeit (das Briefgeheimnis ) umsetzt Verschlüsselung die Echtheit des Gegenübers sicherstellt Digitale Signatur sicherstellt, dass sein E-Mail-Passwort nicht einfach mitgelesen werden kann 25/42

Hintergrundinfo Verschlüsselung Symmetrische Kryptografie Jahrtausende altes Konzept Ein Schlüssel zum Ver- und Entschlüsseln, den alle Beteiligten kennen Problem: Schlüsselaustausch Wer den Schlüssel kennt, kommt auch an die Daten Wer den Schlüssel kontrolliert, kontrolliert die Daten Ransomware Bildquelle: Symmetrisches Kryptosystem von Bananenfalter / CC0 26/42

Hintergrundinfo Verschlüsselung Asymmetrische Kryptografie Prinzip: Schlüssel besteht aus einer privaten und einer öffentlichen Hälfte Öffentlichen Teil darf/muss man weitergeben Privaten Teil muss man unbedingt geheim halten Wird verwendet, um vertraulichen Kanal aufzubauen Problem weiterhin: Authentizität des öffentlichen Teils Bildquelle: Asymmetrisches Kryptosystem mit Verschlüsselung und Entschlüsselung von Bananenfalter / CC0 27/42

Hintergrundinfo Verschlüsselung Asymmetrische Kryptografie Anwendungen Verschlüsselung Absender verschlüsselt mit öffentlichem Teil des Gegenübers Nur Gegenüber kann mit privatem Gegenstück entschlüsseln Digitale Signatur Absender unterschreibt mit eigenem privaten Teil Jeder kann mit öffentlichem Gegenstück überprüfen Es ist mathematisch komplex und benötigt Jahrtausende, um aus einer Signatur oder dem öffentlichen Teil den privaten Teil zu berechnen 28/42

E-Mail Funktionsweise Alice Provider1.de Provider2.com Bob Ich bin Alice, mein Passwort ist AAA, ich will eine Mail verschicken. Von: Alice@Provider1.de An: Bob@Provider2.com Betreff: Hallo Hallo Bob, wie gehts dir? LG Alice Von: Alice@Provider1.de An: Bob@Provider2.com Betreff: Hallo Hallo Bob, wie gehts dir? LG Alice Ich bin Bob, mein Passwort ist BBB. Welche neuen Mails gibt es? Von: Alice@Provider1.de An: Bob@Provider2.com Betreff: Hallo Hallo Bob, wie gehts dir? LG Alice 29/42

E-Mail Transportverschlüsselung (SSL/TLS bzw. STARTTLS) Alice Provider1.de Provider2.com Bob Ich bin Alice, mein Passwort ist AAA, ich will eine Mail verschicken. Von: Alice@Provider1.de An: Bob@Provider2.com Betreff: Hallo Hallo Bob, wie gehts dir? LG Alice Von: Alice@Provider1.de An: Bob@Provider2.com Betreff: Hallo Hallo Bob, wie gehts dir? LG Alice Ich bin Bob, mein Passwort ist BBB. Welche neuen Mails gibt es? Von: Alice@Provider1.de An: Bob@Provider2.com Betreff: Hallo Hallo Bob, wie gehts dir? LG Alice Transportverschlüsselung muss von den Mailanbietern unterstützt werden Konfiguration des Mailprogramms überprüfen! 30/42

E-Mail Ende-zu-Ende-Verschlüsselung (OpenPGP, S/MIME) Alice Provider1.de Provider2.com Bob Ich bin Alice, mein Passwort ist AAA, ich will eine Mail verschicken. Von: Alice@Provider1.de An: Bob@Provider2.com Betreff: Hallo Hallo Bob, wie gehts dir? LG Alice Von: Alice@Provider1.de An: Bob@Provider2.com Betreff: Hallo Hallo Bob, wie gehts dir? LG Alice Ich bin Bob, mein Passwort ist BBB. Welche neuen Mails gibt es? Von: Alice@Provider1.de An: Bob@Provider2.com Betreff: Hallo Hallo Bob, wie gehts dir? LG Alice Ende-zu-Ende-Verschlüsselung unabhängig vom Mailanbieter möglich benötigt Zusatzsoftware und Schlüssel bei beiden Kommunikationspartnern 31/42

E-Mail Kombination Transport- und Ende-zu-Ende-Verschlüsselung Alice Provider1.de Provider2.com Bob Ich bin Alice, mein Passwort ist AAA, ich will eine Mail verschicken. Von: Alice@Provider1.de An: Bob@Provider2.com Betreff: Hallo Hallo Bob, wie gehts dir? LG Alice Von: Alice@Provider1.de An: Bob@Provider2.com Betreff: Hallo Hallo Bob, wie gehts dir? LG Alice Ich bin Bob, mein Passwort ist BBB. Welche neuen Mails gibt es? Von: Alice@Provider1.de An: Bob@Provider2.com Betreff: Hallo Hallo Bob, wie gehts dir? LG Alice Transportverschlüsselung Ende-zu-Ende-Verschlüsselung 32/42

Authentizität öffentlicher Schlüssel Was, wenn A eine Nachricht an B schicken will, aber den öffentlichen Schlüssel von B nicht kennt? 1 Im Telefonbuch nach dem Schlüssel suchen 2 Echtheit mit Hilfe eines vertrauenswürdigen Dritten C überprüfen A vertraut (indirekt) vertraut (direkt) des öff. Schlüssels C bezeugt Echtheit B 33/42

Wie stellt man Vertrauen in öffentliche Schlüssel her? S/MIME Hierarchischer Vertrauensansatz hier nicht behandelt OpenPGP Dezentraler Vertrauensansatz jeder kann festlegen, wem er vertraut er kann die Echtheit eines Schlüssels z.b. bei einem persönlichen Treffen überprüfen jeder kann sein Vertrauensnetz veröffentlichen (Web-of-Trust) Vorteil: Man kann Freunden von Freunden vertrauen Nachteil: Beziehungen zwischen Menschen öffentlich Aber: Facebook sagt da viel mehr aus 34/42

Welche Software benötigt man? OpenPGP Backend Macht die eigentliche Ver-/Entschlüsselung & Signatur Linux: Windows: Android: on-board GPG4Win OpenKeychain Plug-In fürs Mailprogramm Grafische Oberfläche, leichtere Schlüsselverwaltung, etc. Thunderbird: Outlook: K9-Mail: Enigmail GPG4Win integriert 35/42

Fahrplan 1 Über den Veranstalter und s 2 Grundlegendes 3 Passwörter 4 Web-Surfen 5 E-Mail 6 Messenger 7 Fragen, Feedback 36/42

Motivation Komfortabel, auf Smartphone einfach nutzbar Wird im privaten Umfeld meist häufiger eingesetzt als E-Mail 37/42

Motivation Komfortabel, auf Smartphone einfach nutzbar Wird im privaten Umfeld meist häufiger eingesetzt als E-Mail Bestandsaufnahme Wer benutzt WhatsApp 37/42

Motivation Komfortabel, auf Smartphone einfach nutzbar Wird im privaten Umfeld meist häufiger eingesetzt als E-Mail Bestandsaufnahme Wer benutzt WhatsApp Telegram 37/42

Motivation Komfortabel, auf Smartphone einfach nutzbar Wird im privaten Umfeld meist häufiger eingesetzt als E-Mail Bestandsaufnahme Wer benutzt WhatsApp Telegram Threema 37/42

Motivation Komfortabel, auf Smartphone einfach nutzbar Wird im privaten Umfeld meist häufiger eingesetzt als E-Mail Bestandsaufnahme Wer benutzt WhatsApp Telegram Threema Signal 37/42

Motivation Komfortabel, auf Smartphone einfach nutzbar Wird im privaten Umfeld meist häufiger eingesetzt als E-Mail Bestandsaufnahme Wer benutzt WhatsApp Telegram Threema Signal Jabber 37/42

Motivation Komfortabel, auf Smartphone einfach nutzbar Wird im privaten Umfeld meist häufiger eingesetzt als E-Mail Bestandsaufnahme Wer benutzt WhatsApp Telegram Threema Signal Jabber Matrix 37/42

Überblick Geschlossene Systeme: WhatsApp & Co App-Entwickler ist Dienstanbieter und Herr über die technische Sprache (das Protokoll) Auswahl eines Dienstes bestimmt erreichbaren Personenkreis meist Closed Source Offene Systeme (z.b. Jabber/XMPP, Matrix) App-Entwickler, Dienstanbieter und Protokoll-Standardisierer sind unterschiedliche Personen App und Anbieter frei wählbar meist Open Source 38/42

Vor- und Nachteile WhatsApp + Nutzdaten werden verschlüsselt + Android: Verwendbar ohne Google Play - Closed Source - Anbieter erhält eine Kopie des vollständigen Telefonbuchs (nicht nur WhatsApp-Kontakte) Tipp: Wer sein Telefonbuch nicht freigeben will, kann den Zugriff darauf verweigern (Android: ab Version 6). Der Nutzungskomfort ist dadurch eingeschränkt. 39/42

Vor- und Nachteile Signal + Nutzdaten werden verschlüsselt - Android: Nur eingeschränkt verwendbar ohne Google Play - Anbieter erhält eine Kopie des vollständigen Telefonbuchs (nicht nur Signal-Kontakte) 39/42

Vor- und Nachteile Telegram + Verschlüsselte Chats möglich - Anbieter erhält eine Kopie des vollständigen Telefonbuchs - Verschlüsselung standardmäßig nicht aktiv - Normale Chats werden im Klartext auf den Servern gespeichert 39/42

Vor- und Nachteile Threema + Chats verschlüsselt + komfortabler Schlüsselaustausch über QR-Code + Synchronisation des Telefonbuchs ist optional - Closed Source kostenpflichtig 39/42

Vor- und Nachteile Jabber/XMPP + Offenes System: Anbieter und App frei wählbar + Verschlüsselung möglich (OTR oder OMEMO) + keine Telefonbuch-Synchronisation vorgesehen - Crypto nicht ganz so nutzerfreundlich wie bei kommerziellen Anbietern (aber dafür sind wir ja alle hier :-) Apps: Conversations, pidgin, gajim,... Anbieter: Unis, Hackerspaces, CCC, jabber.org,... 39/42

Vor- und Nachteile Matrix + Offenes System: Anbieter frei wählbar + Verschlüsselung möglich + Telefonbuch-Synchronisation nicht zwingend + Anbindung an Drittsysteme möglich (IRC, Skype,... ) - Hintergrund/Historie der Entwickler umstritten 39/42

Zusammenfassung Wer auf bestimmten Messenger nicht verzichten kann: Zugriff auf Kontakte verbieten! Weitere Infos: EFF Secure Messaging Scorecard https://www.eff.org/secure-messaging-scorecard (gerade in Überarbeitung, alte Version noch verlinkt) 40/42

Fahrplan 1 Über den Veranstalter und s 2 Grundlegendes 3 Passwörter 4 Web-Surfen 5 E-Mail 6 Messenger 7 Fragen, Feedback 41/42

Fragen, Feedback,... Her damit! Fragen an alle Helfer (bitte gebt Euch zu erkennen :-) Links https://www.prism-break.org https://muc.pads.ccc.de/cryptoparty 42/42

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback