Industriegewerkschaft Bergbau, Chemie, Energie

Seminarblog Netzpolitik 2018

Eine weitere Seminar-Blogs IG BCE WGB Website

Cryptoparty

Von jselzer am 15. März 2018

Welche Möglichkeiten gibt es, sich im Alltag gegen Überwachung zu schützen, was geht und was geht nicht?Image result for cryptoparty logo

Symmetrische vs asymmetrische Verschlüsselung

Über Jahrtausende nutzte der Mensch symmetrische Verschlüsselung. Das klingt sehr hochtrabend, ist aber das, was sich die meisten Menschen spontan vorstellen, wenn sie überhaupt an Verschlüsselung denken: ein Verfahren, bei dem man dasselbe Verfahren, mit dem ein Text veschlüsselt wurde, umkehrt, um sie wieder zu entschlüsseln. Als Beispiel stelle man sich eine Verschlüsselung vor, bei der man das Alphabet um einen Buchstaben nach rechts veschiebt. Aus „Klartext“ wird dann „Lmbsufyu“. Um wieder auf die Ursprungsnachricht zu kommen, muss man nur wissen, um wie viele Buchstaben das Alphabet verschoben wurde und kehrt die Verschiebung um.

Natürlich sind moderne symmetrische Verfahren komplizierter. Allen diesen Verfahren ist jedoch gemein, dass sich Sender und Empfänger einer Nachricht auf einen gemeinsamen Schlüssel verständigen müssen. Im obigen Beispiel wäre es die Anzahl der Stellen, um die das Alphabet verschoben wurde. Dieses gemeinsame Geheimnis ist fast so wichtig wie die Nachricht selbst. Gerät es in fremde Hände, kann ein Angreifer die Nachrichten mitlesen.

Gerade im Internetzeitalter ist es meist nicht oder nur sehr schwer möglich, beim ersten Kontakt ein gemeinsames Geheimnis über einen sicheren Kanal zu transportieren. Aus diesem Grund ersann man sich asymmetrische Verfahren. Hier generiert man sich Schlüsselpaare, die so gebaut sind, dass die eine Hälfte des Schlüssels das entschlüsseln kann, was mit der anderen Hälfte verschlüsselt wurde – und umgekehrt. Eine Hälfte des Schlüsselpaars kann allerdings nicht genutzt werden, um eine Nachricht sowohl zu ver- als auch zu entschlüsseln.

Symmetrische Verfahren nutzt man heute beispielsweise zum Verschlüsseln der eigenen Festplatte. Klassische Anwendungsgebiete für asymmetrische Verfahren sind Chat, Mail, mobile Messaging und verschlüsselte WWW-Seiten wie beispielsweise Onlinebanking.

Mailverschlüsselung

Das bekannteste Verfahren ist PGP oder dessen freie Varaiante GPG. Unter Windows braucht man hierfür das Verschlüsselungsprogramm selbst (wir empfehlen GPG4Win), ein Mailprogramm (wir empfehlen Thunderbird, mit ein wenig Herumprobieren funktioniert auch Outlook) und schließlich innerhalb des Mailprogramms ein Zusatzmodul, welches das Mailprogramm um die zur Verschlüsselung nötigen Menus erweitert (bei Thunderbird nimmt man Enigmail). Nach Installation und Konfiguration dieser Programme erzeugt man sich sein eigenes Schlüsselpaar, importiert den öffentlichen Schlüssel derjenigen, denen man verschlüsselt schreiben möchte und legt los.

Für viele Menschen stellt die Umgewöhnung vom heiß geliebten Webmailer auf ein lokal laufendes Mailprogramm eine große Umgewöhnung dar. Alternativ kann man auch im eigenen Browser mit Hilfe des Plugins Mailvelope Mailverschlüsselung betreiben. Leider ist das Programm deutlich weniger komfortabel als Enigmail und hat sich in Praxistests als äußerst instabil erwiesen. Wir können Mailvelope deswegen nicht empfehlen.

Mobile Messaging

Seit auch Whatsapp die von Signal (früher Textsecure) verwendete Verschlüsselung bei sich implementiert hat, kann man auch Whatsapp einigermaßen vertrauen. Die Kritik, dass weiterhin bei Konzernmutter Facebook Metadaten anfallen und dass man, weil der Quelltext von Whatsapp geheim gehalten wird, nur schwer feststellen kann, ob das Programm nicht doch irgendwelche Hintertüren hat, bleibt allerdings bestehen. In dieser Hinsicht schneidet das Original Signal besser ab.

Datenträgerverschlüsselung

Wenn man gleich eine ganze Festplatte, einen kompletten USB-Stick oder eine komplette Partition verschlüsselt, ist das zwar ein in puncto Sicherheit sinnvoller, aber sehr weit gehender Eingriff, vor dem man am Anfang oft zurückschreckt. Weniger radikal ist die so genannte Containerverschlüsselung, bei der man eine Datei anlegt, die dann wie ein eigenes Laufwerk behandelt wird, in dem alle Informationen verschlüsselt abgelegt sind. Hierzu eignet sich das Programm Veracrypt.

Anonymes Surfen

Um die eigene IP-Adresse gegenüber den Servern, die man ansteuert, zu verschleiern, eignet sich das Anonymisierungssystem Tor (The Onion Router). Darüber hinaus kann man im durch Tor erzeugten anonymen Netz (Onion-Netz) eigene Dienste anbieten, die sich nicht ohne Weiteres lokalisieren lassen.

Tor anonymisiert IP-Adressen. Das ist nützlich, aber nicht alles. Wer nicht genau weiß, wogegen Tor schützt und naiv lossurft, verringert tendenziell seine Sicherheit mehr als dass er sie erhöht. Inbesondere schützt Tor nicht vor

  • Browser-Fingerprinting
  • Aussphähen und Manipulation des Datenstroms durch Exit-Nodes
  • vom Server verteilte Schadsoftware

Passwortverwaltung

Für die Verwaltung von Passwörtern gibt es keine goldene Regel. Als genereller Hinweis gilt: Passwörter sollten mindestens 12, besser 14 Zeichen beinhalten und ein möglichst wirres Durcheinander von Buchstaben und Zahlen sein. Bevor man sich darüber hinaus mit Sonderzeichen (wie beispielsweise $, %, &, /, (, ), ? oder !) herumschlägt, sollte man lieber das Passwort um ein oder zwei Zeichen verlängern, weil sich dadurch die Sicherheit mehr erhöht, als wenn man bei einem kurzen Passwort mit Sonderzeichen herumspielt.

Tails

Tails ist ein Live-Betriebssystem zur Bewahrung von Privatsphäre und Anonymität, das man auf vielen Computern von einer DVD, einem USB-Stick oder einer SD-Karte aus starten kann. Für die Installation braucht man einen Speicherstick mit mindestens 4 GB Kapazität. Der Stick wird bei der Installtion komplett gelöscht und kann, so lange Tails darauf installiert ist, auch nur für die vom Live-System vorgesehenen Zwecke verwendet werden. Insbesondere ist es nicht möglich, ohne Starten des Systems Daten auf dem Stick zu hinterlegen. Wenn man den Stick wieder als herkömmlichen Speicherstick nutzen möchten, kann man ihn jederzeit wieder formatieren.

Häufig gestellte Fagen (FAQ)

Lenke ich durch Verschlüsselung nicht gerade erst Aufmerksamkeit auf mich?

So lange ich einer von wenigen bin, falle ich natürlich auf. So ist es aber mit allen Änderungen: Man braucht immer jemanden, der den ersten Schritt geht und die anderen mitzieht. Wenn man sich ängstlich in den eigenen Keller verzieht und hofft, bloß nicht aufzufallen, wird sich nie etwas ändern – wenigstens nicht zum Guten. Im Gegenteil: Wenn der Gegner merkt, dass ihm niemand widerspricht, wird er seinen Machtbereich ausweiten, bis der Keller auch nicht mehr sicher ist. Nur wer sich widersetzt, wer es schafft, zu mobilisieren und damit die etwas Ängstlicheren zu schützen, hat die Chance, Freiheitsrechte zu verteidigen.

Ist es überhaupt sinnvoll, wenn ich allein verschlüssele?

Wenn ich mein eigenes Telefon, meine eigene Festplatte, meinen eigenen USB-Stick verschlüssle, schütze ich mindestens meine eigenen Daten, oft aber auch die Daten derer, die ich auf meinen Geräten gespeichert habe, beispielsweise Gruppenfotos, Mails und Adressen.

Was passiert, wenn ich jemandem, der nicht verschlüsseln kann, eine verschlüsselte Mail schicke?

Zumindest wenn ich asymmetrische Verfahren wie PGP verwende, sollte dieser Fall gar nicht eintreten können. Der Grund dafür ist, dass ich, um eine verschlüsselte Mail empfangen zu können, erst einmal mein Schlüsselpaar erzeugen und den öffentlichen Teil bekannt geben muss. Um also jemandem eine verschlüsselte Mail schicken zu können, muss ich dessen öffentlichen Schlüssel haben, was wiederum voraussetzt, dass die Gegenseite die hierzu nötige Software installiert hat.

Was passiert, wenn ich mir einen Virus oder ein trojanisches Pferd eingefangen habe?

Jede hier vorgestellte Maßnahme kann nur funktionieren, wenn der eigene Computer vertrauenswürdig ist. Wenn Sie davon ausgehen müssen, dass Sie die Kontrolle über Ihren Rechner verloren haben, weil lokal installierte Schadprogramme Sie ausspionieren, sollten sie zuerst Ihre Maschine säubern, bevor Sie irgendetwas Anderes unternehmen.

Kategorie: Allgemein

Über uns

Hier kommt ein Text über uns hin

RSS Feed abonnieren

Search

Log Offensive Bildung