SlideShare una empresa de Scribd logo

Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit

Descargar como PPT, PDF
A
Arian Kriesch

Kurze Einführungspräsentation für die Crypto-Party 01 der FDP Nürnberg am 01.08.2013.

Noticias y política
1 de 17
Warum verschlüsseln? Dein Leben – Deine Daten – Deine Freiheit Arian Kriesch - @freiheitsfreund
“Paranoid” oder datenschutzbewusst? Eine Frage des Vertrauens und der Verhältnismäßigkeit. Speicherplatz wird immer billiger, Rechner leistungsfähiger. Quelle: Washingtonpost.com http://goo.gl/SqnPA und wired.com
1. Grundsatz im Internet: Datensparsamkeit Bewusstsein: Wer kann auf was zugreifen? Unverhältnismäßigkeit: Wenn ein Akteur (z.B. NSA) alles liest und speichert
Was ist “Daten”-Sicherheit? Authentizität Sind Absender und Daten echt? Signatur Zugriffsschutz Wer kann meine Information lesen? Krypto- + Steganographie Datensicherheit Wie sicher sind Daten vor Verlust? Backups + Redundanz Anonymität Ist der Absender zurückverfolgbar?
• Verteilte Speicherung und Verbindungen • Redundantes, dezentrales Netz • Dynamische Informationsleitung • Weltweit Das Internet ist “ausfallsicher” Datensicherheit Wie sicher sind Daten vor Verlust? Authentizität Sind Absender und Daten echt? ideal für verkompliziert z.B. Sicherung in “Cloud” Integriert in OS und Handys Dezentral. Oft nur transportverschlüsselt. Zugriffsschutz Wer kann meine Information lesen?
Verschlüssellung + Authentifizierung sind eine Frage des Vertrauens
Wem vertrauen? Vertrauen delegieren Hierarchisches Konzept Netzwerk des Vertrauens Dezentrales Konzept z.B. SSL + HTTPS Zentrale Instanz stellt Zertifikate aus und verkauft diese z.B. Pretty Good Privacy (PGP/GPG) User signieren gegenseitig ihre Zertifikate • “Root-Zertifikate” sind z.B. in Webbrowsern eingebaut • Diese können gestohlen werden • Gesamte Kette dann unsicher (Beispiel “Diginotar”, Google- Zertifikate und Iran, 2011) • Niemand kann von jedem ein Zertifikat beglaubigen • Vertrauen hierbei also auch delegiert, nur verteilter
Vertrauen in Softwarehersteller Open Source Quellcode kann von jedem überprüft werden. Kann trotzdem kommerziell sein. Closed Source Schwacher Ansatz: “Security by Obfuscation” • Backdoors sind nicht nachvollziehbar • Verschlüsselung mit “Zweitschlüssel” umgehbar • Offiziell kooperieren die Hersteller mind. “gemäß den jeweils geltenden Gesetzen” wie G10. • Code ist offen zugänglich • Backdoors könnten von jedem zumindest theoretisch gefunden werden • Praktisch: Vertrauen in die Community z.B. Linux, GPG, OTR
Verschlüsselungsansätze Transportverschlüsselung Zwischen User und Provider Ende-zu-Ende-Verschl. Von einem Benutzer zum anderen Absoluter Minimalstandard! Emails, Online-Banking, immer einschalten! z.B. HTTPS-everywhere. Kein Nachteil • Der Anbieter hat vollen Datenzugriff • Verschlüsselung sperrt Dritte auf dem Transportkanal aus • Authentifizierung eingebaut: z.B. “Das ist wirklich meine Bank” • Auch bei Handys in Hardware eingebaut (SIM) • Z.B. HTTPS, HBCI,SIM-Verschlüsselung • Nur die Entnutzer können die Informationen entschlüsseln • Der Provider sieht und vermittelt nur Datenpakete • Authentifizierung eingebaut • Nicht automatisch anonym! • Z.B. PGP/GPG, Threema, verschlüsselte Dateien
Technische vs. gesetzliche Sicherheit GG Artikel 10 (1) Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich. (2) Beschränkungen dürfen nur auf Grund eines Gesetzes angeordnet werden. Dient die Beschränkung dem Schutze der freiheitlichen demokratischen Grundordnung oder des Bestandes oder der Sicherung des Bundes oder eines Landes, so kann das Gesetz bestimmen, daß sie dem Betroffenen nicht mitgeteilt wird und daß an die Stelle des Rechtsweges die Nachprüfung durch von der Volksvertretung bestellte Organe und Hilfsorgane tritt. • “G10-Gesetz” • Definiert die Eingriffsrechte der Geheimdienste und regelt die Ausnahmen zu Artikel 10 • 2011 extrem erweitert • Welcher Datenschutz gilt bei der internationalen Verarbeitung von Daten?
Verschlüsselung vs. Anonymität Verschlüsselung heißt nicht automatisch, dass der Kommunikationskanal nicht nachvollziehbar ist! Wichtig nicht nur für Quellenschutz, Whistleblower, sondern für jeden User. Umgehung teilweise möglich z.B. TOR Solche Software kann über Spuren im Internet verwischen • Programme wie “XKeyscore” (NSA) filtern laut Berichten gezielt nach Absendern verschlüsselter Nachrichten • PGP/GPG z.B. bettet standardmäßig Absender und Adressaten ein! Quelle: https://www.documentcloud.org/documents/743244-xkeyscore-slidedeck.html
Grundlage: Sichere “Passphrase” Computer können Passwörter sehr effizient “knacken” Dazu probiert der Rechner einfach Variationen aus. Passwort = Relative Sicherheit! “Brute Force” Systematisch werden alle Zeichenkombinationen durchprobiert Wörterbuchattacke Noch leichter: Wörterbucheinträge und einfache Zahlenkombinationen Niemals einfache Wörter verwenden! Buchstaben, Zahlen und Sonderzeichen kombinieren. Am besten: Völlig zufällig 6 Stellen zu knacken: Ca. 0,16 € 8 Stellen zu knacken: Ca. 400 – 800 € 11 + Stellen: Derzeit relativ sicher Tausende Passwörter in kürzester Zeit automatisch zu lösen. Für jede Anwendung / Website ein eigenes Passwort Nur dann sind andere Accounts sicher, wenn das Passwort einer Seite geklaut wird.
Wer kann sich sowas merken? “Aufschreiben” / Speichern Viele, rein zufällige Passwörter In entsprechendem Programm (“Passwortmanager”) mit Masterpasswort sichern Passphrase systematisch variieren z.B. Geschichte mit Zahlen und Zeichen anreichern Strapaziert weiterhin das Gedächtnis Müssen trotzdem regelmäßig geändert werden. Verlagert das Verlustrisiko auf ein einziges Master-Passwort und Gerät Vorsicht: Nicht online speichern! Passwortmanager gibt es für PC/Mac/Linux/Firefox oder Smartphones z.B. im Mac der “secure Keyring” Stärke des Menschen über den Computer: Semantik, Sinn über die Worte und Zeichen hinaus. Speichern? Aufschreiben? Eines für alles?
• Trojaner und Viren unterminieren jeden techn. Schutz • Wer die Tastatur mitliest hat jede Nachricht • Geräte-Diebstahl ist großes Sicherheitsproblem Grundlage 2: Sicherer Rechner Immer aktuelle Updates einspielen Am kritischsten: Webbrowser, Betriebssystem und Emailprogramm Immer Antiviren-Software verwenden Bei Windows-Rechnern Auf jedem Rechner und Smartphone ein Passwort setzen Aktuelle Android und iOS-Geräte verschlüsseln dann auch die Festplatten Jede Festplatte verschlüsseln und Backups sichern Windows: Bitlocker, Mac OS X eingebaut, Linux eingebaut.
Praktisches Beispiel: Threema statt Whatsapp • Whatsapp is sicherheitskritisch • Überträgt Kontaktdaten • Unverschlüsselte Nachrichten • Threema: Ende-zu-Ende verschlüsselt • Nachteil: Kein Open-Source, nicht kostenlos, nur ein Gerät je Account • Vorteil: Sehr einfache Nutzung • Adressbuchabgleich via “Hash” statt Upload der vollen Adressbücher Reiner Offline- Kontaktaustausch möglich • Ebenfalls kommerzielles Produkt Bisher nur für iOS Android Quelle Bilder: www.threema.ch
• Wir installieren auf Wunsch GPG (Email-Verschlüsselung) • Wir installieren HTTPS everywhere (EFF) • Wir tauschen GPG-Schlüssel aus und signieren diese • Wir aktivieren die Festplatten-Verschlüsselungen • Wir erklären auf Wunsch GPG, Jitsy, Festplattenverschlüsselung, Threema, etc. Praktische Phase
Vielen Dank für Ihre Aufmerksamkeit Verwendete Quellen und Logos mit gesonderter Lizenz: Simple Icons von Dan Leech (Free Art Licence, github.com/danleech/simple-icons. Folgende Icons stehen unter CC BY Lizenz und sind von www.thenounproject.com: Key designed by William J. Salvador from the Noun Project. Hard Disk Drive designed by Eddie Alshehrie from the Noun Project. Mask designed by Gilad Fried from the Noun Project. Passport designed by Katia Marsh Mallow from the Noun Project. Cloud designed by Edward Boatmanfrom the Noun Project. Conversation, designed by Murali Krishna from the Noun Project. Inspiriert von Emiland De Cubber “Dear NSA” @emilanddc. Arian Kriesch www.arian-kriesch.de @freiheitsfreund Diese Präsentation steht, bis auf anders gekennzeichnete Bestandteile, unter der Creative Commons Namensnennung – Nicht-kommerziell – Weitergabe unter gleichen Bedingungen 3.0 Unported Lizenz.

Recomendados

Kryptographie Präsentation für den Kurs Online Kommunikation @ #WebWi
Kryptographie Präsentation für den Kurs Online Kommunikation @ #WebWiKryptographie Präsentation für den Kurs Online Kommunikation @ #WebWi
Kryptographie Präsentation für den Kurs Online Kommunikation @ #WebWimgoldb
 
Verschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und PraxisVerschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und PraxisPeter Tröger
 
Grenzen der Kryptographie
Grenzen der KryptographieGrenzen der Kryptographie
Grenzen der KryptographieHans Mittendorfer
 
Comodogate
ComodogateComodogate
ComodogateThomas Steinbrenner
 
Die Snowden Leaks
Die Snowden LeaksDie Snowden Leaks
Die Snowden LeaksHighStreamw
 
Cryptoparty - Hansjörg Schmidt
Cryptoparty - Hansjörg SchmidtCryptoparty - Hansjörg Schmidt
Cryptoparty - Hansjörg Schmidtspd-buxtehude
 
Phil Krämer: WLAN #HACKING
Phil Krämer: WLAN #HACKINGPhil Krämer: WLAN #HACKING
Phil Krämer: WLAN #HACKINGhybr1s
 
Technische Machbarkeit von Sperrverfügungen
Technische Machbarkeit von SperrverfügungenTechnische Machbarkeit von Sperrverfügungen
Technische Machbarkeit von SperrverfügungenPhilippe A. R. Schaeffer
 

Recomendados

Kryptographie Präsentation für den Kurs Online Kommunikation @ #WebWi
Kryptographie Präsentation für den Kurs Online Kommunikation @ #WebWiKryptographie Präsentation für den Kurs Online Kommunikation @ #WebWi
Kryptographie Präsentation für den Kurs Online Kommunikation @ #WebWimgoldb
 
Verschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und PraxisVerschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und PraxisPeter Tröger
 
Grenzen der Kryptographie
Grenzen der KryptographieGrenzen der Kryptographie
Grenzen der KryptographieHans Mittendorfer
 
Comodogate
ComodogateComodogate
ComodogateThomas Steinbrenner
 
Die Snowden Leaks
Die Snowden LeaksDie Snowden Leaks
Die Snowden LeaksHighStreamw
 
Cryptoparty - Hansjörg Schmidt
Cryptoparty - Hansjörg SchmidtCryptoparty - Hansjörg Schmidt
Cryptoparty - Hansjörg Schmidtspd-buxtehude
 
Phil Krämer: WLAN #HACKING
Phil Krämer: WLAN #HACKINGPhil Krämer: WLAN #HACKING
Phil Krämer: WLAN #HACKINGhybr1s
 
Technische Machbarkeit von Sperrverfügungen
Technische Machbarkeit von SperrverfügungenTechnische Machbarkeit von Sperrverfügungen
Technische Machbarkeit von SperrverfügungenPhilippe A. R. Schaeffer
 
Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)tschikarski
 
EN 6.3: 4 Kryptographie
EN 6.3: 4 KryptographieEN 6.3: 4 Kryptographie
EN 6.3: 4 KryptographieSven Wohlgemuth
 
Wie sicher ist mein Passwort?
Wie sicher ist mein Passwort?Wie sicher ist mein Passwort?
Wie sicher ist mein Passwort?libertello GmbH
 
Passwörter lang oder kurz?
Passwörter lang oder kurz?Passwörter lang oder kurz?
Passwörter lang oder kurz?OMM Solutions GmbH
 
Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Kryptographie für Domino-Administratoren - Verstehen und verwenden!Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Kryptographie für Domino-Administratoren - Verstehen und verwenden!Thomas Bahn
 
Transportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPSTransportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPSMarkus Groß
 
Verschluesselung E-Postbrief
Verschluesselung E-PostbriefVerschluesselung E-Postbrief
Verschluesselung E-PostbriefE-Postbrief
 
PGP/GPG Einführung
PGP/GPG EinführungPGP/GPG Einführung
PGP/GPG EinführungMartin Schütte
 
Sicherheit webkommunikation
Sicherheit webkommunikationSicherheit webkommunikation
Sicherheit webkommunikationHans Mittendorfer
 
Digitallotse
DigitallotseDigitallotse
DigitallotseFelix Escribano
 
Datenschutzkompetenz für Lehrende
Datenschutzkompetenz für LehrendeDatenschutzkompetenz für Lehrende
Datenschutzkompetenz für LehrendeDaniel Lohninger
 
WordPress Security
WordPress SecurityWordPress Security
WordPress Securitystk_jj
 
Seniorenuni, sicherheit, e-business, e-commerce
Seniorenuni, sicherheit, e-business, e-commerceSeniorenuni, sicherheit, e-business, e-commerce
Seniorenuni, sicherheit, e-business, e-commerceMichael Moser
 
Beginnr Betakonzept 1
Beginnr Betakonzept 1Beginnr Betakonzept 1
Beginnr Betakonzept 1blockbuster_aa
 
WordPress Security - WP Meetup München 24.9.2015
WordPress Security - WP Meetup München 24.9.2015WordPress Security - WP Meetup München 24.9.2015
WordPress Security - WP Meetup München 24.9.2015stk_jj
 
CLT 2010: E-Mail-Verschlüsselung mit GPG
CLT 2010: E-Mail-Verschlüsselung mit GPGCLT 2010: E-Mail-Verschlüsselung mit GPG
CLT 2010: E-Mail-Verschlüsselung mit GPGBirgit Hüsken
 
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16Boris Adryan
 
Digitale Selbstbestimmung | Anwendungsfälle der Dezentralität
Digitale Selbstbestimmung | Anwendungsfälle der DezentralitätDigitale Selbstbestimmung | Anwendungsfälle der Dezentralität
Digitale Selbstbestimmung | Anwendungsfälle der DezentralitätStefan Adolf
 
Sicher(er) im web #bch14
Sicher(er) im web #bch14Sicher(er) im web #bch14
Sicher(er) im web #bch14emrox
 
Clt2008 Onlinedurchsuchung
Clt2008 OnlinedurchsuchungClt2008 Onlinedurchsuchung
Clt2008 Onlinedurchsuchungbofh42
 

Más contenido relacionado

Similar a Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit

Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)tschikarski
 
Wie sicher ist mein Passwort?
Wie sicher ist mein Passwort?Wie sicher ist mein Passwort?
Wie sicher ist mein Passwort?libertello GmbH
 
Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Kryptographie für Domino-Administratoren - Verstehen und verwenden!Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Kryptographie für Domino-Administratoren - Verstehen und verwenden!Thomas Bahn
 
Transportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPSTransportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPSMarkus Groß
 
Verschluesselung E-Postbrief
Verschluesselung E-PostbriefVerschluesselung E-Postbrief
Verschluesselung E-PostbriefE-Postbrief
 
Datenschutzkompetenz für Lehrende
Datenschutzkompetenz für LehrendeDatenschutzkompetenz für Lehrende
Datenschutzkompetenz für LehrendeDaniel Lohninger
 
WordPress Security
WordPress SecurityWordPress Security
WordPress Securitystk_jj
 
Seniorenuni, sicherheit, e-business, e-commerce
Seniorenuni, sicherheit, e-business, e-commerceSeniorenuni, sicherheit, e-business, e-commerce
Seniorenuni, sicherheit, e-business, e-commerceMichael Moser
 
WordPress Security - WP Meetup München 24.9.2015
WordPress Security - WP Meetup München 24.9.2015WordPress Security - WP Meetup München 24.9.2015
WordPress Security - WP Meetup München 24.9.2015stk_jj
 
CLT 2010: E-Mail-Verschlüsselung mit GPG
CLT 2010: E-Mail-Verschlüsselung mit GPGCLT 2010: E-Mail-Verschlüsselung mit GPG
CLT 2010: E-Mail-Verschlüsselung mit GPGBirgit Hüsken
 
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16Boris Adryan
 
Digitale Selbstbestimmung | Anwendungsfälle der Dezentralität
Digitale Selbstbestimmung | Anwendungsfälle der DezentralitätDigitale Selbstbestimmung | Anwendungsfälle der Dezentralität
Digitale Selbstbestimmung | Anwendungsfälle der DezentralitätStefan Adolf
 
Sicher(er) im web #bch14
Sicher(er) im web #bch14Sicher(er) im web #bch14
Sicher(er) im web #bch14emrox
 
Clt2008 Onlinedurchsuchung
Clt2008 OnlinedurchsuchungClt2008 Onlinedurchsuchung
Clt2008 Onlinedurchsuchungbofh42
 

Similar a Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit (20)

Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)
 
EN 6.3: 4 Kryptographie
EN 6.3: 4 KryptographieEN 6.3: 4 Kryptographie
EN 6.3: 4 Kryptographie
 
Wie sicher ist mein Passwort?
Wie sicher ist mein Passwort?Wie sicher ist mein Passwort?
Wie sicher ist mein Passwort?
 
Passwörter lang oder kurz?
Passwörter lang oder kurz?Passwörter lang oder kurz?
Passwörter lang oder kurz?
 
Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Kryptographie für Domino-Administratoren - Verstehen und verwenden!Kryptographie für Domino-Administratoren - Verstehen und verwenden!
Kryptographie für Domino-Administratoren - Verstehen und verwenden!
 
Transportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPSTransportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPS
 
Verschluesselung E-Postbrief
Verschluesselung E-PostbriefVerschluesselung E-Postbrief
Verschluesselung E-Postbrief
 
PGP/GPG Einführung
PGP/GPG EinführungPGP/GPG Einführung
PGP/GPG Einführung
 
Sicherheit webkommunikation
Sicherheit webkommunikationSicherheit webkommunikation
Sicherheit webkommunikation
 
Digitallotse
DigitallotseDigitallotse
Digitallotse
 
Datenschutzkompetenz für Lehrende
Datenschutzkompetenz für LehrendeDatenschutzkompetenz für Lehrende
Datenschutzkompetenz für Lehrende
 
WordPress Security
WordPress SecurityWordPress Security
WordPress Security
 
Seniorenuni, sicherheit, e-business, e-commerce
Seniorenuni, sicherheit, e-business, e-commerceSeniorenuni, sicherheit, e-business, e-commerce
Seniorenuni, sicherheit, e-business, e-commerce
 
Beginnr Betakonzept 1
Beginnr Betakonzept 1Beginnr Betakonzept 1
Beginnr Betakonzept 1
 
WordPress Security - WP Meetup München 24.9.2015
WordPress Security - WP Meetup München 24.9.2015WordPress Security - WP Meetup München 24.9.2015
WordPress Security - WP Meetup München 24.9.2015
 
CLT 2010: E-Mail-Verschlüsselung mit GPG
CLT 2010: E-Mail-Verschlüsselung mit GPGCLT 2010: E-Mail-Verschlüsselung mit GPG
CLT 2010: E-Mail-Verschlüsselung mit GPG
 
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
 
Digitale Selbstbestimmung | Anwendungsfälle der Dezentralität
Digitale Selbstbestimmung | Anwendungsfälle der DezentralitätDigitale Selbstbestimmung | Anwendungsfälle der Dezentralität
Digitale Selbstbestimmung | Anwendungsfälle der Dezentralität
 
Sicher(er) im web #bch14
Sicher(er) im web #bch14Sicher(er) im web #bch14
Sicher(er) im web #bch14
 
Clt2008 Onlinedurchsuchung
Clt2008 OnlinedurchsuchungClt2008 Onlinedurchsuchung
Clt2008 Onlinedurchsuchung
 

Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit

  • 1. Warum verschlüsseln? Dein Leben – Deine Daten – Deine Freiheit Arian Kriesch - @freiheitsfreund
  • 2. “Paranoid” oder datenschutzbewusst? Eine Frage des Vertrauens und der Verhältnismäßigkeit. Speicherplatz wird immer billiger, Rechner leistungsfähiger. Quelle: Washingtonpost.com http://goo.gl/SqnPA und wired.com
  • 3. 1. Grundsatz im Internet: Datensparsamkeit Bewusstsein: Wer kann auf was zugreifen? Unverhältnismäßigkeit: Wenn ein Akteur (z.B. NSA) alles liest und speichert
  • 4. Was ist “Daten”-Sicherheit? Authentizität Sind Absender und Daten echt? Signatur Zugriffsschutz Wer kann meine Information lesen? Krypto- + Steganographie Datensicherheit Wie sicher sind Daten vor Verlust? Backups + Redundanz Anonymität Ist der Absender zurückverfolgbar?
  • 5. • Verteilte Speicherung und Verbindungen • Redundantes, dezentrales Netz • Dynamische Informationsleitung • Weltweit Das Internet ist “ausfallsicher” Datensicherheit Wie sicher sind Daten vor Verlust? Authentizität Sind Absender und Daten echt? ideal für verkompliziert z.B. Sicherung in “Cloud” Integriert in OS und Handys Dezentral. Oft nur transportverschlüsselt. Zugriffsschutz Wer kann meine Information lesen?
  • 6. Verschlüssellung + Authentifizierung sind eine Frage des Vertrauens
  • 7. Wem vertrauen? Vertrauen delegieren Hierarchisches Konzept Netzwerk des Vertrauens Dezentrales Konzept z.B. SSL + HTTPS Zentrale Instanz stellt Zertifikate aus und verkauft diese z.B. Pretty Good Privacy (PGP/GPG) User signieren gegenseitig ihre Zertifikate • “Root-Zertifikate” sind z.B. in Webbrowsern eingebaut • Diese können gestohlen werden • Gesamte Kette dann unsicher (Beispiel “Diginotar”, Google- Zertifikate und Iran, 2011) • Niemand kann von jedem ein Zertifikat beglaubigen • Vertrauen hierbei also auch delegiert, nur verteilter
  • 8. Vertrauen in Softwarehersteller Open Source Quellcode kann von jedem überprüft werden. Kann trotzdem kommerziell sein. Closed Source Schwacher Ansatz: “Security by Obfuscation” • Backdoors sind nicht nachvollziehbar • Verschlüsselung mit “Zweitschlüssel” umgehbar • Offiziell kooperieren die Hersteller mind. “gemäß den jeweils geltenden Gesetzen” wie G10. • Code ist offen zugänglich • Backdoors könnten von jedem zumindest theoretisch gefunden werden • Praktisch: Vertrauen in die Community z.B. Linux, GPG, OTR
  • 9. Verschlüsselungsansätze Transportverschlüsselung Zwischen User und Provider Ende-zu-Ende-Verschl. Von einem Benutzer zum anderen Absoluter Minimalstandard! Emails, Online-Banking, immer einschalten! z.B. HTTPS-everywhere. Kein Nachteil • Der Anbieter hat vollen Datenzugriff • Verschlüsselung sperrt Dritte auf dem Transportkanal aus • Authentifizierung eingebaut: z.B. “Das ist wirklich meine Bank” • Auch bei Handys in Hardware eingebaut (SIM) • Z.B. HTTPS, HBCI,SIM-Verschlüsselung • Nur die Entnutzer können die Informationen entschlüsseln • Der Provider sieht und vermittelt nur Datenpakete • Authentifizierung eingebaut • Nicht automatisch anonym! • Z.B. PGP/GPG, Threema, verschlüsselte Dateien
  • 10. Technische vs. gesetzliche Sicherheit GG Artikel 10 (1) Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich. (2) Beschränkungen dürfen nur auf Grund eines Gesetzes angeordnet werden. Dient die Beschränkung dem Schutze der freiheitlichen demokratischen Grundordnung oder des Bestandes oder der Sicherung des Bundes oder eines Landes, so kann das Gesetz bestimmen, daß sie dem Betroffenen nicht mitgeteilt wird und daß an die Stelle des Rechtsweges die Nachprüfung durch von der Volksvertretung bestellte Organe und Hilfsorgane tritt. • “G10-Gesetz” • Definiert die Eingriffsrechte der Geheimdienste und regelt die Ausnahmen zu Artikel 10 • 2011 extrem erweitert • Welcher Datenschutz gilt bei der internationalen Verarbeitung von Daten?
  • 11. Verschlüsselung vs. Anonymität Verschlüsselung heißt nicht automatisch, dass der Kommunikationskanal nicht nachvollziehbar ist! Wichtig nicht nur für Quellenschutz, Whistleblower, sondern für jeden User. Umgehung teilweise möglich z.B. TOR Solche Software kann über Spuren im Internet verwischen • Programme wie “XKeyscore” (NSA) filtern laut Berichten gezielt nach Absendern verschlüsselter Nachrichten • PGP/GPG z.B. bettet standardmäßig Absender und Adressaten ein! Quelle: https://www.documentcloud.org/documents/743244-xkeyscore-slidedeck.html
  • 12. Grundlage: Sichere “Passphrase” Computer können Passwörter sehr effizient “knacken” Dazu probiert der Rechner einfach Variationen aus. Passwort = Relative Sicherheit! “Brute Force” Systematisch werden alle Zeichenkombinationen durchprobiert Wörterbuchattacke Noch leichter: Wörterbucheinträge und einfache Zahlenkombinationen Niemals einfache Wörter verwenden! Buchstaben, Zahlen und Sonderzeichen kombinieren. Am besten: Völlig zufällig 6 Stellen zu knacken: Ca. 0,16 € 8 Stellen zu knacken: Ca. 400 – 800 € 11 + Stellen: Derzeit relativ sicher Tausende Passwörter in kürzester Zeit automatisch zu lösen. Für jede Anwendung / Website ein eigenes Passwort Nur dann sind andere Accounts sicher, wenn das Passwort einer Seite geklaut wird.
  • 13. Wer kann sich sowas merken? “Aufschreiben” / Speichern Viele, rein zufällige Passwörter In entsprechendem Programm (“Passwortmanager”) mit Masterpasswort sichern Passphrase systematisch variieren z.B. Geschichte mit Zahlen und Zeichen anreichern Strapaziert weiterhin das Gedächtnis Müssen trotzdem regelmäßig geändert werden. Verlagert das Verlustrisiko auf ein einziges Master-Passwort und Gerät Vorsicht: Nicht online speichern! Passwortmanager gibt es für PC/Mac/Linux/Firefox oder Smartphones z.B. im Mac der “secure Keyring” Stärke des Menschen über den Computer: Semantik, Sinn über die Worte und Zeichen hinaus. Speichern? Aufschreiben? Eines für alles?
  • 14. • Trojaner und Viren unterminieren jeden techn. Schutz • Wer die Tastatur mitliest hat jede Nachricht • Geräte-Diebstahl ist großes Sicherheitsproblem Grundlage 2: Sicherer Rechner Immer aktuelle Updates einspielen Am kritischsten: Webbrowser, Betriebssystem und Emailprogramm Immer Antiviren-Software verwenden Bei Windows-Rechnern Auf jedem Rechner und Smartphone ein Passwort setzen Aktuelle Android und iOS-Geräte verschlüsseln dann auch die Festplatten Jede Festplatte verschlüsseln und Backups sichern Windows: Bitlocker, Mac OS X eingebaut, Linux eingebaut.
  • 15. Praktisches Beispiel: Threema statt Whatsapp • Whatsapp is sicherheitskritisch • Überträgt Kontaktdaten • Unverschlüsselte Nachrichten • Threema: Ende-zu-Ende verschlüsselt • Nachteil: Kein Open-Source, nicht kostenlos, nur ein Gerät je Account • Vorteil: Sehr einfache Nutzung • Adressbuchabgleich via “Hash” statt Upload der vollen Adressbücher Reiner Offline- Kontaktaustausch möglich • Ebenfalls kommerzielles Produkt Bisher nur für iOS Android Quelle Bilder: www.threema.ch
  • 16. • Wir installieren auf Wunsch GPG (Email-Verschlüsselung) • Wir installieren HTTPS everywhere (EFF) • Wir tauschen GPG-Schlüssel aus und signieren diese • Wir aktivieren die Festplatten-Verschlüsselungen • Wir erklären auf Wunsch GPG, Jitsy, Festplattenverschlüsselung, Threema, etc. Praktische Phase
  • 17. Vielen Dank für Ihre Aufmerksamkeit Verwendete Quellen und Logos mit gesonderter Lizenz: Simple Icons von Dan Leech (Free Art Licence, github.com/danleech/simple-icons. Folgende Icons stehen unter CC BY Lizenz und sind von www.thenounproject.com: Key designed by William J. Salvador from the Noun Project. Hard Disk Drive designed by Eddie Alshehrie from the Noun Project. Mask designed by Gilad Fried from the Noun Project. Passport designed by Katia Marsh Mallow from the Noun Project. Cloud designed by Edward Boatmanfrom the Noun Project. Conversation, designed by Murali Krishna from the Noun Project. Inspiriert von Emiland De Cubber “Dear NSA” @emilanddc. Arian Kriesch www.arian-kriesch.de @freiheitsfreund Diese Präsentation steht, bis auf anders gekennzeichnete Bestandteile, unter der Creative Commons Namensnennung – Nicht-kommerziell – Weitergabe unter gleichen Bedingungen 3.0 Unported Lizenz.