„Ich möchte nicht in einer Welt leben, in der alles, was ich sage, alles, was ich tue, jedes Gespräch, jeder Ausdruck von Kreativität, Liebe oder Freundschaft aufgezeichnet wird.

Das ist nichts, was ich bereit bin zu unterstützen. Das ist nichts, das ich bereit bin mit aufzubauen. Das ist nichts, unter dem ich zu leben bereit bin. Ich denke, jeder, der eine solche Welt ablehnt, hat die Verpflichtung, im Rahmen seiner Möglichkeiten zu handeln.“

- Edward Snowden

3 / 49

Was ist eine CryptoParty?

● Workshop zur digitalen Selbstverteidigung• "Tupperware-Party zum Lernen von Kryptographie"

(Cory Doctorow)

● Einsteigerfreundlich

● Öffentlich & unkommerziell

● Fokus auf Freier Software

● Von Anwendern für Anwender -> Gelerntes weitertragen

4 / 49

Agenda

● Inputvortrag zu:• Sichere Passwörter

• Verschlüsselung von E-Mails (PGP)

• Tracking beim Browsen vermeiden

• Dateiverschlüsselung (VeraCrypt)

• Smartphones

● Praxis

5 / 49

Sichere Passwörter

Wie werden Passwörter geknackt?

● Brute Force• Alle möglichen Kombinationen ausprobieren

● Listen / Wörterbuch-Angriffe• Alle Wörter einer Liste ausprobieren

● Social Engineering• Phishing, Person austricksen um PW zu erfahren

6 / 49

Wie erschwert man das Knacken des Passworts?

● Brute Force

=> Länge (10+ Zeichen)

=> Verschiedene Zeichentypen

(Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen)

7 / 49

Wie erschwert man das Knacken des Passworts?

● Brute Force

=> Länge (10+ Zeichen)

=> Verschiedene Zeichentypen

(Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen)

● Listen / Wörterbuch-Angriffe

=> Kein einzelnes Wort als PW verwenden

=> Keine Wörter aus dem Umfeld (Namen, Geburtsdaten)

8 / 49

Wie erschwert man das Knacken des Passworts?

● Brute Force

=> Länge (10+ Zeichen)

=> Verschiedene Zeichentypen

(Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen)

● Listen / Wörterbuch-Angriffe

=> Kein einzelnes Wort als PW verwenden

=> Keine Wörter aus dem Umfeld (Namen, Geburtsdaten)

● Social Engineering

=> Niemandem das Passwort verraten!

9 / 49

Brute-Force-Angriffe und Passwortlänge

Nutzung von Kleinbuchstaben (26 Zeichen)

Quelle: http://www.1pw.de/brute-force.html (Rechengeschwindigkeit: 2096204400 Schlüssel pro Sekunde (Keys/sec))

10 / 49

Brute-Force-Angriffe und Passwortlänge

Nutzung von Groß-, Kleinbuchstaben und Zahlen (62 Zeichen)

Quelle: http://www.1pw.de/brute-force.html (Rechengeschwindigkeit: 2096204400 Schlüssel pro Sekunde (Keys/sec))

11 / 49

Wie erstelle ich ein sicheres Passwort?

● DBiR&dSd90M!• Merksatz: »Der Ball ist Rund & das Spiel dauert 90 Minuten!«

● HausLocherTasteMeloneBagger• Wortreihung

● 2UrN47oCfK6jAZ8xuKHiop4upPsI73• Passwortgenerator

12 / 49

Vorteile

● Freie Software

● Viele Plattformen• Win, Linux, Mac, Android

● Passwortgenerator

● Verschlüsselt gespeichert

Passwortverwaltung

Nachteile

● Masterpasswort• Darf nicht vergessen oder

geknackt werden!

● Komfort• Kein Sync zwischen

verschiedenen Geräten

Wichtig: Für jeden Dienst ein anderes Passwort verwenden!

Software: KeePassX

13 / 49

14 / 49

E-Mail Anbieter

Quelle: http://apps.opendatacity.de/prism/de

15 / 49

Vorteile

● Standort in Deutschland● Datensparsamkeit● Keine Inhaltsanalyse● Keine Werbung● Anonyme Nutzung möglich● Datenschutz hat Priorität

Nachteile● Kostet 1,- € pro Monat

● Posteo.de oder mailbox.org

● Gratis 24h-Einmal-E-Mail-Adresse: anonbox.net (CA-Cert)

Alternativen zu "kostenlosen" E-Mail-Anbietern

16 / 49

E-Mail Verwaltung

● Software: Mozilla Thunderbird• Freie Software

• Mehrere Mail-Konten möglich

• Verwaltung mit Filtern und Ordnern

• HTML Abschalten möglich

• Mails offline lesen und speichern

• Plug-Ins: Kalender, Massenmails, Verschlüsselung

17 / 49

18 / 49

E-Mail Verschlüsselung (PGP)

Vorteile

● Inhalt Ende-zu-Ende verschlüsselt

● Sender & Empfänger sind eindeutig

Nachteile

● Metadaten unverschlüsselt

● Sender & Empfänger müssen PGP nutzen

Benötigte Software:

● E-Mail Programm: Thunderbird

● Add-on: Enigmail

19 / 49

Unterschied Symmetrische / Asymmetrische Verschlüsselung

● Symmetrische Verschlüsselung (secret key)• Wie analoge Schlüssel

• Ein Schlüssel zum ver- und entschlüsseln

• Alle Teilnehmer brauchen den Schlüssel

● Asymmetrische Verschlüsselung (public key)• Schlüsselpaar

20 / 49

Wie funktioniert PGP (Pretty Good Privacy)?

● Asymmetrische Verschlüsselung

● Schlüsselpaar: privater und öffentlicher Schlüssel.

● Öffentlicher Schlüssel:• verschlüsselt die E-Mail

• gibst du deinen Kommunikationspartnern

● Privater Schlüssel:• entschlüsselt die E-Mail

• bleibt privat, gibst du niemals raus!

21 / 49

22 / 49

PGP Public Keys austauschen

● E-Mail Anhang• .asc Datei

● Key-Server• Bequem durchsuchbar

• E-Mail-Adresse öffentlich einsehbar

23 / 49

24 / 49

Verbreitung von PGP

Quelle: https://sks-keyservers.net/status/key_development.php

25 / 49

Tracking beim Browsen vermeiden

Quelle: https://trackography.org/

26 / 49

Analyse mit Firefox-Addon Lightbeam

27 / 49

Analyse mit Firefox-Addon Lightbeam

28 / 49

● Cookies:• kleine Textdateien, die die aufgerufene Webseite im Browser

speichern und wieder abrufen kann.

● Passive Merkmale:• IP-Adresse, Sprache, Browser, Betriebssystem

● Aktive Merkmale (Javascript, Flash, Java, h264, ...)• Schriftarten, Browser-Add-ons, Bildschirmauflösung, uvm.

=> Eindeutiger Browser-Fingerabdruck• siehe https://panopticlick.eff.org/

Wie kann ein Webserver mich identifizieren und verfolgen (Tracking)?

29 / 49

Wie kann ich mich vor Tracking schützen?

● Browser-Wahl• Firefox, Chromium (https://download-chromium.appspot.com)

● Browser-Einstellungen• Do-not-Track Option

• Benutzerdefinierte Chronik: Cookies (für Drittanbieter) deaktivieren

● Suchmaschinen• Ixquick.com, Startpage.com, DuckDuckGo.com, MetaGer.de, etc.

(im Gegensatz zu Google auch keine individuellen Ergebnisse)

● Browser-Add-ons! ...

30 / 49

● Tracker und Werbung blocken: uBlock origin

● Aktive Inhalte blocken: NoScript• Skripte allgemein erlauben (laut Hersteller nicht empfohlen)

● Webseiten immer verschlüsseln: HTTPS Everywhere

● Flash-Cookies löschen: BetterPrivacy

Etwas komplizierter und aufwendiger:

● Alle Skripte blocken: NoScript

● Anfragen an Drittanbieter blocken: RequestPolicy

● Referer blocken: RefControl (Vorsicht!)

Schutz durch Firefox-Add-ons

31 / 49

TOR-Browser

Was ist der TOR-Browser?

● Modifizierter Firefox

● Nutzt TOR zum anonymen Server

32 / 49

TOR (The Onion Router)

Vorteile

● Freie Software

● Anonymes Surfen

Nachteile

● Login bei personalisierten Seiten nicht sinnvoll

Was ist TOR?

● Netzwerk zur Anonymisierung von Verbindungsdaten

● IP-Adresse wird verschleiert

33 / 49

34 / 49

Dateiverschlüsselung

Software: VeraCrypt• Weiterentwicklung von TrueCrypt

• Software zur Datenverschlüsselung

Was kann ich mit VeraCrypt machen?• Verschlüsselte Container (Ordner) erstellen

• Komplette Festplatte verschlüsseln

• USB-Sticks und andere Wechseldatenträger verschlüsseln

35 / 49

Vorteile

● Plattformübergreifend • Win, Mac, Linux

● Freie Software

● Kompatibel mit alten TrueCrypt-Containern

Nachteile

● Komfort

● Passwort vergessen? => Daten weg!

VeraCrypt

36 / 49

Smartphones & Tablets

● Hardware ("Super-Wanze")• Mikrofon, Kamera, GPS, Bewegungssensor

● Betriebssystem• IOS (Apple) oder Windows (Microsoft) = Pest oder Cholera

• Apps nur aus einer Quelle (zentraler App-Store)

• Geschlossene Systeme, keine Gerätehoheit

• Mehr Freiheit durch Jailbreak (Gefängnisausbruch)

37 / 49

Android

● Theoretisch gute Basis• Linux basiert, Freie Software

● ABER: Tiefe Integrierung proprietärer Google-Software• Suche, Browser, Gmail, Maps, Kalender- / Kontakte-Sync...etc.• Play Store & Google Play Dienste• Fernzugriff, Datenübermittlung (ca. 700 mal pro Tag)• Keine Root-Rechte

38 / 49

Erste Schritte

● Sichere Bildschirmsperre• von unsicher zu sicherer:

Wischgeste, Muster, Biometrisch, PIN, Passwort

● Speicher verschlüsseln

● WLAN, GPS, Bluetooth, etc. ausschalten, wenn nicht genutzt

● Browser gegen Tracking schützen

39 / 49

Typische Wischgesten

40 / 49

Ansprüche an Messenger

● Für alle gängigen Betriebsysteme verfügbar

● Ende-zu-Ende-Verschlüsselung

● Sicheren Verschlüsselungsalgorithmus (AES)

● Open Source (Überprüfung durch unabhängige Experten)

● Upload von Daten (z.B. Adressbuch) nur mit ausdrücklicher Bestätigung des Nutzers

● Unabhängige Installation und Betrieb• z.B. ohne GooglePlayStore & PlayDienste

41 / 49

Messenger Vergleich

Signal Telegram Surespot Threema WhatsApp

Freie Software Ja Teils Ja Nein Nein

Ende-zu-Ende Verschlüsselung Ja (Ja) Ja (Ja) (Ja)

Unabhängiges Audit Ja Ja Nein (Ja) Nein

Kein Auslesen des Adressbuchs Nein Nein Ja (Ja) (Ja)

Nicknames Nein Nein Ja Ja Nein

Nicht nur über App-Store erhältlich Nein Ja Nein Ja Ja

Ohne PlayDienste Nein Ja Nein Ja Nein

Verbreitung Mittel Weit Kaum Mittel Sehr Weit

42 / 49

1. Unnötiges entfernen• Google-Einstellungen (G+, Standort, Suche, Werbe-ID)

2. Alternativ-Dienste nutzen• Browser, Suche, Mail, Kalender- / Kontakte-Sync

3. Play-Store löschen• mindestens eingeschränkt nutzen

4. Freies Android-Betriebsystem installieren• z.B. Replicant, Cyanogen Mod, Paranoid Android

Android 'entgoogeln'

43 / 49

● App-Store: F-Droid

● Mail: K-9

● PGP: OpenKeychain

● Browser: Firefox

● Messenger: Signal (Eingeschränkt)

Empfehlenswerte Apps

44 / 49

Weitere Projekte I

● Prism-break.org: ( https://prism-break.org/de/all/ ) Liste datenschutzfreundlicher Software und Anbieter, z.B.:

• Startpage und DuckDuckGo statt Google-Suche

• OpenStreetMap statt Google Maps

• Dudle statt doodle

• EtherCalc und EtherPad statt Google Docs

• Diaspora* statt facebook oder Google+

• ...

● DigitalCourage: Digitale Selbstverteidigung

( https://digitalcourage.de/digitale-selbstverteidigung )

45 / 49

Weitere Projekte II

● freifunk: freie, eigene Internet-Infrastruktur mit offenen WLANs (es gibt eine Gruppe in Bielefeld)

● Tails (The amnesic incognito live system): Anonyme Live-DVD

Noch in Entwicklung:

● p≡p (Pretty Easy Privacy): Einfach zu bedienende E-Mail- und Chat-Verschlüsselung (PGP kompatibel) für Outlook, Thunderbird, WhatsApp, Facebook und Jabber, auf iOS-, Android-, Windows- und GNU/Linux-Geräten

46 / 49

Kontakt & Termine

E-Mail: digitalcourage.hsg@uni-bielefeld.deHomepage: https://hsg.digitalcourage.de

Linux Install Party:

24. November, 18 Uhr, U2-205

Hochschulgruppentreffen:

Jeder 1. und 3. Montag im Monat (nächstes Treffen: 21.11.), 18 Uhr im SozCafé (X-C2-116)