Sichere Kommunikation: Warum & Wie - 22. Januar 2018...FSFW–FreieSoftwareundFreiesWissen...
Transcript of Sichere Kommunikation: Warum & Wie - 22. Januar 2018...FSFW–FreieSoftwareundFreiesWissen...
Carsten Knoll1, Joschka Heinrich (HG KRETA, Folien)
Sichere Kommunikation: Warum & Wie22. Januar 2018
1 [email protected] 1 / 23
FSFW – Freie Software und Freies WissenI Hochschulgruppe seit 2014, ca. 10 Leute (TU, HTW, . . . )I Warum machen wir das? Aus Überzeugung!
I Überzeugung 1: freie und quelloffene Software ist (oft) besser(technische + nicht technische Argumente)
I Überzeugung 2: öffentlich finanzierte wissenschaftliche Inhalte(AutorInnen, GutachterInnen) sollten nicht von öffentlichfinanzierten Bibliotheken für horrende Summen vonZeitschriften-Verlagen gekauft werden müssen
I Bisherige ProjekteI Linux-Install-Party, Linux-Presentation-DayI Monatliche Sprechstunde zu LATEX u.a.I ProgrammpapierI „Uni-Stick“: 100 × 8GB mit freier SoftwareI Verschlüsselungsgewinnspiel
I Für (Mitmachen-)Interessierte: https://fsfw-dresden.de
2 / 23
FSFW – Freie Software und Freies WissenI Hochschulgruppe seit 2014, ca. 10 Leute (TU, HTW, . . . )I Warum machen wir das? Aus Überzeugung!
I Überzeugung 1: freie und quelloffene Software ist (oft) besser(technische + nicht technische Argumente)
I Überzeugung 2: öffentlich finanzierte wissenschaftliche Inhalte(AutorInnen, GutachterInnen) sollten nicht von öffentlichfinanzierten Bibliotheken für horrende Summen vonZeitschriften-Verlagen gekauft werden müssen
I Bisherige ProjekteI Linux-Install-Party, Linux-Presentation-DayI Monatliche Sprechstunde zu LATEX u.a.I ProgrammpapierI „Uni-Stick“: 100 × 8GB mit freier SoftwareI Verschlüsselungsgewinnspiel
I Für (Mitmachen-)Interessierte: https://fsfw-dresden.de
2 / 23
FSFW – Freie Software und Freies WissenI Hochschulgruppe seit 2014, ca. 10 Leute (TU, HTW, . . . )I Warum machen wir das? Aus Überzeugung!
I Überzeugung 1: freie und quelloffene Software ist (oft) besser(technische + nicht technische Argumente)
I Überzeugung 2: öffentlich finanzierte wissenschaftliche Inhalte(AutorInnen, GutachterInnen) sollten nicht von öffentlichfinanzierten Bibliotheken für horrende Summen vonZeitschriften-Verlagen gekauft werden müssen
I Bisherige ProjekteI Linux-Install-Party, Linux-Presentation-DayI Monatliche Sprechstunde zu LATEX u.a.I ProgrammpapierI „Uni-Stick“: 100 × 8GB mit freier SoftwareI Verschlüsselungsgewinnspiel
I Für (Mitmachen-)Interessierte: https://fsfw-dresden.de
2 / 23
FSFW – Freie Software und Freies WissenI Hochschulgruppe seit 2014, ca. 10 Leute (TU, HTW, . . . )I Warum machen wir das? Aus Überzeugung!
I Überzeugung 1: freie und quelloffene Software ist (oft) besser(technische + nicht technische Argumente)
I Überzeugung 2: öffentlich finanzierte wissenschaftliche Inhalte(AutorInnen, GutachterInnen) sollten nicht von öffentlichfinanzierten Bibliotheken für horrende Summen vonZeitschriften-Verlagen gekauft werden müssen
I Bisherige ProjekteI Linux-Install-Party, Linux-Presentation-DayI Monatliche Sprechstunde zu LATEX u.a.I ProgrammpapierI „Uni-Stick“: 100 × 8GB mit freier SoftwareI Verschlüsselungsgewinnspiel
I Für (Mitmachen-)Interessierte: https://fsfw-dresden.de
2 / 23
FSFW – Freie Software und Freies WissenI Hochschulgruppe seit 2014, ca. 10 Leute (TU, HTW, . . . )I Warum machen wir das? Aus Überzeugung!
I Überzeugung 1: freie und quelloffene Software ist (oft) besser(technische + nicht technische Argumente)
I Überzeugung 2: öffentlich finanzierte wissenschaftliche Inhalte(AutorInnen, GutachterInnen) sollten nicht von öffentlichfinanzierten Bibliotheken für horrende Summen vonZeitschriften-Verlagen gekauft werden müssen
I Bisherige ProjekteI Linux-Install-Party, Linux-Presentation-DayI Monatliche Sprechstunde zu LATEX u.a.I ProgrammpapierI „Uni-Stick“: 100 × 8GB mit freier SoftwareI Verschlüsselungsgewinnspiel
I Für (Mitmachen-)Interessierte: https://fsfw-dresden.de
2 / 23
FSFW – Freie Software und Freies WissenI Hochschulgruppe seit 2014, ca. 10 Leute (TU, HTW, . . . )I Warum machen wir das? Aus Überzeugung!
I Überzeugung 1: freie und quelloffene Software ist (oft) besser(technische + nicht technische Argumente)
I Überzeugung 2: öffentlich finanzierte wissenschaftliche Inhalte(AutorInnen, GutachterInnen) sollten nicht von öffentlichfinanzierten Bibliotheken für horrende Summen vonZeitschriften-Verlagen gekauft werden müssen
I Bisherige ProjekteI Linux-Install-Party, Linux-Presentation-DayI Monatliche Sprechstunde zu LATEX u.a.I ProgrammpapierI „Uni-Stick“: 100 × 8GB mit freier SoftwareI Verschlüsselungsgewinnspiel
I Für (Mitmachen-)Interessierte: https://fsfw-dresden.de2 / 23
Ablauf
1) Verschlüsselung in der TheorieI Narrativ-Dekonstruktion: „Ich habe doch nichts zu verbergen“I Schutzziele sicherer KommunikationI Funktionsweise PGP
2) PGP in der PraxisI Installation (individuell)I SchlüsselgenerierungI E-Mails verschlüsselnI Ausblick
3 / 23
Ablauf
1) Verschlüsselung in der TheorieI Narrativ-Dekonstruktion: „Ich habe doch nichts zu verbergen“I Schutzziele sicherer KommunikationI Funktionsweise PGP
2) PGP in der PraxisI Installation (individuell)I SchlüsselgenerierungI E-Mails verschlüsselnI Ausblick
3 / 23
Narrativ: „Ich habe doch nichts zu verbergen“
I Weit verbreitet und sehr wirkmächtigI Sollte oft und fundiert widersprochen werden
I StichworteI Kriminalität (Einbruch, Erpressung, . . . )I PrivatsphäreI Selbstzensur (analog: Kamera-Attrappen)I Schutzwürdige Daten (Gesundheit, Geschäftsgeheimnisse)I DemokratieI JournalismusI WhistleblowingI Erstarken totalitärer Strukturen
4 / 23
Narrativ: „Ich habe doch nichts zu verbergen“
I Weit verbreitet und sehr wirkmächtigI Sollte oft und fundiert widersprochen werdenI Stichworte
I Kriminalität (Einbruch, Erpressung, . . . )I PrivatsphäreI Selbstzensur (analog: Kamera-Attrappen)I Schutzwürdige Daten (Gesundheit, Geschäftsgeheimnisse)I DemokratieI JournalismusI WhistleblowingI Erstarken totalitärer Strukturen
4 / 23
„Ich habe doch nichts zu verbergen“I In Menschheitsgeschichte:
viele Beispiele für rücksichtslosen EgoismusI „Wissen ist Macht“⇒ sensibler Umgang mit Informationen empfehlenswert
I Digitalisierung verstärkt das ProblemI E-Mail1 ist wie Postkarte: unterwegs2 lesbarI E-Mail ist noch schlimmer als Postkarte:
I automatisiert auswertbarI unbemerkt kopierbarI unbemerkt veränderbar (inkl. Metadaten, bspw. Absender)
1: E-Mail = nur Beispielmedium 2: ggf. um die ganze Welt
5 / 23
„Ich habe doch nichts zu verbergen“I In Menschheitsgeschichte:
viele Beispiele für rücksichtslosen EgoismusI „Wissen ist Macht“⇒ sensibler Umgang mit Informationen empfehlenswert
I Digitalisierung verstärkt das ProblemI E-Mail1 ist wie Postkarte: unterwegs2 lesbarI E-Mail ist noch schlimmer als Postkarte:
I automatisiert auswertbarI unbemerkt kopierbarI unbemerkt veränderbar (inkl. Metadaten, bspw. Absender)
1: E-Mail = nur Beispielmedium 2: ggf. um die ganze Welt
5 / 23
Schutzziele sicherer Kommunikation
� Vertraulichkeit→ A weiß, nur B kann Nachricht lesen
� Integrität→ B weiß, die Nachricht ist nur von A geschrieben und nichtverändert wurden
� Anonymität→ A bestimmt, wem eigene Identität preisgegeben wird
� Verfügbarkeit→ obige Schutzziele werden in annehmbarer Zeit realisiert
6 / 23
Schutzziele sicherer Kommunikation
� Vertraulichkeit→ A weiß, nur B kann Nachricht lesen
� Integrität→ B weiß, die Nachricht ist nur von A geschrieben und nichtverändert wurden
� Anonymität→ A bestimmt, wem eigene Identität preisgegeben wird
� Verfügbarkeit→ obige Schutzziele werden in annehmbarer Zeit realisiert
6 / 23
Schutzziele sicherer Kommunikation
� Vertraulichkeit→ A weiß, nur B kann Nachricht lesen
� Integrität→ B weiß, die Nachricht ist nur von A geschrieben und nichtverändert wurden
� Anonymität→ A bestimmt, wem eigene Identität preisgegeben wird
� Verfügbarkeit→ obige Schutzziele werden in annehmbarer Zeit realisiert
6 / 23
Schutzziele sicherer Kommunikation
� Vertraulichkeit→ A weiß, nur B kann Nachricht lesen
� Integrität→ B weiß, die Nachricht ist nur von A geschrieben und nichtverändert wurden
� Anonymität→ A bestimmt, wem eigene Identität preisgegeben wird
� Verfügbarkeit→ obige Schutzziele werden in annehmbarer Zeit realisiert
6 / 23
PGP – Begriffe
I asymmetrischeVerschlüsselung
I Privater Schlüssel(private key)
I Öffentlicher Schlüssel(public key)
I GPG vs. PGP
I Schlüsselserver (keyserver)I FingerabdruckI MetadatenI Widerrufszertifikat
7 / 23
PGP – Begriffe
I asymmetrischeVerschlüsselung
I Privater Schlüssel(private key)
I Öffentlicher Schlüssel(public key)
I GPG vs. PGP
I Schlüsselserver (keyserver)I FingerabdruckI MetadatenI Widerrufszertifikat
7 / 23
PGP – Das ProblemI P1: A möchte Nachricht an B vertraulich schicken⇒ Nachricht verschlüsseln
I P2: Schlüsselverteilung⇒ asymmetrisches Verschlüsselungsverfahren (PGP)
I Es gibt: Öffentlichen Schlüssel und Privaten SchlüsselI ÖS: zum Verschlüsseln
I PS: zum Entschlüsseln
Oft eingesetzte, freie Implementierung: GPG (GNU Privacy Guard, 1999)
Nicht freier Vorläufer & Namensgeber des Verfahrens: PGP (Pretty Good Privacy, 1991)
8 / 23
PGP – Das ProblemI P1: A möchte Nachricht an B vertraulich schicken⇒ Nachricht verschlüsseln
I P2: Schlüsselverteilung⇒ asymmetrisches Verschlüsselungsverfahren (PGP)
I Es gibt: Öffentlichen Schlüssel und Privaten Schlüssel
I ÖS: zum Verschlüsseln
I PS: zum Entschlüsseln
Oft eingesetzte, freie Implementierung: GPG (GNU Privacy Guard, 1999)
Nicht freier Vorläufer & Namensgeber des Verfahrens: PGP (Pretty Good Privacy, 1991)
8 / 23
PGP – Das ProblemI P1: A möchte Nachricht an B vertraulich schicken⇒ Nachricht verschlüsseln
I P2: Schlüsselverteilung⇒ asymmetrisches Verschlüsselungsverfahren (PGP)
I Es gibt: Öffentlichen Schlüssel und Privaten SchlüsselI ÖS: zum Verschlüsseln
I PS: zum Entschlüsseln
Oft eingesetzte, freie Implementierung: GPG (GNU Privacy Guard, 1999)
Nicht freier Vorläufer & Namensgeber des Verfahrens: PGP (Pretty Good Privacy, 1991)
8 / 23
PGP – Das ProblemI P1: A möchte Nachricht an B vertraulich schicken⇒ Nachricht verschlüsseln
I P2: Schlüsselverteilung⇒ asymmetrisches Verschlüsselungsverfahren (PGP)
I Es gibt: Öffentlichen Schlüssel und Privaten SchlüsselI ÖS: zum Verschlüsseln
I PS: zum Entschlüsseln
Oft eingesetzte, freie Implementierung: GPG (GNU Privacy Guard, 1999)
Nicht freier Vorläufer & Namensgeber des Verfahrens: PGP (Pretty Good Privacy, 1991)8 / 23
PGP – Funktionsweise 1
9 / 23
PGP – Funktionsweise 2I Öffentlicher Schlüssel („public key“)
I Benötigt zum VerschlüsselnI Sollten alle haben, von denen man verschlüsselte Mails
empfangen möchteI kann/sollte man weitergeben → auf Keyserver hochladen
Bsp: http://pgp.mit.edu zu bedenken: nicht löschbar, nur widerrufbar ⇒ Anonymität
gefährdet
I Privater Schlüssel („private key“)I Benötigt zum EntschlüsselnI Darf nicht verloren gehen→ Entschlüsseln wäre dann unmöglich
I Darf nicht in fremde Hände kommen→ andere können meine Mails entschlüsseln
I Typischerweise nochmal zusätzlich mit einem Passwortverschlüsselt
⇒ Sicheres Backup wichtig
10 / 23
PGP – Funktionsweise 2I Öffentlicher Schlüssel („public key“)
I Benötigt zum VerschlüsselnI Sollten alle haben, von denen man verschlüsselte Mails
empfangen möchteI kann/sollte man weitergeben → auf Keyserver hochladen
Bsp: http://pgp.mit.edu zu bedenken: nicht löschbar, nur widerrufbar ⇒ Anonymität
gefährdet
I Privater Schlüssel („private key“)I Benötigt zum EntschlüsselnI Darf nicht verloren gehen→ Entschlüsseln wäre dann unmöglich
I Darf nicht in fremde Hände kommen→ andere können meine Mails entschlüsseln
I Typischerweise nochmal zusätzlich mit einem Passwortverschlüsselt
⇒ Sicheres Backup wichtig
10 / 23
PGP – Funktionsweise 2I Öffentlicher Schlüssel („public key“)
I Benötigt zum VerschlüsselnI Sollten alle haben, von denen man verschlüsselte Mails
empfangen möchteI kann/sollte man weitergeben → auf Keyserver hochladen
Bsp: http://pgp.mit.edu zu bedenken: nicht löschbar, nur widerrufbar ⇒ Anonymität
gefährdet
I Privater Schlüssel („private key“)I Benötigt zum EntschlüsselnI Darf nicht verloren gehen→ Entschlüsseln wäre dann unmöglich
I Darf nicht in fremde Hände kommen→ andere können meine Mails entschlüsseln
I Typischerweise nochmal zusätzlich mit einem Passwortverschlüsselt
⇒ Sicheres Backup wichtig10 / 23
PGP – Funktionsweise 3
11 / 23
Praxisteil – Installation 1
I Anleitungen: https://fsfw-dresden.de/gpg12 / 23
Praxisteil – Installation 2
I Anleitungen: https://fsfw-dresden.de/gpg
I Bei Bedarf temporäre E-Mailadressen zum Test:I Adresse: [email protected] ... [email protected] Username: plq-tmp01 ... plq-tmp05I Mailserver: alnilam.uberspace.deI IMAP, Port: 993I Passwort: signatur
I werden heute Abend wieder gelöscht
13 / 23
Schlüsselgenerierung
14 / 23
E-Mails verschlüsselnI ÖS der Empfängerin muss bereits bekannt sein, z.B. via
I SchlüsselserverI Direkte Veröffentlichung
Enigmail → Key Management → Edit → Import from Clipboard
Testmail (mit Schlüssel im Anhang) an: [email protected] / 23
E-Mails entschlüsseln
16 / 23
Ausblick – Schutzziele bei PGP
�
X
Vertraulichkeit
→ Verschlüsselung
� Integrität (keine Veränderung)
→ Signatur notwendig
� Anonymität� Verfügbarkeit
17 / 23
Ausblick – Schutzziele bei PGP
�X Vertraulichkeit → Verschlüsselung� Integrität (keine Veränderung)
→ Signatur notwendig
� Anonymität� Verfügbarkeit
17 / 23
Ausblick – Schutzziele bei PGP
�X Vertraulichkeit → Verschlüsselung� Integrität (keine Veränderung) → Signatur notwendig� Anonymität� Verfügbarkeit
17 / 23
Ausblick – Signieren 1
I Prinzip: mit PS verschlüsselte Prüfsumme der NachrichtI Überprüfen = Entschlüsseln mit ÖS⇒ Man muss dem öffentlichen Schlüssel vertrauen
�X Integrität (keine Veränderung)
I Schlüssel signieren bei persönlichem Treffen(Keysharing-Party) → „Web of trust“
I Fingerabdruck-Bsp:214E 4E9D B193 6AF2 CFDC 68DF 13AD 3604 9D3E F6BF
18 / 23
Ausblick – Signieren 1
I Prinzip: mit PS verschlüsselte Prüfsumme der NachrichtI Überprüfen = Entschlüsseln mit ÖS⇒ Man muss dem öffentlichen Schlüssel vertrauen
�X Integrität (keine Veränderung)I Schlüssel signieren bei persönlichem Treffen
(Keysharing-Party) → „Web of trust“I Fingerabdruck-Bsp:
214E 4E9D B193 6AF2 CFDC 68DF 13AD 3604 9D3E F6BF
18 / 23
Ausblick – Signieren 2
19 / 23
Ausblick – Schlüssel pflegen
I Ablaufdatum? ⇒ Verlängerung notwendig!→ ggf. neu auf Schlüsselserver hochladen!
I Widerrufszertifikat sichern→ wir benötigt falls:
I Passphrase vergessenI PS verloren (→ Backup!)I Vertrauen in PS verloren
20 / 23
Ausblick – Schlüssel pflegen
I Ablaufdatum? ⇒ Verlängerung notwendig!→ ggf. neu auf Schlüsselserver hochladen!
I Widerrufszertifikat sichern→ wir benötigt falls:
I Passphrase vergessenI PS verloren (→ Backup!)I Vertrauen in PS verloren
20 / 23
Ausblick – Nachteile PGP
Was wird verschlüsselt?I TextI Anhänge Format-Empfehlung: PGP/MIME nicht: Inline PGP
Was wird nicht verschlüsselt?I Metadaten
I Absender*in, Empfänger*in, Betreff, . . .
21 / 23
WeitereführendesPGP-Verschlüsselung für WebmailI https://vimeo.com/178702500 (Screencast)I Anleitung von Posteo
Allgemeine InfosI https://virtual-privacy.org
CryptopartysI https://www.cryptoparty.inI https://de.wikipedia.org/wiki/CryptoParty
RadioI Deutschlandfunk-Essay: Niemand hat nichts zu verbergen
VideosI G. Greenwald: Why privacy mattersI J. Oliver + E. Snwoden (lustig)
22 / 23