Better Privacy

„Ich möchte nicht in einer Welt leben, in der alles, was ich
sage, alles, was ich tue, jedes Gespräch, jeder Ausdruck
von Kreativität, Liebe oder Freundschaft aufgezeichnet wird.
Das ist nichts, was ich bereit bin zu unterstützen.
Das ist nichts, das ich bereit bin mit aufzubauen.
Das ist nichts, unter dem ich zu leben bereit bin.
Ich denke, jeder, der eine solche Welt ablehnt, hat die
Verpflichtung, im Rahmen seiner Möglichkeiten zu handeln.“
- Edward Snowden
Was ist eine CryptoParty?
●
Workshop zur digitalen Selbstverteidigung
•
"Tupperware-Party zum Lernen von Kryptographie"
(Cory Doctorow)
●
Einsteigerfreundlich
●
Öffentlich & unkommerziell
●
Fokus auf Freier Software
●
Von Anwendern für Anwender
3 / 35
Agenda
●
●
Inputvortrag zu:
•
Sichere Passwörter
•
Verschlüsselung von E-Mails (PGP)
•
Tracking beim Browsen vermeiden
•
Festplattenverschlüsselung (Veracrypt)
•
Verschlüsselung von Chats (OTR)
Praxis
4 / 35
Sichere Passwörter
Wie werden Passwörter geknackt?
●
Brute Force
•
●
Listen / Wörterbuch-Angriffe
•
●
Alle möglichen Kombinationen ausprobieren
Alle Wörter eine Liste ausprobieren
Social Engineering
•
Phishing, Person austricksen um PW zu erfahren
5 / 35
Wie erschwert man das Knacken des Passworts?
●
Brute Force
=> Länge (10+ Zeichen)
=> Verschiedene Zeichentypen
(Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen)
6 / 35
Wie erschwert man das Knacken des Passworts?
●
Brute Force
=> Länge (10+ Zeichen)
=> Verschiedene Zeichentypen
(Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen)
●
Listen / Wörterbuch-Angriffe
=> Kein einzelnes Wort als PW verwenden
=> Keine Wörter aus dem Umfeld (Namen, Geburtsdaten)
7 / 35
Wie erschwert man das Knacken des Passworts?
●
Brute Force
=> Länge (10+ Zeichen)
=> Verschiedene Zeichentypen
(Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen)
●
Listen / Wörterbuch-Angriffe
=> Kein einzelnes Wort als PW verwenden
=> Keine Wörter aus dem Umfeld (Namen, Geburtsdaten)
●
Social Engineering
=> Niemand das Passwort verraten!
8 / 35
Brute-Force-Angriffe und Passwortlänge
Nutzung von Kleinbuchstaben (26 Zeichen)
Quelle: http://www.1pw.de/brute-force.html (Rechengeschwindigkeit: 2096204400 Schlüssel pro Sekunde (Keys/sec))
9 / 35
Brute-Force-Angriffe und Passwortlänge
Nutzung von Groß-, Kleinbuchstaben und Zahlen (62 Zeichen)
Quelle: http://www.1pw.de/brute-force.html (Rechengeschwindigkeit: 2096204400 Schlüssel pro Sekunde (Keys/sec))
10 / 35
Wie erstelle ich ein sicheres Passwort?
●
DbiR&DSd90M!
•
●
HausLocherTasteMelone
•
●
Merksatz: »Der Ball ist Rund & das Spiel dauert 90 Minuten!«
Wortreihung
2UrN47oCfK6jAZ8xuKHiop4upPsI73
•
Passwortgenerator
11 / 35
Passwortverwaltung
Wichtig: Für jeden Dienst ein anderes Passwort verwenden!
Software: Keepass
Vorteile
●
Open Source
●
Viele Plattformen
•
●
Nachteile
●
•
Win, Linux, Mac, Android
Passwortgenerator
Masterpasswort
●
Komfort
•
●
Verschlüsselt gespeichert
Darf nicht vergessen oder
geknackt werden!
Kein Sync zwischen
verschiedenen Geräten
12 / 35
13 / 35
E-Mail Anbieter
Quelle: http://apps.opendatacity.de/prism/de
14 / 35
Alternativen zu „kostenlosen“ E-Mail Anbietern
●
Posteo.de
●
mailbox.org
Vorteile
●
Standort in Deutschland
●
Datensparsamkeit
●
Keine Inhaltsanalyse
●
Keine Werbung
●
Anonyme Nutzung möglich
●
Datenschutz hat Priorität
Nachteile
●
Kostet 1,- € pro Monat
15 / 35
E-Mail Verschlüsselung (PGP)
Vorteile
●
●
Inhalt Ende-zu-Ende
verschlüsselt
Nachteile
●
●
Sender & Empfänger sind
eindeutig
Metadaten unverschlüsselt
Sender & Empfänger
müssen PGP nutzen
Benötigte Software:
●
E-Mail Programm: Thunderbird
●
Add-on: Enigmail
16 / 35
Unterschied Symmetrische / Asymmetrische Verschlüsselung
●
●
Symmetrische Verschlüsselung (secret key)
•
Wie analoge Schlüssel
•
Ein Schlüssel zum ver- und entschlüsseln
•
Alle Teilnehmer brauchen den Schlüssel
Asymmetrische Verschlüsselung (public key)
•
Schlüsselpaar
17 / 35
Wie funktioniert PGP (Pretty Good Privacy)?
●
Asymmetrische Verschlüsselung
●
Schlüsselpaar: privater und öffentlicher Schlüssel.
●
Öffentlicher Schlüssel:
●
•
verschlüsselt die E-Mail
•
gibst du deinen Kommunikationspartnern
Privater Schlüssel:
•
entschlüsselt die E-Mail
•
bleibt privat, gibst du niemals raus!
18 / 35
19 / 35
Verbreitung von PGP
Quelle: https://sks-keyservers.net/status/key_development.php
20 / 35
Tracking beim Browsen vermeiden
Quelle: https://trackography.org/
21 / 35
Wie kann mich eine Website identifizieren?
●
Cookies
•
●
Passive Merkmale
•
●
Textdateien mit Informationen über besuchte Webseiten
IP-Adresse, Sprache, Browser, Betriebssystem
Aktive Merkmale (Javascript, Flash)
•
Schriftarten, Browserplugins, Bildschirmauflösung, uvvm.
=> Eindeutiger Browser Fingerabdruck
22 / 35
Wie kann ich mich vor Tracking schützen?
●
Browserwahl
•
●
●
Firefox, Chromium, Opera
Browsereinstellungen
•
Cookies deaktivieren
•
Do-not-Track Option
Suchmaschinen
•
Ixquick / Startpage / DuckDuckGo etc.
23 / 35
Wie kann ich mich vor Tracking schützen?
●
Browsererweiterungen
•
Tracker blocken (FB, Google, etc): Ghostery
•
Hartnäckige Cookies löschen:
•
Webseiten verschlüsselt anfordern: HTTPS Everywhere
•
Werbung blocken:
uBlock Origin
•
Referer blocken:
RefControl (Vorsicht!)
•
Aktive Seitenelemente blocken:
NoScript (für Profis)
Better Privacy
24 / 35
TOR (The Onion Router)
Was ist TOR?
●
Netzwerk zur Anonymisierung von Verbindungsdaten
●
IP-Adresse wird verschleiert
Vorteile
●
Anonymes Surfen
Nachteile
●
●
Langsam
Login bei personalisierten
Seiten nicht sinnvoll
25 / 35
26 / 35
27 / 35
28 / 35
29 / 35
Festplattenverschlüsselung
Software: Veracrypt
•
Weiterentwicklung von Truecrypt
•
Software zur Datenverschlüsselung
Was kann ich mit Veracrypt machen?
•
Verschlüsselte Container (Ordner) erstellen
•
Komplette Festplatte verschlüsseln
•
USB-Sticks und andere Wechseldatenträger verschlüsseln
30 / 35
Veracrypt
Vorteile
●
Plattformübergreifend
•
Win, Mac, Linux
●
Freie Software
●
Kompatibel zu Truecrypt
Nachteile
●
●
Komfort
Passwort vergessen?
=> Daten weg!
31 / 35
Verschlüsselung von Chats
Software: Pidgin
●
Chatprogramm
●
Beherrscht alle gängigen Chat-Protokolle
•
ICQ, MSN, Facebook-Chat, Jabber
Plugin: OTR (Off-The-Record)
●
Chat wird verschleiert
●
Kommunikationspartner sind eindeutig
32 / 35
Chatdienst
Jabber
●
Dezentraler Service
•
Jeder kann einen Jabber-Server betreiben
●
Quelloffenes XMPP-Protokoll
●
Gruppenchats möglich
33 / 35
Weitere Projekte
●
●
●
freifunk: freie, eigene Internet-Infrastruktur mit offenen
WLANs (auch in Bielefeld)
Anti-Zensur-DNS: gegen Internetzensur
Tails (The amnesic incognito live system): Anonyme LiveDVD
Noch in Entwicklung:
●
p≡p (Pretty Easy Privacy): Einfach zu bedienende E-MailVerschlüsselung für Outlook, Thunderbird, iOS, Android
(kompatibel zu PGP)
34 / 35
Kontakt & Termine
E-Mail: [email protected]
Homepage: https://hsg.digitalcourage.de
Treffen der Hochschulgruppe:
Erster Montag des Monats im SozCafe in X C2-116, 18uhr.
Es liegt außerdem eine Liste aus, auf der man sich in
unseren Newsletter eintragen kann.
35 / 35