SoSe17 WS Crypto

Aus ZaPFWiki

Arbeitskreis: Irgendwas mit Crypto

Protokoll vom "25.05.2017"
Beginn: "17:00"
Ende: "19:00"
Redeleitung"Jörg Behrmann, FU Berlin;Björn Guth, RWTH Aachen"
Protokoll "Jörg Behrmann, FU Berlin"


Anwesende Fachschaften

nicht erfasst

Zusammenfassung

In diesem Workshop haben wir versucht einen Überblick über die sichere Kommunikation und Schutz der eigenen Privatsphäre in der modernen Welt zu geben.

Das zentrale Problem ist, das der Schutz der eigenen Daten, der Privatsphäre, ist unangenehm. Es ist viel einfacher seine Daten an Facebook, Google oder wem auch immer zu geben und dafür angenehm einfache Lösungen zu bekommen um die man sich nicht kümmern muss.

Aber wenn man für eine Dienstleistung nichts bezahlt, ist man selbst die Ware und aus den Daten die man anderen gibt, können Dinge abgeleitet werden, die man gar nicht teilen wollte, z.B. politische Orientierung, sexuelle Präferenzen, usw.

Schlussendlich kostet es nur wenig Mühe und meist kein Geld privatsphärefreundliche Lösungen zu nutzen.

Betriebssystem

Die wichtigste Lektion, die man unabhängig davon was man nutzt beachten muss, ist IMMER aktuelle, gepatchte, supportete Versionen von Software einzusetzen und Sicherheitsupdates möglichst sofort einzuspielen, wenn sie veröffentlicht werden.

Aktuelle Windows-Versionen telefonieren vermehrt nach Hause und man muss einiges tun um das abzustellen, gute Alternativen sind die zahlreichen Linux-Distributionen, z.B. (in alphabetischer Reihenfolge):

  • Arch Linux, Linux-Distribution für fortgeschrittene Nutzer ohne feste Releases mit gutem Wiki.
  • Fedora, sehr aktuelle Linux-Distribution, die einem zeigt was bald alle anderen Linux-Distributionen auch machen, einem aber Dinge wie DVDs anschauen schwierig machen kann.
  • Debian, stabile Linux-Distrbution mit manchmal etwas veraltetet Software, aber hervorragend für Server und erfahrene Anwender und sehr einfach Lösungen für Probleme mit ihr zu finden.
  • openSUSE Tumbleweed, Linux-Distribution ohne feste Releases von einer deutschen Firma.
  • Ubuntu, beliebte Anfänger-Linux-Distribution mit manchmal seltsamen Defaulteinstellungen.

Natürlich verbringt man immer mehr Zeit mit seinem Telefon und diese leiden nach wenigen Jahren häufig schon unter mangelnden Updates, eine gute Lösung dafür sind alternative Android-Distributionen, wie LineageOS, vormals bekannt als Cyanogenmod.

Für einzelne Geräte kann auch CopperheadOS eine gute Wahl sein, dass für sicherheitsbewusstere Nutzer gedacht ist, aber nur wenige Telefone unterstützt.

Eine wichtige Abwegung ist unter die Android die Installation der Google Play Dienste um die in der Regel kein Weg herum führt. Für erfahrene Nutzer kann das microG Framework jedoch eine Lösung sein.

Mail

Bei sicherer Mail-Kommunikation führt eigentlich kein Weg an einem richtigen Mailclient wie Thunderbird vorbei, da die etablierten Verschlüsselungslösungen nicht für Webbrowser gedacht sind.

Die beste Verschlüsselungslösung für Emails ist PGP. Unter Linux ist die Implementation GnuPG üblicherweise schon vorinstalliert, die man unter Thunderbird mit dem Add-On Enigmail nutzen kann.

Unter Windows kann man PGP mit Gpg4win nachinstalliert und ebenfalls mit Enigmail nutzen. Für MacOS gibt es GPG Suite.

Der Mailclient für Android mit den meisten Features ist K-9 Mail, der mit Hilfe von OpenKeychain auch PGP unterstützt.

Das Problem mit (geheimen) PGP-Schlüsseln ist, das man sie nicht auf nicht-vertrauenswürdige Geräte packen möchte. Das trifft aus verschiedenen Gründen auf Telefone zu, allein schon weil sie sehr einfach verloren oder gestohlen werden können. Eine gute Lösung für dieses Problem sind Smartcards wie der Yubikey oder der Nitrokey, die auch noch andere gute Nutzungsmöglichkeiten haben.

Nicht zuletzt ist die Wahl des Mailanbieters wichtig. Google und alle anderen Freemailer werden unverschlüsselte Mails lesen um sie für Werbung auszulesen. Ein sehr beliebter, zwar kostenpflichtiger, aber sehr billiger, Mailanbieter, der so etwas nicht tut ist z.B. Posteo.

Messenger und Telefonie

Der Markt für Messer auf dem Telefon ist unüberschaubar groß, mit den bekanntesten Playern auf dem Markt: WhatsApp, Telegram und Threema.

Threema kommt von einer schweizer Firma und ist leider Closed Source, was ein zu großer Wunsch nach einem Vertrauensvorschuss ist.

Telegram gehört russischen Oligarchen und wird von einer sehr intransparenten Firma entwickelt und macht regelmäßig sehr großspurige Ansagen über ihre hervorragende Verschlüsselung, die von zahllosen Forschern schon vollkommen demontiert wurde und die per default nichtmal an ist. Per default speichert Telegram dafür alle Unterhalten auf seinen Servern. Telegram ist keine gute Wahl.

WhatsApp gehört Facebook, ein hinreichend guter Grund dagegen, dafür verschlüsselt es per default alle Unterhaltungen mit einem anerkannten Verfahren, der für den Messenger Signal entwickelt wurde.

Signal ist kostenlos für Android und iOS verfügbar, unterstützt mittlerweile sogar verschlüsselte (Video)Telefonie und funktioniert sogar ohne die Google Play Dienste. Signal ist der Messenger der Wahl.

Webbrowsing

Wie allgemein ist Sicherheit gegen Annehmlichkeit eine Abwegung, die man gerade bei Browsern gut spüren kann.

Die einfachste Wahl, ist der Wechsel der Suchmachine. Gute Alternativen zu Google sind DuckDuckGo und startpage/ixquick. Gerade DuckDuckGo ist vollständig frei und kann mitentwickelt werden und funktioniert hervorragend gut, wenn man hauptsächlich englische Dinge sucht, kann aber bei deutschen Begriffen schwieriger werden.

Die grundlegendste Wahl, die man beim Browsing zum Selbstschutz machen sollte, ist der Einsatz eines Adblockers, da gerade Werbung ein Angriffsvektor für Malware darstellt. Der schnellste Adblocker derzeit ist uBlock Origin.

Ein guter Schritt darüber hinaus ist das Add-On HTTPS Everywhere, das den Einsatz von SSL auf vielen Websiten erzwingt.

Wer mehr Sicherheit und Kontrolle über seinen Browser möchte, dem seien die Add-Ons Noscript (nur Firefox) und uMatrix empfohlen. uMatrix erlaubt es einem per Host alle nachgeladenen Elemente einzeln zu erlauben bzw. zu verbieten.

Die ultimative Hilfe beim anonymen Surfen sind VPNs und Tor.

Dateisynchronisation

Die am weitesten verbreite Lösung für Dateisynchronisation ist Dropbox. Dropbox prüft allerdings alles, was man hochläd und öffnet Dropboxen für Strafverfolgungsbehörden.

Eine gute dezentrale Alternative dafür ist Syncthing. Onionshare ist eine Lösung, die das Tor-Netzwerk benutzt.

Eine deutlich größere Lösung ist Nextcloud, die Weiterentwicklung des bekannteren Owncloud, die gleichzeitig aber auch Adressbuch- und Kalendersynchronisation und viele andere Dinge bietet. Die SSL-Zertifikate zur Absicherung der Kommunikation mit seinem Nextcloud-Server bekommt man dann übrigens von let's encrypt.