hyteck-blog/content/post/Cryptoparty.md

151 lines
8.9 KiB
Markdown

---
title: "Cryptoparty für Aktivisti"
date: 2019-09-16T18:18:10+02:00
draft: true
image: ""
categrories: ['Deutsch']
tags: ['security', 'deutsch']
---
# Glossar
Browser: Programme die Internetseiten und anderes darstellen. Beispiel Firefox, Google Chrome oder Safari
Cookies: Kleine Dateien die Websiten auf eurem Computer anlegen und auch abrufen dürfen.
# Was und warum
Dies soll ein Guide für Menschen sein, die ihren Alltag aber vielleicht auch ihren Aktivismus etwas sicherer machen wollen. Um die Länge des Guides in Grenzen zu halten, werden Dinge teils verkürzt, wichtiges weggelassen und vieles gar nicht behandelt. Zudem bin ich kein Profi was diese Themen angeht, ich versuche lediglich mein begrenztes Wissen und meine Erfahrungen weiterzugeben. Meine Erfahrungen sind dabei hauptsächlich auf Linux und Android angesammelt, ich werde aber versuchen auch zu anderen Betriebssystemen etwas zu sagen.
Aber warum das ganze. Jede*r von uns produziert Unmengen an Daten. Wir wollen wissen welche Daten wir produzieren und sie schützen. Ob das nun vor Werbefirmen, Ex-Partnern oder staatlichen Behörden ist ist eine sehr wichtige Frage, denn sie entscheidet vor was wir uns schützen müssen. Den Staat interessiert absolut nicht welche Laptop du dir zuletzt in Internet angeguckt hast dafür umso mehr warum dein Handy während der G20 Proteste in Hamburg war. Wir setzen hier einen Fokus vor allem auf staatliche Überwachung, behandeln nebenbei aber auch allgemeinere Themen.
## Verschiedenen Angriffszenarien
# Passwörter
## Was macht ein Passwort sicher?
* Länge
* Einzigartigkeit
* Speicherort (Gehirn, Zettel, Passwort-Manager)
## Passwort-Manager KeePass
* Open-Source
* Nur ein einziges Passwort benötigt
* Leicht auf alle Geräte synchronisiert
* Nie wieder Passwörter vergessen!
Nachteil: Auf fremden Geräten schwierig, lässt sich aber durch portable Version lösen
### Browser Integration
Damit die Bedienung noch leichter wird gibt es die Möglichkeit ein Plugin im Browser zu installieren, dass deine Passwörter automatisch einträgt. So erspart mensch sich Copy-Paste-Arbeit. Am besten funktioniert das mit KeePassXC unter Linux und Firefox. Ihr könnt aber einfach Mal die Plugins auf der [KeePass Homepage](https://KeePass.info) durchsuchen - es gibt fast alles was ihr euch wünscht.
## Passwort Alternativen
Es gibt auch Alternativen zu Passwörtern.
* E-Mail Token: Ihr bekommt einen Link zugeschickt über den ihr euch einloggen könnt.
* Zwei-Faktor Authentifizierung: Vielleicht von der Bank bekannt. Ihr bekommt auf einem anderen Gerät (z.B. per SMS oder App) einen Code den ihr zusätzlich eingeben müsst.
* Fido2: Über spezielle USB-Sticks könnt ihr euch ohne Passwort auf Websites einloggen
* KeyFiles: Dateien (oft passwortgeschützt) die euch identifizieren/Entschlüsselung ermöglichen
# Sicher Surfen
## Wie wird mensch identifiziert?
* Browser Fingerprint (Cookies, Browser Data)
* IP-Adresse
## Browser besser machen
Nutzt Firefox! Google Chrome ist vom Datenschutz her sehr schwierig. Ihr wollt Google da nicht vertrauen. Auch wenn es vom Datenschutz her berechtigte Kritik an Firefox gibt ist er seit langem die beste Option.
* Adblocker (uBlockOrigin): Adblocker verhindern, dass bestimmte Teile einer Website (Werbung) geladen werden. Das verhindert einerseits nervige Werbung, andererseits auch, dass bestimmte Verfolgungsmethoden von Werbefirmen funktionieren. Es ist aber kein 100%-iger Schutz!
* Scriptblocker (noScript): Verhindert, dass Websiten Code auf eurem Computer ausführen können. Das führt oft dazu, dass Websiten nicht richtig dargestellt werden.
## TOR
Ist ein auf Firefox basierender Browser, der standardmäßig euren Datenverkehr mit einer Website über verschidene Verbindungspunkte schickt, sodass eure IP-Addresse verschleiert wird.
Das bedeutet jedoch nicht, dass ihr plötzlich nicht mehr Verfolgbar seid. Es schließt nur ein einziges Risiko aus.
Was TOR zusätzlich noch tut, ist euren Browser Fingerabdruck zu reduzieren. Der Fingerabdruck ist letzendlich eine Kombination aus vielen Daten wie zum Beispiel Bildschirmgröße, verwendeter Browser und vielem mehr. Beispielsweise stellt Tor die Bildschirmgröße auf einen Standardwert. Stellt ihr dennoch das Fenster auf Vollbild gebt ihr eine weitere kleine Information weiter.
# E-Mail Encryption
## Grundlage: PGP
Wenn wir über E-Mail Verschlüsselung sprechen müssen wir erstmal kurz über die Grundlagen von Verschlüsselung sprechen.
Es gibt symmetrische und asymmetrische Verschlüsselung: Bei der symmetrischen Verschlüsselung macht mensch einen gemeinsamen Schlüssel aus (z.B. wir verschieben jeden Buchstaben um 4 Zeichen). Die Empfängerin der Nachricht muss dann nur die Operation wieder rückgängig machen. Das funktioniert sehr einfach und wird in der Kryptographie viel genutzt. Problem ist aber, der Tausch des Schlüssels. Denn dieser muss ja allen bekannt sein. Und hier kommt asymmetrische Verschlüsselung ins Spiel. Hier gibt es zwei Schlüssel: Einen öffentlichen und einen privaten Schlüssel. Wenn Person A nun Person B eine Nachricht senden will nimmt sie den öffentlichen Schlüssel von B und verschlüsselt damit die Nachricht. Der Clou dabei ist, dass die Nachricht mit dem öffentlichen Schlüssel nicht wieder entschlüsselt werden kann. Das funktioniert nur mit dem privaten Schlüssel auf den nur B Zugriff hat. Wie es im Detail funktioniert ist dabei gar nicht so wichtig. Wichtig ist, dass der öffentliche Schlüssel allen bekannt sein darf, der private jedoch geheim bleiben muss.
Für E-Mail Verschlüsselung nutzen wir daher PGP. PGP ist ein asymetrischer Verschlüsselungsalgorithmus der 1991 entwickelt wurde. Er kann als generell sehr sicher gesehen werden.
Wir schauen uns jetzt an, wie wir unsere E-Mails mit PGP verschlüsseln.
## Thunderbird und Enigmail
## Open Keychain und K-9 Mail
### K9 Mail
K9-Mail ist ein E-Mail Client für Android. Er ist Open-Source.
### Open Keychain
Open Keychain ist eine Open-Source App für Android mit der PGP Schlüssels verwaltet werden können. Sie ist ziemlich einfach zu bedienen und integriertert sich in K9-Mail sodass auch vom Mobiltelefon aus verschlüsselte Mails gesendet& empfangen werden können
# Messenger
Gruppenfrage: Was habt ihr für Messenger?
mögliche Antworten
* WhatsApp
* Signal
* Telegram
* Threema
* Matrix
Gruppenfrage: Für wie sicher haltet ihr die Messenger (Handzeichen)?
## Was wollen wir?
* Verschlüsselt
* Open Source
* Anonyme Identifizierung
* Anbieter der kein finanzielles Interesse an unseren Daten hat
* Metadatenverschleierung
* Dezentral
## Messenger Matrix
Was ich jetzt hier für euch habe ist eine Auflistung vieler Messenger mit ihren Eigenschaften. Lasst euch von der Menge der Zeilen nicht erschrecken, wir gehen es gemeinsam durch.
# Festplattenverschlüsselung
Nicht nur Kommunikation sondern auch Daten die ihr auf eurem Rechner gespeichert habt sollen geschützt werden. Das reicht von Urlaubsfotos bis Mitgliederlisten.
Hauptsächlich müsst ihr diese vor staatlichen Institutionen schützen. Kriminelle haben nur wenig Interesse an euren Dateien, ein Virus verschlüsselt diese aber evtl. und fordert ein "Lösegeld". Gegen Kriminelle helfen hier Backups.
Aber was tut ihr wenn eure Wohnung durchsucht wird und Polizist*innen euren Laptop mitnehmen? Euer normales Passwort schützt meist vor einem Zugriff aufs Betriebssystem, allerdings liegen die Dateien unverschlüsselt auf der Festplatten, es ist daher selbst für die technisch oft nicht so begabte Polizei ein leichtes diese auszulesen. Abhilfe schafft Verschlüsselung. Diese wird von allen Betriebssystemen angeboten. Einzig bei Windows benötigt Mensch dafür die Pro Version.
Wie funktioniert die Verschlüsselung? Ihr gebt ein Passwort ein und eure Dateien werden dann mit diesem Passwort verschlüsselt. Wenn ihr euren Computer startet müsst ihr erst dieses Passwort eingeben um die Dateien zu entschlüsseln. In Freiburg hat das im Zuge der Ermittlungen gegen Linksunten Indymedia dazu geführt, dass eine Festplatte des Freiburger Studierendenrats nicht ausgelesen werden konnte.
## Vorteile:
- Festplatte kann im Fall von Verlust oder Diebstahl nicht von anderen ausgelesen werden
- ist einfach einzurichten
- sichert sehr effektiv gegen Repression
- auf jedem Betriebssystem möglich
## Nachteile:
- Startvorgang langsamer
- Passwort muss gemerkt werden
- Passwortverlust führt zu Datenverlust
# Was nicht behandelt wurde
* F-Droid: Alternativer Android AppStore
* Festplattenverschlüsselung
* Psychologie: Was muss ich an meinem Verhalten ändern
* MAC-Adressen Verschleierung: Jedes Gerät hat eine eindeutige Gerätenummer, diese lässt sich verschleiern
* Backups: Passwörter und Daten müssen zur Verfügung stehen, dafür ist eine Backupstrategie notwendig
* VPNs: Bieten keinen effektiven Schutz + wir wollen niemand vertrauen müssen
* Schutz vor Viren: Sowohl Kriminelle als auch der Staat können versuchen eure Geräte zu hacken. Schutz davor ist ein Thema für einen anderen Vortrag.