Embed Size (px)
Citation preview
Cryptoparty
Florian Wilde
basierend auf „Cryptoparty an der LMU“ von Michael Weiner
26. Oktober 2015
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Fahrplan
Über den Veranstalter und Cryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Fahrplan
Über den Veranstalter und Cryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Die Veranstalter
I Chaos Computer Club München e.V.I Forum InformatikerInnen für Frieden
und gesellschaftliche Verantwortung e.V.I Medienzentrum München (MZM)
Institut für Medienpädagogik in Forschung und PraxisJFF – Jugend Film Fernsehen e.V.
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Die Cryptoparty
I Weltweite Bewegung von technisch interessiertenI Ziel: Datensicherheit für jedermannI Themen sind z.B.
I Kommunikation: E-Mail, Anrufe, ChatI Datenspeicherung und -weitergabeI Veröffentlichen von InformationenI Passwörter
I Aus Zeitgründen beschränken wir uns heute aufI Passwort-ManagementI Anonyme(re)s Web-SurfenI E-Mail-Verschlüsselung und -SignaturI . . . und mehr auf Anfrage, wenn noch Zeit ist
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Fahrplan
Über den Veranstalter und Cryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Warnhinweise
I 100% Sicherheit gibt es nichtI Absichern heißt, Angriffe teurer zu machen
I Die Kosten für den Angriffmüssen den Wert der Daten übersteigen
I Ein Angriff darf sich nicht mehr lohnenI Problem: Wert wird oft unterschätzt
I Was wir hier zeigen, ist ein AnfangI Hilft dagegen, als „Beifang“ zu endenI Gegen gezielte Angriffe – auch durch Verwechslung
– benötigt es deutlich mehr
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Leitfragen
I Was soll sichergestellt werden?I Eigene AnonymitätI Echtheit des Gegenübers (Authentizität)I Unverfälschtheit der Nachricht (Integrität)I Geheimhaltung der Nachricht (Vertraulichkeit)I . . .
I Wem vertraut Ihr?
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Vertrauen
Woher weiß man, wem man vertrauen kann?
I Kurze Antwort: weiß man nichtI Lange Antwort
I es gibt Fragen, die man stellen kann. . .I . . . und es gibt das Bauchgefühl
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Welche Fragen kann man stellen?
Beispiel: Wo sind meine Daten?I Auf einem Blatt Papier zuhause in meiner Schublade.I Auf meinem Computer:
I Wie gut ist die Software überprüfbar,die meine Daten verwaltet?
I Open Source (in menschenlesbarer Form öffentlich):gut überprüfbar
I Closed Source (menschenlesbare Form geheim):quasi nicht überprüfbar
I In der CloudI Wer betreibt einen Dienst?I Womit verdient der Betreiber sein Geld?I Wem könnten die Daten Nutzen oder Schaden?I Welche zusätzliche Daten fallen beim Betreiber an?
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Meta- und Nutzdaten
I Meta-/Verbindungsdaten (“Briefumschlag”)I Absender, Empfänger, Betreff einer E-MailI Besuch und Aufenthaltsdauer auf einer WebseiteI Wer, wann, wie lange mit wem telefoniertI Aufenthaltsort von Mobiltelefonen: Bewegungsprofil!
I Nutz-/Inhaltsdaten (“Brief”)I E-Mail-Text und -AnhängeI Webseiten-InhalteI Gesprochene Sprache beim TelefonierenI SMS-Inhalt
Metadaten zu verschlüsseln ist nicht möglich,sie zu verschleiern schwierig.
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Symmetrische Kryptographie
I Jahrtausende altes KonzeptI Ein Schlüssel zum Ver- und Entschlüsseln,
den alle Beteiligten kennenI Problem: Schlüsselaustausch
I Wer den Schlüssel kennt, kommt auch an die DatenI Wer den Schlüssel manipuliert, kontrolliert die Daten
I Wird überall verwendet, um Inhalte zu verschlüsseln
Bildquelle: https://de.wikipedia.org/wiki/Symmetrisches_Kryptosystem
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Asymmetrische Kryptographie
I Prinzip: Schlüssel besteht aus einer privaten undeiner öffentlichen „Hälfte“
I Öffentlichen Teil darf/muss man weitergebenI Privaten Teil muss man unbedingt geheim halten
I Wird verwendet, um vertraulichen Kanal aufzubauenI Problem weiterhin: Authentizität des öffentlichen Teils
Bildquelle: https://de.wikipedia.org/wiki/Asymmetrisches_Kryptosystem
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Asymmetrische Kryptografie – Anwendungen
I VerschlüsselungI Absender verschlüsselt
mit öffentlichem Teil des GegenübersI Nur Gegenüber
kann mit privatem Gegenstück entschlüsselnI Digitale Signatur
I Absender unterschreibt mit eigenem privaten TeilI Jeder kann mit öffentlichem Gegenstück überprüfen
Es ist mathematisch komplex und benötigt Jahrtausende,um aus einer Signatur oder dem öffentlichen Teilden privaten Teil zu berechnen
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Fahrplan
Über den Veranstalter und Cryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Passwörter
Wer hat mindestens fünf Online-Accounts?
Wer hat dafür mindestens drei verschiedene Passwörter?Wer beachtet, Passwörter nur über HTTPS einzugeben?
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Passwörter
Wer hat mindestens fünf Online-Accounts?Wer hat dafür mindestens drei verschiedene Passwörter?
Wer beachtet, Passwörter nur über HTTPS einzugeben?
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Passwörter
Wer hat mindestens fünf Online-Accounts?Wer hat dafür mindestens drei verschiedene Passwörter?Wer beachtet, Passwörter nur über HTTPS einzugeben?
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Anzahl Passwörter
I Kundendaten gehen häufig verlorenI Schaden lässt sich begrenzen, wenn Benutzername
und Passwort nur bei diesem einen Anbieter passenI Besonder wichtig: E-Mail Accounts
I Weil „Passwort zurücksetzen“ oft via E-MailI Wer den E-Mail Account übernommen hat,
kann dadurch sämtliche Accounts übernehmenI Ideal: Jedes Passwort nur einmal verwendenI Alternative: Passwörter „salzen“
I passwort.amz für Onlineshop aI passwort.zal für Onlineshop zI anderespasswort für Mails
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Sichere Passwörter
Anforderungen
I Klein- und Großbuchstaben, Zahlen,begrenzt: Sonderzeichen
I Wichtiger: Lang genug!
MerkbarkeitI Geschichte dazu ausdenkenI Melodie und Rhythmus rein bringen
I Gehirn kann sich Melodien besonders leicht merkenI Ermöglicht schnelles eintippen
I Längere Passwörter sind weniger nervigI Passwort mitlesen ist schwieriger
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Passwort Länge vs. Zeichensatz
Quelle: http://xkcd.com/936/
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Passwort-ManagerI Software zur Verwaltung von PasswörternI Kann automatisch komplexe Passwörter erzeugenI Datenbank wird mit Master-Passwort verschlüsselt
I Anzahl der zu merkenden Passwörter geringerI Beispiel: KeePassX (Open Source)
I Wichtige Passwörter trotzdem merken!I . . . oder zumindest auf einem Zettel aufschreiben
und zuhause an einem sicheren Ort lagern
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Fahrplan
Über den Veranstalter und Cryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Problem: Trackbarkeit
I Cookies und Co (HTML5 Persistent Local Storage,Flashcookies, . . . )
I Browser-FingerabdruckI IP-Adresse
Nicht nur die NSA, auch jede Websiteund jeder Werbeanbieter kann einen (wieder-)erkennen
Tools zur Aufklärung
I EFF: PanopticlickI Wired: Datenblumen
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Schutzmaßnahmen – Level 1Nur Einstellungen ändern
I Standardsuchmaschineauf datenschutzfreundliche Anbieter ändern, z.B.
I DuckDuckGoI StartpageI ixquick
I Cookies verbieten, nur selektiv erlaubenI Firefox: about:preferences
I Add-Ons auf „Click-to-use“ stellenI Firefox: about:addons
Eventuell:I Blockierung von „bösen“ Webseiten abschaltenI Statusberichte des Browsers abschalten
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Schutzmaßnahmen – Level 2Plug-Ins installieren
I Adblocker –Schadsoftware immer öfter über Werbeanzeigen!
I Adblock Edge = Adblock Plus ohne „acceptable Ads“I NoScript
I Erlaubt gezieltes ein-/ausschalten von Java,JavaScript etc.
I EFF: HTTPS-EverywhereI Nutzt automatisch HTTPS, falls von Seite unterstütztI Benutzt lokale Liste der Seiten, keine Online-Abfrage
I RefControlI HTTP-Referrer = von welcher Seite komme ich
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Schutzmaßnahmen – Level 3Neue Programme installieren oder benutzen
I TOR Browser Bundle (Open Source)I Mehrere Verschlüsselungsschichten,
wie in einer Zwiebel (TOR = The Onion Router)I Datenstrom fließt über mehrere „Bridges“,
jede kennt nur den Schlüssel für ihre SchichtI Fingerabdruck bei allen TOR Browsern identischI Hohe Sicherheit, aber Prinzip bedingt langsamer
I Tails (OpenSource)I Abgesichertes Betriebssystem inkl. TORI Schützt vor Schadsoftware,
die aus dem Browser ausbrichtI Live System = kann direkt von CD gebootet werden
hinterlässt keinerlei Spuren am PCI Sieht auf Wunsch nach Windows aus
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Fahrplan
Über den Veranstalter und Cryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
E-Mails: Was soll geschützt werden?
E-Mails könnenI abgehörtI gefälscht
werden. Deshalb stellen wir vor, wie manI die Vertraulichkeit (das „Briefgeheimnis“) umsetzt
⇒ VerschlüsselungI die Echtheit des Gegenübers sicherstellt
⇒ Digitale SignaturAußerdem:
I Wie man sicherstellt, dass sein E-Mail Passwortnicht einfach mitgelesen werden kann
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Analogie zur Vertraulichkeit von E-Mails
I E-Mails sind „Postkarten“I Transportiert in „gläsernen Fahrzeugen“
I „Autobahnbetreiber“ kann alles mithörenI „Post“ kann alles mithören
I Bei Transportverschlüsselung ersetzt die „Post“„gläserne Fahrzeuge“ durch „blickdichte Fahrzeuge“
I „Autobahnbetreiber“ kann mithören,wann welche „Post“ mit welcher „Post“ redetaber nicht Passwort, Empfänger, Betreff, etc.
I „Post“ kann alles mithörenI Bei Ende-zu-Ende-Verschlüsselung steckt der
Absender die „Postkarte“ in einen „Briefumschlag“I „Autobahnbetreiber“ und „Post“ können mithören,
wann wer mit wem wie viel kommuniziertaber nicht den Inhalt!
I Unbedingt beides kombinieren!
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Überprüfung der EchtheitWas, wenn A eine Nachricht an B schicken will,aber den öffentlichen Schlüssel von B nicht kennt?
1. Im “Telefonbuch” nach dem Schlüssel suchen2. Echtheit mit Hilfe eines vertrauenswürdigen Dritten C
überprüfen
C
beze
ugt Ec
hthe
it
des
öff. S
chlü
ssel
s
BA
vertraut (direkt)
vertraut (indirekt)
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Wie stellt man Vertrauen her?
I S/MIME – Hierarchischer VertrauensansatzI Es gibt „zentrale Vertrauensinstanzen“ (Certification
Authorities, CAs), denen jeder vertrautI Diese bestätigen die Echtheit der Schlüssel
von untergeordneten CAsI Eine beliebige CA aus der Vertrauenskette
kann einer Person einen Schlüssel zuordnenI wird hier nicht behandelt
I GnuPG – Dezentraler VertrauensansatzI jeder kann festlegen, wem er vertraut
I er kann die Echtheit eines Schlüsselsz.B. bei einem persönlichen Treffen überprüfen
I jeder kann sein Vertrauensnetz veröffentlichen(Web-of-Trust)
I Vorteil: Man kann “Freunden von Freunden” vertrauenI Nachteil: Beziehungen zwischen Menschen öffentlich
Aber: Facebook sagt da viel mehr ausI wird hier behandelt
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Fahrplan
Über den Veranstalter und Cryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Cryptoparty
Florian Wilde
Über denVeranstalter undCryptopartys
Grundlegendes
Passwörter
Web-Surfen
Fragen, Feedback
Fragen, Feedback, ...
I Her damit!I Fragen an alle Helfer (bitte gebt Euch zu erkennen :-)I Links: https://muc.pads.ccc.de/cryptoparty
