Präsentation anlässlich der 1. Aargauer Cryptoparty vom 27. Juni 2014 in Aarau. Organisiert von der Piratenpartei Aargau
GPG Verschlsselung -
Sicheres emailen
OPEN PGP
CC BY-SA 4.0:Kilian Brogli
GNU / GPG Mail = sichere verschlsslung Ihrer email
kommunikation
Rechte und Freiheiten, die in anderen Kommunikationsformen lngst
selbstverstndlich sind, mssen wir uns in den neuen Technologien
erst sichern
Eine normale E-Mail ist immer offen wie eine Postkarte, und der
elektronische Brieftrger - und andere - knnen sie immer lesen. Die
Computertechnik bietet nicht nur die Mglichkeiten, die vielen
Millionen E-Mails tglich zu befrdern und zu verteilen, sondern
auch, sie zu kontrollieren.
Bsp.:Skype
Windows Live Messenger
XMPP = Extensible Messaging and Presence Protocoll (frher:
Jabber; wird auch als Grundlage fr WhatsApp, Google Talk und
iMessage genutzt)
Agenda
Installation von Thunderbird
Installation von Gpg4win
Installation Enigmail
Basis-Einstellungen mit dem Assistenten
Schlsselerzeugung
Der Widerruf und eigene Schlssel hochladen
Eine Email versenden
WhatsApp am schnellsten wachsender Internet-Dienst der
Geschichte2009: WhatsApp Inc. KalifornienSMS-Ablsung
Instalation von Thunderbird
Als E-Mail Client (Programm) verwenden wir Thunderbird-Mail, den
wir auf dessen deutscher Homepage herunterladen und Installieren,
falls noch nicht geschehen. (sonst einfach die heruntergeladene
Datei vom Memory Stick ausfhren.)
Das Einrichten eines E-Mail-Kontos wird im Folgenden ebenfalls
als bereits vollendet vorausgesetzt.
WhatsApp war nie fr Datenschutz und sichere Kommunikation
bekannt:Lange Zeit Verschlsselung mit unsicherem RC4
Angebotene Backup-Optionen speicherten Daten im Klartext
Andere Android-Apps konnten und knnen WhatsApp-Nachrichten
komplett auslesen.
http://bas.bosschert.nl/steal-whatsapp-database/#comment-83
Sicherheitsberater / Sysadmin / Unternehmer Bas Bosschert:
Facebook htte WhatsApp gar nicht kaufen mssen, um an die Chats der
Nutzer zu kommen. (Eingangszitat)
Installation von Gpg4win
Gpg4win beinhaltet die GnuPG (GPG) Kryptokomponenten. Diese
erzeugen und verwalten Schlssel und ver- und entschlsseln Emails
und Dateien. Im Prinzip kann man die Installation durchklicken,
optional kann man jedoch die Outlook Erweiterung abwhlen.
WhatsApp war nie fr Datenschutz und sichere Kommunikation
bekannt:Lange Zeit Verschlsselung mit unsicherem RC4
Angebotene Backup-Optionen speicherten Daten im Klartext
Andere Android-Apps konnten und knnen WhatsApp-Nachrichten
komplett auslesen.
http://bas.bosschert.nl/steal-whatsapp-database/#comment-83
Sicherheitsberater / Sysadmin / Unternehmer Bas Bosschert:
Facebook htte WhatsApp gar nicht kaufen mssen, um an die Chats der
Nutzer zu kommen. (Eingangszitat)
Installation Enigmail
Um Enigmail als Plugin fr Thunderbird installieren zu knnen,
muss Thunderbird gestartet werden
Im Thunderbird Men whlt man Add-on aus um Enigmail suchen und
finden zu knnen.
Was heit berhaupt sicher?
Dass die Nachricht, die ich versende, nur denjenigen erreicht,
fr den sie gedacht ist.
Dass niemand mit meiner Identitt Nachrichten versendet.
Dass die Nachrichten auch von der Person stammen, von der sie
kommen scheinen (Authentifizierung).
Installation Enigmail
Im Suchfeld enigmail eingeben, suchen und installieren
Security-Audit: Anerkannte Experten berprfen Quellcode mit
Verschwiegenheitsvereinbarung. Birgt Restrisiko.
Exernes IT-Sicherheitsaudit muss fr jede neue Version neu
durchgefhrt werden Verzgerung! Wirtschaftlichkeit?
Wer prft? TV Sd, ADAC oder Bruce Schneier? :)
Grenzen Open Source: Befrchtung, dass bei Verffentlichung des
Quellcodes Drittanbieter den Messenger kostenlos anbieten und so
die Finanzierung des Dienstes nicht mehr gewhrleistet ist.
Installation Enigmail
Thunderbird muss nun neu gestartet werden.
Thunderbird hat nach dem Neustart enigmail als Plugin und
startet automatisch den Assistenten zur Schlsselerstellung.
Einrichten
Basis-Einstellungen mit dem Assistenten
Wir gehen davon aus, dass Sie noch keine PGP-Schlssel haben um
Emails verschlsseln zu knnen. Daher benutzen wir den OpenPGP
Assistenten um ein paar Optionen setzen zu lassen und ein
Schlsselpaar zu erstellen. Der Assistent sollte automatisch
starten.
Authentifizierung:Erkennung von Man-in-the-Middle-Attacken
Abstreitbarkeit:
Im Augenblick des Nachrichtenempfangs ist jedoch die
Authentifizierung gewhrleistet.
Einrichten
Unterschreibt man alle Mails, erkennen Empfnger schneller, dass
man auch verschlsselte Emails empfangen kann. Auerdem kann der
Empfnger sich den passenden public key vom Keyserver laden
(Enigmail kann das auch automatisch).
PFS = Folgenlosigkeit
OTR ( Off-the-Record) bietet Authentifizierung, Abstreitbarkeit
und PFS
Achtung: Voraussetzung ist immer ein sicheres Endgert!
Einrichten
Die allermeisten Empfnger werden (leider noch) keine
Email-Verschlsslung mit PGP benutzen, daher sollten Emails nur dann
automatisch verschlsselt werden, wenn man einen Schlssel fr den
Empfnger hat. Genau dies wird im folgenden Dialog eingestellt.
1 PlattformenAndroid und iOS hatten 2013 zusammen 94%
Marktanteil
3.+4.: Gruppenchats + asynchrone KommunikationUnterscheidung
verschlsselt (wie?) und unverschlsselt
Einrichten
Dringend sollte im Folgenden die automatische Anpassung der
Optionen gestattet werden, damit knnen viele Fehler vermieden
werden.
5. bertragung TelefonbuchOptional = gut und praktisch = grn
Automatisch = schlecht = rot
6. Leichte BedienbarkeitIntuitiv
So leicht wie WhatsApp (schlielich wird Alternative hierzu
gesucht ;))
Verschlsselung soll keinen zustzlichen Aufwand machen
Kein Risiko, doch unverschlsselt zu kommunizieren
Benutzeroberflche auf deutsch
Verstndliche Infoseite mit FAQ etc. auf Deutsch verfgbar
Keine Verbindungsabbrche, verzgerte
Nachrichtenbermittlung,...
Authentifizierung praktikabel mit klarer Anzeige der sicheren
Kontakte und verschlsselten Nachrichten
Schlsselerzeugung
Nun soll endlich ein Schlsselpaar erzeugt werden. Ein Paar? Ja,
denn bei der assymetrischen Kryptografie gibt es einen ffentlichen
Schlssel den jeder kennen darf und einen privaten Schlssel.
Letzteren sollte der Besitzer gut schtzen. In der Regel wird dieser
durch eine Passphrase also einen Passwort-Satz geschtzt. Letztlich
hilft ein guter Schlssel nur, wenn dieser durch ein gutes Passwort
geschtzt wird. Um dies zu verdeutlichen, heit dass Passwort hier
auch Passphrase und sollte lang (> 20 Zeiten) und komplex sein,
sprich Sonderzeichen, Gro- und Kleinschreibung und Zahlen
enthalten.
Schlsselerzeugung
Allgemein:Produkt der Firma Kasper Systems GmbH aus der
Schweiz
Server in der Schweiz
Zu 1:Universitt Amsterdam hat 12 / 2013 Threema einer
grundlegenden Sicherheitsanalyse unterzogen. Dafr wurde der
Binrcode dekompiliert, die Datenverwaltung analysiert, sowie die
Kommunikation per Man-In-The-Middle attackiert. Dabei kamen keine
Lcken zum Vorschein, die Autoren der Studie halten Threema daher fr
gut umgesetzt und sicher.
Zu 3:ffentlicher Schlssel kann per QR-Code persnlich
ausgetauscht / berprft werden. Anhand Ampelsystem ist erkennbar,
wie vertrauenswrdig ein Kontakt ist. Bedienbarkeit
Schlsselerzeugung
Zu 6:Sehr verstndliche Website des Herstellers mit umfangreichem
FAQ.
Intuitive Bedienung.
Schlsselerzeugung
Zu 2:Experten halten Verschlsselung bereinstimmend fr
schlecht
Everyone that I respect hates it Joshua Lund, Entwickler
Sonstiges:Telegram-Grnder Nikolai und Pawel Durow haben zuvor
das grte soziale Netzwerk Russlands vk.com aufgebaut.
Reagieren auf sachliche Nachfragen gerne etwas bockig und
aggressiv. ;(
Schlsselerzeugung
Zu 6:+: Sehr groe hnlichkeit zu WhatsApp.
-: Nur auf Englisch verfgbar.
-: Verschlsselte Kommunikation muss erst ber die Funktion
Secret-Chats eingestellt werden, erfolgt nicht automatisch.
Nachrichten werden im Quelltext auf dem Server gespeichert.
Widerruf
Falls man seinen Schlssel auf einen Keyserver hochldt oder
sonstwie verteilt, ist es sinnvoll, ein Widerrufszertifikat zu
erzeugen. Damit wrde ein auf einen Keyserver geladener Public Key
ungltig gemacht werden und andere knnten damit keine Emails mehr
versenden.Der Widerruf ist sinnvoll, wenn man davon ausgehen muss,
dass der eigenen Secret Key (und ggf die Passphrase) Dritten
bekannt geworden ist. Dieser Dritte kann dann nmlich alle
verschlsselten Emails mitlesen.
Zu 1:Keine Infos darber gefunden, ob schon komplette berprfung
durchgefhrt wurde.
Widerrufs zertifikat erstellen
Zu 6:Schlechte bersetzung.
Es werden immer nur die 1000 neuesten Nachrichten gespeichert.
Keine Backup-Mglichkeit.
Nicht sehr intuitiv.
Kein unabhngiges Abgleichen der ffentlichen Schlssel mglich (wie
z.B. bei Threema)
Widerrufs Zertifikat
Passphrase-Abfrage
Widderrufszertifikat Abschliessen
Fertig und mit OK besttigen. An einem sicheren Ort
speichern.
Wir empfehlen, diese auf dem Stick mit TryCrypt
abzuspeichern
Zu1:Auch Clients fr PC verfgbar.
Zu 6: Keine eigene Infrastruktur, nutzt XMPP-Server anderer
Chat-Dienste. Dadurch hufige Unterbrechungen wegen XMPP-Nutzung
insbesondere bei iOS.
Verschlsselung muss optional zugeschaltet werden, funktioniert
nicht immer zuverlssig.
Nur auf Englisch verfgbar.
Letzte Einstellung
Sinnvoll ist die folgende Einstellung im OpenPGP. Gehe dazu in
Thunderbird im Men auf OpenPGP, Einstellungen
Zudem kann auch ein separater Pfad auf den Memory Stick
eingerichtet werden
Absolute Sicherheit: die Mails im offline Modus schreiben und
verschlsseln, dann online gehen und versenden
Produkt von OpenWhisperSystems, welche mit RedPhone auch eine
End-to-End-verschlsselte Telefonapp anbietet. Geplant:
Verschmelzung von TextSecure und RedPhone zu einer App =
Whisper)
Verschlsselung nutzt als Unterbau TextSecureV2, den
OTR-Abkmmling des renommierten Sicherheits- und Crypto-Experten
Moxi Marlinspike.
Protokolle sind gut dokumentiert und vielseitig analysiert
worden bislang keine Sicherheitsdefizite entdeckt.
Prdikat: Von Edward Snowden empfohlen (via Videokonferenz auf
Technologie-Festival South by Southwest (SXSW) im texanischen
Austin Mrz 2014)
Letzte Einstellungen
Die Einrichtung des automatischen Schlssel-Downloads zur
Signaturberprfung erleichtert die Schlsselhandhabung. Dadurch kann
Thunderbird beim Erhalt einer signierten Nachricht den Public Key
vom Keyserver besorgen, insofern dieser hochgeladen wurde.
Zu 6.Intuitiv
Grne Sprechblasen = SMS-basierte Kommunikation, blaue
Sprechblasen = Kommunikation ber einen Datenkanal
Authentifizierung ber QR-Code mglich (vgl. Threema), jedoch
keine Anzeige, welche Kontakte als sicher eingestuft werden
Zu 7: Beteiligte Programmierer untersttzen das Projekt in ihrer
Freizeit
Open Technology Fund (Stiftung, welche Projekte gegen
Menschenrechtsverletzungen untersttzt, hat 450.000 US$
gespendet.
Eigenen Schlssel hochladen
Da wir nun einen Schlssel haben, sollten wir ihn bekannt
machen.Dazu whlt man im OpenPGP Men:Schlssel verwalten,
Aktiviert Standardmig alle Schlssel anzeigen,
whlt den eigenen Schlssel aus
Rechtsklick
Auf Schlssel-Server hochladen
Weiter, fertigHinweis: Die Kommunikation mit Schlsselservern
funktioniert in der Regel nicht hinter Firmen-Firewalls.
Eine Email versenden
Nun ist es fast geschafft, endlich versenden wir die erste Email
verschlsselt. Ich schlage vor, an mich. Schreiben der Email. Unten
rechts beim Verfassen den Schlssel und den Stift aktivieren
(gelb)!
Email verschlsselt versenden
Die Qual der Wahl. Tipp: der zuletzt erstellte Schlssel ist eine
gute Wahl.
Da der Empfnger-schlssel noch nicht bekannt ist, muss man ihn
vom Keyserver herunterladen
Dieser kann auch vorgngig im Menu OpenPGP/Schlssel verwalten/Key
suchen gefunden werden
Email verschlsselt versenden
Email verschlsselt versenden
Schlssel erfolgreich importiert
Email verschlsselt versenden
Nun noch einmal die Auswahl besttigen und die erste
verschlsselte Email wird versendet.
Die Rand-/Metadaten (Sender/Empfnger sowie Betreff Zeile) sind
unverschlsselt
Klicken Sie, um das Format des Titeltextes zu bearbeiten
