Warum verschlüsseln?
Dein Leben – Deine Daten – Deine Freiheit
Arian Kriesch - @freiheitsfreund
“Paranoid” oder datenschutzbewusst?
Eine Frage des Vertrauens und der Verhältnismäßigkeit.
Speicherplatz wird immer billig...
1. Grundsatz im Internet:
Datensparsamkeit
Bewusstsein:
Wer kann auf was zugreifen?
Unverhältnismäßigkeit:
Wenn ein Akteur...
Was ist “Daten”-Sicherheit?
Authentizität
Sind Absender und Daten echt?
Signatur
Zugriffsschutz
Wer kann meine Information...
• Verteilte Speicherung und Verbindungen
• Redundantes, dezentrales Netz
• Dynamische Informationsleitung
• Weltweit
Das I...
Verschlüssellung + Authentifizierung
sind eine Frage des Vertrauens
Wem vertrauen?
Vertrauen delegieren
Hierarchisches Konzept
Netzwerk des Vertrauens
Dezentrales Konzept
z.B. SSL + HTTPS
Ze...
Vertrauen in Softwarehersteller
Open Source
Quellcode kann von jedem überprüft
werden. Kann trotzdem kommerziell
sein.
Clo...
Verschlüsselungsansätze
Transportverschlüsselung
Zwischen User und Provider
Ende-zu-Ende-Verschl.
Von einem Benutzer zum a...
Technische vs. gesetzliche Sicherheit
GG Artikel 10
(1) Das Briefgeheimnis sowie das Post- und
Fernmeldegeheimnis sind unv...
Verschlüsselung vs. Anonymität
Verschlüsselung heißt nicht automatisch, dass der
Kommunikationskanal nicht nachvollziehbar...
Grundlage: Sichere “Passphrase”
Computer können Passwörter sehr effizient “knacken”
Dazu probiert der Rechner einfach Vari...
Wer kann sich sowas merken?
“Aufschreiben” / Speichern
Viele, rein zufällige Passwörter
In entsprechendem Programm
(“Passw...
• Trojaner und Viren unterminieren jeden techn. Schutz
• Wer die Tastatur mitliest hat jede Nachricht
• Geräte-Diebstahl i...
Praktisches Beispiel: Threema statt Whatsapp
• Whatsapp is sicherheitskritisch
• Überträgt Kontaktdaten
• Unverschlüsselte...
• Wir installieren auf Wunsch GPG
(Email-Verschlüsselung)
• Wir installieren HTTPS everywhere (EFF)
• Wir tauschen GPG-Sch...
Vielen Dank für Ihre Aufmerksamkeit
Verwendete Quellen und Logos mit gesonderter Lizenz: Simple Icons von Dan Leech (Free ...
Nächste SlideShare
Wird geladen in …5
×

Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit

2.057 Aufrufe

Veröffentlicht am

Kurze Einführungspräsentation für die Crypto-Party 01 der FDP Nürnberg am 01.08.2013.

Veröffentlicht in: News & Politik
0 Kommentare
2 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

Keine Downloads
Aufrufe
Aufrufe insgesamt
2.057
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
757
Aktionen
Geteilt
0
Downloads
13
Kommentare
0
Gefällt mir
2
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit

  1. 1. Warum verschlüsseln? Dein Leben – Deine Daten – Deine Freiheit Arian Kriesch - @freiheitsfreund
  2. 2. “Paranoid” oder datenschutzbewusst? Eine Frage des Vertrauens und der Verhältnismäßigkeit. Speicherplatz wird immer billiger, Rechner leistungsfähiger. Quelle: Washingtonpost.com http://goo.gl/SqnPA und wired.com
  3. 3. 1. Grundsatz im Internet: Datensparsamkeit Bewusstsein: Wer kann auf was zugreifen? Unverhältnismäßigkeit: Wenn ein Akteur (z.B. NSA) alles liest und speichert
  4. 4. Was ist “Daten”-Sicherheit? Authentizität Sind Absender und Daten echt? Signatur Zugriffsschutz Wer kann meine Information lesen? Krypto- + Steganographie Datensicherheit Wie sicher sind Daten vor Verlust? Backups + Redundanz Anonymität Ist der Absender zurückverfolgbar?
  5. 5. • Verteilte Speicherung und Verbindungen • Redundantes, dezentrales Netz • Dynamische Informationsleitung • Weltweit Das Internet ist “ausfallsicher” Datensicherheit Wie sicher sind Daten vor Verlust? Authentizität Sind Absender und Daten echt? ideal für verkompliziert z.B. Sicherung in “Cloud” Integriert in OS und Handys Dezentral. Oft nur transportverschlüsselt. Zugriffsschutz Wer kann meine Information lesen?
  6. 6. Verschlüssellung + Authentifizierung sind eine Frage des Vertrauens
  7. 7. Wem vertrauen? Vertrauen delegieren Hierarchisches Konzept Netzwerk des Vertrauens Dezentrales Konzept z.B. SSL + HTTPS Zentrale Instanz stellt Zertifikate aus und verkauft diese z.B. Pretty Good Privacy (PGP/GPG) User signieren gegenseitig ihre Zertifikate • “Root-Zertifikate” sind z.B. in Webbrowsern eingebaut • Diese können gestohlen werden • Gesamte Kette dann unsicher (Beispiel “Diginotar”, Google- Zertifikate und Iran, 2011) • Niemand kann von jedem ein Zertifikat beglaubigen • Vertrauen hierbei also auch delegiert, nur verteilter
  8. 8. Vertrauen in Softwarehersteller Open Source Quellcode kann von jedem überprüft werden. Kann trotzdem kommerziell sein. Closed Source Schwacher Ansatz: “Security by Obfuscation” • Backdoors sind nicht nachvollziehbar • Verschlüsselung mit “Zweitschlüssel” umgehbar • Offiziell kooperieren die Hersteller mind. “gemäß den jeweils geltenden Gesetzen” wie G10. • Code ist offen zugänglich • Backdoors könnten von jedem zumindest theoretisch gefunden werden • Praktisch: Vertrauen in die Community z.B. Linux, GPG, OTR
  9. 9. Verschlüsselungsansätze Transportverschlüsselung Zwischen User und Provider Ende-zu-Ende-Verschl. Von einem Benutzer zum anderen Absoluter Minimalstandard! Emails, Online-Banking, immer einschalten! z.B. HTTPS-everywhere. Kein Nachteil • Der Anbieter hat vollen Datenzugriff • Verschlüsselung sperrt Dritte auf dem Transportkanal aus • Authentifizierung eingebaut: z.B. “Das ist wirklich meine Bank” • Auch bei Handys in Hardware eingebaut (SIM) • Z.B. HTTPS, HBCI,SIM-Verschlüsselung • Nur die Entnutzer können die Informationen entschlüsseln • Der Provider sieht und vermittelt nur Datenpakete • Authentifizierung eingebaut • Nicht automatisch anonym! • Z.B. PGP/GPG, Threema, verschlüsselte Dateien
  10. 10. Technische vs. gesetzliche Sicherheit GG Artikel 10 (1) Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich. (2) Beschränkungen dürfen nur auf Grund eines Gesetzes angeordnet werden. Dient die Beschränkung dem Schutze der freiheitlichen demokratischen Grundordnung oder des Bestandes oder der Sicherung des Bundes oder eines Landes, so kann das Gesetz bestimmen, daß sie dem Betroffenen nicht mitgeteilt wird und daß an die Stelle des Rechtsweges die Nachprüfung durch von der Volksvertretung bestellte Organe und Hilfsorgane tritt. • “G10-Gesetz” • Definiert die Eingriffsrechte der Geheimdienste und regelt die Ausnahmen zu Artikel 10 • 2011 extrem erweitert • Welcher Datenschutz gilt bei der internationalen Verarbeitung von Daten?
  11. 11. Verschlüsselung vs. Anonymität Verschlüsselung heißt nicht automatisch, dass der Kommunikationskanal nicht nachvollziehbar ist! Wichtig nicht nur für Quellenschutz, Whistleblower, sondern für jeden User. Umgehung teilweise möglich z.B. TOR Solche Software kann über Spuren im Internet verwischen • Programme wie “XKeyscore” (NSA) filtern laut Berichten gezielt nach Absendern verschlüsselter Nachrichten • PGP/GPG z.B. bettet standardmäßig Absender und Adressaten ein! Quelle: https://www.documentcloud.org/documents/743244-xkeyscore-slidedeck.html
  12. 12. Grundlage: Sichere “Passphrase” Computer können Passwörter sehr effizient “knacken” Dazu probiert der Rechner einfach Variationen aus. Passwort = Relative Sicherheit! “Brute Force” Systematisch werden alle Zeichenkombinationen durchprobiert Wörterbuchattacke Noch leichter: Wörterbucheinträge und einfache Zahlenkombinationen Niemals einfache Wörter verwenden! Buchstaben, Zahlen und Sonderzeichen kombinieren. Am besten: Völlig zufällig 6 Stellen zu knacken: Ca. 0,16 € 8 Stellen zu knacken: Ca. 400 – 800 € 11 + Stellen: Derzeit relativ sicher Tausende Passwörter in kürzester Zeit automatisch zu lösen. Für jede Anwendung / Website ein eigenes Passwort Nur dann sind andere Accounts sicher, wenn das Passwort einer Seite geklaut wird.
  13. 13. Wer kann sich sowas merken? “Aufschreiben” / Speichern Viele, rein zufällige Passwörter In entsprechendem Programm (“Passwortmanager”) mit Masterpasswort sichern Passphrase systematisch variieren z.B. Geschichte mit Zahlen und Zeichen anreichern Strapaziert weiterhin das Gedächtnis Müssen trotzdem regelmäßig geändert werden. Verlagert das Verlustrisiko auf ein einziges Master-Passwort und Gerät Vorsicht: Nicht online speichern! Passwortmanager gibt es für PC/Mac/Linux/Firefox oder Smartphones z.B. im Mac der “secure Keyring” Stärke des Menschen über den Computer: Semantik, Sinn über die Worte und Zeichen hinaus. Speichern? Aufschreiben? Eines für alles?
  14. 14. • Trojaner und Viren unterminieren jeden techn. Schutz • Wer die Tastatur mitliest hat jede Nachricht • Geräte-Diebstahl ist großes Sicherheitsproblem Grundlage 2: Sicherer Rechner Immer aktuelle Updates einspielen Am kritischsten: Webbrowser, Betriebssystem und Emailprogramm Immer Antiviren-Software verwenden Bei Windows-Rechnern Auf jedem Rechner und Smartphone ein Passwort setzen Aktuelle Android und iOS-Geräte verschlüsseln dann auch die Festplatten Jede Festplatte verschlüsseln und Backups sichern Windows: Bitlocker, Mac OS X eingebaut, Linux eingebaut.
  15. 15. Praktisches Beispiel: Threema statt Whatsapp • Whatsapp is sicherheitskritisch • Überträgt Kontaktdaten • Unverschlüsselte Nachrichten • Threema: Ende-zu-Ende verschlüsselt • Nachteil: Kein Open-Source, nicht kostenlos, nur ein Gerät je Account • Vorteil: Sehr einfache Nutzung • Adressbuchabgleich via “Hash” statt Upload der vollen Adressbücher Reiner Offline- Kontaktaustausch möglich • Ebenfalls kommerzielles Produkt Bisher nur für iOS Android Quelle Bilder: www.threema.ch
  16. 16. • Wir installieren auf Wunsch GPG (Email-Verschlüsselung) • Wir installieren HTTPS everywhere (EFF) • Wir tauschen GPG-Schlüssel aus und signieren diese • Wir aktivieren die Festplatten-Verschlüsselungen • Wir erklären auf Wunsch GPG, Jitsy, Festplattenverschlüsselung, Threema, etc. Praktische Phase
  17. 17. Vielen Dank für Ihre Aufmerksamkeit Verwendete Quellen und Logos mit gesonderter Lizenz: Simple Icons von Dan Leech (Free Art Licence, github.com/danleech/simple-icons. Folgende Icons stehen unter CC BY Lizenz und sind von www.thenounproject.com: Key designed by William J. Salvador from the Noun Project. Hard Disk Drive designed by Eddie Alshehrie from the Noun Project. Mask designed by Gilad Fried from the Noun Project. Passport designed by Katia Marsh Mallow from the Noun Project. Cloud designed by Edward Boatmanfrom the Noun Project. Conversation, designed by Murali Krishna from the Noun Project. Inspiriert von Emiland De Cubber “Dear NSA” @emilanddc. Arian Kriesch www.arian-kriesch.de @freiheitsfreund Diese Präsentation steht, bis auf anders gekennzeichnete Bestandteile, unter der Creative Commons Namensnennung – Nicht-kommerziell – Weitergabe unter gleichen Bedingungen 3.0 Unported Lizenz.

×