Sie sind auf Seite 1von 39

Verschlüsselt kommunizieren.

Für Journalisten

Jugendmedientage 2014
19.09.2014 - Zürich

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.
Die Reise

Verschlüsseln
Vertrauen
E-Mails
Alternativen
Good Practises
Praxis

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.
Zur Person
Christian Tanner, 42 (!), verheiratet, 3 Kinder
(Aus)bildung: Philosoph
Aktuelle Aktivität: Buchverleger
Inaktive Aktivitäten: Projektleiter,
Arbeitsplaner, Verkaufsadministrator,
Buchhalter
Berufung: Pirat und XMV

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.
Verschlüsselt kommunizieren

Warum überhaupt?
Warum nicht!?

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.
Nochmals: warum?

Aber … «Wer nichts zu verbergen hat, hat


nichts zu befürchten». Oder?
Irrelevanter Unsinn!
Wer nichts zu verbergen hat, ist nicht
vertrauenswürdig!
Und lügt.
Wahrscheinlich.
Oder ist Nudist.

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.
Also: warum?

Es geht um Schutz
Schutz der Privatsphäre
Quellenschutz
Aufbau und Schutz
von Vertrauen

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.
Schutz? Vor wem?

Vor wem sind Informationen zu schützen?


Neugierige Nachbarn
Geheimdienste
Spione
Kriminelle
Werbefirmen

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.
Verschlüsseln. Schlüssel?

Kurze Verschnaufpause!

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.
Verschlüsseln. Schlüssel?

Verschlüsseln. Muss ja was mit Schlüsseln zu


tun haben
Oder doch eher mit Schlössern?
Schlösser!
Oder beides?

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.
E-Mails verschlüsseln

S/MIME
PGP / GnuPG / GPG
Beide funktionieren nach dem Prinzip der «Public
(öffentlichen) Keys» und «Private Keys»
S/MIME basiert auf einer hierarchisch
(zentralistisch) verwalteten Zertifikaten
GPG arbeitet dezentral.
Das finden wir übrigens gut!

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.
E-Mails verschlüsseln II

Kurz zurück zu den Schlüsseln


Wir sprechen zwar von öffentlichen und privaten
Schlüsseln
Eigentlich gibt es aber die Schlösser (öffentlicher
Schlüssel) und den Schlüssel (privater Schlüssel)
Ich kann unbeschränkt (digitale) Schlösser
verteilen, aber nur ich habe den passenden
Schlüssel!
Alle können Nachrichten an mich mit dem Schloss
verschliessen/verschlüsseln, aber nur ich kann sie
öffnen/entschlüsseln.
This work by Cryptoparty Aargau is licensed under a
Creative Commons Attribution 4.0 International License.
E-Mails verschlüsseln Praxis

Was braucht es?


E-Mail Client – Thunderbird
Ein E-Mail Konto
GnuPG (Linux bereits installiert, Mac OSX
GPGTools, Windows GPG4Win)
Plugin - Enigmail

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.
E-Mails verschlüsseln Praxis
Installation GPG4Win
GPG4win beinhaltet die GnuPG
(GPG) Kryptokomponenten.
Diese erzeugen und verwalten
Schlüssel und ver- und
entschlüsseln E-Mails und
Dateien. Im Prinzip kann man
die Installation durchklicken,
optional kann man jedoch die
Outlook Erweiterung abwählen.

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.
E-Mails verschlüsseln Praxis
Installation Enigmail
Um Enigmail als Plugin für
Thunderbird installieren zu
können, muss Thunderbird
gestartet werden
Im Thunderbird Menü wählt
man Add-on aus um Enigmail
suchen und finden zu
können.

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.
E-Mails verschlüsseln Praxis
Installation Enigmail
Im Suchfeld enigmail eingeben,
suchen und installieren
Thunderbird muss nun neu
gestartet werden.
Thunderbird hat nach dem
Neustart enigmail als Plugin und
startet automatisch den
Assistenten zur
Schlüsselerstellung.

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.
E-Mails verschlüsseln Praxis
Einrichten
Wir gehen davon aus, dass Sie
noch keine PGP-Schlüssel haben
um Emails verschlüsseln zu
können. Daher benutzen wir den
OpenPGP Assistenten um ein
paar Optionen setzen zu lassen
und ein Schlüsselpaar zu
erstellen. Der Assistent sollte
automatisch starten.

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.
E-Mails verschlüsseln Praxis
Mails signieren?
Unterschreibt / signiert man alle
Mails, erkennen Empfänger
schneller, dass man auch
verschlüsselte Emails empfangen
kann. Ausserdem kann der
Empfänger sich den passenden
public key vom Keyserver laden
(Enigmail kann das auch
automatisch).

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.
E-Mails verschlüsseln Praxis
Mails systematisch verschlüsseln
Die allermeisten Empfänger werden
(leider noch) keine Email-
Verschlüsslung mit PGP benutzen,
daher sollten Emails nur dann
automatisch verschlüsselt werden,
wenn man einen Schlüssel für den
Empfänger hat. Genau dies wird im
folgenden Dialog eingestellt.
Dringend sollte im Folgenden die
automatische Anpassung der Optionen
gestattet werden, damit können viele
Fehler vermieden werden.
This work by Cryptoparty Aargau is licensed under a
Creative Commons Attribution 4.0 International License.
E-Mails verschlüsseln Praxis

Schlüssel (und Schlösser!) erzeugen


Jetzt können wir endlich unser Schlüsselpaar
erzeugen. Der private Schlüssel ist dabei
bekanntlich sehr sehr sehr wichtig und muss
daher mit einem guten (!) Passwort geschützt
werden.
Noch besser: Passphrase!

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.
E-Mails verschlüsseln Praxis

Passphrase?

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.
Richtig gute Passwörter

Die beliebtesten Passwörter aus der Analyse


von nahezu 130 Millionen Adobe Usern:
123456 (1'911'938 Mal!)
123456789 (446'162)
password (345'834)
adobe123 (211'659)
12345678 (201'580)
qwerty (130'832)

This work by Cryptoparty Aargau is licensed under a
Creative Commons Attribution 4.0 International License.
Richtig gute Passwörter -
richtig
Jedes Passwort nur ein einziges Mal verwenden
Keine Rückschlüsse auf Benutzer ermöglichen
Eigener Name / Geburtsdatum / des Partners / der
Kinder / Telefonnummer / SV-Nummer (!) / …
Lange Passwörter (>8 Zeichen) verwenden
Gross- / Kleinschreibung, Zahlen und
Sonderzeichen verwenden
Beispiel gefällig?
#jzt\7NT,K@@]5,
This work by Cryptoparty Aargau is licensed under a
Creative Commons Attribution 4.0 International License.
Wie merke ich mir das???

Toll! Und wie merke ich mir das?


Passphrasen!
Beispiel?
«Im Haus des sinkenden Mondes scheint die
Sonne seulement pendant qu'il fait jour!»
Inspiration: «House of the rising sun»; adaptieren;
wenn möglich: Sprachen mixen (erhöht Entropie
massiv!)

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.
Passwortmanager?

Plattformübergreifender Einsatz
KeePass (kostenlos für Linux, Windows, Android,
Windows Phone, Blackberry, iPhone, iPad)
Kompatibel mit KeePassX, welches auch unter MacOs X
läuft)
PasswordSafe (Hauptsächlich Windows, Versionen
für alle anderen gängigen Systeme existieren
auch. Ursprünglich von Bruce Schneier entwickelt)
MacOS X: integrierte
Schlüsselbundverwaltung
This work by Cryptoparty Aargau is licensed under a
Creative Commons Attribution 4.0 International License.
Passwortmanager - mehr

Browserbasiert
LastPass
Existiert auch für iOS, Android, Windows Phone und
BlackBerry (nur mit kostenpflichtigem Abonnement
nutzbar)
Datenbank ist online bei einem amerikanischen
Unternehmen gespeichert
Passwörter salted und hashed abgespeichert, aber
erinnert Euch an LavaBit

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.
Pause

Kurze Verschnaufpause
Weiter geht es mit: Praxis!

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.
E-Mails verschlüsseln Praxis

Widerrufszertifikat
Falls man seinen Schlüssel auf einen Keyserver
hochlädt oder sonstwie verteilt, ist es sinnvoll, ein
Widerrufszertifikat zu erzeugen. Damit würde ein
auf einen Keyserver geladener Public Key ungültig
gemacht werden.
Der Widerruf ist sinnvoll, wenn man davon
ausgehen muss, dass der eigenen Secret Key (und
ggf die Passphrase) Dritten bekannt geworden ist.
Dieser Dritte kann dann nämlich alle
verschlüsselten Emails mitlesen.
This work by Cryptoparty Aargau is licensed under a
Creative Commons Attribution 4.0 International License.
E-Mails verschlüsseln Praxis

Schlüssel auf Key-Server hochladen


Da wir nun einen Schlüssel haben, sollten wir ihn
bekannt machen.
Dazu wählt man im OpenPGP Menü:
Schlüssel verwalten
Aktiviert “Standardmässig alle Schlüssel anzeigen”,
wählt den eigenen Schlüssel aus
Rechtsklick
Auf Schlüssel-Server hochladen …
Weiter, fertig

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.
E-Mails verschlüsseln Praxis
Eine verschlüsselte E-Mail
senden
Da der Empfänger-schlüssel noch
nicht bekannt ist, muss man ihn
vom Keyserver herunterladen
Dieser kann auch vorgängig im
Menu OpenPGP - Schlüssel
verwalten - Key suchen gefunden
werden.
Die Qual der Wahl. Tipp: der zuletzt
erstellte Schlüssel ist oft eine gute
Wahl :)
This work by Cryptoparty Aargau is licensed under a
Creative Commons Attribution 4.0 International License.
E-Mails verschlüsseln Praxis

Verschlüsselte E-Mail
senden: Wichtige Hinweise
Vor dem Senden prüfen, ob
der Schlüssel aktiviert ist
(Nachricht wird verschlüsselt
gesendet)
Betreff und Metadaten sind
unverschlüsselt (!)

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.
E-Mails verschlüsseln Praxis

Verschlüsselte E-Mails: Good Practises


Auf verschlüsselte Nachrichten immer
verschlüsselt antworten.
Betreff-Zeile soll keine Rückschlüsse auf Inhalt
zulassen.
Keine wiederkehrenden Grussformeln /
Absenderinfos in verschlüsselten Nachrichten.
Encrypt everything

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.
Die Vertrauensfrage
Jeder öffentliche Schlüssel kann signiert werden.
Was diese (elektronische) Signatur bedeutet, ist
eine beinahe philosophische Frage:
a) «Ich bestätige, dass es sich bei diesem
Schlüssel um den Schlüssel von Person X
handelt und dass ich deren Identität seriös
geprüft habe»
b) «ich bestätige, dass ich diesem Schlüssel
vertraue»

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.
Die Vertrauensfrage II

Tendenziell b)
Die wenigsten sind ausgebildet im Erkennen von
richtigen oder falschen Legitimationsausweisen.
Es ist auch legitim, wenn Personen anonym
bleiben wollen.
Dennoch kann mit einer Signatur bestätigt
werden, dass mit dieser «Identität» sicher
kommuniziert werden kann.

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.
Die Vertrauensfrage III

Wie prüfen?
(digitaler) Fingerprint
Verschlüsselte Nachricht mit Frage senden und
telefonisch (oder auch per verschlüsselter
Nachricht) die Antwort anfragen
Persönlich (bspw. Cryptoparty)

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.
Die Vertrauensfrage IV
Falls Ihr einem Schlüssel vertraut, signiert ihn.
Nach dem Signieren wieder auf Key-Server
hochladen.
Bei Personen, die anonym bleiben wollen, dürft Ihr
den signierten Schlüssel nicht hochladen, resp.
müsst Ihr Eure Signatur als «nicht exportierbar»
kennzeichnen.

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.
Alternativen zu E-Mail & GPG

Betreffzeile, Headerinformationen und


Randdaten sind niemals verschlüsselt.
TOR mit Plugin TorBirdy können teilweise helfen
BitMessage ist eine neuere Alternative, welche
vollständig dezentral und vollständig
verschlüsselt funktioniert
Wir finden das gut!
BM-NB8qiHzUWQD6G8kJ7YsQ4bpknoiT97tm

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.
Alternativen zu E-Mail & GPG II

p≡p (Pretty Easy Privacy) ist eine neue


(Schweizer) Initiative, welche – im
Gegensatz zu vielen anderen – sehr (ProtonMail)

vielversprechend ist. Automatische


Schlüsselverwaltung, sowie Ausdehnung auf
Webmail, Instant Messenger, SMS, etc.

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.
Ressourcen

Website der Cryptoparty Aargau


Cryptoparty der Cryptoparty Aargau. Nächster
Termin: 28.11.2014
EthACK.org
Freedom of the Press Foundation
Whistleblowing Plattform secure drop (von
Aron Swartz entwickelt)

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.
Fragen?

Ihr habt Fragen?


Ich habe eventuell Antworten

This work by Cryptoparty Aargau is licensed under a


Creative Commons Attribution 4.0 International License.