Challenger – Sei kein Glashaus, verschleire Deine Spuren!

Version 1

<< Stand: 01.03.2022 >>

Einleitung
Im realen Leben ist Anonymität die tagtäglich erlebte Erfahrung. Wir gehen
eine Straße entlang, kaufen eine Zeitung, ohne uns ausweisen zu müssen,
Einleitung
beim Lesen der Zeitung schaut uns keiner zu. Das Aufgeben von Anonymität
Windows Einrichten (z.B. mit Rabatt-karten o.ä.) ist eine aktive Entscheidung.
Verschlüsselung
VPNs Im Internet ist es genau umgekehrt. Von jedem Nutzer werden Profile er-
stellt. Website-betreiber sammeln Informationen (Surfverhalten, E-Mail-Ad-
Linux Distributionen
ressen), um beispiels-weise mit dem Verkauf der gesammelten Daten ihr An-
Kryptowährung gebot zu finanzieren. Betreiber von Werbe-Servern nutzen die Möglich-kei-
Kommunikation ten, das Surfverhalten website-über-greifend zu erfassen und Ge-
heim-dienste sammeln anlasslos alle Informationen, die sie zu fassen kriegen
mit ihren Abhörnetzwerken.

Verglichen mit dem Zeitunglesen läuft es auf dem Daten-highway so, dass
uns Zeitungen in großer Zahl kostenlos aufgedrängt werden. Beim Lesen
schaut uns ständig jemand über die Schulter, um unser Interessen- und Per-
sönlichkeits-profil für die Einblendung passender Werbung zu analysieren
oder um es zu verkaufen (z.B. an zukünftige Arbeit-geber). Außerdem werden
unsere Kontakte zu Freunden ausgewertet, unsere Kommunikation wird ge-
scannt, Geheimdienste sammeln kompromittierendes Material…

Neben den Big Data Firmen werden auch staatliche Maßnahmen zur Überwa-
chung immer weiter ausgebaut und müssen von Internet Providern unter-
stützt werden. Nicht immer sind die vorgesehenen Maßnahmen rechtlich un-
bedenklich.
 Windows Einrichten
Linux gilt als sehr sicheres Betriebssystem, aber manchmal gibt es Einsatzge-
biete, für die es Windows benötigt wird. Wer aber vertraulich arbeiten und
kommunizieren muss, oder die Sicherheit des eigenen Netzwerks überwa-
chen will, greift lieber zu speziellen Linux-Distributionen.

Windows 10
In Windows 10 wurde das Device-based Tracking weiter ausgebaut. Es wird
für jeden Account auf dem Rechner eine "Unique Advertising ID" generiert.
Diese ID wird auch Dritten zur eindeutigen Identifikation zur Verfügung ge-
stellt.

Privaten Daten, die Microsoft in der Standardkonfiguration sammelt:

➢ Standortdaten aller Geräte mit Windows werden an Microsoft über-

tragen. Es wird bevorzugt GPS oder die WLANs der Umgebung ge-
nutzt, um den Standort so genau wie möglich zu bestimmen.

➢ Der Windows Defender übermittelt alle installierten Anwendungen.

➢ Kontaktdaten der Freunde und Bekannten werden an Microsoft

übertragen, wenn man Tools von Microsoft als Adressbuch nutzt.

➢ Die eindeutige UUID, die Windows bei der Kommunikation mit

Microsoft-servern sendet (z.B. bei Softwareupdates), wird vom NSA
und GCHQ als Selektor für Taylored Access Operations (TAO) verwen-
det, um gezielt die Computer von interessanten Personen oder Fir-
men anzugreifen.

➢ Als besonderes Highlight gehören auch die automatisch generierten

Recovery Keys der Festplattenverschlüsselung Bitlocker zu den Da-
ten, die MS in seiner Cloud sammelt und NSA/FBI/CIA zur Verfügung
stellt.

Windows 10 den Daten Hahn abzuschrauben würde hier den Rahmen spren-
gen, weshalb ich auf die Orientierungshilfe zur datenarmen Konfiguration
von dem Arbeitskreis Informationssicherheit der deutschen Forschungsein-
richtung (AKIF) verweise.

Nützliche Programme

Es gibt verschiedene Programme für Windows welche die Sicherheitsvorkeh-

rungen noch einmal erhöhen. Password Manager, Spoofer oder Daten eraser
sind ein Teil davon. Einige dieser Programme möchte ich euch vorstellen und
erklären was sie ausmacht.
MAC-Adresse

Theoretisch lässt sich jedes Netzwerkgerät auf der Welt über seine MAC-Ad-
resse identifizieren. Eine Motivation, die eigene MAC-Adresse zu verschlei-
ern, ist der Schutz der Privatsphäre in öffentlichen WLAN-Netzen z. B. beim
Nachbarn.
Ein Grund dafür ist, dass MAC-Adressen in öffentlichen LAN- oder WLAN-Net-
zen in der Regel unverschlüsselt versendet werden. Jeder Netzwerkteilneh-
mer kann so nachvollziehen, welches Gerät im Netzwerk angemeldet ist, die
jeweiligen Hardware- Adressen auslesen.

Der Technitium MAC Address Changer ermöglicht es Anwendern, Netzwerk-

karten bequem über eine übersichtliche Benutzeroberfläche zu verwalten.
Das Freeware-Tool bietet eine Übersicht aller Verbindungen, gibt die aktuel-
len MAC-Adressen der verwendeten Hardware aus und enthält eine Funk-
tion, um diese per Knopfdruck zu ändern.

XP-AntiSpy Windows 10

Es geht im Grunde genommen um Funktionen, die in Windows-Komponenten

wie dem Internet Explorer eingebaut sind und dazu dienen, sich mit anderen
Computern im Internet zu verbinden. Vorwiegend wollen sich diese Funktio-
nen mit Microsoft verbinden, um z.B. Fehlerprotokolle nach einem schweren
Programm/Systemfehler oder die Anfrage nach neuen Updates zu senden.
Leider kann man nicht sagen, ob wirklich nur Fehlerprotokolle und Updatean-
fragen gesendet werden, und welche Daten des Benutzers mitgesandt wer-
den. Ich habe diese Installationsanleitungen nicht geschrieben, aber ich habe
mich damit beschäftigt, diese doch recht aufwändigen Schritte zu vereinfa-
chen.
KeePass – Password Manager

KeePass Für die meisten Programme und Internetdienste benötigt man heut-
zutage aus Sicherheitsgründen viele und vor allem unterschiedliche Passwör-
ter. "KeePass 2" ist perfekt, um bei einer größeren Liste an Zugangsdaten den
Überblick zu behalten.

Die Passwörter werden in einer Datenbank gespeichert und mit Rijndael 256-
Bit verschlüsselt. Diese Verschlüsselung ist überdurchschnittlich sicher und
wird unter anderem auch von Banken eingesetzt. Damit nur Sie an Ihre Da-
ten kommen, versiegeln Sie die Datenbank mit einem Master-Passwort oder
legen eine Key-Datei an, um KeePass mittels einem USB-Stick oder einer DVD
freizuschalten.

Privazer

Privazer ist ein Sicherheits-Tool für Windows, das in der Lage ist, verschie-
dene Arten von sensiblen
Daten zu löschen und so die Privatsphäre des Anwenders zu schützen. Die
auch mit deutscher Oberfläche verfügbare Software berücksichtigt zu diesem
Zweck Informationen wie Cookies, Messenger-Logs, Speicherbelegungen,
Starteinträge oder Index-Listen. Dazu scannt die Software sowohl interne als
auch extern verbundene Laufwerke, beispielsweise Festplatten, SSDs und
USB-Sticks

Die Software scannt potenziell alle angesteckten Datenträger (Interne Lauf-

werke, Externe Laufwerke, USB-Sticks, MP3-Player, SD-Karten, Netzwerkspei-
cher) nach Internet-Spuren, Cookies, Messenger-Logs, Spuren bei Software-
Nutzung, Einträgen in der Registry, Windows-Verlauf, Speicher-Belegungen,
Starteinträgen, Index-Listen, temporäre Dateien oder Log-Dateien. Unnötige
Dateien oder Dateien die Ihre Privatsphäre einschränken, löschen Sie so sehr
bequem.

Unter den Erweiterten Optionen ändert ihr noch die lösch Durchgänge, damit
sicher keine Daten wiederhergestellt werden können.

Eraser

Eraser ist ein einzigartiges Tool, das verspricht, vertrauliche Daten effektiv
von Ihrer Festplatte zu entfernen, indem es sie basierend auf sorgfältig aus-
gewählten Mustern mehrmals überschreibt. Es unterstützt derzeit Windows
XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7,
8, 10 und Windows Server 2012, 2016. Darüber hinaus ist es Freeware und
wird unter der GNU General Public License veröffentlicht. Es verwendet Da-
tenbereinigungsmethoden wie DOD 5520.22-M, AFSSI-5020, AR380-19, Ran-
dom Data und mehr.
 Verschlüsselung
Windows ist ein unsicheres Betriebssystem, da kann auch das Passwort beim
Einrichten von Windows nicht viel erledigen. Daher sollten Eure Geheimnisse
gut behütet sein. Mit dieser Anleitung verschlüsselt ihr die ganze Festplatte
mit VeraCrypt.

Ladet euch VeraCrypt runter und startet die Software. Im Hauptbildschirm

klickt ihr im Menü auf System und danach System-Partition/Laufwerkver-
schlüsseln.

Art der Systemverschlüsselung

Die Option Normal völlig ausreichend. Versteckte Verschlüsselung macht nur

Sinn, wenn jemand unter Androhung von Gewalt oder rechtlichen Konse-
quenzen zur Entschlüsselung gezwungen werden könnten.

Bereich der Verschlüsselung

Wählt Gesamtes Laufwerk verschlüsseln, damit wird der Bootloader gleich

mit verschlüsselt. Sollte das nicht zur Verfügung stehen liegt es daran, dass
im BIOS der Bootloader deaktiviert/aktiviert ist oder wegen secure-boot.
Dies tritt auch auf, wenn mehr als eine Festplatte verbaut ist.

Sollte das euch überfordern ist die Windows-Partition verschlüsseln auch

eine sehr gute Wahl und sicher gegen jeglicher Penetrationsversuch die Fest-
platte zu entschlüsseln.
Anzahl der Betriebssysteme

Die Standardoption ist Ein Betriebssystem. Mehrere Betriebssysteme ist,

wenn mehrere Betriebssysteme auf eurem Rechner gleichzeitig installiert ist.
Verschlüsselungsalgorithmus auswählen

Hier solltet ihr die Kuznyechik und RIPEMD-160 übernehmen. Nur ein mit
diesen Technologien verschlüsseltes System wie z.B. AES ist selbst nur schwer
zu knacken.

Passwort auswählen

Dies ist ein besonders wichtiger Schritt. Haltet euch an die im Fenster ange-
gebene Empfehlung und nutzt ein mindestens zwanzig-stelliges Passwort mit
einer Kombination von Groß- und Kleinbuchstaben, Zahlen und Sonderzei-
chen. Die komplizierteste Verschlüsselung ist nutzlos, wenn man euer Pass-
wort leicht knacken kann
Zufällige Daten Sammeln

VeraCrypt erzeugt in diesem Schritt den Verschlüsselungscode mit zufällig

generierten Daten durch Mausbewegungen. Automatisch erzeugte Schlüssel
gelten als unsicherer. Beweget eure Maus einfach eine Weile zufällig und
klickt dann auf Weiter.

Schlüssel erstellen

VeraCrypt zeigt hier einen Teil des erzeugten Schlüssels zur Kontrolle an.
Klickt auf Weiter.
Rettungsdatenträger

In diesen Schritt erstellt VeraCrypt einen Rettungsdatenträger. Dieser Schritt

kann übersprungen werden, es wäre ja nicht sinnlich klug für Behörden einen
Rescue Disk zu haben mit der sie euer System entschlüsseln können oder?

Sicher Löschen

Bei der Verschlüsselung kopiert VeraCrypt alle Daten in kodierter Form auf
neue Festplattenbereiche. Daten werden mit der Voreinstellung None wer-
den nur einfach gelöscht und könnten theoretisch mit Spezialtools wieder-
hergestellt werden. Wir wählen deshalb 35-Gutmann aus.
Systemverschlüsselungsvortest

Verschlüsselungs-Testdurchlauf starten Bevor VeraCrypt mit der Verschlüsse-

lung startet, steht noch ein Sicherheitstest an. Der Computer bootet dabei
neu und ihr müsst das vorher gewählte Passwort eingeben. Beginnt den Vor-
gang mit einem Klick auf Test.

System neu starten und Passwort angeben

Beim Neustart des Rechners erscheint noch vor dem Windows-Logo die Pass-
wortabfrage von VeraCrypt. Gebt hier das vorher gewähltes Passwort ein und
drückt auf Enter.
Vortest abgeschlossen

Nach dem Bootvorgang lädt VeraCrypt automatisch. Gab es keine Probleme,

könnt ihr die Verschlüsselung beginnen. Klickt dazu auf Verschlüsseln.
Eure Festplatte wird nun komplett verschlüsselt. Bei jedem Systemstart
müsst ihr das Passwort angeben. Nur dann könnt ihr auf eure Daten zugrei-
fen. Auch durch einen Ausbau der Festplatte und Zugriff von Linux auf das
Dateisystem kommt man nicht an die Daten heran.

Virtual Private Networks

Virtual Private Networks (VPNs) wurden entwickelt, um vertrauenswürdige
Endpunkte über unsichere Netzwerke zu verbinden. Ein VPN schützt gegen
folgende Angriffe:

➢ Ein VPN schützt konzeptuell gegen Angreifer, die nur den verschlüs-
selten VPN Traffic beschnüffeln könnten. Das ist das Angreifer Mo-
dell, welches die Grundlage für das Konzept ist.

➢ Außerdem ändern VPNs die eigene IP-Adresse, die ein Internetdienst

sehen kann. Ein VPN kann gegen Tracking anhand der IP-Adresse
schützen und einige Geo-IP Sperren umgehen.

➢ Ein VPN schützt NICHT gegen Angreifer, die neben dem verschlüssel-
ten VPN Traffic auch den unverschlüsselten Traffic beobachten kön-
nen, der hinter dem Server rauskommt. Als billige Anonymisierungs-
dienste sind VPNs daher NICHT geeignet.
Sicherheitsempfehlunge von BSI und NSA für VPNs mit "military
grade security"

Das BSI und die NSA geben in ihren Empfehlungen für VPNs mit hohen Sicher-
heitsanforderungen (für Regierungen, Militär u.ä.) einige allgemeine Hin-
weise, die man teilweise auch dann beachten und einfach umsetzen kann,
wenn man keine extremen Sicherheitsanforderungen hat.

Kurze Zusammenfassung der BSI und NSA Empfehlungen für sichere VPNs:

➢ Die Verwendung von irgendwelchen TLS Tunneln auf OSI Layer 4 für
VPN Verbindungen sollte vermieden werden. Das kommt auch als
nicht als Fallback in Frage (also kein OpenVPN). Die Verschlüsselung
muss auf Layer 3 erfolgen, damit auch die TCP Header verschlüsselt
sind.

➢ Für hohe Sicherheitsanforderungen wird IPsec/IKEv2 empfohlen mit

aktuellen Ciphersuiten.

➢ IP-Adressen der Endpunkte sind fest zu konfigurieren und sollten

nicht von der DNS-Namensauflösung von DNS Servern abhängen,
über die man keine Kontrolle hat.

➢ Die Authentifizierung von Nutzern sollte nicht mit Passwörtern er-

folgen, sondern mit Zertifikaten, die in einem externen Hardware
Security Modul gespeichert sind (also z.B. Nitrokey HSM). Die PKI zur
Verwaltung der Zertifikate für die Nutzer darf nicht ins Internet expo-
niert werden.

➢ Funktionen für die Remote Administration der VPN Server dürfen nur
via VPN zugänglich sein und nicht in das Internet exponiert werden,
egal welche Authentifizierung eingesetzt wird.

Wenn man konkreten Angeboten von VPN-Anbietern mit dieser Liste ver-
gleicht, dann löst sich das PR-Geblubber von "military grade security" in der
Regel ganz schnell in Luft auf.

VPN Technologien

Die für ein VPN notwendige Software steht für unterschiedliche Standards als
Open Source Software zur Verfügung:

➢ OpenVPN: ist ein Klassiker. Die Software arbeitet auf OSI Layer 4
(TCP, UDP) und nutzt TLS, um den Datenverkehr zwischen zwei End-
punkten zu verschlüsseln. Es funktioniert ähnlich wie HTTPS im Brow-
ser. Nachdem ein verschlüsselter TLS Tunnel aufgebaut wurde, wer-
den Daten durch diesen verschlüsselten Tunnel geschickt. Bei HTTPS
im Browser wird HTTP Traffic durch diesen Tunnel transportiert und
bei OpenVPN werden alle Daten durch den TLS Tunnel gejagt.
 Es werden Client-2-Server und Server-2-Server Verbindungen unter-
stützt.

➢ IPsec: arbeitet einen Level tiefer auf IP-Ebene (OSI Layer 3) und bie-
tet daher eine höhere Robustheit gegen Lauscher, da auch die TCP-
Header verschlüsselt werden. Der IPsec Standard ist komplex und be-
steht aus mehreren, eigenständigen Teilen:
o Internet Key Exchange (IKE v1/v2) für Schlüsseltausch und -
verwaltung
o Authenticated Header (AH) für die Authentifizierung von Ge-
räten und Nutzern
o Encapsulating Security Payload (ESP) für die Verschlüsselung
der Daten
IPsec kann nicht nur Punkt-zu-Punkt Verbindungen absichern, son-
dern auch komplexe Multi-Side Topologien realisieren. Es wird von
Regierungen und NATO bis VS-GEHEIM verwendet.

➢ WireGuard: ist ein relativ junges Projekt, das wie IPsec auf OSI Layer
3 arbeitet. Ziel von WireGuard ist eine VPN Lösung mit geringer Kom-
plexität in der Protokoll Spezifikation und Implementierung sowie ei-
ner einfachen Anwendung und hoher Performance. Der Quellcode
umfasst derzeit nur 4.000 Zeilen Code (OpenVPN+OpenSSL: 292.000
Zeilen).
Wireguard ist ein Peer-2-Peer VPN. Jeder Peer stellt einen IP-Adress-
bereich zur Verfügung, der transparent mit den Netzen der anderen
Peers über eine verschlüsselte Verbindung gekoppelt wird. Authenti-
fizierung von Nutzern wie bei OpenVPN und IPsec gibt es nicht.

➢ OpenConnect: wurde ursprünglich von Cisco entwickelt. Es arbeitet

mit UDP (OSI Layer 4) und nutzt DTLS, um den Datenverkehr zwi-
schen einem Client und einem Server zu verschlüsseln. Es ist nicht für
Server-2-Server Verbindungen geeignet, sondern nur für Client-2-Ser-
ver.

➢ Iodine: versteckt den VPN Traffic im DNS Datenverkehr, um VPN-

Sperren zu umgehen. Der Datendurchsatz ist wesentlich kleiner, als
bei anderen VPNs.

➢ PPTP: Microsofts Point-to-Point-Tunneling-Protocol (PPTP) ist kon-

zeptuell kaputt und sollte nicht mehr verwendet werden.
 Linux Distributionen
Eine Linux-Distribution ist eine Auswahl aufeinander abgestimmter Software
um den Linux-Kernel, bei dem es sich dabei in einigen Fällen auch um einen
mehr oder minder angepassten und meist in enger Abstimmung mit Up-
stream selbst gepflegten Distributionskernel handelt.

Whonix Workstation – Whonix Gateway

Mithilfe von Whonix Workstation + Whonix Gateway erzielen Sie auch auf
herkömmlichen Linux-Systemen ein hohes Maß an Anonymität im Internet.
Im Gegensatz zu externen Speziallösungen wie gehärteten Distributionen auf
USB-Sticks, die im Nur-Lese-Modus arbeiten, eignet sich Whonix auch für sta-
tionäre Rechner. Dem Anwender bleibt dabei erspart, zum Wechsel auf das
sichere System neu Booten zu müssen. Dabei isoliert sich Whonix völlig vom
Wirtsrechner, sodass sich zwischen der Whonix-VM und dem Host keine
Daten austauschen lassen – sei es gewollt oder ungewollt.

Zudem halten die Entwickler aus Dresden das Debian-Derivat stets auf dem
aktuellen Stand. Das einzige Manko stellen die durch Virtualbox und die zwei
darin laufenden virtuellen Maschinen bedingten hohen Hardware-Anforde-
rungen dar: Für flüssiges Arbeiten sollte der Computer über einen halbwegs
aktuellen Prozessor, reichlich RAM und viel Speicherplatz verfügen. Sind
diese Voraussetzungen erfüllt, stellt Whonix eine der besten Möglichkeiten
dar, jederzeit einen anonymen Internetzugang aufzubauen.

Funktionsweise

Whonix leitet den gesamten Datenverkehr mithilfe voreingestellter Fire-

wall-Regeln über die im Gateway konfigurierte Tor-Verbindung, während
die Whonix-Workstation als dem Gateway nachgeschaltetes Bedieninterface
für den Anwender dient. Die Workstation verbindet sich dabei über ein vom
Host-System isoliertes Netz mit dem Internet.

Das Gateway verfügt dazu über zwei virtuelle Netzwerkschnittstellen. Damit

möchte das Projekt größtmögliche Sicherheit für den Anwender erreichen:
Dieser Aufbau verhindert unter anderem, dass Unbefugte IP-Adressen oder
besuchte Webseiten abgreifen. Zudem wendet die vom Host-System abge-
koppelte VM, sollte ein Angreifer sie denn wirklich unbemerkt mit Malware
kompromittieren, Schaden vom Host-System ab.

So verhindert das System DNS- und IP-Protokoll-Leaks und unterbindet mit-

tels Stream Isolation eine sogenannte Identity Correlation. Diese Technik er-
möglicht beim Verwenden identischer Übertragungswege im Tor-Netzwerk
für verschiedene Applikationen einem Angreifer Rückschlüsse auf die Identi-
tät des Anwenders.

Installation: Whonix Gateway + Windows

Installation: Whonix Gateway + Whonix Workstation
Qubes OS
Qubes OS bietet in Kombination mit dem anonymisierenden Whonix ver-
mutlich das sicherste Betriebssystem auf dem Markt. In Verbindung mit ei-
nem Librem-Notebook von Purism lässt sich die Sicherheit durch Coreboot,
TPM und Killswitches weiter erhöhen. Für Security-Enthusiasten und Anwen-
der, die Sicherheit ernst nehmen (müssen) und über die passende Hardware
verfügen, bieten die Entwickler von Qubes OS das optimale System.

Linux-Einsteiger sollten allerdings noch abwarten: Von der Vorgabe der Ent-
wicklerin Rutkowska, Qubes OS solle sich so einfach wie Ubuntu bedienen
lassen, ist das System derzeit noch Lichtjahre entfernt. Im Moment brauchen
auch Linux-Profis einige Tage zum Einarbeiten und Verstehen des Systems.
Für Qubes OS 4.1 arbeitet das Team an einer eigenen GUI-Domain, die dom0
verkleinern und somit noch weniger Angriffsfläche bieten soll. Zudem soll die
Distribution in Zukunft Container anderer Hypervisoren wie etwa KVM unter-
stützen.

Funktionsweise

Die isolierten Einheiten heißen Qubes, abgeleitet von Cubes, zu Deutsch

Würfel. Sie könnten beispielsweise einen Würfel für unsichere Webseiten
einrichten und einen weiteren für Bankgeschäfte, jeweils mit unterschiedli-
chen Berechtigungen. Im Fall der Kompromittierung des Würfels für unsi-
chere Webseiten durch Malware, bleibt dem Angreifer der Zugriff auf den
Würfel für Bankgeschäfte verwehrt.

Die Entwickler verhindern das, indem ein Würfel nur Lesezugriff auf das Da-
teisystem des VM-Templates erhält, auf dem er basiert, sodass ein Würfel
eine solche Vorlage in keiner Weise verändern kann. Zusätzlich bietet Qubes
die Option, sogenannte “disposable VMs” zu erstellen. Diese Wegwerf-Wür-
fel dienen etwa dazu, bei Bedarf E-Mail-Anhänge oder verdächtige Dateien
sicher zu öffnen und hinterher samt der VM zu entsorgen.

Grundsätzlich kapselt Qubes neben dem Wirtssystem mit der GUI auch die
Netzwerk- und Storage-Subsysteme in jeweils eigene Domänen, wie bei Xen
die virtuellen Maschinen heißen. Die verschiedenen Domänen basieren dabei
auf VM-Templates, welche die Rechte der Domäne regeln und das Basisge-
rüst liefern. Das minimale Wirtssystem mit XFCE läuft dabei in der privilegier-
ten Admin-VM dom0. Mit Qubes OS 4.0 wurde das System der Domänen nun
signifikant ausgebaut.

Vorher belesen

Bevor Sie loslegen, bietet es sich im Fall von Qubes an, in der gut gestalte-
ten Dokumentation zu stöbern. Die Installation selbst dauert auf aktueller
Hardware rund eine halbe Stunde, nach dem üblichen Reboot folgt die initi-
ale Einrichtung. Hier sollten Sie als Neuling die Voreinstellungen überneh-
men. Falls Sie am Anfang der Installation Whonix gewählt haben, sollten Sie
es hier aktivieren. Die Einrichtung dauert dann nochmals rund zehn Minuten.
Nach Abschluss der initialen Einrichtung finden Sie sich in einer Umgebung
wieder, die leicht an Fedora erinnert. Alle Bedienelemente sitzen in einer
Leiste am oberen Bildschirmrand. Zunächst sollten Sie durch Klick auf das Q
oben rechts den Qube-Manager starten, der alle verfügbaren Domänen auf-
listet. Jede davon, oder nach Belieben auch Würfel, öffnet eine eigene VM.

Dokumentation: Qubes-OS Dokumentation

Installation: Qubes-OS Installieren

Kryptowährung
Wie wohl jeder inzwischen weiss ist BTC alles andere als Anonym. Durch die
Blockchain ist es möglich BTC Transaktion bis zu ihren Ursprung zurück zu
verfolgen. Der Aufwand dafür ist derzeit noch relativ hoch, weshalb es auch
nur bei großen Projekten angewandt wird.

Monero
Wer nun Anonym mit Kryptowährungen bezahlen möchte greift hier auf die
Monero Währung zu. Durch verschiedene Methoden ermöglicht sie es die
Transaktion zu verschleiern.

Schattenadressen

Schattenadressen sind ein wichtiger Teil von Moneros inhärenter Pri-

vatsphäre. Dem Sender wird ermöglich und abverlangt, im Namen des Emp-
fängers für jede Transaktion zufällige Einmal-Adressen zu erstellen. Der Emp-
fänger kann so lediglich eine Adresse veröffentlichen und nichtsdestotrotz
gehen all seine eingehenden Zahlungen an einmalige Adressen auf der Block-
chain. Von dort aus können sie weder zur veröffentlichten Adresse des Emp-
fängers noch zu einer anderweitigen Adresse irgendeiner anderen Transak-
tion zurückverfolgt werden. Unter der Verwendung von Schattenadressen
können ausschließlich der Sender und der Empfänger ausmachen, wohin eine
Zahlung geschickt wurde.

Wenn du ein Monero-Konto erstellst, wirst du einen privaten View Key, einen
privaten Spend Key und eine öffentliche Adresse erhalten. Der Spend Key
wird zum Senden von Zahlungen, der View Key zum Anzeigen von auf deinem
Konto eingehenden Transaktionen und die öffentliche Adresse zum Empfan-
gen von Zahlungen verwendet. Sowohl der Spend- als auch der View-Key
werden zum Erstellen deiner Monero-Adresse genutzt. Du kannst ein View-
Only-Wallet haben, welches lediglich den View Key verwendet. Diese Funk-
tion kann zu Zwecken der Buchhaltung oder Betriebsprüfung genutzt werden,
ist derzeit allerdings unverlässlich, da abgehende Transaktionen nicht abge-
bildet werden können. Du kannst mit der Weitergabe deines View Keys ent-
scheiden, wer dein Monero-Guthaben sehen kann. Monero ist standardmä-
ßig privat und optional halbtransparent!
Ringsignatur

Eine Ringsignatur nutzt die Schlüssel deines Kontos und eine Anzahl von der
Blockchain gezogener öffentlicher Schlüssel (auch bekannt als Outputs) mit-
hilfe einer Methode der Dreiecksverteilung. Im Laufe der Zeit könnten ver-
gangene Outputs mehrmals genutzt worden sein, um Gruppen möglicher Un-
terzeichner zu bilden. Innerhalb des "Rings" potenzieller Unterzeichner sind
alle Ringmitglieder gleichwertig und gleichberechtigt. Es besteht keine Mög-
lichkeit für einen Außenstehenden, auszumachen, welcher der möglichen Un-
terzeichner in einer solchen Gruppe zu deinem Konto gehören. Ringsignatu-
ren stellen also sicher, dass Transaktionsoutputs nicht zurückverfolgbar sind.
Außerdem bestehen bei Monero keine Schwierigkeiten mit Fungibilität, da
jeder Transaktionsoutput glaubwürdige Bestreitbarkeit hat (z.B. kann das
Netzwerk nicht ausmachen, welche Outputs ausgegeben oder nicht ausgege-
ben sind).

Kommunikation

Jabber/XMPP

Die Software ist OpenSource und ein weltweites Netz von tausenden Servern
stellt sicher, dass Jabber nicht juristisch durch gesetzliche Vorgaben kompro-
mittiert werden kann. Übergriffe auf die Privat-sphäre durch Da-
ten-dieb-stahl (z.B. Adress-bücher) hat es bei Jabber/XMPP nie gegeben.
Der Account kann frei gewählt werden, unabhängig von der Telefonnummer.
Bei der Ende-zu-Ende Verschlüsselung gibt es mehrere Alternativen:

➢ Off-the-Record (OTR) wurde 2001 mit dem Ziel entwickelt, möglichst

einfach einsetzbar zu sein. OTR ist nicht Multi-Device fähig und ver-
schlüsselt nur direkte Chats. Gruppen-chats und Dateitransfer wer-
den nicht verschlüsselt.

➢ OpenPGP wurde bereits bei der Verschlüsselung von E-Mail behan-

delt. Die Erstellung und Austausch der Schlüssel ist etwas komplizier-
ter als bei OTR und OMEMO. Die Vertrauens-würdigkeit der Ver-
schlüsselung muss aber nicht extra verifiziert werden, da sie durch
das Vertrauen in die OpenPGP-Schlüssel gegeben ist. OpenPGP ver-
schlüsselt nur Chats. Bei OpenPGP gibt es zwei Standards. Die meis-
ten Jabber Clients implementieren XEP-0027, der inzwischen für ob-
solet erklärt wurde, da er einige Sicherheitslücken enthält. Der
neuer XEP-0373 ist bisher noch als "experimentell" gekennzeichnet.

➢ OMEMO (OMEMO Multi-End Message and Object Encryption, XEP-

384) ist die neueste Ende-zu-Ende Verschlüsselung für Jabber/XMPP.
Sie basiert auf Axolotl Ratchet, das für Signal App entwickelt wurde.
Sie bietet wie OTR einen autom. Schlüsseltausch, Forward Secrecy
und Deniability. Zusätzlich bietet OMEMO verschlüsselte
 Offline-nachrichten und verschlüsselten Datei-transfer via HTTPUp-
load. Mit XEP-391 gibt es einen Standard für den verschlüsselten
Jingle Dateitransfer, der bisher aber nur von wenigen Jabber Clients
umgesetzt wird. (Man kann sich nicht darauf verlassen, das dieser
Transfer von Dateien verschlüsselt erfolgt.)

Jabber/XMPP Server

Um Jabber/XMPP für die Kommunikation nutzen zu können, muss man einen

Account auf einem Jabber Server anlegen. Es gibt eine große Auswahl von
Servern und es fällt schwer, eine Auswahl zu treffen. Folgende Kriterien sind
zu beachten:

➢ Um die moderne OMEMO Verschlüsselung verwenden zu können,

muss der Server die notwendigen Erweiterungen XEP-0163 und XEP-
0280 unter-stützen. Ob der bevorzugte Server diese Extensions un-
terstützt, kann man entweder selbst mit dem Java Programm Compli-
ance Tester for XMPP prüfen oder auf der Webseite von D. Gultsch
nachschauen, wo man Ergebnisse der Tests für viele Server findet.

➢ Wenn man Jabber/XMPP auch auf Android Smartphones verwenden

möchte, kann ein Server mit Push Notifications (XEP-0357) den Akku
schonen.

➢ Der Server sollte eine SSL/TLS Verschlüsselung nach dem Stand der
Technik bieten. Das kann man beim IM Observatory prüfen oder mit
dem CryptCheck, indem man folgende URL aufruft: https://tls.imir-
hil.fr/xmpp/<domain.tld>

➢ Für langfristige Nutzung ist es wichtig, ob es ein Konzept zur Finanzie-

rung der Server gibt oder ob man mit dem Risiko leben möchte, dass
der Betrieb kurz-fristig eingestellt werden könnte weil der Admin
keine Lust mehr hat. Bei spenden-finanzierten Servern kann man für
private Accounts 10-15 € pro Jahr investieren, um den Betreiber zu
einem langfristigen und stabilen Betrieb des Dienstes zu motivieren.

Off the Record (OTR)

Um OTR zu installieren installiert man zuerst das Plugin installieren. Danach

geht man in Pidgin auf den Reiter Extras und wählt den Punkt Plugins. Dort
scrollt man runter zu Off-the-Record Nachrichtenversand und aktiviert es.
Nun Klickt man auf Plugin konfigurieren.

In der Konfiguration Generiert ihr nun einen Schlüssel für euren Jabber Ac-
count und aktiviert alle Standard-OTR-Einstellungen.
Wird nun ein Chatgespräch gestartet findet ihr oben im Chatfenster nun den
Reiter OTR, diesen klickt ihr und wählt den Punkt Private Unterhaltung be-
ginnen.

[Matrix]

ist eine moderne Alternative zu Jabber/XMPP. Die Server-komponenten

(Matrix) sind Open Source und es ist der Aufbau einer föderalen Infrastruktur
möglich. Jeder kann einen eigenen Server betreiben, der mit allen anderen
Servern kommunizieren kann. Es gibt mehrere Client-Apps, wobei Element.io
die größte Verbreitung hat.

Zentrales Konzept beim Chatten in [matrix] sind die "Räume". Man kann sich
auf seinem Home-server neue "Räume" einrichten und dort erstmal
Selbst-gespräche führen. Wenn man eine zweite Person in den Raum einlädt
und diese Person die Einladung annimmt, kann man chatten, Dateien austau-
schen oder telefonieren. Wenn man mehrere Personen in den "Raum" ein-
lädt, hat man einen Gruppenchat. Innerhalb des "Raumes" lassen sich Rechte
an die Mitglieder vergeben, wer administrieren darf, wer neue Mitglieder
einladen darf usw.

Konzeptuell ist [matrix] ein Multi-Cloud Messenger. Im Gegensatz zu

Threema oder Signal App, die keine Daten auf den Servern speichern, werden
bei [matrix] alle Kontaklisten, Mitglied-schaften in Gruppenchats und persön-
lichen Informationen auf dem Home-server gespeichert. Außerdem werden
Räume inklusive der Nachrichten-inhalte für unbegrenzte Zeit auf allen Mat-
rix Servern in Kopie gespeichert, die an der Kommunikation beteiligt sind.
Neben den Techies (Admins der beteiligten Server) und Hackern haben auch
Behörden im Rahmen von Auskunftsersuchen darauf Zugriff. Mit Umsetzung
des im Dez. 2019 vorgelegten Gesetzes zur Bekämpfung von Rechtsterroris-
mus und Hasskriminalität könnte jeder Dorf-polizist ohne richterliche Prüfung
die Daten von dem bevorzugten Server abrufen, der sich juristisch in seiner
Reichweite befindet. Sollten die Inhalte der Nachrichten Ende-zu-Ende ver-
schlüsselt sein, können trotzdem detaillierte Metadaten der Kommunikation
für die Kommunikations-analyse abgerufen werden. (Wer, wie häufig, mit
wem...?)

Nach der Rechtsprechung des BVerfG unterliegen Nachrichten nicht dem

Tele-kommunikations-geheimnis nach §10 GG, wenn der Empfänger die
Nachricht gelesen hat und die Gelegen-heit hatte, sie zu löschen. Auf dem
eigenen Home-server kann man Nachrichten löschen, indem man eine Nach-
richt antippt und den Menüpunkt "Entfernen" wählt. Der Homeserver wird
diesen Löschwunsch auch an alle anderen Server weitergeben, die Kopien der
Nachricht gespeichert haben. Die Dokumentation von [matrix] weist aber da-
rauf hin, dass damit nur ein Wunsch des Nutzers zum Ausdruck gebracht
wird. Es kann nicht sicher-gestellt werden, dass die anderen Server diesen
Wunsch auch befolgen.

Gerüchte, dass Matrix in der Bundeswehr zugelassen sei

Es kursiert das Gerücht, [matrix] wäre aufgrund sicherer Krypto vom BSI für
klassifizierte Kommunikation der Einstufung VS-NfD in der Bundeswehr zuge-
lassen. Das ist eine Legende bzw. irreführende Werbung, also Fake News. Für
die Nutzung des bwmessenger gelten in der Bundeswehr die gleichen Regeln,
wie für unverschlüsselte E-Mails. Faktencheck:

➢ [matrix] und der bwmessenger sind auf der Webseite des BSI nicht
als VS-NfD zugelassenes IT-Sicherheitsprodukt gelistet.

➢ Das Sicherheitskonzept von [matrix] erfüllt außerdem nicht die An-

sprüche des BSI für VS-NfD zugelassene Verschlüsselung.

➢ Das BWI als IT-Dienstleister der Bundeswehr schreibt in der Veröf-

fentlichung: „In einer weiteren Ausbaustufe können ab Herbst dieses
Jahres auch private Endgeräte für die offene Kommunikation via Mat-
rix genutzt werden.“

➢ In der Pressemitteilung der Bundeswehr vom Nov. 2020 werden die

Bedingungen für der Einsatz des bwmessengersfür VS-NfD Kommuni-
kation konkret genannt: „In den kommenden Wochen wird [...] sowie
zur Übertragung von Informationen bis zur Schutzklasse VS-NfD (Ver-
schlusssache - Nur für den Dienstgebrauch) auf dienstlichen Endgerä-
ten für die "sichere mobile Kommunikation", den sogenannten SMK-
Geräten, nutzbar sein.“

Was also die Journalisten von Computerbase oder Linux News schreiben ist
nur Schall und Rauch was polarisieren soll und mehr nicht!
xxx