Benutzer:Tim Pritlove/Chaosradio/111

Chaosradio 111, 29.03.2006, 22:00 Uhr:

Verschlüsselung in der Praxis

Wenn der Laptop geklaut wird, ist das ärgerlich. Er ist weg. Besonders unangnehm ist aber auch, dass der Dieb die persönliche Fotosammlung durchklicken und sogar die heruntergeladenen privaten E-Mails lesen kann.

Aber nicht nur das - E-Mails werden beim Versand wie Postkarten behandelt. Neugierige Mitarbeiter und vor allem auch die Ermittlungsbehörden können in Zukunft dank der anstehenden Vorratsdatenspeicherung noch einfacher auf unsere privaten Daten zugreifen.

Auch ein aktuelles Urteil des Bundesverfassungsgerichts stellte jüngst klar: E-Mails unterliegen nur beim Transport dem Briefgeheimnis. Sind sie einmal zugestellt, geniessen sie diesen rechtlichen Schutz nicht mehr.

Chaosradio möchte euch Tipps geben, wie ihr eure Daten vor neugierigen Blicken schützen könnt, E-Mails in Briefumschläge steckt und welche Daten in Zukunft unter besonderer staatlicher Aufsicht stehen.

(Im Studio: Frank Rosengart, hukl, Harald Welte, Holger Klein)

• Mail- resp. Fileverschlüsselung/Signierung:
  • GPG (ab 1.4.2.1: CAN-2006-0455): http://gnupg.org/
    • Plugin für Mozilla/Thunderbird: Enigmail (ab 0.92.1: DFN-CERT#58509): http://enigmail.mozdev.org/
    • Horde/Imp mit integrierter GPG/PGP Unterstützung: http://www.horde.org/
  • S/MIME
    • Horde/Imp mit integrierter S/MIME Unterstützung: http://www.horde.org/
• Hardware-Verschlüsselung
  • Notebook-Platte: http://www.heise.de/mobil/artikel/69300
• Blockdevice Verschlüsselung:
  • Linux dm-crypt/LUKS: http://www.saout.de/misc/dm-crypt/ http://luks.endorphin.org/dm-crypt
    • entscheidungshilfe fuer cipher-mode: http://clemens.endorphin.org/LinuxHDEncSettings
  • Linux CryptoLoop http://www.tldp.org/HOWTO/Cryptoloop-HOWTO/index.html
  • FreeBSD: http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/disks-encrypting.html
  • NetBSD: http://www.netbsd.org/guide/en/chap-cgd.html
  • OpenBSD: http://en.wikibooks.org/wiki/Guide_to_Unix/Explanations/Filesystems_and_Swap#Encrypted_Filesystems
  • Windows/Linux: TrueCrypt http://www.truecrypt.org/
    • USB-Stick mit Schlüsseldateien
  • Artikel mit Vergleichen zwischen den Verschlüsselungsvarianten in den BSDs: http://www.onlamp.com/lpt/a/6384
• Blockdevice plausible-deniability/Steganografie:
  • Linux: scubed: http://cube.dyndns.org/~rsnel/scubed/
  • Linux (userspace): Phonebook: http://www.freenet.org.nz/phonebook/
• Swapspace verschlüsseln
  • FreeBSD: http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/swap-encrypting.html (funktioniert für die anderen BSDs analog)
• Datentresore (File welches ein verschlüsseltes FS enthält, Userspace)
  • MacOS-X Filevault: http://www.apple.com/de/macosx/features/filevault/
  • Linux/FreeBSD: EncFS http://arg0.net/wiki/encfs/ (bildet files/dirs einzeln ab, sehr praktisch f. backup)
  • Linux: /dev/loop + dm-crypt ;)
  • Windows/Linux:
    • TrueCrypt http://www.truecrypt.org/
    • Crosscrypt http://www.scherrer.cc/crypt/
    • FreeOTFE http://www.freeotfe.org
    • CompuSec http://www.ce-infosys.com.sg/CeiNews_FreeCompuSec_Ger.asp
• Wechseldatenträger (CD/DVD/Blu-ray/HD-DVD/MO/DAT/Diskette etc.)
  • CSS, AACS: http://www.aacsla.com/home
• Backups verschlüsseln
  • Bacula ab Version 1.39: http://www.bacula.org
• Verschlüsselte Kommunikation
  • SSH http://openssh.org/
  • SSL (https,ftps,imaps,etc.) http://www.openssl.org/
    • CACert http://cacert.org/
  • VoIP absichern
    • SSIP/SRTP
      • Linux/Win: minisip http://minisip.org/
    • Zfone: http://www.philzimmermann.com/EN/zfone/index.html

Erfahrungsgemäss sinkt die Hemmung sich wirklich mal um Crypto zu kümmern bei den meisten Usern ganz enorm sobald sie das erstmal erklaert bekommen haben. Deswegen ist dieser Punkt wohl besonders wichtig.

• Warum überhaupt verschlüsseln?
• Sollten auch nicht-sensitive Daten verschlüsselt werden und warum? Was sollte ich auf jeden Fall verschlüsseln?
• Was ist PubKey-Crypto, PSK, Fingerprints, PKI, CA, Web-of-Trust?
• So viele Algorithmen.. Welche kann ich bedenkenlos einsetzen, ohne mich erst einlesen zu müssen? Wann benutze ich welchen (z.B. für Echtzeitverschlüsselung)?
• Sollte ich für Verschlüsselung auf OpenSource-Software setzen oder ist das egal?
• Client2Client Verschlüsselung vs. Programme wie http://www.ciphire.com, PSK vs. PKI/CA
• Kombination Verschlüsselung - Anonymizer (Verbindungsdaten? TOR/JAP?)
• Awenderorentierte "Idiotensichgerheit" jeder muss die Programme sicher bedienen können.

• email

• https

• TOR und I2P (anonyme Netze) + Rechtslage
• VoIP
  • dass voip mit ssl/tls/$yourfavouriteencryption noch gnadenlos unterentwickelt ist ist imho thematisierungswert.
  • (btw, thema wengo: 'warum das wohlfuehlgefuehl ausbleibt wenn ein offener skype-konkurrent ausgerechnet aus frankreich kommt...' :> )

• ftp

• irc
  • SILC wäre hier eine gute Alternative. Sollte erwähnt werden. Warum ist im CCC Umfeld IRC eigentlich noch so verbreitet?

• Dateisystem-Verschlüsselung:
  • Wie viel Leistung geht bei der Echtzeitverschlüsselung verloren? Lassen sich plattenintensive Anwendungen wie Videobearbeitung noch vernünftig nutzen?

• Überblick welches OS resp. welche distribution encrypted root im installprozess unterstuetzt waer imho interessant. fedora (core 4, wahrscheinlich auch core 5) tut das z.b. leider noch nicht (obwohl's nicht wirklich viel aufwand waere).

• Möglichkeit erläutern, seinen Gnupg Private Key und/oder sein Festplattenkey auf ein Flashspeicher zu sichern und den dann als ein Schlüssel zu benutzen.

• Was gibt's für Software bzw. was ist schon vom Betriebssystem her vorhanden (vor allem für Mac OS !)?

Sollte zumindest auch erwähnt werden, da diese Kommunikationsart ebenso schützenswert ist.

• Jabber
  • Server-zu-Server-Verschlüsselung per SSL
  • Client-zu-Client-Verschlüsselung per GPG
    • Psi
    • Miranda mit GPG-Plugin
    • centericq

• ICQ
  • Miranda mit GPG-Plugin [1]
  • centericq per GPG
  • Diverse Clients mit OTR-Proxy [2]

• AIM
  • Diverse Clients mit OTR-Proxy [3]

• Alle Protokolle
  • Gaim mit OTR-Plugin [4]
  • Miranda mit OTR-Plugin (beta) [5]

Villeicht kann hier auch über OTR (off the record) messanging [6] gesprochen werden. Was ist es? Was bringt es? Welche software kann es?

• Cryptophone
• DECT
• Handynetze
• Polizeifunk
• BOS Digitalfunk (sofern irgendwann in Deutshland verwendet)

• Crypto-History: Sollte privates Verschlüsseln nicht mal verhindert werden?
• Muss ich mein Passwort bei rechtlichen Schwierigkeiten an Dritte (z.B. Polizei) weitergeben?
• TOR und I2P: Mit welchen Konsequenzen muss ich rechnen, wenn ich einen Server zur Verfügung stelle?
• wie sieht die rechtslage in europa und global aus?