class: center, middle .title[ # .censored[Security] Knowlunch] mit .censored[Gregor] und .censored[Lisa] .mt.small[ .img-s[] Source auf [github.com/okfde/security-knowlunch](https://github.com/okfde/security-knowlunch/)] --- ## Agenda -- - Datensicherheit - Verschlüsselung - Passwörter - Email-Verschlüsselung -- .subtopics[ - Festplatten-Verschlüsselung - Messenger-Verschlüsselung - WLAN-Sicherheit - Browsing-Sicherheit - TOR] --- # Datensicherheit -- ## Was ist das? -- ### [ ] Vertraulichkeit ### [ ] Integrität ### [ ] Verfügbarkeit --- # Datensicherheit ## Vertraulichkeit - Daten dürfen nur von den Personen eingesehen oder verändert werden, die **autorisiert** sind -- - Zur Vertrauligkeit gehört auch der **Schutz während der Übertragung** der Daten - Bsp: Können wir garantieren, dass Emails nur von autorisierten Personen gelesen werden? -- - **Emails müssen verschlüsselt werden** - **externe Festplatten müssen verschlüsselt werden** --- # Datensicherheit ## Integrität - Änderungen von Daten muss nachvollziebar sein, Daten dürfen nicht unbemerkt/unerkannt verändert werden -- **geeignete Maßnahmen** - keine shared user accounts - Signieren von Emails --- # Datensicherheit ## Verfügbarkeit - die Zeit in der auf die Daten zugegriffen werden kann -- **Beispiele:** - externe Festplatte mit einzigem PGP-Backup geht verloren -- - Aufgrund eines Angriffes sind Internetseiten nicht erreichbar -- - nextcloud geht aufgrund eines Upgrades kaputt und ist länger nicht verfügbar --- # Verschlüsselung -- - Umwandlung Inhalten von Klartext in Ciphertext -- - nur berechtigte Personen können Ciphertext lesbar machen -- - Verschlüsselung dient der Privatsphäre, sie garantiert keine Anonymisierung! (#metadata) --- # Verschlüsselung ### Symmetrisch -- - 1 Schlüssel zum ver- und entschlüsseln -- - z.B. [Caesar cipher](https://en.wikipedia.org/wiki/Caesar_cipher), [Enigma machine](https://en.wikipedia.org/wiki/Enigma_machine) -- - Festplattenverschlüsselung, Passwortmanager -- - einfach zu benutzen für eine Person -- - problematisch/ anfällig bei mehreren Personen (die sich nicht kennen) --- # Verschlüsselung ### Asymmetrisch -- - Schlüsselpaar - öffentlicher Schlüssel (public key) zum Verschlüsseln - privater Schlüssel (private key) zum Entschlüsseln -- - OpenPGP (Pretty Good Privacy) ist der Standard, GPG (Gnu Privary Guard) eine Implementierung -- - Email-Verschlüsselung, HTTPS, OTR, OMEMO, Axolotl etc -- - Parteien müssen sich nicht kennen um zu verschüsseln, solange die öffentlichen Schlüssel bekannt sind --- background-image: url(https://upload.wikimedia.org/wikipedia/commons/3/32/Public-key-crypto-1.svg) Alice erstellt ein Schüsselpaar --- background-image: url(https://upload.wikimedia.org/wikipedia/commons/f/f9/Public_key_encryption.svg) Bob verschlüsselt eine Nachricht an Alice --- ## Schwachstellen im System -- - Man-in-the-Middle-Angriffe - jede*r kann mit deinem Public Key an dich verschlüsseln - Email kann abgefangen, inhaltlich verändert, und wieder verschlüsselt an dich gesendet werden -- -> Email signieren --- class: bg-contain background-image: url(https://upload.wikimedia.org/wikipedia/commons/a/a7/Private_key_signing.png) Alice signiert eine Nachricht an Bob --- ## Was ist eine Signatur? - Der gehashte Inhalt der Email - mit dem privaten Key des Senders verschlüsselt -- - Signatur des Senders kann mit dessen öffentlichen Schlüssel entschlüsselt werden - Computer erstellt ebenfalls einen Hash des Inhalts und vergleicht die Hashes miteinander - stimmen die Hashes überein wurde der Inhalt, seit er erstellt und versendet wurde, nicht verändert --- ## Schwachstellen im System -- - Jede*r kann sich ein Keypair zu einer x-beliebigen Email generieren - Angreifer erhält Zugang zu Postfach einer bekannten Person, oder erhält Möglichkeit Emails an das Postfach abzufangen - schreibt von dort aus verschlüsselt Emails mit eigenem Key an dich - Signaturen sind in diesem Fall korrekt -- -> Key signing, Web of Trust --- ## Key signing?? Web of What? - öffentliche Schlüssel können, wie Emails, signiert werden -- - "Ich bestätige mit meinem eigenen Schlüssel die Identität der Person mit diesem Key." -- - Signaturen auf öffentlichen Schlüsseln ergeben ein Netzwerk (-graphen), dem sog. Web of Trust --- background-image: url(https://imgs.xkcd.com/comics/responsible_behavior.png) .small[https://www.xkcd.com/364/] --- # Key Fingerprints - öffentlicher und privater Schlüssel sind nur Text, z.B. [OKF pub key](https://okfn.de/okf/info_okfn_de_pub.asc), aber davon sehr viel -- - um die Integrität eines Schlüssels zu überprüfen (z.B. vor du signierst) vergleichen wir deshalb den Fingerprint des Schlüssels -- - Fingerprint ist ein Hash des Schlüssels, einzigartig wie ein Fingerabdruck -- - oft 16 Zeichen als "ID", z.B. **FE54 F46F 21DD AED1** -- - aber 40 ist der volle Fingerprint und sollte unbedingt überprüft werden. **73C6 9312 33B0 B321 53B5 DCF3 FE54 F46F 21DD AED1** --- class: middle # Security Disclaimer -- Es gibt keine 100%ige Sicherheit, weder digital noch in der physischen Welt. -- **Aber** wir können Hürden aufstellen bis der Aufwand des Angriffs den Nutzen übersteigt. --- background-image: url(https://imgs.xkcd.com/comics/security.png) .small[https://www.xkcd.com/538/] --- class: middle # Digitale Selbstverteidigung -- **Choose your weapons** -- - open-source Software -- - dezentrale Infrastruktur -- - (Ende-zu-Ende) verschlüsselt --- # Passwörter -- - Letzte Verteidigungslinie zwischen dir/ deinen Daten/ deiner Privatsphäre und der Welt -- ## Was ist ein gutes Passwort? --- background-image: url(https://imgs.xkcd.com/comics/password_strength.png) .small[https://www.xkcd.com/936/] --- # Passwörter - Letzte Verteidigungslinie zwischen dir/ deinen Daten/ deiner Privatsphäre und der Welt ## Was ist ein gutes Passwort? -- - mindestens 12 Zeichen, alphanumerischer Zeichensatz mit Sonderzeichen für mehr Entropie -- - oder als Passsatz: vier oder mehr nicht zusammenhängende Wörter -- - wird nur **einmal (!!!)** verwendet .small[([Workshop zum Thema](https://lislis.de/workshops/mixed-feminist-action/#14))] --- # Passwörter ## Passwortmanager -- - Die Antwort auf die Frage: Wie soll ich mir die ganzen Passwörter merken? -- - z.B. [KeePassXC](https://keepassxc.org/screenshots/) https://keepassxc.org/ - open-source, cross-platform - mit Passsatz verschlüsselter Container in dem die Passwörter gespeichert werden - Container kann mit verschiedenen KeePass kompatiplen Clients geöffnet werden (z.B. auf mobilen Geräten [KeePass DX](https://www.keepassdx.com/), [MiniKeePass](https://itunes.apple.com/us/app/minikeepass-secure-password/id451661808)) - bleibt lokal auf dem Gerät --- # Passwörter ## Passwortmanager - und was ist mit Cloudanbietern? -- - lösen das Problem der geteilten Datenbank -- - aber: Vertrauen in Anbieter muss vorhanden sein ([LastPass Leak 2017](https://www.theregister.co.uk/2017/03/21/lastpass_vulnerabilities/)) -- - [Passbold](https://www.passbolt.com/) als Alternative? --- # Passwörter ## Two Factor Authentication -- - "Etwas, das du weißt und etwas, das du hast." -> Passwort und 2. Faktor -- - Hauptsächlich über Smartphones gelöst - SMS oder automatisierte Anrufe -- - HOTP / TOTP über Apps (z.B. [andOTP](https://play.google.com/store/apps/details?id=org.shadowice.flocke.andotp&hl=en_US) (Android), [FreeOTP](https://itunes.apple.com/us/app/freeotp-authenticator/id872559395) (iOS), [SailOTP](https://github.com/seiichiro0185/sailotp) (SailfishOS)) -- - U2F (Universal 2nd Factor) Hardwarelösungen (z.B. [YubiKey](https://www.yubico.com/), [NitroKey](https://www.nitrokey.com/)) --- ## Emails verschlüsseln -- - *"Ne Email ist ne Postkarte!" <small><small>Seehofer, Internetpionier und "Sicherheits"-fan</small></small>* ```http Delivered-To: bob@bob.org Received: by 2002:a02:9d3:0:0:0:0:0 with SMTP id 80csp5917977jam; Tue, 26 Feb 2019 05:37:44 -0800 (PST) X-Received: by 2002:ff:ff:ff:: with SMTP id n23mr19009329edy.233.1551188263959; Tue, 26 Feb 2019 05:37:43 -0800 (PST) Return-Path: <alice@alice.org> Received: from mx.gemeiner-host.fies (wirklich.fies. [1.2.3.5]) by mx.google.com with ESMTPS id l52si3186687edb.0.2019.02.26.05.37.43 for <bob@bob.org> (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128); Tue, 26 Feb 2019 05:37:43 -0800 (PST) Received: from mx.alice.org (mx.alice.org. [1.2.3.4]) by mx.gemeiner-host.fies with ESMTPS id l52si3186687edb.0.2019.02.26.05.37.43 for <bob@bob.org> (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128); Tue, 26 Feb 2019 05:37:43 -0800 (PST) To: bob@bob.org From: Alice <alice@alice.org> Subject: knowlunch heute Message-ID: <7ba1fc15-00af-b8b0-8aed-73a7a8f3b2fd@alice.org> Date: Tue, 26 Feb 2019 14:37:11 +0100 MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: 8bit Content-Language: en-US Hallo Bob, bist Du auch gleich beim knowlunch? Drücker, Alice ``` --- ## Emails verschlüsseln - *"Ne Email ist ne Postkarte!" <small><small>Seehofer, Internetpionier und "Sicherheits"-fan</small></small>* ```http [...header siehe oben...] MIME-Version: 1.0 Subject: =?UTF-8?Q?Verschl=c3=bcsselte_Nachricht?= Content-Type: multipart/encrypted; protocol="application/pgp-encrypted"; boundary="GyhO5C4VpXQHVCzh5trtOFj9HZOtCY2Lr" This is an OpenPGP/MIME encrypted message (RFC 4880 and 3156) --GyhO5C4VpXQHVCzh5trtOFj9HZOtCY2Lr Content-Type: application/pgp-encrypted Content-Description: PGP/MIME version identification Version: 1 --GyhO5C4VpXQHVCzh5trtOFj9HZOtCY2Lr Content-Type: application/octet-stream; name="encrypted.asc" Content-Description: OpenPGP encrypted message Content-Disposition: inline; filename="encrypted.asc" -----BEGIN PGP MESSAGE----- hQIMA/ygge+njNuFAQ/+OIPcFWKBedQZ1tRKzJTYRU9fsjbFgxkg0NF0tBTrQWNe XyVUbxK5xH9C5BrrmTmJeppcp4RT1x4jGY5yr/tyTKrQpzIp6MybfMot+CihBPqJ GT/uoE7UH4A/RR7VWI5BZQZ57I1grME4YipbqulbuSe+8o2QZdAnwZXPV4Skxl4S iM1RYLvmZS5XUQRRe+MI6GYaAIu+1wuhrwdGZGYtOHy8YSveFUjDyh/jefG1gXyx +hWD3yDedzVez1Q8Z2WVgme77Kox34ONjUWiuFjyjriSQaJrARJFGOIQuJjFgg41 b8W5Nz124dV4UD5JfVTiC1sNAT4wy8ZIWWmel0R+x1YVFQ2ausJobGvugw41QSUb TB7CelUEdsRS41L983jWf2YmbVJ45z9miOO4s7qCMGhxW4NwcF1hzRgMHSryYQdD Q1vkMf9DThMIZM4xj0R0rjkH8Yj+Z8H4q9COuIeRGXM4YiAXLW2MyiyXdKVc6Qhn 15owOSv6juz6Kr0DKJ/s/hs8UG1mx/jOXP4NQvoO6/WLeOjLcPhXPW9/iQK+7ysH [...] PHFlFpiIwVtH9TJYMmGWT8SaMqoXYe9i84zC2iZR/cktfplrrPexnZli7hzIbiUD TJnQds+eraTFhzvxrLp4mePsZ1GmRLW8R4SpL4xSx+ESpLBlY+iAFj1wrCCxSScw NcgILUF0csD91HFTd+uEBz2Y =h4Uu -----END PGP MESSAGE----- --GyhO5C4VpXQHVCzh5trtOFj9HZOtCY2Lr-- ``` --- ## Emails verschlüsseln - *"Ne Email ist ne Postkarte!" <small><small>Seehofer, Internetpionier und "Sicherheits"-fan</small></small>* - sichere Email fängt beim Hoster an --- class: bg-contain background-image: url(https://upload.wikimedia.org/wikipedia/commons/9/93/E-Mail-Prinzip-v05.png) --- ## Emails verschlüsseln - *"Ne Email ist ne Postkarte!"* - sichere Email fängt beim Hoster an - was wird verschlüsselt? --- - was wird verschlüsselt? - Inhalt der Email - Anhang -- - was wird nicht verschlüsselt? - Metadaten - Betreff außer in Thunderbird/Enigmail -- - Komfortverluste - Emails sind nicht mehr auf dem Handy lesbar - Emails sind nicht mehr durchsuchbar - Schlüssel, Passphrase und Widerrufszertifikat müssen penibel gebackuped werden --- ## Emails verschlüsseln - *"Ne Email ist ne Postkarte!"* - sichere Email fängt beim Hoster an - was wird verschlüsselt? - wie geht das? -- - GPG4Win oder GPG Suite (jetzt kostenpflichtig) - Thunderbird/ Enigmail - alternativ Mailvelope --- ### Parameter für Einrichtung - Ablaufzeit: 2J - Schlüsselstärke: 4096-Bit RSA - lange Passphrase für die Erstellung der Schlüssel - Widerrufszertifikat gut sichern - bitte aktiviert Verschlüsselung, Signierung als Standard - Konzept der Schlüsselserver vs. Pub-key anhängen als Standard --- ## best practise für die OKF - Verwendet **gute Passwörter™** für alle Accounts und Euren Rechner selbst - Verwendet **Passwortmanager** und individuelle Passwörter für die Dienste - aktiviert **screen lock** sobald Ihr Euren Arbeitsplatz verlasst - **2FA** für alle Nutzer*innen (mit höheren Rechten) auf google, github, slack - **PGP Verschlüsselung** für die Emailkommunikation als Standard - **full disc encryption** (außen Kontaktmöglichkeit aufbringen) - **Backups** --- ## Danke für eure Aufmerksamkeit und guten Appetit --- ## Linkliste - https://dzone.com/articles/keep-your-privacy-and-start-encrypting-your-emails - https://hackblossom.org/cybersecurity/ - https://freedom.press/training/ - https://ssd.eff.org/ - https://securityinabox.org/en/ - https://riseup.net/en/security/message-security/openpgp/best-practices