CryptoParty auch für mobile Anwender – digitale Selbstverteidigung gegen Überwachung
Seit einigen Monaten spriessen CryptoParties wie Pilze aus dem Boden,
insbesondere seit durch die Leaks des Whistleblowers Edward Snowden die jenseits legaler wie möglicherweise legitimer rechtsstaatlicher Grenzen von „Angemessenheit“ völlig aus dem Ruder gelaufene digitale Total-Überwachung praktisch aller Menschen weltweit durch Geheimdienste gerade auch demokratischer und vorgeblich befreundeter Staaten wie der US-amerikanischen NSA und britischen GCHQ in einem für die meisten Menschen unvorstellbarem Ausmass der grossen Öffentlichkeit bekannt und den Nutzern nunmehr überdeutlich klar wurden
– ein nicht tolerables und völlig inakzeptables Agieren durch aktives Handeln, verantwortungsloses Dulden und sträfliches Unterlassen staatlicher Behörden in totalitärem Umfang ausserhalb der Grenzen von Rechtsstaatlichkeit und unter Verstoss gegen verfassungsmässig garantierte Grundrechte wie der informationellen Selbstbestimmung und des Schutzes der Privatsphäre in der Kommunikation.
Da die Regierungen ihrem Auftrag, Schaden von ihren Bürgern abzuwenden, offenbar bereits seit geraumer Zeit nicht gerecht werden und damit permanent ihren Amtseid sowie die Verfassung der jeweiligen Staaten (insbesondere USA ebenso wie Deutschland) brechen – der Journalist Heribert Prantl nannte in einem bemerkenswerten Essay in der Süddeutschen Zeitung diesen Zustand einen „Staatsnotstand“, beginnen Bürger, sich oft erstmalig oder nun verstärkt mit digitaler Selbstverteidigung zu beschäftigen, um sich im Angesicht der völligen Bankrotterklärung der Politik wenigstens ein Stück ihrer Grundrechte durch Eigeninitiative wieder zurückzuholen.
Die aus demokratischen wie rechtsstaatlichen Prinzipien sich ergebende Notwendigkeit wie vor allem aber auch faktisch bestehenden Möglichkeiten einer politischen Aufarbeitung der Thematik durch die bundesdeutsche Regierung bzw. Politik werden in Deutschland insbesondere durch wissenschaftlich fundierte Beiträge des Historikers und Freiburger Universitätsprofessors Dr. Josef Foschepoth in einer Reihe von Punkten einfach, übersichtlich und sozusagen als erforderliche Schritte abarbeitbar zusammengefasst, die er sowohl in seinem Buch „überwachtes Deutschland“ (Verlag Vanderhoeck & Ruprecht) als auch in einem Artikel auf seinem Blog und in seinem Vortrag „Die Bundesrepublik, das am meisten überwachte Land in Europa“ auf dem #30C3, dem 30. Kongress des CCC in Hamburg Ende Dezember 2013 veröffentlicht hat.
Mehrfach verwiesen in den vergangenen Monaten auch aktuelle Nachrichtensendungen der öffentlich-rechtlichen TV-Anstalten (ARD tagesschau vom 03.11.2013 und ZDF heute journal vom 25.10.2013) mit Beiträgen darauf und liessen Prof. Dr. Foschepoth in Interviews dazu zu Wort kommen.
Dennoch geht die politische Diskussion nicht nur durch die Parteien der alten wie auch der neuen Regierungskoalition sondern erstaunlicherweise auch der Opposition praktisch überhaupt nicht auf diese wichtigen und wesentlichen, sachlichen und fachlich fundierten wie praktisch anwendbaren und umsetzbaren Beiträge ein.
Auch dass der bisherige Bundesdatenschutzbeauftragte Peter Schaar gemäss seinem fachlichen Auftrag kaum verwunderlich immer wieder klar Position bezogen hat, hat lediglich dazu geführt, dass zum Jahreswechsel durch die neue Regierungskoalition sein Auftrag nicht weiter verlängert wurde.
Der von seinen eigentlich dafür verantwortlichen, gewählten und beauftragten Volksvertretern insofern praktisch völlig allein gelassene Bürger und Nutzer digitaler Dienste hat offenbar auf Dauer keine nennenswerte Lobby
– in der Parteienlandschaft nur jeweils durch Minderheiten aus meist den Innenpolitikern unterlegenen Netzpolitikern in den etablierten Parteien bis einschliesslich dem als Mitglied des Parlamentarischen Kontrollgremiums (PKG) und sowohl in Wort und Tat positiv hervorstechenden Bundestagsabgeordneten Hans-Christian Ströbele von Bündnis 90 / Die Grünen sowie immerhin jeweils als Gesamtpartei durch sehr klar und eindeutig positionierte Piratenpartei und Die Linke -,
die sich für seine verbrieften Grundrechte einsetzen oder stark machen würde.
So bleibt für entrechtete Bürger, die diese Situation nicht achselzuckend zu akzeptieren und tatenlos hinzunehmen gedenken, einer offenbar für die Tragweite der Katastrophe nur unverständlich kleinen Minderheit in der Bevölkerung, neben der dafür als probates Mittel bereits gescheiterten Bundestagswahl als Nutzer nur der Weg der digitalen Selbstverteidigung.
CryptoParty = Workshop „digitale Selbstverteidigung“
In ein Szenario geeigneter Mittel und Lösungen gehört allerdings, wie man beispielsweise einem ebenfalls auf dem #30C3 gehaltenen Vortrag von Linus Neumann mit dem Titel „Bullshit made in Germany“ entnehmen durfte, ganz sicher nicht die DE-Mail. Sichere eMail-Kommunikation sieht eindeutig anders aus.
Und unter anderem dazu lernt man eine ganze Menge auf so genannten CryptoParties wie sie im Übrigen beispielsweise durch CCC, Piraten und Grünen auch bereits organisiert wurden.
Was eine CryptoParty ist, wird im Übrigen auf mehreren Quellen und in verschiedenen Formaten (Video, Wiki, Blog, …) grundsätzlich deckungsgleich beschrieben:
http://de.wikipedia.org/wiki/CryptoParty
http://www.cryptoparty.in/parties/howto
http://www.youtube.com/watch?v=o9HOf16N0ho
Es handelt sich in aller Regel um eine frei zugängliche, kostenfreie Veranstaltung, die mehr oder weniger interaktiv abläuft und in einem Austausch zwischen Experten und ambitioniertem Publikum bei niedriger Schwelle bezüglich Kenntnisstand der Teilnehmer eine Art Workshop in digitaler Selbstverteidigung darstellt, wobei inhaltlich vor allem Open Source Software und Verschlüsselungstechnologien vorgestellt und deren praktische Nutzung auch Schritt für Schritt erklärt und demonstriert wird.
Die Teilnehmer sollen mit einer CryptoParty in die Lage versetzt werden, selbst verschlüsselt und sicher zu kommunizieren und ebenso ihre Daten verschlüsselt und sicher abzulegen, im Nachgang aber auch ihre eigenen Kommunikationspartner leicht und schnell ebenfalls zu sensibilisieren und in diese Kunst einzuführen.
Für eine gestern in München stattgefundene solche CryptoParty wurde ein Handout-Dokument für die Teilnehmer erstellt, das wir hier zum Download bereit stellen:
CryptoParty MUC Workshop Handout (PDF).
Wie die Teilnehmer lernen durften: 100%-ige Sicherheit gibt es nicht.
Und so müssen wir auch erklären, dass grundsätzlich auf Richtigkeit und Vollständigkeit natürlich keine Garantien gegeben werden können.
Dennoch: beide Daumen nach oben mit kräftiger Empfehlung zum Nachmachen.
Die vorgestellten Tools und Lösungen sind äusserst umfangreich
und deckten auch gleich 6 verschiedene mobile und Desktop-Betriebssysteme ab:
Windows, Mac OS, Linux, Android, iOS und Windows Phone –
ein äusserst ambitioniertes und für CryptoParties durchaus aussergewöhnlich umfangreiches und breites, trotzdem oder je nach Perspektive vielleicht auch gerade deshalb äusserst praxistaugliches Programm
mit der Besonderheit des Schwerpunkts auf mobile Nutzung.
Sie erstrecken sich
- von sicherer eMail-Kommunikation mit OpenPGP-Verschlüsselung
- über verschlüsselte Kurznachrichten mit einer Smartphone-App namens THREEMA aus der Schweiz,
- XMPP-Messaging-Diensten und OTR-Verschlüsselung
- oder Apps für verschlüsselte SMS/MMS,
- verschlüsselte Sprachkommunikation (VoIP Telefonie),
- Verschlüsselung von Speichermedien (geräteinterner Speicher, Festplatte, Speicherkarte, Daten-Container),
- verschlüsselte Datenspeicherung mit Encryption Tools auf Cloud-Diensten
- und verschlüsselte Collaboration-Tools
- bis zu VPN-Tunnelverbindungen.
Dass wie angekündigt keine Vorkenntnisse erforderlich sein sollten, konnte insofern nicht durchgängig für das gesamte, teilweise doch sehr anspruchsvolle Programm gelten.
Die für die praktische Umsetzung wesentlichen Inhalte (insbesondere PGP-Verschlüsselung von eMails und Secure Messaging) konnten allerdings durchaus erfolgreich übermittelt werden, wie sich am Ende der Veranstaltung stichprobenhaft bei den Teilnehmern in Erfahrung bringen liess,
wenn man sich jedenfalls entsprechend der Aufforderung beim Event-Eintrag vorbereitet und die zur Nutzung beabsichtigten Tools vorher bereits heruntergeladen und installiert hatte (die lange Liste der Links war tatsächlich vorher vollständig kommuniziert worden).
Darüber hinaus gaben die Experten und Organisatoren sogar noch eine Art Erfolgsgarantie, indem den Teilnehmern für offene Fragen oder Umsetzungsprobleme die natürlich ebenfalls wieder kostenfreie Teilnahme am ansonsten identischen Zweittermin 1 Monat später (am 21.02.) angeboten wurde, ausserdem erhielten sie zum erfolgreichen Testen im Nachgang zur Veranstaltung die eMail-Adressen, öffentlichen PGP-Schlüssel und THREEMA IDs der anwesenden Experten.
Und schliesslich gab es als Zuckerl für die Teilnehmer auch noch jeweils 4 Gutschein-Codes zum kostenlosen Erwerb der iOS oder Android Version der vorgestellten Secure-Messaging-App THREEMA vom Schweizer Hersteller, dem Entwickler Manuel Kasper – jedenfalls für insgesamt 8 Teilnehmer, die sie sich noch nicht bereits vorher besorgt hatten.
Für 1,69 bzw 1,79 EUR hält sich die Investition aber auch so in Grenzen, zumal die Nutzung des Diensts komplett kostenlos ist – anders als beim höchst unsicheren und deshalb häufig in die Schlagzeilen gekommenen derzeit populärsten Wettbewerber „WhatsApp“. Ein weiterer nach wie vor höchst erfolgreicher Wettbewerber ist das bekanntermassen durch die NSA kompromittierte „Skype“ von Microsoft oder z.B. der „Facebook Messenger“.
Aufgrund der anhaltenden Nachrichtenlage und entsprechenden Sensibilisierung der Nutzer hat das recht einfach zu nutzende THREEMA es im Übrigen geschafft, schon seit Monaten in den Top 50 der App Hitlisten zu bleiben (zeitweilig sogar sehr weit oben).
Die lange Liste der auf der CryptoParty vorgestellten oder erwähnten sicheren Lösungen und Tools nach Anwendungsgebieten:
TEIL 1 – Verschlüsselte eMail-Kommunikation
eMail-Verschlüsselung: OpenPGP / GnuPG / GPG
http://www.gnupg.org/
Android: APG (OpenPGP, zusammen mit K-9 Mail)
http://play.google.com/store/apps/details?id=org.thialfihar.android.apg
iOS: iPGMail (OpenPGP)
http://itunes.apple.com/us/app/ipgmail/id430780873?mt=8
iOS: oPenGP (OpenPGP)
http://itunes.apple.com/de/app/opengp/id414003727
http://itunes.apple.com/de/app/opengp-lite/id405279153
Windows Phone: oPenGP (OpenPGP)
http://www.windowsphone.com/de-de/store/app/opengp/449af4e8-d259-431f-b5d9-3ebb092c13d1
Windows: Gpg4win (OpenPGP + S/MIME, zusammen mit Microsoft Outlook oder Claws Mail)
http://www.gpg4win.org/
Mac OS: GPGMail + GPG Suite (OpenPGP, zusammen mit Apple Mail oder Thunderbird)
http://gpgtools.org/
Windows / Mac OS / Linux: Enigmail (OpenPGP, zusammen mit Thunderbird)
http://addons.mozilla.org/de/thunderbird/addon/enigmail/
eMail-Programme:
Android: K-9 Mail (zusammen mit APG)
http://play.google.com/store/apps/details?id=com.fsck.k9
Windows / Mac OS / Linux: Mozilla Thunderbird (Addons/Plugins siehe oben, v.a. Enigmail)
http://www.mozilla.org/de/thunderbird/
http://www.mozilla.org/de/thunderbird/all.html
TEIL 2 – Secure Messaging
THREEMA: Messaging mit End-To-End-Verschlüsselung (ECC mit NaCl)
http://threema.ch/
Android: http://play.google.com/store/apps/details?id=ch.threema.app
iOS: http://itunes.apple.com/de/app/threema/id578665578?mt=8
versus OTR: http://threema.ch/de/faq.html
XMPP + OTR: XMPP-Dienste: Facebook Messenger, Google Talk, Jabber, AIM, ICQ, …
Sichere XMPP-Clients mit OTR-Verschlüsselung:
Android: Xabber (XMPP-Dienste > FB, GT, …)
http://play.google.com/store/apps/details?id=com.xabber.android&hl=de
http://play.google.com/store/apps/details?id=com.xabber.androidvip&hl=de
Android: ChatSecure (ehem. Gibberbot; XMPP-Dienste > FB, GT, Jabber, AIM)
http://play.google.com/store/apps/details?id=info.guardianproject.otr.app.im&hl=de
iOS: ChatSecure (ehem. Gibberbot; XMPP-Dienste > FB, GT, Jabber, AIM)
http://itunes.apple.com/us/app/chatsecure-encrypted-secure/id464200063
Windows / Mac OS / Ubuntu / Linux: Pidgin plus OTR-Plugin
http://www.pidgin.im/download/
http://developer.pidgin.im/wiki/ThirdPartyPlugins
http://otr.cypherpunks.ca/index.php#downloads
Windows / Mac OS / Ubuntu / Debian / Linux: Jitsi
http://jitsi.org/Main/Download
Verschlüsselte SMS/MMS:
Android: TextSecure
http://whispersystems.org/#encrypted_texts
http://play.google.com/store/apps/details?id=org.thoughtcrime.securesms
iOS: TextSecure (in Entwicklung)
http://whispersystems.org/blog/iphone-rsn/
TEIL 3 – Verschlüsselte Sprachkommunikation / Telefonie
OSTel (Open Secure Telephony des Guardian Project): Encrypted SIP Service Provider
https://ostel.co/
(Achtung: VoIP lässt nicht jeder Mobiltelefon-Provider bzw nur bei bestimmten Tarifen zu,
Alternative: über WLAN)
CSipSimple: (VoIP-Client, Nutzung z.B. mit Encrypted SIP Dienst wie OSTel)
http://code.google.com/p/csipsimple/
Android: CSipSimple
http://play.google.com/store/apps/details?id=com.csipsimple
http://nightlies.csipsimple.com/stable/CSipSimple-latest-trunk.apk
iOS: Acrobits SoftPhone (VoIP-Client, Nutzung z.B. mit Encrypted SIP Dienst wie OSTel)
http://itunes.apple.com/app/acrobits-softphone-sip-phone/id314192799
Android: Acrobits Groundwire (SRTP: SDES + ZRTP)
http://www.acrobits.cz/94/groundwire-for-android
http://play.google.com/store/apps/details?id=cz.acrobits.softphone.aliengroundwire
iOS: Acrobits Groundwire (SRTP: SDES + ZRTP)
http://www.acrobits.cz/11/acrobits-groundwire-for-iphone
http://itunes.apple.com/de/app/groundwire-business-caliber/id378503081?mt=8
PrivateGSM (SRTP/ZRTP, SIP/TLS):
http://guardianproject.info/wiki/PrivateGSM
http://www.privatewave.com/display/WS/PrivateGSM
Android: PrivateGSM Professional
http://play.google.com/store/apps/details?id=com.privategsm.beta
iOS: PrivateGSM Professional
http://itunes.apple.com/de/app/privategsm-professional/id401908184?mt=8
Android: RedPhone (ZRTP Encrypted VoIP Channel)
http://whispersystems.org/#privacy
http://play.google.com/store/apps/details?id=org.thoughtcrime.redphone
BlackBerry 10: SecuSUITE (SNS-Standard: CSD-Kanal, ISDN V110, SNS over IP)
http://www.secusmart.com/secusuite/
BlackBerry 10: SecuVOICE (SNS-Standard: CSD-Kanal, ISDN V110, SNS over IP)
http://www.secusmart.com/secuvoice/
Android: SecuVOICE (SNS-Standard: CSD-Kanal, ISDN V110, SNS over IP)
http://www.secusmart.com/secuvoice/android-smartphones/funktionsweise/
Windows / Mac OS / Ubuntu / Debian / Linux: Jitsi
http://jitsi.org/Main/Download
TEIL 4 – Gerät / Datenträger / OS / Virtualisierung / Container
Android: BizzTrust
http://www.bizztrust.de
Android: SiMKo3
http://www.t-systems.de/simko
BlackBerry 10: BlackBerry Balance
http://de.blackberry.com/software/smartphones/blackberry-10-os/features-new/blackberry-balance.html
BlackBerry 10: SecuSUITE
http://www.secusmart.com/secusuite/
Android / iOS: Good Collaboration Suite
http://www1.good.com/applications/collaboration-suite/
Android: Verschlüsselung (des Gerätespeichers) mit Bordmitteln
> Einstellungen > Sicherheit > Verschlüsselung > Gerät verschlüsseln
> Einstellungen > Sicherheit > Verschlüsselung > Externe SD-Karte verschlüsseln
Android: LUKS (Encrypted Container, im internen Gerätespeicher oder auf SD-Karte)
https://guardianproject.info/code/luks/
https://play.google.com/store/apps/details?id=com.nemesis2.luksmanager
TrueCrypt: (Festplatten-Verschlüsselung)
http://www.truecrypt.org
Windows / Mac OS / Linux:
http://www.truecrypt.org/downloads
OpenSource Alternativen bei mobilen Betriebssystemen:
Ubuntu Phone
http://www.ubuntu.com/phone
TEIL 5 – Collaboration + Cloud-Speicher (verschlüsselt)
Stackfield: Collaboration Plattform mit End-to-End-Verschlüsselung (Freemium)
http://www.stackfield.com
Wuala: verschlüsselter Cloud-Speicher-Dienst
http://www.wuala.com/de/
Android, iOS, Windows, Mac OS, Linux:
http://www.wuala.com/de/download/
Android: http://play.google.com/store/apps/details?id=com.wuala.android
iOS: http://itunes.apple.com/us/app/wuala/id417749289?mt=8
BoxCryptor: Verschlüsselung von Cloud-Speicher
http://www.boxcryptor.com/
Unterstützt Cloud-Speicher-Dienste: Dropbox, Google Drive, SkyDrive, BOX, SugarSync.
Für Android, iOS, Windows RT, Windows, Mac OS X, Linux, Chrome (Browser Plugin):
http://www.boxcryptor.com/de/download
BoxCryptor Classic:
Android: http://play.google.com/store/apps/details?id=com.boxcryptor.android
iOS: http://itunes.apple.com/de/app/boxcryptor-classic/id484546808
BoxCryptor (2.x):
Android: http://play.google.com/store/apps/details?id=com.boxcryptor2.android
iOS: http://itunes.apple.com/de/app/boxcryptor/id649940870?mt=8
TEIL 6 – VPN-Tunnelverbindung
Android: VPN mit Bordmitteln
> Einstellungen > Drahtlos und Netzwerke > Weitere Einstellungen > VPN
iOS: VPN mit Bordmitteln
> Einstellungen > Allgemein > VPN
Windows Phone: unterstützt VPN systemseitig nicht
OpenVPN: http://openvpn.net/
Android: OpenVPN Connect http://play.google.com/store/apps/details?id=net.openvpn.openvpn&hl=de
iOS: OpenVPN Connect
http://itunes.apple.com/us/app/openvpn-connect/id590379981
Windows: OpenVPN Private Tunnel
http://swupdate.openvpn.net/privatetunnel/client/privatetunnel.msi
Mac OS: OpenVPN Private Tunnel
http://swupdate.openvpn.net/privatetunnel/client/privatetunnel.dmg
Quelle/n und weiterführende Links
(zusätzlich zu den z.T. im Artikel bereits aufgeführten):
http://cryptoparty-muc-20140117.eventbrite.de/
http://cryptoparty-muc-20140221.eventbrite.de/
http://thomas-pfeiffer.de/linkliste-mailverschluesselung/
http://www.jimmy-schulz.com/content/so-sch%C3%BCtze-ich-mich-vor-datendieben
http://www.facebook.com/groups/491112987636270/ – Facebook Gruppe „MOBILE SECURITY“
http://www.xing.com/net/enterprisemobi – XING Fachforum „ENTERPRISE MOBILITY“
http://blog.unixweb.de/vpn-server-aufbau-mit-einem-raspberry-pi/
sowie zum Thema „Digitale Selbstverteidigung“
https://prism-break.org/#de
http://kryptoparty.de/?page_id=65
http://www.stopwatchingus-duesseldorf.org/tools/
http://demonstrare.de/demonstrare/etwas-mehr-sicherheit-mit-android-linux-und-windows/
http://cybermashup.com/2013/07/24/nsa-crypto-and-bananas/
http://www.theguardian.com/world/2013/sep/05/nsa-how-to-remain-secure-surveillance
http://www.youtube.com/watch?v=N8Sc6pUR1mA
http://www.youtube.com/user/CCCdeVideos
und weiterführende Links zu Technologien, Tools und wie man sie einsetzt
http://wiki.piratenpartei.de/PGP
http://www.spiegel.de/fotostrecke/openpgp-so-verschluesseln-sie-ihre-e-mails-fotostrecke-98718.html
http://wiki.piratenpartei.de/HowTo_Emails_verschl%C3%BCsseln_mit_PGP_mit_Thunderbird#Installation_und_Ver.C3.B6ffentlichen_der_Schl.C3.BCssel
http://www.verbraucher-sicher-online.de/anleitung/e-mails-verschluesseln-in-apple-mail-unter-mac-os-x?page=0,2#eigenes_schluesselpaar
http://wiki.ubuntuusers.de/GnuPG
http://stadt-bremerhaven.de/android-verschluesselte-e-mails-mit-agp-und-k9-senden-und-empfangen/
http://www.apfeltalk.de/community/threads/eine-anleitung-fuer-die-verschluesselung-von-mails-unter-ios-5.389590/
http://wiki.xmpp.org/web/OTR
http://irrsinnig.de/sicher-im-netz/verschluesselt-chatten-mit-otr
http://www.androidpit.de/verschluesselte-sms-chats-textsecure-xabber
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Sicherheitsberatung/Sicherheitshinweise/2009-07-10_Sicherheitshinweis_GSM_pdf.pdf
https://www.bsi.bund.de/DE/Themen/weitereThemen/MobileSecurity/SNS/sns_node.html
http://idw-online.de/de/news563139
und zur politischen Dimension der Thematik der digitalen Überwachung:
http://de.wikipedia.org/wiki/Edward_Snowden
http://www.sueddeutsche.de/politik/ueberwachungs-durch-us-geheimdienste-unterirdisch-1.1726074
http://www.v-r.de/de/title-0-0/ueberwachtes_deutschland-1007436/
http://foschepoth.wordpress.com/
http://www.youtube.com/watch?v=rd7-Z_X809A
http://www.tagesschau.de/multimedia/sendung/ws508.html
http://www.zdf.de/ZDFmediathek/kanaluebersicht/aktuellste/228#/beitrag/video/2014108/ZDF-heute-journal-vom-25-Oktober-2013
http://www.zeit.de/digital/datenschutz/2013-11/bericht-peter-schaar-nsa-gchq
http://www.youtube.com/watch?v=LNQapkhM4YY
http://www.youtube.com/watch?v=yqI-Q_46xnA
http://www.youtube.com/watch?v=VRv424ulV7Q
http://www.spiegel.de/politik/deutschland/ueberwachung-die-positionen-der-piraten-zu-nsa-und-prism-skandal-a-912930.html
http://www.youtube.com/watch?v=hp0FVvpfbFU
enterprise mobility 