| |
| devop:krypto [2025/10/30] – created hayati | devop:krypto [Unknown date] (current) – external edit (Unknown date) 127.0.0.1 |
|---|
| | ~~NOTRANS~~ |
| | |
| | ====== Kryptografie ====== |
| | |
| | ===== Grundbegriffe ===== |
| | |
| | * [[https://de.wikipedia.org/wiki/Vertraulichkeit|Vertraulichkeit]]: Unbefugte können nicht mitlesen |
| | * [[https://de.wikipedia.org/wiki/Integrit%C3%A4t_(Informationssicherheit)|Integrität]]: Nachricht ist unverändert |
| | * [[https://de.wikipedia.org/wiki/Authentizit%C3%A4t|Authentizität]]: Urheber/Autor der Nachricht steht eindeutig fest |
| | * Schlüsselaustausch: sensibler Prozess. Oft wird extra Kanal zum Austausch von Schlüsseln bzw zur Verifikation der Echtheit verwendet - um einen [[https://de.wikipedia.org/wiki/Man-in-the-Middle-Angriff|man-in-the middle]] auszuschließen |
| | |
| | |
| | * [[https://de.wikipedia.org/wiki/Anonymit%C3%A4t|Anonymität]]: aus einer (verschlüsselten) Nachricht kann keinerlei Rückschluss auf den Autor geschlossen werden. Bei 2 (zwei) verschiedenen Nachrichten desselben Autors kann dies nicht festgestellt werden |
| | * [[https://de.wikipedia.org/wiki/Pseudonym|Pseudonymität]]: Trotz Unkenntnis des konkreten Autors können 2 (verschiedenen Nachrichten) für Dritte auf denselben Autor zugeordnet werden |
| | |
| | * [[https://de.wikipedia.org/wiki/Leitungsverschl%C3%BCsselung|Transport-Verschlüsselung]]: der Transport zwischen relevanten Servern ist geschützt. Der Betreiber eines Servers kann mitlesen! |
| | * [[https://de.wikipedia.org/wiki/Ende-zu-Ende-Verschl%C3%BCsselung|Ende-zu-Ende Verschlüsselung]]: auch Server Betreiber können NICHT mitlesen |
| | |
| | |
| | * [[https://de.wikipedia.org/wiki/Symmetrisches_Kryptosystem|Symmetrische Verschlüsselung]]: alle Parteien einer Kommunikation haben denselben (geheimen) Schlüssel |
| | * Ver- und Entschlüsselung erfolgt mit demselben geheimen Schlüssel zzgl dem Algorithmus |
| | * Einfachste oder Pseudo-Verschlüsselungen, von denen abzuraten ist, wie u.a.: |
| | * [[https://de.wikipedia.org/wiki/Leetspeak|Leetspeak]] |
| | * [[https://de.wikipedia.org/wiki/ROT13|ROT-13]] |
| | |
| | * [[https://de.wikipedia.org/wiki/Asymmetrisches_Kryptosystem|Asymmetrische Verschlüsselung]]: jede Partei hat ein Schlüsselpaar |
| | * öffentlicher Schlüssel: kann und wird frei veröffentlicht. Es gibt auch öffentliche Verzeichnisse (Keyserver) |
| | * privater Schlüssel: wird nicht weitergegeben. Zugriff oft mit Kennwort geschützt |
| | * zur Vertraulichkeit wird eine Nachricht mit dem öffentlichen Schlüssel des Empfängers verschlüsselt |
| | * der Empfänger entschlüsselt mit seinem privaten Schlüssel |
| | * zur Integrität und Authentizität kann Sender die Nachricht mit seinem privaten Schlüssel signieren |
| | * der Empfänger kann die mitgeschickte Signatur mit dem öffentlichen Schlüssel des Absenders verifizieren |
| | * im Folgenden wird dieser Fall weiter erörtert |
| | |
| | * "Nachrichten" können verschiedene Arten von Dokumenten sein: |
| | * E-Mails |
| | * Dateien |
| | * Texte (auf Webseiten) |
| | |
| | * Zentrale/hierarchische Schlüsselverzeichnisse, z.B. https/SSL, über [[https://de.wikipedia.org/wiki/Trustcenter|Trustcenter]] |
| | * [[https://de.wikipedia.org/wiki/Web_of_Trust|Web-of-Trust]]: durch Signieren des öffentlichen Schlüssels wird die Authentizität, ggf inkl Ausweis Kontrolle bekundet. Es entstehen selbstorganisierte Netze des Vertrauens. Siehe auch [[https://de.wikipedia.org/wiki/Keysigning-Party|Keysigning-Parties]]. |
| | |
| | |
| | |
| | |
| | ===== Anwendungen ===== |
| | |
| | * Vertrauliche/verschlüsselte Kontaktaufnahme (mit Journalisten) |
| | * Sicherstellen, dass derselbe (pseudonyme) Autor/Whistleblower Kontakt aufnimmt |
| | * Datenträger/Festplatten Verschlüsselung |
| | * Verschlüsselung von Dateien vor hochladen in Cloud-Speicher, z.B. Dropbox |
| | |
| | ==== E-Mail ==== |
| | |
| | === E-Mail Provider / Anbieter === |
| | |
| | Hier eine kleine Auswahl: |
| | |
| | * [[https://posteo.de/|Posteo]] |
| | * [[https://proton.me/mail|Proton Mail]] |
| | * [[https://web.de/|Web.de]] |
| | * [[https://mail.google.com/|GMail]] |
| | |
| | |
| | === PC Linux/Windows === |
| | |
| | Mit Addons ([[https://gnupg.org/|GnuPG]] aka "gpg" bzw. [[https://www.gpg4win.org/|gpg4win]] unter Windows) zum E-Mail Client [[https://www.thunderbird.net/|Thunderbird]] |
| | |
| | === Browser === |
| | |
| | Als Email Client wird die Web-Schnittstelle des E-Mail Anbieters, z.B. [[https://web.de/|web.de]] oder [[https://posteo.de/|posteo]], verwendet. |
| | Browser-Erweiterung (Add-On) [[https://mailvelope.com/de|Mailvelope]] erlaubt die lokale Ver- und Entschlüsselung auf dem eigenen Rechner - innerhalb des Browsers. |
| | |
| | In diesem Fall müsste man mMn dem E-Mail Provider soweit vertrauen, dass dieser [[https://mailvelope.com/de|Mailvelope]] korrekt einbindet - und einem Daten, Passwörter oder Schlüssel abgreift. Insbesondere das Sicherheits-Backup, welches auf [[https://web.de/|web.de]] teilweise zwingend notwendig ist, sehe ich persönlich sehr problematisch; siehe [[https://hilfe.web.de/sicherheit/pgp/verschluesselte-kommunikation-einrichten.html|Web.de Verschlüsselte Kommunikation einrichten]]. |
| | Auf [[https://posteo.de/|posteo]] ist ein solcher Schritt nicht notwendig. |
| | |
| | |
| | === Android / Smartphone === |
| | |
| | Email Client [[https://k9mail.app/|K9]] zzgl. [[https://www.openkeychain.org/|OpenKeyChain]] |
| | |
| | |
| | === Unverschlüsselt === |
| | |
| | Die E-Mail Adressen von Empfänger und Absender sind immer zwingend unverschlüsselt. Der Betreff ist oft ebenfalls unverschlüsselt; hierüber muss man sich im Klaren sein! |
| | |
| | Thunderbird bietet die Möglichkeit, den Betreff ebenfalls zu verschlüsseln. Allerdings kann dann der Empfänger den Betreff oftmals ebenfalls nicht lesen. Des weiteren erschwert bzw verlangsamt sich die Sortierung von E-Mails ebenfalls. Daher würde ich persönlich keinen Gebrauch von dieser Einstellung machen. |
| | |
| | ==== Messaging ==== |
| | |
| | === Threema === |
| | |
| | Siehe https://threema.ch/de/faq/why_secure |
| | |
| | Empfehlung! Obwohl kommerziell. |
| | |
| | |
| | === Signal === |
| | |
| | Lt. https://support.signal.org/hc/de/articles/360007318911-Woher-wei%C3%9F-ich-dass-meine-Kommunikation-vertraulich-ist |
| | " |
| | Signal ist darauf ausgelegt, niemals sensible Informationen zu sammeln oder zu speichern. Nachrichten und Anrufe in Signal können weder von uns noch von Dritten eingesehen werden, da sie immer Ende-zu-Ende-verschlüsselt, privat und sicher sind. |
| | " |
| | |
| | |
| | === Telegram === |
| | |
| | Lt. https://www.datenschutz.org/telegram/ |
| | " |
| | Telegram verschlüsselt zwar die Übertragung zwischen Endgerät und Cloud-Server, eine Ende-zu-Ende-Verschlüsselung bietet die App jedoch nur bei geheimen (Einzel-)Chats als Option. In der Cloud hinterlegte Informationen und Chats können so sowohl von Telegram als auch potentiell von Dritten eingesehen werden. |
| | " |
| | |
| | === WhatsApp === |
| | |
| | siehe https://www.dr-datenschutz.de/die-ende-zu-ende-verschluesselung-bei-whatsapp/ |
| | |
| | |
| | ===== Anonymität vs Spuren ===== |
| | |
| | Viele Webseiten, wie z.B. Email Provider könn(t)en die IP Adressen protokollieren. Daher wird die Verwendung über ein VPN - zur Wahrung der Anonymität - dringend angeraten. |
| | |
| | |
| | ===== Mögliche Angriffsvektoren ===== |
| | |
| | ==== Kennwort-Attacken ==== |
| | |
| | * Zu einfaches Kennwort, siehe z.B. [[https://www.netzwoche.ch/news/2023-11-20/das-meistgenutzte-passwort-der-welt-ist|Meistgenutzte Passwörter]] |
| | * Abhören einer Funktastatur, siehe z.B. [[https://www.golem.de/news/keysniffer-millionen-kabellose-tastaturen-senden-daten-im-klartext-1607-122388.html|Keysniffer auf Golem.de]] |
| | |
| | ==== Physikalischer Zugriff ==== |
| | |
| | Auch temporärer Zugriff auf den Computer kann ausreichend sein, z.B. die Festplatte auszubauen oder um einen (unscheinbaren) [[https://de.wikipedia.org/wiki/Keylogger|Keylogger]] zwischen Computer und Tastatur einzustecken, um die Passwort-Eingabe mitzuschneiden! |
| | |
| | ==== Nachgestelltes Netzwerk/WLAN und Webseite ==== |
| | |
| | Webseiten können täuschend echt aussehen, wo man zur Eingabe des Kennworts aufgefordert wird .. siehe z.B. [[https://de.wikipedia.org/wiki/Phishing|Wikipedia zu Phishing]], wo man z.B. mittels E-Mails auf gefälschte Webseiten gelenkt wird. |
| | |
| | Alternativ können Angreifer auch freie WLANs bereitstellen, auf die Nutzung warten und auch die originären URLs von Dienste-Anbietern faktisch umleiten. Hier müsste man auf die SSL Verschlüsselung des Browsers achten. |
| | |
| | ==== Social Engineering ==== |
| | |
| | Anruf von vermeintlichen Mitarbeitern oder Kollegen .. siehe [[https://de.wikipedia.org/wiki/Social_Engineering_(Sicherheit)|Wikipedia Artikel]] |
| | |
| | ==== Zugriff beim E-Mail Provider ==== |
| | |
| | Unverschlüsselt empfangene sowie gesendete E-Mails liegen beim E-Mail Provider i.d.R. ebenfalls unverschlüsselt im IMAP Postfach. Folglich könnte der Provider auf ihre E-Mails zugreifen. Eine Ausleitung/Kopie an Behörden ist grundsätzlich denkbar. |
| | |
| | Des Weiteren besteht auch immer die Möglichkeit von Hacker Angriffen auf ihr E-Mail Konto. Oft sind sensible Daten in den E-Mails gespeichert, z.B. Bestätigungen für Bestellungen und Konteninformationen, die für Betrüger interessant sind. |
| | |
| | Darüberhinaus ist auch die Bestechung von Mitarbeitern des E-Mail Providers im Rahmen des Denkbaren .. |
| | |
| | Es gibt wiederum Email Provider wie z.B. Posteo, die alle ankommenden E-Mails automatisch mit dem öffentlichen Schlüssel zum Konto verschlüsseln, bevor sie die Daten speichern. Den privaten Schlüssel braucht der |
| | Provider nicht. Somit kann der Provider die verschlüsselt gespeicherten E-Mails nicht mehr lesen. Auch eine Weitergabe an Behörden macht wenig Sinn - außer, die Behörden kommen z.B. über eine Hausdurchsuchung/Beschlagnahme an den privaten Schlüssel ran. Mittels Beugehaft könn(t)en Richter auch die Herausgabe eines Kennworts erzwingen. |
| | Dies gilt entsprechend auch für Kennwörter von verschlüsselten Festplatten. |
| | |
| | |
| | ===== Quellen / Links ===== |
| | |
| | |
| | * https://cloudogu.com/de/blog/crypto-101-grundlagen |
| | * https://lehrerfortbildung-bw.de/u_matnatech/imp/gym/bp2016/fb3/i03_iud/1_hintergrund/2_verlauf/2_assym/ |
| | |
| | * [[https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschluesselung/e-mail-verschluesselung_node.html|BSI: E-Mail Verschlüsselung]] |
| | * [[https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/verschluesselt-kommunizieren_node.html|BSI: Verschlüsselte Kommunikation]] |
| | |
| | * https://de.m.wikipedia.org/wiki/Alice_und_Bob |
| | * https://cryptocouple.com/ |
| | |
| | * https://www.heise.de/hintergrund/Einfach-erklaert-E-Mail-Verschluesselung-mit-PGP-4006652.html |
| | * https://riseup.net/de/security/message-security/openpgp/gpg-best-practices |
| | * https://www.privacy-handbuch.de/index.htm |
| | |
| | * [[devop:vpn|VPN]] |
| | |
| | |
| | |
| |
