Workshops/Crypto for Activists/slides

title:	Cryptography for Activists
Author:	Konrad Mohrfeldt <kmohrf@systemausfall.org>
description:	Hackspace Rostock e.V. Cryptography for Activists Workshop
css:	https://wiki.hack-hro.de/talk_styles/assets/css/style.css

class:	step-standalone step-frontpage

Cryptography for Activists

Note

kurz vorstellen
was ist der Hackspace
Ziel des Workshops
- Basisverständnis von Verschlüsselung
- Praxis: E-Mail Verschlüsselung, Festplatte, etc.
Gliederung
- Abriss symmetrische Verschlüsselung
- Erklärung asymmetrische Verschlüsselung
- häufige Missverständnisse, Fallen & kluge Ratschläge
es gibt immer kurze Fragepausen – ansonsten Diskussion 1x1

Symmetrische Verschlüsselung

Marie und Peter treffen sich
sie legen ein Geheimnis fest
ausgetauschte Nachrichten (de)chiffrieren sie mit diesem Geheimnis
durch ihr Treffen und ihr Geheimnis wissen sie genau, wer ihre Nachrichten lesen kann

Note

ich hoffe niemand heißt Peter oder Marie
Geheimnis ist Passwort oder abstrakt ggf. auch Verfahren

Symmetrische Verschlüsselung - Beispiel rot13

System Message: ERROR/3 (<string>, line 48)

Unknown directive type "raw".

.. raw:: html

    <div class="expose">
        <span>hallo, ich heiße Konrad</span>
        <i class="fa fa-chevron-down"></i>
        <span>unyyb, vpu urvßr Xbaenq</span>
    </div>

Note

Verschiebung um 13 Zeichen im Alphabet

class:	step-standalone

Fragen

Asymmetrische Verschlüsselung

jede Person hat ein eigenes Schlüsselpaar
das Schlüsselpaar setzt sich aus einem öffentlichen und einem privaten Schlüssel zusammen
es braucht kein gemeinsames Geheimnis mehr

Note

Beispiel E-Mail, aber Konzept universal (später!)
ein Schlüssel ist eine Datei, in der Text steht
öffentlich und privat, weil genau das sind sie

Asymmetrische Verschlüsselung - Privater Schlüssel

ist immer nur im eigenen Besitz
mit einem privaten Schlüssel kann ich
- eine verschlüsselte Nachricht an mich wieder entschlüsseln
- eine Nachricht unterschreiben

Note

unterschreiben heißt für andere verifizierbar, dass Nachricht von mir stammt

Asymmetrische Verschlüsselung - Öffentlicher Schlüssel

Anzahl der Kopien ist unbegrenzt
mein öffentlicher Schlüssel ist nur zur Weitergabe
mit einem öffentlichen Schlüssel einer anderen Person kann ich
- der Person eine verschlüsselte Nachricht schicken
- überprüfen, ob eine Nachricht von dieser Person abgeschickt wurde (die Unterschrift prüfen)

Note

unbegrenzt heißt wirklich unbegrenzt
ob polizei oder wer auch immer ist egal

Asymmetrische Verschlüsselung - ohne Schlüsselpaar

Ich hab kein Schlüsselpaar, aber Marie!
Ich kann eine verschlüsselte E-Mail an Marie schicken
Ich kann keine E-Mail unterschreiben
Niemand kann mir eine verschlüsselte E-Mail schreiben

Note

d.h. ich kann eine verschlüsselte Mail an Person schicken ohne ein Schlüsselpaar zu besitzen

class:	step-standalone

Fragen

Asymmetrische Verschlüsselung - Vertrauen

Marie und Peter haben sich nie getroffen
Woher haben Sie den öffentlichen Schlüssel?
Woher weiß Peter, dass der öffentliche Schlüssel von Marie, wirklich zu ihr gehört?

Note

vielleicht haben sie eine E-Mail mit dem Schlüssel bekommen
vielleicht haben sie den Schlüssel im Internet gefunden (Website, Keyserver)

Asymmetrische Verschlüsselung - Vertrauen

jedes Schlüsselpaar hat einen Fingerabdruck
Über Abgleich kann Identität sichergestellt werden

Note

Fingerabdruck ist eindeutige Kombination aus Zahlen und Buchstaben
Abgleich heißt andere Kanal. Am besten persönliches Treffen, ansonsten Telefon, etc...
will Peter sichergehen, dass Maries öffentlicher Schlüssel wirklich zu ihr gehört, fragt er sie nach dem Fingerabdruck
in E-Mail Programmen kann Schlüsselvertrauen gesetzt werden

class:	step-standalone

Fragen

class:	crypto-web

Verschlüsselung im Web

nutzt auch asymmetrische Verschlüsselung
Verfahren heißt SSL/TLS
(öffentliche) Schlüssel heißen Zertifikate
Vertrauen geschieht automatisch

Note

sichert den Transportweg ab
Frage, ob jmd weiß, wie Vertrauen sichergestellt wird
SSL/TLS wird auch bei E-Mail eingesetzt

Missverständnisse und Fallen

nicht einfach Zertifikatswarnungen im Browser wegklicken!
das Absender Feld in E-Mails muss nicht die Wahrheit sagen (unterschreibt eure E-Mails!)
wenn du in einem WLAN bist, können andere Menschen deine Nachrichten mitschneiden
wenn ihr euren Rechner am Flughafen abgegeben habt, ist er kompromittiert

Note

ich kann E-Mails im Namen anderer Personen verschicken

Kluge Ratschläge

es gibt lokale Anbieter für Infrastruktur (z.B: Rostock: systemausfall, Berlin: IN-Berlin)
wenn ihr in Gruppen kommuniziert, versucht beim selben Anbieter zu bleiben

Note

es gibt z.B. auch RiseUp, aber Dezentralisierung ist schön und wichtig
beim selben Anbieter müssen Nachrichten, nicht mehr weiter durch’s Internet

class:	step-standalone

Fragen

Kryptographie löst viele unserer Probleme nicht

der Schutz vor gesellschaftlichen Akteuren ist schwierig
Repression ist ein politisches Problem, das politisch gelöst werden muss
es gibt viele Angriffsvektoren, faktisch sind es zu viele

class:	step-standalone

Danke!