PrivacyTools.io

Kapitel zur fortgeschrittenen Verschlüsselung

Kapitel zur fortgeschrittenen Verschlüsselung

Ich weiß, ich habe verschiedene Bereiche der Verschlüsselung bereits unterschiedlich ausführlich besprochen. Aber ich denke, ein Aspekt, der noch stärker hervorgehoben werden muss, ist ein Punkt, den ich kurz weiter oben gemacht habe. “Wenn du online buchstäblich um dein Leben kämpfst, setze NIEMALS dein ganzes Vertrauen in ein einziges Unternehmen oder einen einzigen Dienst.” Das gilt auch für die Verschlüsselung auf jeder Ebene. Sagen wir, du hast einen Ordner mit 6 bis 7 streng geheimen Dateien darin und musst sicherstellen, dass dieser Ordner vor allen Formen der Kompromittierung geschützt ist. Du würdest sicherstellen wollen, dass dieser Ordner auf einem System gespeichert ist, das vollständig verschlüsselt und vor neugierigen Blicken geschützt ist. Ich persönlich würde einen USB-Stick mit VeraCrypt und einem 45 bis 50 Zeichen langen Passwort vollverschlüsseln. Ich würde sicherstellen, dass der Verschlüsselungsalgorithmus kaskadierend ist, etwa AES(Serpent). Dann würde ich den verschlüsselten USB-Stick einbinden und sagen wir 400 zufällige Dateien (Bilder, zufällige .txt-Dateien usw.) ins Stammverzeichnis legen. Danach würde VeraCrypt (oder macOS mit verschlüsselter .dmg) verwendet, um auf demselben USB-Stick einen verschlüsselten Container mit einem anderen 50 Zeichen langen Passwort und 3 Schlüsseldateien anzulegen, ausgewählt aus den 300 Bildern.

Der Ordner mit den sensiblen Informationen würde dann innerhalb des VeraCrypt-Containers auf dem verschlüsselten USB-Stick gespeichert. Um dieses Setup anzugreifen, müsste man zuerst in den USB-Stick eindringen, indem man VeraCrypt angreift, entweder durch Bruteforcing des Passworts (mit dieser Passwortlänge nicht leicht zu schaffen) oder durch einen Angriff auf die Verschlüsselung selbst (was wegen des verwendeten Kaskadenmodus ebenfalls nicht passiert). Um es ganz deutlich zu sagen: In die Vollverschlüsselung des USB-Sticks wird nicht eingebrochen, außer man kann dein Passwort stehlen. Darüber hinaus müsste dieser Gegner danach auch noch erfolgreich in den auf dem besagten USB-Stick gespeicherten VeraCrypt-Container eindringen. Ein weiteres Kunststück, das wegen des 50 Zeichen langen Passworts und der zusätzlichen Sicherheit durch 3 Schlüsseldateien aus einem Satz von 400 nahezu unmöglich ist. ‘apt-get install overkill —fix-missing’

Wenn wir dieselbe Art zu denken nehmen und sie auf die sichere Kommunikation mit jemandem anwenden, sollten wir uns auf der Suche nach einer Methode wiederfinden, die es uns erlaubt, unsere eigene Verschlüsselung über die Verschlüsselung des Dienstes zu legen, den wir zur Kommunikation verwenden. Idealerweise wäre etwas wie XMPP (natürlich mit OTR und deinem eigenen Server) unter Verwendung von Tor Messenger, um die Dinge anonym zu halten, eine gute und sichere Methode zu kommunizieren. Darüber hinaus könnten wir unsere Nachrichten lokal in einem .txt-Dokument schreiben und den Text dann mit dem PGP-Schlüssel der anderen Person verschlüsseln, bevor wir ihn senden. Ein Gegner müsste zuerst OTR (Off-The-Record) brechen oder den von uns genutzten Client angreifen UND die PGP-verschlüsselten Nachrichten knacken. Das OTR-Protokoll sollte Perfect Forward Secrecy nutzen, um sicherzustellen, dass selbst dann, wenn du deinen privaten Schlüssel verlierst, keine früheren Nachrichten kompromittiert werden können. Egal welche Form der Kommunikation du nutzt, ich würde sicherstellen, dass sie starke PFS einsetzt und eine einfache Möglichkeit bietet, eine zusätzliche Verschlüsselung darüberzulegen (wie PGP). Ich bin mit Snowden einer Meinung, wenn er sagt, dass Signal ein sehr sicherer Weg ist, um mit jemandem zu kommunizieren. ABER man würde idealerweise ein echtes Wegwerftelefon brauchen, das nicht mit der eigenen Identität verknüpft ist, oder man muss seine persönliche Telefonnummer an die andere Partei herausgeben. UND man muss in der Lage sein, den Quellcode auf dem Gerät zu überprüfen, auf dem man es installiert, eine Funktion, die für iOS noch nicht verfügbar ist.

Ein weiteres großes Problem, auf das wir stoßen, wenn wir uns die sichere Kommunikation mit jemandem ansehen, ist, wie wir diese “Methode” der Kommunikation wählen und einsetzen. Wenn das FBI, die CIA, das GCHQ oder eine andere große Organisation weiß, dass wir name@myserver.com über XMPP nutzen, um unsere geheime Kommunikation mit jemandem zu beginnen, wissen sie, was sie angreifen müssen. Wenn wir jedoch jemanden in einem zufälligen TeamSpeak-Server treffen, ihm per privater Nachricht die Details für einen verschlüsselten IRC-Server mit gutem SSL und ohne Verbindungsprotokollierung schicken und dann auf diesem IRC-Server einen OTR-Chat mit der Person starten, um XMPP-Benutzernamen, OTR-Fingerabdrücke und PGP-Schlüsselinformationen auszutauschen, würden wir die Chance dieser Regierungsorganisationen, uns anzugreifen, erheblich verringern. Da sie nicht aktiv feststellen können, wie wir kommunizieren (wenn wir alle Verbindungen über Tor und VPNs leiten), haben wir uns ein gewisses Maß an Verschleierung zunutze gemacht.