Bild

Bild

Mittwoch, 24. Juni 2015

Crypto-Party - Verschlüsseln für Jedermann


Unsere Treffen von #owldigital verstetigen sich. Aus einer anfänglichen Idee entwickelt sich Kontinuität. Das Digitale braucht genau das: ein Fortschreiten in der öffentlichen Wahrnehmung und konkrete Anknüpfungspunkte, was genau sich verändert. Gerade der ländlich strukturierte Raum in OWL ist auf digitale Innovation und Anschluss angewiesen. 

Zum 5. Treffen von OWLdigital in der Weberei in Gütersloh war diesmal nicht nur Hören und Netzwerken angesagt, sondern "Hands on" - Selbermachen: Verschlüsseln für Jedermann war das Motto des Abends. Wir hatten zu einer CryptoParty eingeladen zu der jeder seinen Rechner mitbringen konnte. Ziel war die sichere private Kommunikation durch Verschlüsselung der eigenen EMails mit einer OpenSourceSoftware.



// Was ist überhaupt eine CryptoParty?

Wikipedia notiert dazu: "Eine CryptoParty bezeichnet ein Treffen von Menschen mit dem Ziel, sich gegenseitig grundlegende Verschlüsselungs- und Verschleierungstechniken (zum Beispiel Tor, VPN, OpenPGP, Festplattenverschlüsselung und OTR) beizubringen. CryptoPartys sind öffentlich und unkommerziell, mit dem Fokus auf Open-Source-Software."

// C3PB 

Praktisch unterstützt haben uns die Aktiven des C3PB aus Paderborn - eine Variante des ChaosComputerClub (CCC). Die Aktiven betreiben eine tolle Website. Auf die Frage "Was macht ihr so?" steht hier: "Wir bieten mit dem Hackerspace einen Treffpunkt für technisch interessierte Menschen, zum gegenseitigen Austausch und zur Arbeit an Projekten. Andererseits möchten wir unser Wissen auch weitergeben und machen dies mit verschiedenen Veranstaltungen."

Eine davon ist die Cryptoparty für #owldigital. Den Kontakt hatte Thorsten Ising vermittelt, Gründungsmitglied bei owldigital. 

// Passwörter - sicher?

Stefan Kloepping vom C3PB gab eine kurze Einführung ins Thema Verschlüsselung und Datensicherung. Ein besonderes Augenmerk dabei sind die Passwörter. Gelegenheitspasswörter und Allerweltspasswörter sind nicht besonders sicher, erklärte Kloepping. MickyMouse sollte man daher besser nicht verwenden. Auf so ein allgemeines Kulturgut können immerhin zig Millionen Menschen kommen. 

Die nächste unsichere Anwendung ist, einfach Buchstaben durch Zahlen zu ersetzen. "Da glaubt man sich auf der sicheren Seite." Doch auch das ist ein Trugschluss, sagt Stefan. Ebenso wie das Einfügen von Groß- und Kleinschreibung. Auch nicht sicher. Ein Computer eines gängigen Hersteller könne schnell 1000 Passwörter durchprobieren, dafür braucht es maximal drei Tage, um ein Passwort zu knacken. 

// Geerdet 

Ich war ziemlich schnell geerdet, immerhin verwende ich wie wohl jeder eine ganze Menge Hirn daran, ein einigermaßen intaktes Passwort zu erfinden. Und die große Kunst dabei: die muss man sich auch alle noch merken. Die anderen im Raum lauschen genau so andächtig, wie ich. Augenscheinlich hat jeder das gleiche Problem, denn der Saal lacht gequält und wissend bei den Worten von Stefan. Die Notwendigkeit der Daten-Sicherheit ist uns wohl bewusst. 

Es hilft also nur, das Passwort regelmäßig unregelmäßig zu ändern. Noch besser: man solle sich zusammenhängende Satzphrasen ausdenken. Die sind für einen Rechner unlogisch. Daran kann er sich schon eher die Zähne ausbeißen, bis ein Passwort geknackt wird. 

Vier Wörter, die zusammenhängen, wären schon gut. Ich formuliere mal so aus Spaß "Webereidubistganzklasse". Das dürfte also schwer werden für einen potenziellen Passwortknacker. 

"Für euch ist das einfach zu merken, für einen Computer ist das schwierig, er weiß nicht, wo die Trennung ist, für ihn macht das keinen Sinn." Sinnlos ist also knacksicherer, merke ich mir. Das ringt mir ein Lächeln ab, en schönes Motto für so manches im Leben. 

Die Komplexität von Passwörtern könne man aber auch gerne noch erhöhen. "Das geht dann prima mit Zahlen", fährt Stefan fort. Im Geiste formuliere ich mein gerade erfundenes Webereipasswort um in etwa so "Weberei22dubistganz88klasse". 

// Bilder und Musik als Merker 

Stefan zeigt Comics dazu: in Bildern kann man sich das als Mensch offenbar besser merken. "550 Jahre braucht der Computer jetzt um etwa Sätze zu knacken." Ich hoffe, ich habe mich nicht verhört. Wer sich Bilder nicht merken kann, nehme dazu auch gerne Musik und Liedertexte. Das Beispiel "ACDC" macht die Runde. Wie passend: das ist nicht nur eine Rockband, sondern steht auch für Wechselstrom, der seine Richtung in regelmäßiger Wiederholung wechselt.... 

"Baut euch im Kopf kleine Brücken - ihr braucht euch nur ein Passwort zu merken, welches modifiziert einsetzbar ist." Für die Aufbewahrung euerer Passwörter kann man Keepass als "Tresor" verwenden, oder auch True Key. Am besten merkt man sich also ein Masterpasswort.

// Verschlüsselung - jetzt wird´s ernst 

Nach der kurzen Einführung sind wir bei der Verschlüsselung von privaten eMails angelangt.

Was für uns alle zur Normalität geworden ist, wird von Stefan in Sekunden doch nochmal entzaubert: "Eine eMail ist eine Postkarte, die ihr durch die Welt schickt: die kann jeder lesen!! Das ist kein sicherer Brief. Zwischen Schreiber und Empfänger sitzen zahlreiche Mitleser: Der eMail-Server kann es lesen, der Betreiber kann es lesen, Nachrichtendienste können es lesen und wer sonst noch.

Wer also eine "Karte" schreibt mit „hallo Mama“ - das ist noch stressfrei. Eine K
arte mit der Angabe, wo der Haustürschlüssel liegt.. würde wohl keiner mehr auf eine Postkarte schreiben? Irgendjemand kann immer etwas mit den Inhalten anfangen. Warum also ohne Not diese Infos liefern?

Stefan spricht sensible Daten an: Was ist mit Dingen, die keiner wissen darf: Krankheiten etwa oder Daten, die den Beruf betreffen oder auch nur der Mailverkehr mit dem Finanzamt.
Die Verschlüsselung ist daher eine Art "Briefumschlag" für mails.

Stefan: "Auch Google durchleuchtet eure emails…!! Ihr habt dafür unterschrieben! Die Datennutzungsvereinbarungen sollte man lesen." 




// Start your engines

Jetzt wird es konkret, wir klappen die Rechner auf und bilden Grüppchen, an jedem Tisch sitzt ein C3PB-Freak und hilft. Wir basteln an einer Client-basierten E-Mail-Verschlüsselung und -Signatur. 

Wir nutzen das Public Private Key-Verfahren KeePass. Ein Public key ist gut, weil öffentlich, das kann jeder nutzen. Unser Ziel heute Abend: am Ende sicher kommunizieren.

Jetzt beginnt der Praxisteil.





Die Details der Installation etc. schenke ich mir hier. Das würde zu lange dauern und die einzelnen Schritte kann ich so nicht aufschreiben. Außerdem hatten wir viel Spaß dabei, man kann auch aus Fehlern lernen...

Am Ende des Abends jedenfalls stand die erfolgreiche Verschlüsselung unserer mails. Viel gelernt. Und das Bewusstsein geschärft dafür, wie man als ganz normaler Nutzer etwas für die eigene Sicherheit tun kann. 

Die Aktiven von C3PB bieten übrigens an, in einigen Monaten nochmal nachzulegen. Dann kann man schon aus den ersten Erfahrungen damit berichten und ggf. noch weitere Tipps im Umgang mit sicherer Kommunikation einholen. Als #owldigital werden wir das auf dem Zettel behalten. 

Auf jeden Fall ganz herzlicher Dank an das Team der C3PB - echte Kenner! Gut zu wissen!