JugendPolitCamp

Crashkurs verschlüsselte Kommunikation

Wird gegeben von Ketie

Dokumentation

Weshalb ist Verschlüsselung sinnvoll?

  • Die Polizei, große Firmen und alle Menschen mit genügend Wissen und Ressourcen können die eigene unverschlüsselte Kommunikation mitlesen
  • das klingt per se nicht nach einem unangenehmen Gedanken, aber im Endeffekt ist es, wie ein wichtiges Gespräch nicht unter vier Augen zu führen, sondern die Entgegnungen von einem Balkon herunter zu schreien

Verschlüsselung mit Keys/Schlüsseln

  • Unterscheidung öffentlicher und privater Schlüssel
  • den öffentlichen Schlüssel haben wir und können ihn anderen Personen geben, den privaten Schlüssel haben nur wir
  • Beim Verschicken einer Nachricht verschlüsselt die absendende Person die Nachricht mit dem öffentlichen Schlüssel (übertragen wird dann nicht die Nachicht, sondern eine Kombination aus lauter Zeichen, in die sie durch den Schlüssel verwandelt wird) - nur mit dem privaten Schlüssel kann die Nachricht wieder in Text verwandelt werden
  • der private Schlüssel ist nur so schwer zu errechnen, wenn nur der öffentliche vorliegt, dass es technisch nicht möglich ist (daher ist die Kommunikation damit geheim und sicher)
  • das Erzeugen von Schlüsselpaaren kann auf dem eigenen Computer laufen, aber auch über Online-Dienste, z.B. keybase.io (die erzeugt auch Seiten, auf denen andere Menschen sie finden und so verschlüsselte Mails an euch senden können)

Wie der Schlüssel generiert wird:

  • ein random odd integer, p, wird generiert.
  • es wird überprüft ob p eine primzahl ist, wenn nicht, loop.
  • Falls 2. erfüllt ist, wird überprüft ob (p-1)/2 eine primzahl ist, falls nicht, loop.
  • Das kann sehr lange dauern. Grab a coffee or sth. (es ist technisch nicht möglich, s.o.)

(Demonstration von Mailverschlüsselung über keybase.io)

Messenger/Apps

  • Demonstration: WhatsApp
  • WhatsApp verschlüsselt bereits eigenständig, es fehlt aber eine Authentifizierung (ist das wirklich die Person, mit der ich da schreibe / ist da keine zweite Instanz dazwischen, die mitliest?)
  • Einstellungen > Account > Security > „Show security notification“ einschalten - so bekommt ihr eine Benachrichtigung, wenn sich der Schlüssel einer anderen Person ändert (z.B. beim Handy Wechseln), dann kann überprüft werden, ob es sich beim Account immer noch um die Person handelt (Authentifizierung)
  • Wenn beide Personen im selben Raum sind (nur so ist zu verifizieren, dass sie es wirklich sind) können gegenseitig QR-Codes gescannt werden - ab dann steht fest, dass diese Daten wirklich zu der Person gehören
  • Signal funktioniert genauso
  • bei Telegram muss aktiv eine neue verschlüsselte Kommunikation gestartet werden (Profil > start secret chat, öffnet dann einen neuen, verschlüsselten Chat mit der Person)

Ressourcen

  • Website zum Erstellen und Verwalten von Keys: keybase.io
  • viele Mailprogramme (z. B. Thunderbird) haben Extensions, die auf gespeicherte Schlüsseldateien zugreifen können