Von 0 auf 100 bei Anonymität, Integrität und Vertraulichkeit
auf einem Windows PC,
"Bootstrap des Vertrauens"
Status
Bei vielen der Teilnehmer meines Seminars dürfte als technische
Basis zunächst ein "ganz normaler Windows PC" vorliegen.
Im "ganz normalen Windows PC" und in darauf installierten Browsern
liegen bereits kryptographische Sicherungen vor, die aber für den
Benutzer verdeckt im Hintergrund arbeiten.
Diese Sicherungen sollen gegen gewöhnliche Kriminelle schützen,
dienen aber primär den Interessen von Wirtschaft, Regierungen und
leider auch Geheimdiensten und sind der Kontrolle der Nutzer bewusst
entzogen.
Konsequenz
Deshalb muss für selbstbestimmten Umgang mit kryptographischen
Sicherungen ein System unter eigener Kontrolle neu verankert und
hochgezogen werden.
Kryptographische Techniken können grundsätzlich Sicherheit und
Vertrauen übertragen und erweitern, aber nicht primär erzeugen.
Ich möchte mit dieser Seite einen temporären(SS2017)
Verankerungspunkt für den "Bootstrap des Vertrauens" für Studenten
zur Verfügung stellen, die in diesem Semester an meinem Seminar
teilnehmen, die noch über keinerlei kryptographische Eigensicherung
verfügen(kein GnuPG, kein Academic-Signature), die mich persönlich
kennen und (hoffentlich) mir in dieser Hinsicht vertrauen. In
letzter logischer Konsequenz liegt der Ihnen angebotene
Verankerungspunkt in dem auf dieser Seite gezeigten Video und meinen
dort präsentierten öffentlichen Schlüsseln:
https://www.fh-wedel.de/~an/crypto/academic_signature_key.html
Niemals! sollte man "einfach"
Software "aus dem Internet herunterladen" und auf dem eigenen
System installieren.
Die Wirtschaftsraubritter(Bruce Schneir nennt sie unsere "Internet
Warlords") wollen diese im Kern richtige Aussage in ihrem Sinne in
eine Dressurnummer verwandeln und uns an ihre jeweiligen Produkte
fesseln.
Wie etwa: Software sollst Du nur aus dem offiziellen "Playstore",
nur direkt von Microsoft oder von Apple kaufen. Woanders auch nur
hinschauen wäre gefährlich. Kunden Lock In vom
Feinsten!
Tatsächlich brauchen wir andere, eigene und freie Werkzeuge, um uns
vor dem Internet-Raubrittertum schützen zu können und trotzdem und
gerade wirkliche Sicherheit und Selbstbestimmtheit erreichen zu
können.
Das 1-2-3 der sicheren Installation
1.) Die Installationsdatei und deren digitale Signatur
werden heruntergeladen(möglichst über https) und auf dem System
abgelegt. Nur abgelegt. Stop! Es ist nicht Sache von
Windows, für Sie zu entscheiden, was mit der Installationsdatei
getan wird. Stellen Sie Ihr System bitte so ein, dass das beachtet
wird.
2.) Sie besorgen sich den öffentlichen Schlüssel des
Herausgebers der Datei. Dabei nutzen Sie Ihren gesunden
Menschenverstand, die Seriosität der Schlüsselquelle zu beurteilen.
Dann prüfen Sie die Datei und deren digitale Signatur gegen diesen
öffentlichen Schlüssel des Herausgebers.
Nur wenn die Prüfung erfolgreich war können Sie davon ausgehen, dass
die Installationsdatei genau so bei Ihnen angekommen ist, wie es vom
Herausgeber gedacht war. Damit können Sie z.B. ausschließen, dass
ein Mafioso oder ein Schlapphut beim Weg der Datei über viele
Stationen im Internet zu Ihnen irgendwelche Malware angehängt hat.
3.) Erst nach der erfolgreichen Prüfung der digitalen
Signatur führen Sie die Installationsdatei aus.
Eine analoge Sequenz wird auch z.B. bei Systemupdates durchgeführt,
allerdings vor Ihnen verborgen und außerhalb Ihrer Kontrolle.
Diese Sequenz durch den Prüfdurchgang eines Virenscanners ersetzen
zu wollen ist großer Mist und zeugt von beklagenswerter
intellektueller Schlichtheit.
Mein Angebot
Ich habe auf dieser Seite für Sie eine kleine Kollektion von freien
open source Werkzeugen zusammengestellt, selbst die mir möglichen
kryptographischen Authentifizierungstests(meist mit GnuPG)
vorgenommen und abschließend die Pakete jeweils mit meinem eigenen
öffentlichen ECDSA-Schlüssel(mit Academic Signature) signiert bzw.
mit meinem Zeitstempel versehen, um diese bestandene Kontrolle Ihnen
gegenüber zu dokumentieren.
Die direkte Authentifizierung kann natürlich nur über den
öffentlichen Schlüssel des Erstellers des jeweiligen Paketes
erfolgen. Weil leider viele Herausgeber der wunderbaren Werkzeuge
ihre öffentlichen Schlüssel nicht auf Ihrer persönlichen Homepage
leicht auffindbar präsentieren, sondern möglicherweise in
irgendwelchen schwer auffindbaren "Keyrings" vergraben, gebe ich den
von mir verwendeten öffentlichen Schlüssel der Herausgeber mit an.
Sowie Sie über eine vertrauenswürdige Installation von GnuPG
verfügen, können Sie dann diese Prüfungen selbst noch einmal
vornehmen.
Sie sollten im Nachgang verifizieren, dass die von mir angegebenen
öffentlichen Schlüssel der Herausgeber sich mit den Ergebnissen
Ihrer eigenen Recherchen decken.
Wenn Sie den Bootstrap einmal angelegt haben und über eine
vertrauenswürdige Installation von GnuPG verfügen, können Sie selbst
Ihr Portfolio um starke und freie Software-Werkzeuge gesichert
erweitern(z.B. um Veracrypt etc.)
A) Zentrale Bootstrap Verankerung,
Verschlüsselung und Authentifizierung: Academic Signature
Alle auf A) folgenden Pakete habe ich physisch auf dem Server der
FH-Wedel in Form von zip-Archiven abgelegt(keine Links!) und mit
meinem ECDSA-Zeitstempel datiert und authentifiziert. Bitte beachten
Sie, dass Sie baldmöglichst die Verfügbarkeit von Sicherheitsupdates
auf den Originalseiten überprüfen sollten.
Meine Downloadzeitpunkte können Sie den ECDSA-Zeitstempeln
entnehmen.
B) Bootstrap Verankerung,
Mail-Verschlüsselung und Authentifizierung: GnuPG, mein ECDSA-Zeitstempel
C) Anonymität im Internet: Der TOR-Browser, mein ECDSA-Zeitstempel
D) High End Anonymität: Das TAILS Betriebssysten 2.1.2,
mein ECDSA-Zeitstempel
E) Sichere Jabber Chats: Pidgin&OTR-Plugin,
mein ECDSA-Zeitstempel
F) Datenaustausch über das Darknet: Onion Share, mein ECDSA-Zeitstempel
G) Liste mit freien Jabber Servern,
mein ECDSA-Zeitstempel
Sie sollten sich außerdem über den TOR Browser einen anonymen
e-Mail Account anlegen und dann ausschließlich über das
Webinterface des Services über den TOR-Browser zugreifen(oder über
das thunderbird plugin "TOR-birdy").
Vorsicht, die gängigen Provider(hotmail, gmx, yahoo etc....) blocken
das anonyme Anlegen von Accounts und schicken einen in endlose
Captcha Schleifen. Belastbare Anonymität der Nutzer widerspricht
deren Geschäftsmodell und/oder den Interessen der übergriffigen
staatlichen Dienste.
Ich würde gerne hier eine Liste mit solchen Providern angeben, die
das nicht blocken, aber die Liste wäre in ständigem Wandel
begriffen. Was heute noch geht, kann morgen schon durch
Bespitzelungsinteressen unterbunden worden sein. Das ist mir
mehrmals passiert(yandex.com, safe-mail.net,...).
Hierfür sollten Sie ganz zeitnah einen Provider suchen, der das
zulässt. z.B. über eine Suche im TOR-Browser bei startpage.com:
"open anonymous e-mail account" o.Ä.