Benutzer-Werkzeuge

Webseiten-Werkzeuge


security:programmempfehlungen_und_erklaerungen

Programmempfehlungen und -erklärungen

1.OpenSource vs. Closed Source

Der Quellcode eines Programms wird im englischen auch als Source Code bezeichnet. Software deren Quellcode der Welt offen steht - das heißt jeder kann ihn lesen, ändern oder erweitern - wird als Open Source bezeichnet. Mit Closed Source wird Software bezeichnet, bei der der Source Code nicht öffentlich zugänglich ist. Der Benutzer kann das Programm nur installieren und anwenden. Es sind keine Änderungen im Code oder Überprüfung der Funktionsweise möglich.

2.E-Mail

a.Thunderbird

Thunderbird ist ein OpenSource E-Mail-Programm. Mit der Erweiterung Enigmail ist es sehr einfach möglich E-Mails zu ver- und entschlüsseln oder zu signieren.

Zum Download

b.GPG/PGP

GPG ist die freie Version der PGP-Software, die mittlerweile einer Firma gehört und keine OpenSource Software ist.

GPG basiert auf einer Art Schlüssel-Schloss-Prinzip. Jeder Teilnehmer einer Kommunikation besitzt einen öffentlichen Schlüssel, einen privaten Schlüssel und ein Passwort. Der private Schlüssel und das Passwort sind nur ihm bekannt. Der öffentliche Schlüssel kann je nach Lust und Laune an Freunde, Verwandte, Kommunikationspartner oder das Internet verteilt werden.

Möchten zwei Teilnehmer ( A und B ) miteinander verschlüsselt kommunizieren, benötigen sie den öffentlichen Schlüssel des Gegenübers. Kommunikationspartner A verschlüsselt nun einen Text oder eine Datei mit Hilfe/ bzw. auf den öffentlichen Schlüssel von Kommunikationspartner B. Der Text/die Datei ist so verschlüsselt, dass er nur mit Hilfe des zugehörigen privaten Schlüssels und dem Passwort von Kommunikationspartner B geöffnet / die Datei entschlüsselt werden kann.

Neben der Ver-/Entschlüsselung gibt es auch die Möglichkeit Texte/Dateien zu signieren/beglaubigen, damit der Gegenüber auch weiß, dass die Nachricht wirklich von Kommunikationspartner A stammt.

Windows: GPG4Win, Mac: gpgtools, Linux: standardmäßig installiert


3.Chat

a.Pidgin (Windows / Linux ) + OTR

Pidgin ist ein OpenSource InstantMessaging Programm, das viele verschiedene Chat-Protkolle (Jabber/XMPP, ICQ, MSN, IRC … ) beherrscht. Mit dessen Hilfe kannst du mit deinen Freunden und Freundinnen über einen Server deiner Wahl chatten. Es ist sowohl für Windows und Linux verfügbar. Mit Hilfe eines Plugins ist es möglich, die sogenannte OTR-Verschlüsselung nachzurüsten. Andere OpenSource InstantMessaging Programme sind zum Beispiel Psi oder Gajim.

Zum Download

b. Adium + OTR (Mac OS X)

Adium ist ein OpenSource InstantMessaging Programm, das viele verschiedene Chat-Protkolle (Jabber/XMPP, ICQ, MSN, IRC … ) beherrscht. Es ist lediglich für Mac OS X vrefügbar. Es beherscht von Haus aus das sogenannte OTR-Protokoll für Ende-zu-Ende verschlüsselte Kommunikation.

Zum Download

c. Off-the-Record (OTR)

OTR ist die Kurzform für das sogenannte Off-the-Record-Messaging ( zu deutsch: inoffizielle; vertrauliche, nicht für die Öffentlichkeit bestimmte Nachrichtenvermittlung). Es ist ein Verschlüsselungsprotokoll, dass die InstantMessaging-Kommunikation (Jabber, ICQ, IRC…) zwischen zwei Parteien Ende-zu-Ende verschlüsselt. Die Nutzung von OTR ist anzuraten, da zwischen den beiden Parteien immer ein Vermittler (der Server) arbeitet, der die Kommunikation der beiden Parteien mitlesen kann, da die Mitteilungen dort vor dem Weiterversand kurz ent- und wieder verschlüsselt werden.

Auch ein Angreifer könnte sich zwischen Kommunikationspartner A und Server schalten und versuchen die Gespräche abzufangen. Dies ist besonders einfach, wenn der Server nicht auf die sogenannte SSL-Verschlüsselung besteht. In beiden Fällen schafft OTR Abhilfe. Im Gegensatz zu GPG gibt es nicht nur einen Schlüssel mit dem Nachrichten entschlüsselt werden können, sondern es gibt eine Art Basis-Schlüssel aus dem ein neuer Schlüssel pro Gespräch generiert wird.

Für den Fall, dass ein „Gesprächsschlüssel“ geknackt/geklaut wird, hat dies den Vorteil, dass nur das zu dem „Gesprächsschlüssel“ gehörige Gespräch entschlüsselt werden kann und nicht alle anderen, wie bei GPG. Bei der Nutzung von OTR ist es wichtig, den Kommunikationspartner zu verifizieren. (Stichwort Pidgin Unverifizierte Unterhaltung).

Mehr Infos auf der Entwicklerseite


4. Surfen

a. Tor

Tor (ehemals „The onion router“) ist ein Netzwerk zur Anonymisierung von Verbindungsdaten. Das bedeutet, alle Daten, die du durch das Tor-Netzwerk schickst, werden willkürlich und verschlüsselt über drei Computer (sogenannte Nodes) zu ihrem Ziel geleitet. Dabei weiß der letzte Computer in der Kette (der sogenannte Exit-Node) nicht mehr, woher die Daten ursprünglich stammen. Somit erfährt das Ziel (z.B. eine Webseite) nicht, wer dessen Inhalte abruft. Um anonym im Internet surfen zu können, sollte man das Tor-Browser Bundle verwenden.

Der Tor Browser ist ein Bündel aus der Anonymisierungssoftware Tor und einem angepassten Firefox Browser. Lies hier, wie du den Tor Browser installieren kannst.

Weitere Informationen darüber, wie Tor funktioniert findest du hier und hier

b. Browser Plugins

  1. HTTPS-Everywhere (verschlüsselte Verbindungen, wenn möglich) Zum Download
  2. PrivacyBadger (Blockiert Dienste, welche eine Bewegungsprofil erstellen) Zum Download
  3. uBlock Origin (Werbeblocker) Für Firefox , Für Chrome
  4. NoScript Security Suite (Firefox) blockiert Skripte, die Sicherheitsrisiken darstellen können.

5. Passwörter

a. KeePassXC / Passwortmanager

Bei der Verwendung von Passwörtern gilt zum Einem, dass ein Passwort aus einer Kombination von mindestens 12 Zeichen, Ziffern sowie Sonderzeichen bestehen sollte. Zum Anderen soll man jedes Passwort nur ein einziges Mal verwenden! Bei der Fülle von verschiedenen Passwörtern (Festplattenverschlüsselung , E-Mail, Ebay, Bank … ) kann man sehr schnell den Überblick verlieren.

Deswegen bietet sich die Nutzung eines Passwortmanagers an. Mit diesem ist es möglich, seine Passwörter in einer verschlüsselten Datenbank auf seinem Computer zu speichern und sich zum Beispiel Passwörter automatisch generieren zu lassen. Um die Passwortdatenbank zu öffnen benötigt man lediglich das dazugehörige „Master-Passwort“. Verwendet man solch einen Passwortmanager muss man sich lediglich ein Passwort merken. Bekannte Passwortmanager sind zum Beispiel KeePassXC oder 1Password.

Hinweis zu KeePassX: Seit 2016 wurde Projekt nicht mehr aktuallisiert. Mit KeePassXC gibt es jedoch eine aktive Weiterentwicklung (Fork) des alten Passwortmanagers.

Zum Download


6. sichereres Arbeiten

a. Tails

Tails ist ein Akronym für „The Amnesic Incognito Live System“. Dieses ermöglicht es dem/der Benutzer*in mit Hilfe eine Live-USB-Sticks auf einem Computer anonym zu arbeiten und dabei die Privatsphäre zu wahren, da es keine Spuren auf dem Computer hinterlässt.

In Tails sind verschiedene Tools zum Schutz der Privatsphäre integriert und standardmäßig aktiviert (z.B. Tor, GPG und viele mehr). Weiterhin ist es möglich, wichtige Informationen verschlüsselt auf dem selben USB-Stick abzulegen und bei der nächtsten Verwendung von Tails zu verwenden / bearbeiten. Erst kürzlich wurde in deutscher Guide zu Tails veröffentlicht in dem du alle Informationen zu Tails und den eingesetzten Anonymisierungswerkzeugen nachlesen kannst.

Zum Download


7. sichereres Smartphone

a. Signal (iOS/Android)

Signal ist eine kostenlose OpenSource App mit deren Hilfe man verschlüsselte Nachrichten austauschen und verschlüsselt telefonieren kann. Die Nachrichten können sowohl Gruppen- oder Einzelnachrichten sein und aus Text, Bildern, Video oder Audio bestehen. Die verschlüsselte Kommunikation erfolgt über den Datenkanal. Die Telefonate werden über die Internetverbindung des Mobilgeräts aufgebaut und sind deswegen keine klassischen Anrufe via Telefonnetz, sondern sogenannte Voice-over-IP-Telefonate (VoIP). Sowohle Telefongespräche als auch Nachrichten sind vollständig Ende-zu-Ende verschlüsselt - das heißt, dass weder die Server von Signal, noch jemand, der die Nachricht unterwegs abfängt, den Inhalt entschlüsseln kann, da die zur Ver- und Entschlüsselung benötigten Schlüssel die Geräte der Kommunikationsteilnehmer*innen nie verlassen.

Signal ist eine äußerst glatt designte App, die sichere Kommunikation komplett im Hintergrund stattfinden lässt. Unter Android lässt sich Signal auch als default-SMS-setzen - SMS werden damit zwar nicht verschlüsselt, Signal funktioniert aber als sog. „unified messenger“ - eine App, in der alle Kommunikation zusammenläuft.

Im Gegensatz zu der Vielzahl von anderen verschlüsselten Messenger-Apps ist Signal vollkommen OpenSource. Signal und das zugrunde liegende Textsecure-Protokoll wurden von OpenWhisperSystems entwickelt. Sag es deinen Freun*innen: Weg von WhatsApp - Signal ist eine vollwertige und sichere Alternative.

Android iOS

8. Was es sonst noch gibt:

In den letzten Jahren sind ständig neue Apps zur verschlüsselten Kommunikation entwickelt worden - manche funktionieren besser, manche schlechter. Wir möchten an dieser Stelle nochmal auf die Secure Messaging Scorecard der Electronic Frontier Foundation (EFF) hinweisen, die alle gängigen Messenger bezüglich Verschlüsselung, Open Source-Status usw. überprüft hat.

security/programmempfehlungen_und_erklaerungen.txt · Zuletzt geändert: 2022/11/29 22:38 von y

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki