Daten sicher transportieren

Unabhängig davon, dass man als Aktivist nicht mal 100% sicher sein kann, dass der GPG / PGP Key nicht kompromittiert ist (da gibt es den Bundes Trojaner und im Fall von Andrey Holm sind ja wohl auch mehr als einmal irgendwelche Arschlöcher eines Dienstes in Abwesenheit der Familie in der Wohnung gewesen) hat man immer noch das Problem, dass es keine praktikable GPG Lösung gibt, die man einfach vom USB Stick betreiben kann. Da man in diesem wundervollen Land aber zu keinem Zeitpunkt sicher sein kann, dass man nicht von irgendwelchen staatlichen Kreaturen (notfalls unter einem erfundenen / an den Haaren herbeigezogenen Grund) durchsucht wird und dann auch gefundene Datenträger untersucht werden sollte man sowas wie „The Mujahideen Explosives Handbook“ oder „The Mujahideen Poisons Handbook“ nicht unverschlüsselt mit sich rumtragen, da die Verbreitung in Deutschland strafbar ist und zu Haft führen kann.

Möglichkeit # 1 ist die Verschlüsselung von WinRar / 7zip zu verwenden die beide AES 256 verwenden (wenn der Schlüssel aus 42+ Zeichen besteht). Wenn man ausreichend paranoid genug ist (wozu es genügend Gründe in diesem wundervollen Polizei- und Überwachungsstaat gibt) gibt man sich aber mit einer einfachen Verschlüsselung nicht zufrieden. Kritische „Sachen“ habe ich also mindestens doppelt verschlüsselt und zwar mit „unterschiedlichen“ Tools die nicht dieselben Verschlüsselungsalgorithmen verwenden.

Bei den portablen Tools die ich hier zur Verfügung stelle sind auch kommerzielle Produkte dabei. Das Argument mit der Backdoor Gefahr greift aber dann nicht, wenn man mehrfach mit „unterschiedlichen Schlüsseln“ verschlüsselt, denn selbst wenn es den Vertretern des Staates über so einen theoretisch vorhandenen Zugang gelingen würde sich auf einer Ebene Zugang zu verschaffen, stehen sie dann im übertragenen Sinne vor der nächsten verschlossenen Tür.
Ich kann mir vorstellen, dass nun einige damit argumentieren, dass man sich 2 oder 3 entsprechend sichere Keys ja kaum merken kann, doch das ist einfacher als man denkt, wenn man sich für ein entsprechendes Schema entscheidet.
Auf der Seite https://www.passwortcheck.ch/passwortcheck/passwortcheck die vom Datenschutzbeauftragter des Kantons Zürich erstellt und betrieben wird steht dazu folgender Hinweis:

Ein gutes Passwort besteht aus einer grossen und zufälligen Anzahl von Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen. Wie kann man sich ein solches Passwort merken, ohne es aufzuschreiben? Es gibt mehrere Methoden, um ein gutes Passwort zu bilden und es sich dennoch merken zu können. Hier soll auf die Methode des «Passwort-Merksatzes» näher eingegangen werden.
Beim «Passwort-Merksatz» merkt man sich einen Satz, anstelle des Passworts. Aus diesem Merksatz kann das Passwort jederzeit abgeleitet werden. Beim nachfolgenden Beispiel wird jeweils der erste Buchstabe jedes Wortes des Satzes für die Bildung des Passworts benutzt.

Beispiel-Merksatz:
Meinen Kaffee im Büro trinke ich immer um 9 Uhr + 7 Minuten.

Beispiel Passwort 1: (Bitte nicht verwenden.)
MKiBtiiu9U+7M.
Das System kann individuell ausgebaut und verändert werden. Der Kreativität sind fast keine Grenzen gesetzt. Z.B. kann die Groß- und Kleinschreibung vertauscht werden. Wichtig ist, dass das System einfach und reproduzierbar bleibt.

Beispiel Passwort 2:
mkIbTIIU9u7m.

Passwort-Fallstricke, die vermieden werden sollten
Einfach zu erratende Begriffe oder Zahlen sollten vermieden werden. Dazu gehören zum Beispiel einfache Wörter, Namen, Geburtsdatum oder Jahreszahlen. Auch sollte das Ersetzen von Buchstaben durch Zahlen oder Sonderzeichen – z.B. A durch eine 4 ersetzen – im Fachjargon «leeten» oder «Leetspeak» genannt, nicht mehr verwendet werden.

Und nun zu den verschiedenen Tools:
A-Lock und PC-Encrypt haben eine Besonderheit, dass sie in der hier zur Verfügung gestellten Form mit 448 Bit (bei einem Key mit mindestens 56 Zeichen) verschlüsseln. Beide stammen ~ aus dem Jahr 2000 und damals durften sie mit der Verschlüsselung nicht aus den USA exportiert werden, weshalb die freie Variante auch nur mit 56 Bit verschlüsselte. Der genialen Cracker Group Damn ist es damals gelungen einen KeyGen zu schreiben der die 448 Bit Verschlüsselung ermöglichte. PC-Encrypt ist für die Datei und Ordner Verschlüsselung und A-Lock war eigentlich zur Mailverschlüsselung gedacht, eignet sich aber auch um Texte zu verschlüsseln.

Das Crypto Notepad zum Verschlüsseln von Texten gedacht ist ergibt sich bereits aus seinem Namen
Drag'n'Crypt ULTRA ist zur Datei Verschlüsselung, hier liegt eine ausführliche Anleitung des Programmierers bei.

SecureMyBit 2.2 ist von natur aus portable und hat ein paar nette Optionen wie eine Bildschirmtastatur und einen Fileshredder der Dateien unwiderbringlich löscht.

Nowadays it becomes fundamental to protect our important files and data. One solution to securely protect our files could be an encryption system, this could be done in a simply way, so anyone can protect their files. SecureMyBit is a free, portable, and light application , which allows to encrypt any type of file with password (using AES 256 Bit encryption method) and then, decrypt them.
SecureMyBit provide, for this purpose, also a secure and strong random password generator, which can generate passwords, as long as you want. Another utility of SecureMyBit is the Secure File Shredder, which can delete a file permanently with an irreversible shredding operation. Our software provides also an utility which can validate the strength of user’s passwords; and a System Specs utility, which can tell us all the informations about our computer. SecureMyBit provides also, in addition, a secure virtual keyboard which doesn’t produce any keystroke, so this guarantee a protection while entering your password.
Finally, you can also get information about your files: hashes, file type, file attributes, etc. and compress your text easily and fast! When you encrypt your file(s) or folder(s) the Smart Monitor will check in realtime if they are modified, renamed or
changed/deleted.

Letztlich ist da noch Black Bird Perfecto Encryptor Pro 1.0.0.2

Don't you feel safe? Can't you control the protection of your personal information from other users? This unique program will help you to keep any of your files and folders in encrypted form. And only you will can decrypt your files. With our software your information will be completely protected from other users and you will feel yourself completely safe.
Download from Usenet

Fast and securely with high speed download
Download and stream more than 10,000 movies, ebooks, audiobooks, music tracks and images

Main features of the program:
- Files Encryption
- Folder Encryption
- 4 Encryption Algorithms
- Privacy Protection

Whats New:
- Fixed bug with time calculation.

http://blackbirdcleaning.com

Es gäbe noch weitere Tools, die aber Admin Rechte benötigen, die man nicht auf jedem Rechner hat, weshalb ich darauf verzichtet habe sie anzufügen.

Man sollte sich aber immer darüber im Klaren sein, unknackbar ist letztendlich nichts, wenn man lange genug Zeit hat, den entsprechenden technischen Aufwand betreiben kann und will, doch selbst das BKA oder der Verfassungsschutz haben zurzeit noch keinen Quanten Computer.

A-Lock 7.40 (448bit) portable.zip         4.144.036 bytes
http://www.xup.in/dl,72351543/A-Lock_7.40_(448bit)_portable.zip/
https://www.virustotal.com/de/file/a30d266b2c0d36b716d9ddd6717daa4d85f0c...
MD5 c500ac07f3fb8445e87c44ebdecdeb03

Crypto Notepad.zip                                 906.726 bytes
http://www.xup.in/dl,26363314/Crypto_Notepad_portable.zip/
https://www.virustotal.com/de/file/011afebe32ab6233e184fcceaed39db1a18a0...
MD5 07df22c6731520be2d34b27a1c94b970

Drag'n'Crypt ULTRA.zip                          786.241 bytes
http://www.xup.in/dl,87673606/DragnCrypt_ULTRA_portable.zip/
https://www.virustotal.com/de/file/f96d0fd31d8241d48e5daf67c0671258effe3...
MD5 4869dc7e17887d2bac8636138ad6bbf1

PC-Encrypt 10.1 (448bit) portable.zip             1.244.691 bytes
http://www.xup.in/dl,66226377/PC-Encrypt_10.1_(448bit)_portable.zip/
https://www.virustotal.com/de/file/24a35561c4fa502e6a6ffbe7cb745e765e2ff...
MD5 9c2fd0e3c2470fee772fed81d9e7d9ee

SecureMyBit 2.2 portable.zip               1.929.488 bytes
http://www.xup.in/dl,14188709/SecureMyBit_2.2_portable.zip/
https://www.virustotal.com/de/file/61290ca7faeed097998fb32fadb8ed6a26e3b...
MD5 5c34ef8127815cf48c38ba8aac352a22

Perfecto Encryptor 1.0.0.1 portable.zip           3.610.187 bytes
http://www.xup.in/dl,36801799/Perfecto_Encryptor_1.0.0.2_portable.zip/
https://www.virustotal.com/de/file/8fc6ca7a12f9bb4f5407305c3cdf6baab4ba4...
MD5 bac8f1ebc8b2839b9aa9ee379cbdf231

Und wer sich nun fragt, weshalb ich die Dateien bei xup.in abgelegt habe = Ihre Datei wird gelöscht, wenn sie 150 Tage lang nicht mehr runtergeladen wurde

Bilder: 
Lizenz des Artikels und aller eingebetteten Medien: 
Keine Auszeichung / Eigene Angaben zur Weiternutzung im Text

Ergänzungen

Die "Tipps" sind unverantwortlich schlecht, wil ich gar nicht näher drauf eingenen. Das dann noch angebliche Tools von irgendwelchen windigen Hostern geladen werden sollen ist die Krönung. Ladet dort nichts! Virustotal sagt gar nichts...

Haltet euch lieber an vertrauenswürdigere Quellen wie z.B. https://www.cryptoparty.in/learn/how-tos oder https://capulcu.blackblogs.org/ (Tails Broschüre)

Die Tipps hier im Tutorial sind bis auf die Erstellung eines sicheren Passwortes leider nicht wirklich zu gebrauchen. Für ein sicheres Passwort sollte es aber auch entsprechend lang sein.

Hier mal ein paar Hinweise zu den im Tutorial angesprochenen Ansätzen:

1.) Nur Opensource-Software ist für Verschlüsselung zu benutzen, keine windige Software von irgendwoher. Wenn ihr nicht selbst kompilieren könnt besorgt sie euch aus sicheren, sprich vertrauenswürdigen Quellen.

2.) Gecrackte Software, dazu noch aus dem Jahr 2000, ist immer als Unsicher einzustufen und auch unter heutigen Bedingungen und der Existenz von genügend Opensource-Alternativen definitiv Quatsch. (Veracrypt bspw. als Nachfolger von Truecrypt wird oben nicht einmal erwähnt!)

3.) Egal wie sicher ihr eure Daten transportiert - wenn der Rechner, an welchem ihr die Verschlüsselung oder die Entschlüsselung vornehmt kompromitiert ist, bringt euch auch die beste Verschlüsselung nichts. Schafft euch ein Opensource-Betriebssystem aus sicherer Quelle an und lernt damit umzugehen. Ist heutzutage nicht mehr so schwer.

4.) Im Tutorial wird nicht mit einem Wort auf das Betriebssystem eingegangen. Es ist daher anzunehmen, dass hier für das meist genutzte Betriebssystem geworben wird - also Windows. Darauf lässt auch der Hinweis schließen, dass man für andere Programme Admin-Rechte braucht. Windows ist aber von Haus aus unsicher und sollte aus Sicherheitsgründen nie für sicherheitsrelevante Unternehmungen benutzt werden. Wenn ihr Windows für irgendwelche Anwendungen unbedingt braucht (Spiele, Videoschnitt, Adobe-Software) solltet ihr euch mindestens ein Dual-Boot-System einrichten oder das sichere Betriebssystem von Hand starten (bspw. Tails auf CD/DVD oder per USB-Stick). Für den täglichen Bedarf eines Einsteigers empfehle ich ein auf Debian basierendes Betriebssystem mit vollverschlüsselter Festplatte, im Dual-Boot mit Windows wenn ihr an dem Rechner auch zocken wollt oder ähnliche Windows-Software verwendet. Linux Mint beispielsweise macht den Umstieg oder Einstieg für Windows-User extrem einfach.

5.) Portables GPG ist übrigens selbst unter Windows kein Problem: Ein Thunderbird Portable mit Enigmail und Gnupg gibt es bereits. Das ganze in einem Truecrypt-Container verpackt, damit auch bei einer Durchsuchung der private Schlüssel nicht gefunden wird. Es ist aber im Normalfall davon abzuraten, es so zu verwenden, da der Rechner, an dem es verwendet werden soll, kompromitiert sein kann. Wenn ihr also ein portables GPG braucht solltet ihr lieber ein portables Betriebssystem verwenden, welches mit Vollverschlüsselung arbeitet und so den Home-Ordner etc. auf dem USB-Stick bereits verschlüsselt hat. In selbigem kann dann auch Thunderbird mit Enigmail verwendet werden und ihr umgeht das Risiko, dass das Betriebssystem des Rechners, an welchem ihr eure E-Mails abrufen wollt, kompromitiert ist, da ihr euer portables Betriebssystem vom USB-Stick startet. Klappt natürlich oft nicht in Internet-Cafés etc. aber da könnt ihr eh von kompromitierten Rechnern ausgehen.

Danke an meine Kommentierer*innen, ich teile die Einschätzungen. Ladet keine ominösen Links die wer anonym auf Indymedia (oder sonstwo) veröffentlicht hat heruntert sondern ladet opensource-software von den offiziellen Seiten:
https://www.torproject.org/
https://tails.boum.org/
https://www.veracrypt.fr/
und z.b. https://www.ubuntu.com/

Zu ergänzen wäre der Hinweis auf das Privacy-Handbuch (https://privacy-handbuch.de), insbesondere auf die Kapitel

"Daten verschlüsseln" (https://privacy-handbuch.de/handbuch_35.htm)

"Betriebssysteme" (https://privacy-handbuch.de/handbuch_90.htm)

"Live-DVDs mit und ohne Anonymisierungsdienste" (https://privacy-handbuch.de/handbuch_24o.htm)

"verschlüsseln und Signieren von E-Mails" (https://privacy-handbuch.de/handbuch_32i.htm)

"Empfohlene E-Mail Provider" (https://privacy-handbuch.de/handbuch_31.htm)

"Anonyme E-Mails jenseits der Überwachung" (https://privacy-handbuch.de/handbuch_34.htm)

"Tor Hidden Services" (https://privacy-handbuch.de/handbuch_24f.htm)

Hi. Die neue Richtlinie für Passwörter heißen: Lange Passwörter.

Ein Sicheres Passwort wäre also der Beispiel-Merksatz selbst:

Meinen Kaffee im Büro trinke ich immer um 9 Uhr + 7 Minuten.

Ganze Sätze, Lieder, Gedichte, Erzählungen, lassen sich leichter merken, vorallendingen wenn sie im Kopf zu fantasievollen epischen Geschichten verknüpft und man braucht kein Programm/Tool für das Passwort, welche dann wiederum Hardware-gebunden sind (persönliche Computer, Server, etc...)

Keine Ahnung wann diese Programme der heiße Scheiß waren, aber sicher ist das nicht.

Für Komfort:

  • verschlüssle deine Festplatte mit LUKS, wenn du Linux benutzt. Andere Systeme sind eh nicht wirklich sicher. Kubuntu ist sehr leicht mit Verschlüsselung zu installieren, andere Distros auch
  • Benutze Kleopatra, erstelle einen 4080bit PGP-Schlüssel, damit kann man leicht dateien verschlüsseln. Auf Android funktioniert OpenKeyChain auch super
  • Cryptomator, wenn man irgendeine Form von Cloudspeicher verwendet, verschlüsselt einfach
  • Keepass mit starker Verschlüsselung für Passwörter etc
  • Veractypt etc. für sehr sensible verschlüsselte USB-Sticks etc. ist aber recht unkomfortabel
  • LUKS geht auch für externe Datenträger mit KDE sehr komfortabel

Bitlocker soll auch ok sein, die Verschlüsselung auf Applegeräten wohl auch, dazu kann man aber wenig sagen weil closed-source.

Seiten