Mehrere Wochen ist es nun schon her, dass Edward Snowden verschiedene Überwachungsprogramme wie PRISM öffentlich machte. Seitdem kamen immer mehr Details zum Vorschein, die den Umfang der staatlichen Überwachung im Internet ansatzweise deutlich machen. Gleichzeitig stellen sich nun immer mehr Menschen die Frage, wie man sich gegen das Mitlesen seiner privaten Kommunikation im Internet schützen kann.
Hinweis:
Verschlüsselung ist nicht die Lösung dafür, dass verdachtsunabhängig und umfassend die private Kommunikation von Millionen von Menschen mitgeschnitten wird. Um es aus der Sicht eines Softwareentwicklers zu sagen: Verschlüsselung ist der Workaround, bis ein Bugfix das Problem endgültig löst.
Dieser Artikel soll eine Übersicht über Verschlüsselungsmöglichkeiten geben, die unter Ubuntu und anderen Linux-Distributionen nutzbar sind. Viel mehr Informationen gibt es auf sogenannten Cryptopartys.
Festplattenverschlüsselung¶
Laptops werden gerne vergessen, z.B. auf Flughäfen nach den Sicherheitskontrollen, oder gestohlen. Durch das Verschlüsseln der Festplatte kann man erreichen, dass die Daten nicht gelesen und in irgendeiner Form genutzt werden können. Dies gilt aber nur, solange der Laptop ausgeschaltet ist. Ein angeschaltetes Notebook, womöglich ohne gesperrten Bildschirm, gibt seine Daten leicht preis. Gegen Schadsoftware – in welcher Form auch immer – nützt sie zudem nicht.
Dennoch ist eine verschlüsselte Festplatte sinnvoll, unter Linux gibt es verschiedene Möglichkeiten dafür.
Das linuxtypische Verfahren ist, eine (verschlüsselte) LUKS-Partition zu erstellen, in der dann eine LVM-Partition angelegt wird. Innerhalb dieser LVM-Partition werden dann die typischen Partitionen für z.B. /home und / erstellt. Einzig die Partition /boot bleibt außen vor, da sie unverschlüsselt vorliegen muss, weil Grub derzeit nicht mit verschlüsselten Bootpartitionen umgehen kann. Diese Variante wird vom Ubuntu-Installer von Haus aus unterstützt und hat auch eine eigene Wiki-Seite.
Ein weiteres Verfahren, das vom Ubuntu-Installer angeboten wird, ist das Nutzen von ecryptfs. Hierbei wird ein Verzeichnis, z.B. das Home-Verzeichnis eines Nutzers, verschlüsselt.
Natürlich gibt es noch andere, teilweise proprietäre Varianten, die eine Vollverschlüsselung oder teilweise Verschlüsselung des Systems ermöglichen. Hier sei TrueCrypt als bekannte Software erwähnt.
Externe Datenträger¶
Noch leichter als Notebooks gehen externe Datenträger, allen voran USB-Sticks, verloren. Hier kann man prinzipiell die gleichen Verfahren nutzen wie für die Verschlüsselung interner Festplatten.
Cloud-Speicherdienste¶
In jüngerer Zeit werden Cloud-Speicherdienste immer beliebter. Es ist ja auch in der Tat sehr angenehm, von jedem Ort auf die gleichen Daten zuzugreifen.
Aber Speicherdiensten im Internet sollte man nicht ohne Weiteres vertrauen, vor allem bei persönlichen Daten. Es muss nicht einmal ein Geheimdienst sein, der die Daten mitliest, es können auch Personen sein, die sich unrechtmäßig Zutritt zu einem Account verschafft haben.
Bei Diensten wie UbuntuOne, die ihre Daten über einen Sync-Client ausliefern, also einem Programm, das ein Verzeichnis überwacht und veränderte Dateien sofort zwischen allen beteiligten Rechnern und dem Cloud-Dienst synchronisiert, bietet sich EncFS als Verschlüsselungsprogramm an. Die Einrichtung ist schnell erledigt und im Wikiartikel über UbuntuOne beschrieben. Eine etwas ausgefeiltere Lösung wird bei Datenteiler beschrieben.
Eine private ownCloud-Installation kann man übrigens über die ownCloud Encryption App verschlüsseln.
Kommunikation¶
Die Verschlüsselung der Kommunikation im Internet ist durchaus sinnvoll. Da die Datenpakete über viele Server zum Ziel geleitet werden, besteht immer die Gefahr, dass der Verkehr auf einem dieser Server „mitgeschrieben“ wird.
Während das Abfangen des Passworts zu einem Forum in den meisten Fällen „nur“ ärgerlich wäre, hätte das Abfangen der Kommunikation mit dem Online-Banking-Portal vielleicht schon finanzielle Folgen.
Eines darf man allerdings nicht vergessen: Auch wenn die Kommunikation verschlüsselt stattfindet, kann ein Angreifer immer noch aufgrund der Metadaten Rückschlüsse auf die Internetkommunikation ziehen. Diese Daten lassen sich nämlich trotz Verschlüsselung nicht verbergen. Metadaten sind dabei Informationen wie „Wer geht wie oft auf welche Internetseite?“ oder „Wer schreibt wem, wie oft Mails und wie lang sind sie?” Anonymisierungsdienste wie Tor erschweren jedoch einen Angriff über Metadaten.
Internetseiten¶
Um die Kommunikation im Internet gegen Lauscher zu schützen, gibt es schon seit dem Jahr 1994 das HTTPS-Protokoll. Manche Internetseiten verschlüsseln damit automatisch ihren Datenverkehr, andere bieten die Möglichkeit gar nicht an. Bei dem Rest muss der Nutzer explizit die verschlüsselte Version der Seite anfragen.
Um auf einem möglichst großen Teil der Seiten, die HTTPS-fähig sind, automatisch verschlüsselt zu surfen, hat die Electronic Frontier Foundation (EFF) die Firefox- und Chrome-Erweiterung HTTPS Everywhere 🇬🇧 entwickelt. Deren Liste mit HTTPS-fähigen Seiten wird ständig erweitert und aktualisiert.
Wichtig ist hier aber, dass man der Seite, die man per HTTPS aufgerufen hat, auch vertrauen muss, wenn man seine Daten dort preis gibt. Ein Ansatz, um die Vertrauenswürdigkeit von Webseiten bewerten zu können, ist das Web of Trust.
E-Mail¶
Genau wie beim Aufrufen einer Internetseite erfolgt der Datentransfer beim Versenden einer E-Mail über eine große Anzahl an Servern, auf denen potenzielle Angreifer lauschen können. Man muss auch dem eigenen E-Mailprovider misstrauen, denn auch er kann mitlesen. Hier sei auch noch einmal darauf hingewiesen, dass auch die per Gesetz als sicher definierte De-Mail unsicher und angreifbar ist. Sie wird nämlich auf dem Server des De-Mail-Anbieters für kurze Zeit entschlüsselt.
Die Lösung ist, die E-Mail noch vor dem Senden zum E-Mailprovider (der sie dann an den Empfänger weiterleitet) zu verschlüsseln.
Das Verschlüsseln von E-Mail erfolgt in aller Regel per OpenPGP. Dabei wird man z.B. durch das Thunderbird-Plugin Enigmail unterstützt. Das Verfahren, das dabei zum Einsatz kommt, wird nach heutigem Stand der Technik als sicher angesehen. Voraussetzung sind natürlich sichere Passwörter und der richtige Umgang mit den Verschlüsselungswerkzeugen.
Mehr zur Technik hinter der Mailverschlüsselung und zur Anwendung dieser folgt in einem separaten Artikel.
Chat¶
Um Chats über Dienste wie ICQ, Jabber/XMPP und andere Dienste zu verschlüsseln, gibt es das OTR-Verfahren. In einigen freien Chat-Programmen ist es bereits fest integriert, für andere Anwendungen, z.B. Pidgin, stehen Erweiterungen zur Verfügung.
Fazit¶
Einige der vorgestellten Lösungen sind leichter umzusetzen als andere. HTTPS Everywhere und Tor sind schnell installiert, während eine vollverschlüsselte Festplatte und verschlüsselte E-Mails mehr Zeit zum Einarbeiten, Verstehen und Umsetzen verlangen.
Cryptopartys bieten die Möglichkeit, sich mit anderen Personen auszutauschen und mehr über Verschlüsselung zu lernen. Derzeit schießen sie förmlich an jeder Ecke aus dem Boden. Noch viel mehr Informationen zur Absicherung von Linuxsystem sind auf der Übersichtsseite im Wiki zum Thema Sicherheit verlinkt.
Letztendlich muss das Problem, dass Staaten gesetzwidrig ihre Bürger überwachen, aber auf politischer und gesellschaftlicher Ebene gelöst werden.
