Politisches Bekenntnis (Teil 1)

Da das hier mein privater Blog ist, dachte ich, ich bekenne mich mal zu ein paar politischen Positionen meinerseits.

Ich bin gegen Fraktionszwang und Fraktionsdisziplin, da ich diese für undemokratisch halte. Befürworter der Fraktionsdisziplin werden jetzt sagen, dass ohne diese das Finden politischer Kompromisse und Verabschieden von Gesetzen schwerer wäre. Ja, das kann sein, aber trotzdem denke ich, Abgeordnete sollten nur ihrem Gewissen verpflichtet sein, so wie es im Grundgesetz steht.

Ich bin gegen Prozenthürden bei Wahlen – Begründung siehe oben. Auch hier wieder Argument der Befürworter, dass ohne die Prozenthürde die Koalitionsbildung erschwert bzw. unmöglich sei. Als Beispiel muss hier immer wieder die Weimarer Republik hinhalten. Die Weimarer Republik ist aber mit der Bundesrepublik nicht zu vergleichen. Die Weimarer Republik hatte eine Bevölkerung, die die Demokratie nicht gewohnt war, einen Großteil an Bürgern, die die Demokratie abschaffen wollten und eine Judikative, die mit Rechten nicht hart genug ins Gericht gegangen ist – beispielsweise bei Hitlers Putschversuch. Man hätte Hitler für die Aktion ausweisen oder wegen Hochverrat für 20 Jahre ins Gefängis stecken müssen. Außerdem war die Wirtschaft am Boden, die Währung instabil und die Arbeitslosenquote ein Alptraum

Heute leben wir in einem der reichsten Staaten der Welt, haben seit über 70 Jahren Frieden in Westeuropa und die Wirtschaft boomt. Brauchen wir wirklich noch diese Prozenthürde?

Ich halte mehr direkte Demokratie und Volksentscheide für sinnvoll – damit die Bevölkerung mehr Verantwortung für ihre Taten übernimmt. Ja, ich bin eine Gegnerin des Brexits, der das Resultat eines Volksentscheides war – aber vielleicht würden unsere Bürger als Konsequenz eines derartigen Volksentscheides weniger über „die Politiker da oben“ meckern und stattdessen ihre eigenen Thesen überdenken. Klar sollte aber auch sein – das Grundgesetz hat über jedem Volksentscheid zu stehen.

Europäisches Wahlrecht sollte in allen EU-Staaten gleich geregelt sein mit transnationalen Listen für die Europawahl. Warum soll ich in Deutschland mit meiner Stimme an einer Prozenthürde scheitern, die es in anderen EU-Ländern nicht gibt? In Deutschland ist das Bundeswahlrecht doch auch nicht Ländersache.

Apropos Ländersache – Bildung sollte beim Bund liegen. Ja, das verstößt gegen das Grundgesetz, aber nicht gegen den fundamentalen Kern. Dieses Gesetz könnte man durch Zweidrittelmehrheit ändern. Hintergrund für den Förderalismus ist auch hier wieder historisch – die Vermeidung einer neuen Diktatur. Auch hier wieder greift meines Erachtens die Argumentation von oben – Deutschland ist nicht mehr Weimar und auch nicht Bonn, sondern die Berliner Republik. Anfällig für Rechtsextremismus sehe ich eher die Staaten, die nie einen rechten Diktator hatten.

Anonym das Internet nutzen

Ein oft in den Medien auftauchendes Thema ist Anonymität im Internet – sowohl im Zusammenhang mit Tracking und Datenauswertung seitens Google, Facebook und ähnlicher Seiten wie auch im Zusammenhang mit Kriminalität. Dies ist meine Meinung dazu, wie man wirklich anonym sein kann, wenn man die Anonymität denn mal braucht. Diese Anleitung ist für Bürger gedacht, die ihre Privatsphäre schützen wollen und NICHT für Kriminelle. Ich werde dennoch ein paar Hinweise geben, wie ein Krimineller handeln könnte und wie Sie sich dagegen schützen können.

Schritt 1 – Computershopping

Besorgen Sie sich einen weiteren Laptop, idealerweise neu und in bar bezahlt. Lassen Sie ihr Mobiltelefon zu Hause, wenn Sie auf Computershoppingtour gehen. Dies soll die Möglichkeiten einschränken, den Computer mit Ihnen zu verbinden – auch wenn öffentliche Videoüberwachung Ihnen da vielleicht einen Strich durch die Liste macht.

Schritt 2 – geeignetes Netzwerk finden

Das Netzwerk, von dem Sie online gehen ist öffentlich und idealerweise verteilt und noch per VPN getunnelt. Ein vielversprechender Kandidat hierfür ist das Freifunknetzwerk, welches zumindest zu Zeiten der Störerhaftung noch per VPN über Schweden getunnelt wurde. Wie das aktuell aussieht, weiß ich leider nicht genau, aber Freifunk ist an sich schon mal brauchbar. Gehen Sie in ein Cafe oder Hackerspace Ihrer Wahl, wo Freifunk verfügbar ist und loggen Sie sich ins Freifunk-WLAN ein. Bitte lassen Sie auch hier wieder das Mobiltelefon zu Hause (Begründung wie bei Schritt 1).

Wie es (intelligente) Kriminelle machen könnten – Stichwort Wardriving

Der Gangster von Welt nimmt einen Computer, Smartphone o. Ä. und fährt langsam durch die Gegend, während er nach verfügbaren Netzen sucht. Idealerweise findet er alte Netzwerke mit WEP-Verschlüsselung, da diese im Nu geknackt sind. Einmal im geknackten WEP-Netzwerk angekommen, kann sich unser Angreifer wunderbar als die Person ausgeben, auf die der Anschluss zugelassen ist und per Man in the Middle-Angriff auch noch die Kommunikation aller im Netz befindlicher Geräte mitschneiden. Sollten diese Verbindungen keine Transportverschlüsselung mitbringen, was gerade beim Internet der Dinge zum Problem werden kann, so kann er auch noch nebenher die gesamte Kommunikation abgreifen.

Wie Sie sich davor schützen

Gucken Sie, ob ihr Router WPA2 unterstützt. Falls nein, besorgen Sie sich bitte einen neuen Router. Sollte Ihr Router gemietet sein, beschweren Sie sich bitte beim Provider, dass Sie einen Router haben wollen, der zumindest so einigermaßen derzeitigen Sicherheitsstandarts entspricht. Falls ja, schalten Sie bitte WPA2 ein und deaktivieren auch gleich WPS. Auch diese Einstellung kann von Angreifern ausgenutzt werden, da die WPS-Verschlüsselung deutlich schwächer ist als jene von WPA2. WPS ist bei vielen Routern aktiv. Auch macht es durchaus Sinn, das Standartpasswort fürs WLAN zu ändern.

Schritt 3 – ein anständiges Betriebssystem

Es gibt Linuxdistributionen, die extra auf Anonymität ausgelegt sind, beispielsweise Tails. Dieses kann per unetbootin einfach auf einem USB-Stick hinterlegt werden, von diesem dann gebootet werden kann.

Link zu Tails https://tails.boum.org/

Link zu unetbootin https://www.heise.de/download/product/unetbootin-universal-netboot-installer-56487

Stick in Laptop stecken, beim Booten F12 drücken und als Bootoption den USB-Stick auswählen.

Alternativ tut es auch Debian, Arch oder BSD-Derivate. Etwas unbekannter, aber trotzdem sehr schön ist Qubes OS aufgrund der vielfältigen Rechtetrennung.

Schritt 4 – Betriebssystem sinnvoll konfigurieren (entfällt bei Tails)

MAC-Adresse ändern, um Identifikation des Gerätes zu vermeiden.

Jeder Computer hat eine eigene MAC-Adresse. Diese kann aber auf Betriebssystemebene verändert werden. Was Angreifer beim MAC-Spoofing ausnutzen, kann man auch einfach machen, um seine Privatsphäre zu schützen.

Gesamten Traffic über TOR tunneln

Fürs Surfen tuts das TOR-Browser-Bundle. Für etwas mehr Anonymität tunneln wir sämtlichen Traffic über TOR. Ich verlinke hier mal die Anleitung auf cybrary.it

Alle Programme deinstallieren, die man nicht braucht und Betriebssystem aktualisieren.

Dieser Schritt unterscheidet sich von Betriebssystem zu Betriebssystem. Idee dahinter ist, dass jegliche Software Sicherheitslücken enthalten kann, die ein Angreifer ausnutzen kann. Jegliche Software, die man nicht braucht, fliegt deshalb raus. Die Aktualisierung des Betriebssystems inklusive aller Programme dient dem Einspielen von Sicherheitsupdates.

Schritt 5 – anonym surfen

Am besten installieren Sie das Plugin NoScript und blocken so sämtliche Ausführung von Javascript. Installation eines User-Agent-Switchers verrät Internetseiten falsche Informationen über Ihr Betriebssystem und kann beim Verwischen Ihrer Spuren helfen. Auf http://panoptiklick.eff.org können Sie nachschauen, wie individuell der Fingerprint Ihres Browsers ist, den Internetseiten verwenden, um Sie trotz Anonymisierung zu identifizieren.

Schritt 6 – verschlüsselt chatten

Legen Sie sich einen Jabber-Account zu und benutzen Sie Pidgin als Client. Installieren Sie das OTR-Plugin und authentifizieren Sie ihren Chatpartner über eine Sicherheitsfrage oder ein zuvor vereinbartes Schlüsselwort.

Schritt 7 – anonym und verschlüsselt E-Mails schreiben.

Für das anonyme Versenden von Mails gibt es verschiedene Dienste. Schwerer wird die Verschlüsselung. Aufgrund bisheriger Bugs wie #efail, die das Enigmail-Plugin, aber nicht GPG an sich betrafen, empfehle ich Ihnen, den Text Ihrer Email in eine Textdatei zu packen und diese entweder mit GPG oder anderen Verschlüsselungsalgorithmen zu verschlüsseln. Der Standard ist allerdings weiterhin GnuPG. Wer ein One-Time-Pad verwenden will, kann auch dies tun, allerdings muss dazu der Schlüssel zuvor einmal ausgetauscht worden sein. Implementierungen von One-Time-Pads gibts mehrere im Internet, beispielsweise unter https://github.com/topics/one-time-pad

Da bei Github jeder seinen Code hochladen kann und dieser Code ohne Ende verbuggt sein kann, rate ich weiterhin zu GnuPG. Außerdem ist assymmetrische Krypto in Sachen Schlüsselaustausch deutlich einfacher. Ein bisschen was zum Thema OTP habe ich hier mal aufgeschrieben: http://sycramore.de/?p=18

Anmerkungen

TOR findet man inzwischen in jeder anständigen Anleitung zum Thema Anonymität. Viel gehypt, vielleicht gebrochen, derzeit noch unklar. Viele Internetseiten empfehlen die Verwendung eines VPN. Davon rate ich ab, da a) im Ernstfall der VPN-Provider Ihre IP rausgibt und b) das VPN klar erkennbar ist. Man kann mit Proxychains auch mehrere VPNs schichtenmäßig tunneln und im Internet frei zugängliche VPN-Server finden. Da hier der Betreiber oft unbekannt ist, würde ich darauf allerdings nicht vertrauen. VPN-Tunnel sind praktisch, wenn man Ländersperren umgehen möchte, aber nicht, um anonym zu bleiben. Stattdessen schlage ich die Verwendung von Freifunk als weiteren Tunnel vor – eine Idee, die ich bisher weder online noch offline gefunden habe.

XMPP mit OTR ist meine Präferenz beim Chatten, da die Dienste und Clients nicht an eine Telefonnummer gebunden sind. Smartphones würde ich insgesamt nicht einsetzen, wenn irgendwas anonym bleiben soll und schon gar nicht Signal. Bei Telegram ist die Ende-zu-Ende-Verschlüsselung wenigstens an ein Gerät gekoppelt, aber bei Signal mit der Synchronisierung auf mehreren Geräten dürfte es reichen, wenn ein Gerät, welches Signal verwendet, kompromittiert wird. Bei XMPP mit OTR ist der Plaintext halt an das Gerät gebunden.

Die Variante – Email in Textdokument schreiben und dann verschlüsselt anhängen, ist ziemlich oldschool vom Design, aber einfacher ist meistens auch sicherer. Ich bin bei Systemen, wo es um Sicherheit geht, eine Freundin von einfachen Systemen, da diese oft weniger fehleranfällig sind. Da die Nachricht lokal auf dem eigenen Rechner verschlüsselt und erst auf dem Zielrechner entschlüsselt wird, ist diese Methode meines Erachtens relativ robust gegenüber Man-In-The-Middle-Angriffen und ähnlichen Dingen, wo ein Angreifer versucht, Ihnen Code unterzuschieben. In diversen Tutorials, die man zu GnuPG so findet, wird oft die Verwendung mit dem Enigmail-Plugin in Thunderbird gezeigt. Diese hatte die oben genannte Schwachstelle – mehr dazu hier https://www.heise.de/security/artikel/PGP-und-S-MIME-So-funktioniert-Efail-4048873.html

Einen komplett neuen Rechner zu verwenden, hat die Idee, dass die neue Kiste komplett sauber ist. Eine Festplatte mit Zufallszahlen zu überschreiben und danach in einen alten Rechner einzubauen, geht zwar prinzipiell auch, allerdings ist die MAC-Adresse ja an das Gerät gebunden und Sie wissen nicht, wer vielleicht Ihre MAC-Adresse mal irgendwann mitgeschnitten hat. Bei einem neuen Rechner sind mit der MAC-Adresse keine Daten verbunden. Selbst wenn die Verschleierung der MAC-Adresse bei Ihnen nicht funktioniert, kann so zumindest nicht die Anonymität über die MAC-Adresse gebrochen werden.

Disclaimer : Ich übernehme keinerlei Gewähr für die hier getroffenen Aussagen. Ich versuche, meine Blogbeiträge nach bestem Wissen und Gewissen zu verfassen, hafte aber nicht für jegweiligen entstandenen Schaden.

Disclaimer II : Dieser Artikel ist für die gesetzeskonforme Verwendung von Anonymität gedacht – im Sinne des Grundgesetzes und zur Sicherung der Meinungsfreiheit – beispielsweise für investigative Journalisten und ihre Quellen. Er ist explizit NICHT für Kriminelle gedacht. Hiermit lehne ich die Verwendung meines Artikels für kriminelle Machenschaften ab und distanziere mich von einer derartigen Verwendung.

One-Time-Pad

Warum das One-Time-Pad?

Es ist der einzige Verschlüsselungsalgorithmus, der beweisbar sicher ist und auch mit Brute-Force nicht geknackt werden kann. Voraussetzung ist, dass der Schlüssel nur einmal verwendet wird und die Zufallsverteilung hinreichend zufällig ist, also für große Schlüssel bei einer binären Zufallsverteilung halt die Aufteilung 50%-50% ist. Problem ist, dass der Schlüssel genauso lang sein muss wie der Klartext, was den Schlüsselaustausch schwierig macht. Meine Idee ist jetzt wie folgt. Wer sich die Seite www.textfiles.com mal angeschaut hat und Moores Gesetz kennt, wird gesehen haben, wie stark der Speicherplatz in den letzten Jahrne und Jahrzehnten angewachsen ist. Textfiles sammelt eine Kollektion englischsprachiger txt-Dateien, die in den 80ern und 90ern im BBS-System (zu deutsch auf Mailboxen) ausgetauscht wurden – praktisch der Vorläufer vom Internet. Das gesamte Zeug passt aber in gezippter Form selbst auf mein Handy, nimmt also nur ein paar GB ein. Dasselbe gilt für andere Textnachrichten.

Wir können es also ganz einfach machen. Man stelle sich vor, ich sei Journalistin in einem Staat, der das Thema Pressefreiheit nicht so genau nimmt und will mit meinem Informanten verschlüsselt kommunizieren. Ich muss keine Videos verschicken. Ich muss keine Emails verschlüsseln. Es reicht, wenn ich meine Informationen in eine Textdatei schreibe, diese von ASCII in Binärcode konvertiere, verschlüssele und verschicke. Angenommen, ich habe mit meinem Informanten bei einem Treffen einen USB-Stick ausgetauscht. Angenommen, dieser USB-Stick ist klein und billig. Trotzdem hätte er mindestens 4GB. Das reicht, um ganze Bücher zu verschlüsseln. Außerdem ist der Algorithmus hinter dem OTP so lächerlich simpel, dass er in Sachen Debugging wirklich trivial sein sollte. Ich nehme also die ersten x Bytes von meinem Stick mit dem OTP, verschlüssele die Nachricht und schicke sie ihm als E-Mail-Anhang. Informant öffnet Textdatei mit Cyphertext, nimmt seinen Stick, haut per XOR den Schlüssel drauf und hat den Klartext. Wieder Binärtext in ASCII zurückkonvertieren und fertig.

Unter dem Titel Quantenschlüsselaustausch versuchen sich derzeit diverse Firmen weltweit, um über verschränkte Qubits einen gemeinsamen Schlüssel zwischen zwei Parteien als One-Time-Pad zu generieren. Theoretisch ist das Ganze abhörsicher, praktisch ist die Reichweite eher semigut und die Datenrate relativ schlecht. Außerdem gibts verschiedene Angriffe auf das Setup.

Mehr dazu unter anderem hier

https://www.nature.com/articles/npjqi201625

Eleni Diamanti ist eine exzellente Physikerin. Sie arbeitet für Télécom Paris Tech in Frankreich an Quantenkryptographie – zusammen mit einer Gruppe anderer Experimentalphysiker und Theoretiker. Die Gruppe entwickelt unter anderem Protokolle zur Authentifikation der Quelle der Zustände, der verschiedenen Akteure und zur Sicherheit von Quantennetzwerken mit mehreren Personen. Später werde ich über die Gruppe vermutlich noch mehr schreiben, da ich da selbst Praktikum gemacht habe und die Leute daher kenne und so einigermaßen weiß, woran die forschen. Außerdem ist die Quantencommunity von meinen Eindrücken her weltweit eher klein. Man sieht auf den Konferenzen recht oft bekannte Gesichter 🙂

Quantenschlüsselaustausch wird derzeit ziemlich gehypt, ebenso wie einige andere Quantentechnologien. Verschiedene Staaten investieren – Spitzenreiter ist derzeit China mit 10 Milliarden, die in Quantentechnologien investiert werden sollen. Da die Technik derzeit jedoch noch ziemlich experimentell ist, halte ich die altbewährte Methode „Festplatte mit Zufallszahlen füllen und dem Gesprächspartner in die Hand drücken“ nach wie vor deutlich sicherer und vor allem billiger. Festplatten und USB-Sticks gibts in jedem Laden für 8-50 Euro, Zufallszahlen kann man auch recht gut selbst erzeugen. Das wäre so mein Traum, sichere Verschlüsselung für jedermann ohne nervige Bugs und Sicherheitslücken.

Mein erster Beitrag

Hallo, ich bin sycramore, Physikstudentin aus Berlin. Ich interessiere mich für IT, Quanteninfo und Politik und werde in Zukunft zu diesen Themen hier auch bloggen. Von kleinen nerdigen Dingen, die ich witzig finde, wie Datenrettung per Livesystem, Dateiübertragung per Webserver oder auch einfach mal einen USB-Stick mit 4 verschiedenen Partitionen und 6 verschiedenen Dateisystemen zu belegen bis hin zu eher spezielleren Dingen aus Physik und Quanteninfo. Dabei werde ich keine langen Einführungen in Quantencomputing schreiben, da es hierzu verschiedene gute Quellen gibt. Stattdessen werde ich eher auf speziellere Themen eingehen und auf die Dinge, die mich motivieren.

Wer will, kann mich gerne auch bei Twitter finden unter dem Alias @sycramore. Dito für Github – da liegt auch verschiedener Code von mir. Ein paar Sachen sind noch in der Mache, die werde ich dann so Stück für Stück hochladen.

Ansonsten soll dieser Blog auch einfach meine Ideen sammeln. Ich bin ein recht kreativer Mensch und habe ziemlich viele verrückte Ideen. Ein Teil davon wird aufgeschrieben, ein Teil wird diskutiert und wieder andere Sachen landen irgendwo in einer hinteren Hirnschublade und werden zwecks Weiterverwendung irgendwann wieder hervorgeholt, wenn ich auf die richtigen Leute treffe oder die Ideen weiterspinnen kann. Wer will, kann mich bei guten Ideen auch immer anschreiben bzw. auch einfach klauen oder kommentieren. Ich kann nicht alle Ideen, die ich habe, selbst weiterverfolgen und möchte es auch gar nicht. Momentan befindet sich auf dem Blog vor allem Zeug über Quanten, aber das wird sich mit der Zeit auch noch ändern.

Ein weiterer Teil dieses Blogs soll sich verschiedenen Fragen widmen. Im Laufe meines Lebens haben sich immer mal wieder Fragen angesammelt, die Lehrer, Erziehungsberechtigte oder später auch Professoren nicht oder nur bedingt beantworten konnten. Diese waren während meines Studiums immer wieder Motivation für mich und haben mich angespornt, weiterzumachen. Vielleicht poste ich die hier auch mal.