Aktualisierungen im Changelog, als RSS-Feed
oder im [matrix] Raum #prhdb-changes:nitro.chat

Privacy Handbuch

Dass die Verschlüsselung von Daten der Erhaltung einer Privatsphäre dient, bemerkt man spätestens, wenn ein USB-Stick verloren geht. Wird ein Laptop gestohlen, möchte man die private Fotosammlung sicher nicht im Internet sehen (abgesehen von den Fotos, die man eh' schon Facebook & Co. hochgeladen hat).

Investigative Journalisten, Rechtsanwälte und andere berufliche Geheimnisträger haben das Recht und die Pflicht, Daten über ihre Mandanten zu schützen. Sie sollten sich frühzeitig Gedanken über ein Konzept zur Verschlüsselung machen. Es ist wirklich ärgerlich, wenn die Rote Hilfe einen unverschlüsselten Datenträger mit Mitgliederdaten verliert. Das kann Konsequenzen haben!

Als Whistleblower sind besondere Anforderungen an die Datensicherheit zu stellen. Neben der sicheren Aufbewahrung kommt es auch darauf an, keine Spuren in Daten und auf den Rechnern zu hinterlassen. Im Fall Mannings konnten Forensiker viele Daten wiederherstellen.

Die Beispiele zeigen, dass unterschiedliche Anforderungen an eine Verschlüsselung bestehen können. Bevor man wild anfängt, alles irgendwie zu verschlüsseln, sollte man sich Gedanken über die Bedrohung machen, gegen die man sich schützen will:

  1. Schutz sensibler Daten wie z.B. Passwortlisten, Revocation Certificates o.ä. erfordert die Speicherung in einem Container oder verschlüsselten Archiv, welches auch im normalen Betrieb geschlossen ist. (Datei-basierte Verschlüsselung)
  2. Schutz aller persönlichen Daten bei Verlust oder Diebstahl von Laptop oder USB-Stick erfordert eine Software, die transparent arbeitet ohne den Nutzer zu behindern und bei Anmeldung möglichst automatisch den verschlüsselten Container öffnet.
  3. Backups auf externen Medien enthalten wichtige, private Daten und sollten daher verschlüsselt sein. Dabei sollte die Wiederherstellung auch bei totalem Datenverlust möglich sein.

    Es ist nicht sinnvoll, die Daten mit einem OpenPGP-Schlüssel zu chiffrieren oder Keyfiles zu verwenden, die nach einem Crash evtl. nicht mehr verfügbar sind.

  4. Daten in der Cloud sollten ebenfalls transparent verschlüsselt werden. Außerdem sollte die Verschlüsselung die Synchronistion geänderter Dateien im Hintergrund nicht behindern.

    Container-basierte Lösungen wie dm-crypt/LUKS oder Veracrypt sind für Daten in der Cloud weniger geeignet, da man nicht bei jeder Änderung den gesamten Container hochladen möchte. Besser geeignet sind Verzeichnis-basierte Ansätze wie ecryptfs (Linux) oder Cryptomator.

  5. Wer eine Manipulation der Sytemdaten befürchtet, kann die Festplatten seines Rechners komplett verschlüsseln. (dm-crypt/LUKS für Linux oder GELI für FreeBSD)

Konzepte der vorgestellten Tools