Gestern durfte ich im Rahmen der Vortragsreihe des CCCS anderthalb Stunden über "Verschlüsselung im Alltag" berichten. Schwerpunktmäßig ging es um https (und allem, was bei der Benutzung des Browsers schiefgehen kann) und Mailverschlüsselung mit PGP. Wichtig war mir, anhand von Beispielen herauszuarbeiten, an welchen Stellen die Verschlüsselungstechniken schützen, und an welchen Punkten die Technik nicht ausreicht (bzw. der gesunde Menschenverstand gefordert ist). Außerdem ging es natürlich um das Problem, das die hierarchischen CAs momentan haben (und im Gegensatz dazu den Ansatz, den PGP verfolgt).
Die Veranstaltung war gleich mehrfach spannend: Das technische Experiment des Abends war ein Audio-Livestream, außerdem hatte ich Live-Demos für die Browserangriffe vorbereitet. Alles Dinge, die schiefgehen können - und dann füllte sich der Saal soweit, daß zwei Mal Stühle nachgeholt werden mußten... zu Vortragsbeginn saßen rund 100 Leute im Publikum.
Alles in allem haben sich Vorbereitungsaufwand und Aufregung gelohnt! Es kamen reichlich interessierte Rückfragen sowohl während des Vortrags als auch im Anschluß daran. Und es ist immer wieder erstaunlich, was es für einen Unterschied macht, ob man über ein Problem nur berichtet, oder es live vorführt (plus dem Eindruck, den man mit einer großen schwarzen Kommandozeile schindet ;-). Dafür, daß der Livestream erstmalig lief, wurde er auch erstaunlich gut genutzt: Im Laufe des Abends gaben sich rund 50 Zuhörer ein Stelldichein, zu Spitzenzeiten waren rund 30 Zuhörer mit dem Streamingserver verbunden.
Wer sich die Folien nochmals durchsehen möchte: Hier kann man sie durchblättern, und wer sie herunterladen möchte, findet hier das git-Repository. In den Folien befinden sich etliche Links auf die erwähnten Plugins und die verwendeten Programme für die Live-Demo. In Bälde gibt es auch noch einen Audiomitschnitt des Vortrags.
Aus dem Gedächtnis gesammelt: Weitere Links und Plugins, die erwähnt wurden:
- https everywhere - leitet automatisch auf die https-Version vieler Seiten; erlaubt mit dem "SSL observatory" das verteilte Prüfen von Zertifikaten (ähnlich wie das vorgestellte Convergence)
- Certificate Patrol - implementiert "sticky certificates"/"certificate pinning" für Firefox
- Verschlüsselung von Dropbox, etc. mit Truecrypt
- Verschlüsselung von Dropbox, etc. mit BoxCryptor (EncFS-kompatibel, Linux-Benutzer können natürlich direkt EncFS benutzen; hier gibt es eine Anleitung zur Einrichtung) oder einem EncFS-Port für Windows (noch nicht mainstream-tauglich ;-)
Das Thema ist damit alles andere als erschöpfend behandelt ;-) Viele Anekdoten, aber auch große Dinge wie beispielsweise CACert (eine Community-basierte CA für Webbrowser E-Mail-Verschlüsselung) kamen aufgrund des Zeitlimits zu kurz. Auf der anderen Seite ist das natürlich eine Steilvorlage für einen Anschlußvortrag :-)