Cryptoparty: Unterschied zwischen den Versionen
Kjo (Diskussion | Beiträge) |
|||
Zeile 98: | Zeile 98: | ||
* Crypto-Basics | * Crypto-Basics | ||
** Verschlüsseln, Signieren, Authentifizieren, Integrität bewahren | ** Verschlüsseln, Signieren, Authentifizieren, Integrität bewahren | ||
** Keine mathematischen Details, nur die "Black-Box-Schnittstelle" erklären | ** Keine mathematischen Details, nur die "Black-Box-Schnittstelle" erklären | ||
** Symmetrische Verfahren (ein Schlüssel, der geheim bleiben muss; typischerweise sehr effizient alles) | ** Symmetrische Verfahren (ein Schlüssel, der geheim bleiben muss; typischerweise sehr effizient alles) | ||
Zeile 115: | Zeile 114: | ||
** VPN | ** VPN | ||
** TrueCrypt / LUKS | ** TrueCrypt / LUKS | ||
** | ** EncFS / ecryptfs | ||
** Threema? (Ist das empfehlenswert? closed-source, kostenpflichtig und nur für Smartphones) | ** Threema? (Ist das empfehlenswert? closed-source, kostenpflichtig und nur für Smartphones) | ||
Version vom 13. August 2013, 13:19 Uhr
Zu dieser Seite
Im Moment dient diese Seite noch als Planungs-Seite, sobald aber das Konzept steht, soll sie in eine Info-Seite zur konkret realisierten Veranstaltung ausgebaut/umgebaut sein.
Cryptoparty: Wollen wir das?
tl;dr: Ja. Sonst macht es jemand anderes (und das ggf. schlechter!). Außerdem können Sicherheitsbedenken auch bei so einer Veranstaltung kommuniziert werden. Cryptopartys können auch dafür benutzt werden, kritisches, reflektiertes Denken zu schulen.
Trotzdem dürfen hier gerne noch Pro/Contra-Punkte gesammelt werden:
Pro
- Wir haben Ahnung davon und wir können davon abgeben.
- Positive Außenwirkung für uns / den CCC
- Mehr Verschlüsselung in der Welt
Contra
- Crypto machen ist gar nicht so schwer. Crypto gefährlich falsch machen ist sogar noch einfacher.
- Falsches Sicherheitsgefühl
Content
Linksammlung
- Vorbild CCC HH: https://cryptoparty-hamburg.de/
- https://raumzeitlabor.de/blog/encrypt-everything/
- http://chaostreff-siegen.de/veranstaltungen/cryptoparty/
- http://chaosdorf.de/2013/07/crypto-party-3-encrypt-all-the-data/
von ccc
Template für einen Einladungsflyer
Um die Organisation der Parties zu erleichtern, hier im Folgenden ein Template für einen Einladungsflyer. Dies ist zur Zeit noch "work in progress" und insbesondere der letzte Absatz "5. Was die Geheimdienste trotzdem können" muss ausgearbeitet werden.
Jede Email, die Sie verschicken, ist wie eine Postkarte. Jeder kann sie lesen. Möchten Sie auch „zugeklebte Briefe“ versenden können, dann müssen Sie verschlüsseln. Nur so schützen Sie Ihre private und/oder geschäftliche Korrespondenz vor den neugierigen Blicken Dritter.
Und wie geht das?
Wir zeigen es Ihnen auf unseren Kryptoparties. Dort können Sie lernen, wie Sie Ihre Korrespondenz verschlüsseln.
Die nächste Party findet am $Wochentag, den $Datum um $Uhrzeit statt, in $Ort.
Die Teilnahme ist kostenlos. Die Veranstaltung wird von Mitgliedern und FreundenInnen des CCC durchgeführt. Die Party wird finanziell unterstützt von der Wau Holland Stiftung (wauland.de). Sie können sich an den Kosten mit einer Spende (für die Raummiete) beteiligen. Bitte bringen Sie Ihren Laptop (und einen USB-Stick?) mit.
Was Sie auf unseren Parties lernen können:
1. Emailverschlüsseln mit GnuPG
Mit Hilfe dieser Technik lernen Sie, Ihre Emails so zu verschlüsseln, dass nur der Empfänger sie lesen kann.
2. Anonymes Surfen mit TOR
Mit der heutigen Überwachungstechnik ist es ein Leichtes, ihre Aktivitäten im Netz zu registrieren. Wenn Sie lieber unbeobachtet bleiben möchten, können Sie sich des TOR-Netzwerkes bedienen. Wie das geht? Auch das lernen Sie auf unserer Party.
3. Chatten mit Jabber und OTR
Sie möchten mit Ihren FreundInnen chatten und möchten nicht, dass die halbe Welt mitlesen kann? Dafür gibt es Jabber mit OTR. Wenn Sie diese Software verwenden, dann kann keiner unbemerkt teilnehmen und Ihre private Kommunikation bleibt das, was sie sein soll: nämlich privat.
4. Internettelefonie mit Mumble
Sie skypen? Wie schön! Da können Leute mithören, an die Sie gar nicht gedacht haben. Wenn Sie aber über das Internet weiterhin telefonieren möchten, ohne dass Ihre Gespräche mitgeschnitten werden können, dann brauchen Sie Mumble, eine Software, die Ihnen vertrauliches Telefonieren wieder ermöglicht.
Jedes der genannten Softwareprogramme ist im Netz frei zugänglich und für jeden kostenlos verfügbar. Wie Sie diese Programme auf Ihrem Laptop installieren und für sich verwenden können, zeigen wir Ihnen auf unseren Kryptoparties.
Die Entwickler solcher Programme müssen selbstverständlich auch leben. Sie werden unterstützt von Stiftungen wie der Wau Holland Stiftung.
Wenn Sie glauben, dass Sie nun vor den Geheimndiensten sicher sind, dann irren Sie sich.
5. Was die Geheimdienste trotzdem können:
Verschlüsselung schützt nicht die sogenannten Metadaten, also bei einer Email zum Beispiel Uhrzeit, Absender, Empfänger und Betreff-Zeile. Diese Daten werden nach wie vor von den Geheimdiensten gesammelt und verraten bereits sehr viel über den vermutlichen Inahlt und Zweck einer Email.
Zertifikatbasierte Verschlüsselungssysteme basieren auf der Idee eine vertrauenswürdige dritte Partei zu haben, die die Identität einer Person oder Institution überprüft und so garantiert, dass nur der gewünschte Empfänger in der Lage ist eine Nachricht zu entschlüsseln. Leider sind diese Zertifizierungsstellen wieder wenige zentrale Stellen, die von Geheimdiensten angezapft werden können und mit deren Hilfe auf einen Schlag die gesamte Kommunikation aller Kunden eines Zertifizierungsdienstleisters entschlüsselt werden kann.
Vorschlag von Wau-Holland-Stiftung / Twiddlebit
1. Emailverschlüsseln mit GnuPG. Mit Hilfe dieser Technik lernen Sie, Ihre Emails so zu verschlüsseln, dass nur der Empfänger sie lesen kann. 2. Anonymes Surfen mit TOR. Mit der heutigen Überwachungstechnik ist es ein Leichtes, ihre Aktivitäten im Netz zu registrieren. Wenn Sie lieber unbeobachtet bleiben möchten, können Sie sich des TOR-Netzwerkes bedienen. Wie das geht? Auch das lernen Sie auf unserer Party. 3. Chatten mit Jabber und OTR. Sie möchten mit Ihren FreundInnen chatten und möchten nicht, dass die halbe Welt mitlesen kann? Dafür gibt es Jabber mit OTR. Wenn Sie diese Software verwenden, dann kann keiner unbemerkt teilnehmen und Ihre private Kommunikation bleibt das, was sie sein soll: nämlich privat. 4. Internettelefonie mit Mumble Sie skypen? Wie schön! Da können Leute mithören, an die Sie gar nicht gedacht haben. Wenn Sie aber über das Internet weiterhin telefonieren möchten, ohne dass Ihre Gespräche mitgeschnitten werden können, dann brauchen Sie Mumble, eine Software, die Ihnen vertrauliches Telefonieren wieder ermöglicht.
Eigener Plan zu den Inhalten
- Allgemeines
- Wem vertraue ich? (closed versus open source, Google, ISP, ...)
- Computersicherheit, Trojaner, Key-Logger, ...
- Rubber-hose cryptanalysis (XKCD-Comic zeigen)
- Perfekte Sicherheit gibt es nicht.
- Crypto-Basics
- Verschlüsseln, Signieren, Authentifizieren, Integrität bewahren
- Keine mathematischen Details, nur die "Black-Box-Schnittstelle" erklären
- Symmetrische Verfahren (ein Schlüssel, der geheim bleiben muss; typischerweise sehr effizient alles)
- Asymmetrische Verfahren (zwei Schlüssel: ein geheimer, privater und ein öffentlicher. Mit öffentlichen Schlüsseln werden Nachrichten verschlüsselt und Signaturen überprüft, mit privaten Schlüsseln werden Nachrichten entschlüsselt und Signaturen erzeugt. Typischerweise relativ rechenaufwändig)
- Darüber habe ich einen alten Vortrag von http://www.ich-hab-doch-nichts-zu-verbergen.de/2008/index.php?seite=2 in der Tasche
- In der Praxis eingesetzte Verfahren mischen oft verschiedene Ansätze für verschiedene Anforderungen
- Umgang mit Schlüsselmaterial
- Programmempfehlungen
- Surfen: Firefox, HTTPS Everywhere, Ghostery, Skriptblocker, Certificate Pinning
- Email: Thunderbird, GnuPG, EnigMail, K9 Mail, Android Privacy Guard
- S/MIME. Ist das irgendwie geächtet oder sowas? Damit lässt sich Verschlüsselung wirklich einfach nutzen. Ich könnte den Leuten zeigen, wie sie Zertifikate bekommen, CACert und StartSSL, und wie man das in Windows/Apple Mail/Linux Thunderbird einbaut und verwendet. kjo
- Chat: Open Source XMPP-Clients mit OTR-Unterstützung (Pidgin, Xabber)
- Was es noch so alles gibt und sich mal angucken könnte
- Umstieg auf FOSS-Betriebssysteme
- TOR
- VPN
- TrueCrypt / LUKS
- EncFS / ecryptfs
- Threema? (Ist das empfehlenswert? closed-source, kostenpflichtig und nur für Smartphones)
Veranstaltungsort
Vorschläge?
- Bei uns, d.h. an einem Dienstagabend unten bei der SHK
- Vorteil: Interessierte können den Space kennenlernen.
- Nachteil: Je nach Andrang könnte auch der Raum der SHK zu klein sein.
- Mehr Teilnehmer als in den SHK Raum passen will man sowieso nicht haben. Mit Hands-On wird schon schon genug Chaos kjo
- Bei Arbeit und Leben?
- afaik größer als der Raum bei der SHK
- In angemietetem Raum
- z.B. in schickem Hotel oder woran könnte man da denken?
Finanzierung
Für Bewerbung und ggf. Raummiete kann Wau-Holland-Stiftung in Anspruch genommen werden. Dort gibt es einen Beschluss, dass Cryptopartys finanziell gefördert werden, wenn sie 1. frei (für lau) zugänglich sind und 2. freie Software featuren.
Planungserwägungen
- Ich könnte mir vorstellen, dass das Interesse groß ist. Evtl. empfiehlt sich eine Anmeldeliste, um die Teilnehmerzahl in der Planung besser berücksichtigen zu können.