Cryptoparty
Zu dieser Seite[Bearbeiten]
Im Moment dient diese Seite noch als Planungs-Seite, sobald aber das Konzept steht, soll sie in eine Info-Seite zur konkret realisierten Veranstaltung ausgebaut/umgebaut sein.
Webseite zum Projekt: http://cryptoparty-goettingen.de/
Download Links[Bearbeiten]
- http://files.gpg4win.org/gpg4win-light-2.1.1.exe
- http://www.mozilla.org/de/thunderbird/
- In Thunderbird nach Add-On "enigmail" suchen
Spiele Accounts[Bearbeiten]
(Politisch korrekt und NSA kompatibel aus dem Nato-Alphabet)
- alfa
- bravo
- charlie
- delta
- echo
- foxtrot
- golf
- hotel
- india
- juliett
- kilo
- lima
Cryptoparty: Wollen wir das?[Bearbeiten]
tl;dr: Ja. Sonst macht es jemand anderes (und das ggf. schlechter!). Außerdem können Sicherheitsbedenken auch bei so einer Veranstaltung kommuniziert werden. Cryptopartys können auch dafür benutzt werden, kritisches, reflektiertes Denken zu schulen.
Trotzdem dürfen hier gerne noch Pro/Contra-Punkte gesammelt werden:
Pro[Bearbeiten]
- Wir haben Ahnung davon und wir können davon abgeben.
- Positive Außenwirkung für uns / den CCC
- Mehr Verschlüsselung in der Welt
Contra[Bearbeiten]
- Crypto machen ist gar nicht so schwer. Crypto gefährlich falsch machen ist sogar noch einfacher.
- Falsches Sicherheitsgefühl
Content[Bearbeiten]
Fazit aus Plenum 13. August 2013[Bearbeiten]
Was wollen wir den Leuten beibringen?
Auftakt: Cryptoparty Mail-Verschlüsselung[Bearbeiten]
Wir wollen Leuten, die schon immer mal eine Mail verschlüsselt versenden wollten und nur noch nicht genug Motivation hatten, sich da selbst mal durch die Suchmaschine zu wühlen, praktische Hilfe zum Start geben.
Termin: 10. September
Lernziele[Bearbeiten]
- Wie gehe ich mit meinem privaten Key (nicht) um?
- Wie versende ich eine verschlüsselte Mail
- sekundär: Trust-Management
Zeitrahmen allein dafür schon 1-2 Stunden
Wir nehmen das Logo und auch den Slogan "Ich-hab-doch-nichts-zu-verbergen", benutzen auch Webseite und Domain.
Wir nennen das aber trotzdem Cryptoparty.
Zunächst: einmalige Veranstaltung.
Einladung[Bearbeiten]
"Cryptoparty. Sie machen sich Gedanken um Ihre Privatsphäre und wollen jetzt auch verschlüsselte Mails verschicken? Sie möchten sich nicht allein mit Software und Technik herumschlagen sondern sich in netter Atmosphäre ein wenig helfen lassen? Sie haben Fragen dazu und suchen kompetente Ansprechpartner? Dann nehmen Sie Ihren Laptop und kommen Sie vorbei." Vielleicht noch etwas um- und ausbauen.
Anmeldeverfahren[Bearbeiten]
- Bitten um Anmelde-Email
- ersten 10 (oder 15?) Anmeldungen antworten wir mit Zusage
- den restlichen Anmeldern antworten wir mit einer netten vorläufigen Absage und der Ansage, dass wir versuchen, einen weiteren Termin zu stemmen und ihnen dann bescheid zu geben
weitere Veranstaltungen?[Bearbeiten]
- Chatten
- Sicher im Internet
- Verschlüsselung - wie funktioniert das überhaupt?
Linksammlung[Bearbeiten]
- Vorbild CCC HH: https://cryptoparty-hamburg.de/
- https://raumzeitlabor.de/blog/encrypt-everything/
- http://chaos-siegen.de/veranstaltungen/cryptoparty/
- http://chaosdorf.de/2013/07/crypto-party-3-encrypt-all-the-data/
von ccc[Bearbeiten]
Template für einen Einladungsflyer
Um die Organisation der Parties zu erleichtern, hier im Folgenden ein Template für einen Einladungsflyer. Dies ist zur Zeit noch "work in progress" und insbesondere der letzte Absatz "5. Was die Geheimdienste trotzdem können" muss ausgearbeitet werden.
Jede Email, die Sie verschicken, ist wie eine Postkarte. Jeder kann sie lesen. Möchten Sie auch „zugeklebte Briefe“ versenden können, dann müssen Sie verschlüsseln. Nur so schützen Sie Ihre private und/oder geschäftliche Korrespondenz vor den neugierigen Blicken Dritter.
Und wie geht das?
Wir zeigen es Ihnen auf unseren Kryptoparties. Dort können Sie lernen, wie Sie Ihre Korrespondenz verschlüsseln.
Die nächste Party findet am $Wochentag, den $Datum um $Uhrzeit statt, in $Ort.
Die Teilnahme ist kostenlos. Die Veranstaltung wird von Mitgliedern und FreundenInnen des CCC durchgeführt. Die Party wird finanziell unterstützt von der Wau Holland Stiftung (wauland.de). Sie können sich an den Kosten mit einer Spende (für die Raummiete) beteiligen. Bitte bringen Sie Ihren Laptop (und einen USB-Stick?) mit.
Was Sie auf unseren Parties lernen können:
1. Emailverschlüsseln mit GnuPG
Mit Hilfe dieser Technik lernen Sie, Ihre Emails so zu verschlüsseln, dass nur der Empfänger sie lesen kann.
2. Anonymes Surfen mit TOR
Mit der heutigen Überwachungstechnik ist es ein Leichtes, ihre Aktivitäten im Netz zu registrieren. Wenn Sie lieber unbeobachtet bleiben möchten, können Sie sich des TOR-Netzwerkes bedienen. Wie das geht? Auch das lernen Sie auf unserer Party.
3. Chatten mit Jabber und OTR
Sie möchten mit Ihren FreundInnen chatten und möchten nicht, dass die halbe Welt mitlesen kann? Dafür gibt es Jabber mit OTR. Wenn Sie diese Software verwenden, dann kann keiner unbemerkt teilnehmen und Ihre private Kommunikation bleibt das, was sie sein soll: nämlich privat.
4. Internettelefonie mit Mumble
Sie skypen? Wie schön! Da können Leute mithören, an die Sie gar nicht gedacht haben. Wenn Sie aber über das Internet weiterhin telefonieren möchten, ohne dass Ihre Gespräche mitgeschnitten werden können, dann brauchen Sie Mumble, eine Software, die Ihnen vertrauliches Telefonieren wieder ermöglicht.
Jedes der genannten Softwareprogramme ist im Netz frei zugänglich und für jeden kostenlos verfügbar. Wie Sie diese Programme auf Ihrem Laptop installieren und für sich verwenden können, zeigen wir Ihnen auf unseren Kryptoparties.
Die Entwickler solcher Programme müssen selbstverständlich auch leben. Sie werden unterstützt von Stiftungen wie der Wau Holland Stiftung.
Wenn Sie glauben, dass Sie nun vor den Geheimndiensten sicher sind, dann irren Sie sich.
5. Was die Geheimdienste trotzdem können:
Verschlüsselung schützt nicht die sogenannten Metadaten, also bei einer Email zum Beispiel Uhrzeit, Absender, Empfänger und Betreff-Zeile. Diese Daten werden nach wie vor von den Geheimdiensten gesammelt und verraten bereits sehr viel über den vermutlichen Inahlt und Zweck einer Email.
Zertifikatbasierte Verschlüsselungssysteme basieren auf der Idee eine vertrauenswürdige dritte Partei zu haben, die die Identität einer Person oder Institution überprüft und so garantiert, dass nur der gewünschte Empfänger in der Lage ist eine Nachricht zu entschlüsseln. Leider sind diese Zertifizierungsstellen wieder wenige zentrale Stellen, die von Geheimdiensten angezapft werden können und mit deren Hilfe auf einen Schlag die gesamte Kommunikation aller Kunden eines Zertifizierungsdienstleisters entschlüsselt werden kann.
Vorschlag von Wau-Holland-Stiftung / Twiddlebit[Bearbeiten]
1. Emailverschlüsseln mit GnuPG. Mit Hilfe dieser Technik lernen Sie, Ihre Emails so zu verschlüsseln, dass nur der Empfänger sie lesen kann. 2. Anonymes Surfen mit TOR. Mit der heutigen Überwachungstechnik ist es ein Leichtes, ihre Aktivitäten im Netz zu registrieren. Wenn Sie lieber unbeobachtet bleiben möchten, können Sie sich des TOR-Netzwerkes bedienen. Wie das geht? Auch das lernen Sie auf unserer Party. 3. Chatten mit Jabber und OTR. Sie möchten mit Ihren FreundInnen chatten und möchten nicht, dass die halbe Welt mitlesen kann? Dafür gibt es Jabber mit OTR. Wenn Sie diese Software verwenden, dann kann keiner unbemerkt teilnehmen und Ihre private Kommunikation bleibt das, was sie sein soll: nämlich privat. 4. Internettelefonie mit Mumble Sie skypen? Wie schön! Da können Leute mithören, an die Sie gar nicht gedacht haben. Wenn Sie aber über das Internet weiterhin telefonieren möchten, ohne dass Ihre Gespräche mitgeschnitten werden können, dann brauchen Sie Mumble, eine Software, die Ihnen vertrauliches Telefonieren wieder ermöglicht.
Eigener Plan zu den Inhalten[Bearbeiten]
- Allgemeines
- Wem vertraue ich? (closed versus open source, Google, ISP, ...)
- Computersicherheit, Trojaner, Key-Logger, ...
- Rubber-hose cryptanalysis (XKCD-Comic zeigen)
- Perfekte Sicherheit gibt es nicht.
- Crypto-Basics
- Verschlüsseln, Signieren, Authentifizieren, Integrität bewahren
- Keine mathematischen Details, nur die "Black-Box-Schnittstelle" erklären
- Symmetrische Verfahren (ein Schlüssel, der geheim bleiben muss; typischerweise sehr effizient alles)
- Asymmetrische Verfahren (zwei Schlüssel: ein geheimer, privater und ein öffentlicher. Mit öffentlichen Schlüsseln werden Nachrichten verschlüsselt und Signaturen überprüft, mit privaten Schlüsseln werden Nachrichten entschlüsselt und Signaturen erzeugt. Typischerweise relativ rechenaufwändig)
- Darüber habe ich einen alten Vortrag von http://www.ich-hab-doch-nichts-zu-verbergen.de/2008/index.php?seite=2 in der Tasche
- In der Praxis eingesetzte Verfahren mischen oft verschiedene Ansätze für verschiedene Anforderungen
- Umgang mit Schlüsselmaterial
- Programmempfehlungen
- Surfen: Firefox, HTTPS Everywhere, Ghostery, Skriptblocker, Certificate Pinning
- Email: Thunderbird, GnuPG, EnigMail, K9 Mail, Android Privacy Guard
- S/MIME. Ist das irgendwie geächtet oder sowas? Damit lässt sich Verschlüsselung wirklich einfach nutzen. Ich könnte den Leuten zeigen, wie sie Zertifikate bekommen, CACert und StartSSL, und wie man das in Windows/Apple Mail/Linux Thunderbird einbaut und verwendet. kjo
- Chat: Open Source XMPP-Clients mit OTR-Unterstützung (Pidgin, Xabber)
- Was es noch so alles gibt und man sich mal angucken könnte
- Umstieg auf FOSS-Betriebssysteme
- TOR
- VPN
- TrueCrypt / LUKS
- EncFS / ecryptfs
- Threema? (Ist das empfehlenswert? closed-source, kostenpflichtig und nur für Smartphones)
Veranstaltungsort[Bearbeiten]
Vorschläge?
- Bei uns, d.h. an einem Dienstagabend unten bei der SHK
- Vorteil: Interessierte können den Space kennenlernen.
- Nachteil: Je nach Andrang könnte auch der Raum der SHK zu klein sein.
- Mehr Teilnehmer als in den SHK Raum passen will man sowieso nicht haben. Mit Hands-On wird schon schon genug Chaos kjo
- Bei Arbeit und Leben?
- afaik größer als der Raum bei der SHK
- In angemietetem Raum
- z.B. in schickem Hotel oder woran könnte man da denken?
Finanzierung[Bearbeiten]
Für Bewerbung und ggf. Raummiete kann Wau-Holland-Stiftung in Anspruch genommen werden. Dort gibt es einen Beschluss, dass Cryptopartys finanziell gefördert werden, wenn sie 1. frei (für lau) zugänglich sind und 2. freie Software featuren.
Planungserwägungen[Bearbeiten]
- Ich könnte mir vorstellen, dass das Interesse groß ist. Evtl. empfiehlt sich eine Anmeldeliste, um die Teilnehmerzahl in der Planung besser berücksichtigen zu können.