Cryptoparty

Aus Wiki CCC Göttingen
Version vom 12. August 2013, 20:23 Uhr von SebastianG (Diskussion | Beiträge) (Eigener Plan zu den Inhalten)

Wechseln zu: Navigation, Suche

Zu dieser Seite

Im Moment dient diese Seite noch als Planungs-Seite, sobald aber das Konzept steht, soll sie in eine Info-Seite zur konkret realisierten Veranstaltung ausgebaut/umgebaut sein.

Cryptoparty: Wollen wir das?

tl;dr: Ja. Sonst macht es jemand anderes (und das ggf. schlechter!). Außerdem können Sicherheitsbedenken auch bei so einer Veranstaltung kommuniziert werden. Cryptopartys können auch dafür benutzt werden, kritisches, reflektiertes Denken zu schulen.

Trotzdem dürfen hier gerne noch Pro/Contra-Punkte gesammelt werden:

Pro

  • Wir haben Ahnung davon und wir können davon abgeben.
  • Positive Außenwirkung für uns / den CCC
  • Mehr Verschlüsselung in der Welt

Contra

  • Crypto machen ist gar nicht so schwer. Crypto gefährlich falsch machen ist sogar noch einfacher.
  • Falsches Sicherheitsgefühl


Content

Linksammlung

von ccc

Template für einen Einladungsflyer

Um die Organisation der Parties zu erleichtern, hier im Folgenden ein Template für einen Einladungsflyer. Dies ist zur Zeit noch "work in progress" und insbesondere der letzte Absatz "5. Was die Geheimdienste trotzdem können" muss ausgearbeitet werden.

Jede Email, die Sie verschicken, ist wie eine Postkarte. Jeder kann sie lesen. Möchten Sie auch „zugeklebte Briefe“ versenden können, dann müssen Sie verschlüsseln. Nur so schützen Sie Ihre private und/oder geschäftliche Korrespondenz vor den neugierigen Blicken Dritter.

Und wie geht das?

Wir zeigen es Ihnen auf unseren Kryptoparties. Dort können Sie lernen, wie Sie Ihre Korrespondenz verschlüsseln.

Die nächste Party findet am $Wochentag, den $Datum um $Uhrzeit statt, in $Ort.

Die Teilnahme ist kostenlos. Die Veranstaltung wird von Mitgliedern und FreundenInnen des CCC durchgeführt. Die Party wird finanziell unterstützt von der Wau Holland Stiftung (wauland.de). Sie können sich an den Kosten mit einer Spende (für die Raummiete) beteiligen. Bitte bringen Sie Ihren Laptop (und einen USB-Stick?) mit.

Was Sie auf unseren Parties lernen können:

1. Emailverschlüsseln mit GnuPG

Mit Hilfe dieser Technik lernen Sie, Ihre Emails so zu verschlüsseln, dass nur der Empfänger sie lesen kann.

2. Anonymes Surfen mit TOR

Mit der heutigen Überwachungstechnik ist es ein Leichtes, ihre Aktivitäten im Netz zu registrieren. Wenn Sie lieber unbeobachtet bleiben möchten, können Sie sich des TOR-Netzwerkes bedienen. Wie das geht? Auch das lernen Sie auf unserer Party.

3. Chatten mit Jabber und OTR

Sie möchten mit Ihren FreundInnen chatten und möchten nicht, dass die halbe Welt mitlesen kann? Dafür gibt es Jabber mit OTR. Wenn Sie diese Software verwenden, dann kann keiner unbemerkt teilnehmen und Ihre private Kommunikation bleibt das, was sie sein soll: nämlich privat.

4. Internettelefonie mit Mumble

Sie skypen? Wie schön! Da können Leute mithören, an die Sie gar nicht gedacht haben. Wenn Sie aber über das Internet weiterhin telefonieren möchten, ohne dass Ihre Gespräche mitgeschnitten werden können, dann brauchen Sie Mumble, eine Software, die Ihnen vertrauliches Telefonieren wieder ermöglicht.

Jedes der genannten Softwareprogramme ist im Netz frei zugänglich und für jeden kostenlos verfügbar. Wie Sie diese Programme auf Ihrem Laptop installieren und für sich verwenden können, zeigen wir Ihnen auf unseren Kryptoparties.

Die Entwickler solcher Programme müssen selbstverständlich auch leben. Sie werden unterstützt von Stiftungen wie der Wau Holland Stiftung.

Wenn Sie glauben, dass Sie nun vor den Geheimndiensten sicher sind, dann irren Sie sich.

5. Was die Geheimdienste trotzdem können:

Verschlüsselung schützt nicht die sogenannten Metadaten, also bei einer Email zum Beispiel Uhrzeit, Absender, Empfänger und Betreff-Zeile. Diese Daten werden nach wie vor von den Geheimdiensten gesammelt und verraten bereits sehr viel über den vermutlichen Inahlt und Zweck einer Email.

Zertifikatbasierte Verschlüsselungssysteme basieren auf der Idee eine vertrauenswürdige dritte Partei zu haben, die die Identität einer Person oder Institution überprüft und so garantiert, dass nur der gewünschte Empfänger in der Lage ist eine Nachricht zu entschlüsseln. Leider sind diese Zertifizierungsstellen wieder wenige zentrale Stellen, die von Geheimdiensten angezapft werden können und mit deren Hilfe auf einen Schlag die gesamte Kommunikation aller Kunden eines Zertifizierungsdienstleisters entschlüsselt werden kann.

Vorschlag von Wau-Holland-Stiftung / Twiddlebit

1. Emailverschlüsseln mit GnuPG.
Mit Hilfe dieser Technik lernen Sie, Ihre Emails so zu verschlüsseln, dass nur der Empfänger sie lesen kann.
2. Anonymes Surfen mit TOR.
Mit der heutigen Überwachungstechnik ist es ein Leichtes, ihre Aktivitäten im Netz zu registrieren. Wenn Sie lieber unbeobachtet bleiben möchten, können Sie sich des TOR-Netzwerkes bedienen. Wie das geht? Auch das lernen Sie auf unserer Party.
3. Chatten mit Jabber und OTR.
Sie möchten mit Ihren FreundInnen chatten und möchten nicht, dass die halbe Welt mitlesen kann? Dafür gibt es Jabber mit OTR. Wenn Sie diese Software verwenden, dann kann keiner unbemerkt teilnehmen und Ihre private Kommunikation bleibt das, was sie sein soll: nämlich privat.
4. Internettelefonie mit Mumble
Sie skypen? Wie schön! Da können Leute mithören, an die Sie gar nicht gedacht haben. Wenn Sie aber über das Internet weiterhin telefonieren möchten, ohne dass Ihre Gespräche mitgeschnitten werden können, dann brauchen Sie Mumble, eine Software, die Ihnen vertrauliches Telefonieren wieder ermöglicht.

Eigener Plan zu den Inhalten

  • Allgemeines
    • Wem vertraue ich? (closed versus open source, Google, ISP, ...)
    • Computersicherheit, Trojaner, Key-Logger, ...
    • Rubber-hose cryptanalysis (XKCD-Comic zeigen)
    • Perfekte Sicherheit gibt es nicht.
  • Crypto-Basics
    • Verschlüsseln, Signieren, Authentifizieren, Integrität bewahren
    • Keine mathematischen Details, nur die "Black-Box-Schnittstelle" erklären
    • Symmetrische Verfahren (ein Schlüssel, der geheim bleiben muss, typischerweise sehr effizient alles)
    • Asymmetrische Verfahren (zwei Schlüssel, ein geheimer, privater und ein öffentlichen, mit öffentlichen Schlüsseln werden Nachrichten verschlüsselt und Signaturen überprüft, mit privaten Schlüsseln werden Nachrichten entschlüsseld und Signaturen erzeugt. typischerweise relativ rechenaufwändig)
  • Programmempfehlungen
    • Surfen: Firefox, HTTPS Everywhere, Ghostery, Certificate Pinning
    • Email: Thunderbird, GnuPG, EnigMail, K9 Mail, Android Privacy Guard
    • Chat: Open Source XMPP-Clients mit OTR-Unterstützung (Pidgin, Xabber)
  • Was es noch so alles gibt und sich mal angucken könnte
    • TOR
    • VPN
    • TrueCrypt
    • Threema (Ist das empfehlenswert? closed-source, kostenpflichtig und nur für Smartphones)

Veranstaltungsort

Vorschläge?

  • Bei uns, d.h. an einem Dienstagabend unten bei der SHK
    • Vorteil: Interessierte können den Space kennenlernen.
    • Nachteil: Je nach Andrang könnte auch der Raum der SHK zu klein sein.
  • Bei Arbeit und Leben?
    • afaik größer als der Raum bei der SHK
  • In angemietetem Raum
    • z.B. in schickem Hotel oder woran könnte man da denken?

Finanzierung

Für Bewerbung und ggf. Raummiete kann Wau-Holland-Stiftung in Anspruch genommen werden. Dort gibt es einen Beschluss, dass Cryptopartys finanziell gefördert werden, wenn sie 1. frei (für lau) zugänglich sind und 2. freie Software featuren.

Planungserwägungen

  • Ich könnte mir vorstellen, dass das Interesse groß ist. Evtl. empfiehlt sich eine Anmeldeliste, um die Teilnehmerzahl in der Planung besser berücksichtigen zu können.