[CryptoParty-FL] Kommentare zum Pad

Malte malte at wk3.org
Fr Nov 4 05:04:21 UTC 2016


Hi,

ich bin eine der Personen, die in Berlin CryptoParties veranstalten.
Alex hatte mir den Link zu eurem Pad geschickt, und ich hab mir mal die
Zeit (und Frechheit) genommen, das zu kommentieren <-:

(Bzw. ich hab gerade noch das Einführungsveranstaltungs-Pad gefunden.
Mir ist nicht ganz klar, wofür das eine Einführungsveranstaltung sein
soll, aber der Vollständigkeit zuliebe kommentier ich das weiter unten
auch noch (-:)


Liebe Grüße,

Malte


https://pad.riseup.net/p/cryptoparty-fl
> ======================
> Crypto Party Flensburg
> ======================
> 
> Kontakt: cryptoparty at lists.nordlab-ev.de
> 
> 
> Mögliche Zielgruppe: (damit wir alle vom selben Reden)
> 	* Personen, die von IT/Datenschutz keinen Plan haben

Das war schonmal schlimmer formuliert, aber ich möchte trotzdem die
Gelegenheit nutzen, darauf hinzuweisen, dass CryptoParties sich wirklich
an _alle_ Menschen richten. Am meisten muss man dabei diejenigen
ermutigen, die sich nicht adäquat fühlen: die, die extreme
Berührungsängste mit Technik haben, aber auch die, die schon Plan haben,
aber denken, dass sie noch nicht _genug_ wissen.

Nur, wenn man das im Vorraus gut kommuniziert, und diese (und alle
anderen) Personen auf der Party selber gut einbindet, erziehlt man den
Effekt, dass die Veranstaltung quasi von alleine läuft, und mit ein
bisschen langfristiger Geduld auch über Monate und Jahre selbstständig
trägt.

> 	* advanced: Sowas könnte man ja später ggf. bei in den Räumen machen, mit key signing und sowas

Was mit Unerschrockenen auch gut machen kann: Neue Technologien/Software ausprobieren. Z.B. Ricochet, pond (wobei es der Software ja gerade an einer maintainenden Person fehlt), PEP, Secure Scuttlebutt, Tails, Subgraph, Qubes, etc.pp.


> Mögliche Locations:
> 	* Hochschule Flensburg Wen fragen? Jörg Kranz? Der macht wohl die IT in der Hochschule und ich kenne jemanden, der ihn kennt ;) Das regel ich dann, wenns soweit ist :) Dann gibts schon nen Kontakt, klasse :) Die Hochschule hat uns einen Raum im Versatel Gebäude angeboten. Das finde ich mal ziemlich hammer!
> 	* Offener Kanal Flensburg via nordlab e. V.
> 	* Chaostreff Flensburg
> 	* SBV Stadtteiltreff Nord (ca. 10...14 Personen, Getränke gegen Spende, Küche vorhanden) - ich frage den Raum mal an finde ich auch ganz nett. Man könnte ja abwechselnde locations nehmen
> 	* Technologiezentrum Flensburg (das BarCamp/CampMontag Flensburg ist dort relativ erfolgreich, vielleicht würden wir dort auch unterkommen)

Es ist immer gut, wenn die Location gemütlich ist, wenn man Tee machen kann, und – Krönung – wenn es was zu essen gibt.


> Mögliche Themen (Details siehe unten "Inhalt"):
> 	* Browser/-Fingerprint
jap!
> 	* Instant Messenger (Problematik "Gated Community")
jap!! Die Problematik zu erläutern sollte aber nicht mit „Jabber mit OTR!“ beantwortet werden, sondern mit „Lasst uns mal mit Signal anfangen, weil das können auch eure FreundInnen schnell benutzen, und wenn ihr dann noch ein bisschen Geduld habt, können wir uns Jabber, Conversations und OMEMO anschauen.“
> 	* PGP/GPG, Smartcard
Hier kann ich nur empfehlen, die Erwartungen der TeilnehmerInnen gut zu setzen. Ich sag immer „Cool, dass ihr eure eMails verschlüsseln wollt. Nur damit ihr bescheid wisst: PGP wurde in den 90ern entwickelt, und bedient sich auch heute immer noch ein bisschen so, d.h. man muss relativ viel von hand machen, aber wenn man es einmal eingerichtet hat, geht es recht einfach.“
> 	* Festplattenverschlüsselung (Hard- vs. Software-based, Cold boot attack u.ä.) (vor allem interessant für die Lehramtler??)
Lehramtler, weil? Was ist hardware-based?

Ich erklär immer: Wenn möglich nativ (d.h. FileVault unter MacOS, LUKS/encryptfs unter Linux), und wenn OS-übergreifend VeraCrypt.

> 	* allg. Internet Grundlagen
das passiert eigentlich automatisch und implizit bei den anderen Themen
> 	* Kryptografie Grundlagen
das passiert eigentlich automatisch und implizit bei den anderen Themen
> 	* Eine Frage des Vertrauens (Chain of Trust, Datenintegrität, Threat Model!)
yeah!
> 	* Passwort Management/Konzepte (z.B. diceware)
jap!
> 	* Plattformrelevante Privatsphäretools (Unix/Win/iOS/Android, etc.?)
?
> 	* VPN
Hat nen sehr eingeschränkten Nutzen, und man braucht sehr viel Wissen, um die VPN-Nutzung zu threatmodeln, deswegen meiner Meinung nach eher kein gutes Thema für eine CryptoParty.

Dafür:
  * Tor Browser

>   * Datenschutzoptionen bei Windows 10 (von Sempervideo gut erklärt)

Ja!!! (Die Menschen da abholen, wo sie sind.)

> Termine
> =======
> 
> Wann soll die CryptoParty stattfinden?
> Sollen gleich mehrere (regelmäßige) Termine festgelegt werden? Oder (erstmal) nur eine Test-Veranstaltung, um weiteren Bedarf zu klären?
> 	* Infoveranstaltung ggf. mit Vorführungen
> 	* Mitmachveranstaltungen, Encrypt/Decrypt, digitale Schnitzeljagd bis zum Folgetermin etc...
> 	* z.B. Vierteljährige Signierpartys, ein großes Event im Jahr? (Abhängig von Resonanz und Teilnehmerzahl)
> 	* Im Normalfall Abends am Wochenende. In Berlin war Einladung immer für 20h und es ging teilweise bis 1h morgens.

Regelmäßigkeit hilft auf jeden Fall enorm dabei, da ein Ding draus zu machen.
Muss man dann aber auch die Kapazitäten für haben.


> Organistation
> =============
> 
> Wollen wir eine simple Webseite mit grundlegenden Informationen? Ich würde dafür die offiziellen Kanäle benutzen und ggf. auf eurer Seite weiterverlinken https://www.cryptoparty.in/organize/howto
> Wollen wir auf einer Webseite Teilnehmer registrieren lassen, damit Getränke & Snacks in adequater Menge vorgehalten werden können? Idee ist gut, da so gut geplant werden kann und ggf. auch die Location anhand dieser  Information gewählt werden kann. Anmeldung ähnlich Camp-Montag bietet gute Balance aus Anonymität und Verbindlichkeit. einerseits gut, anderseits sind die Nordlichter immer etwas quägelnd, wenn sie sich terminlich binden müssen. Man kann ja sagen "(anonyme) Anmeldung erwünscht"
> Wer hat Interesse einen Vortrag bzw. Workshop o.ä. vorzubereiten und zu halten?
> 
> Technik
> -------
> 
> 	* Beamer falls es @fh passiert, da kriegen wir bestimmt was
Hab ich seit Ewigkeiten nicht mehr benutzt.

> 	* ggf. Adapter und Kabel für Beamer (Thunderbolt, Display Port, HDMI, VGA, DVI)
[-:

> 	* Internetzugang vor Ort! (LAN, WLAN) falls im SBV Bereitstellung über Lambda1-by-Gyrdon oder Gateway möglich
Jap!

Und:

  * Strom (Eine Steckerleiste pro Tisch o.ä.)

> 	* Webseite (wir sollten cryptoparty.in nutzen) cryptoparty.in/flensburg ftw s.o. thumbs up! Update: https://www.cryptoparty.in/flensburg
> 	* Lokaler Mirror mit diverser signierter Software für verschiedene Betriebssysteme (Tor, Enigmail, VeraCrypt) ja wäre schön, wenn wir sowas immer "dabei" hätten. FTP?
Sowas wäre cool. Vor allem, wenn es da so ein Mirror-Skript gäbe, von dem dann auch andere Gebrauch machen könnten (-:


> Ankündigungen
> -------------
> 
> Wir brauchen einen kurzen Text, der Crypto Parties erklärt und Termin, Veranstaltungsort und Kontakt (ggf. Anmeldung) beschreibt. Gerne auch als Flyer!
> 
> Text der Hamburger CryptoParty (Quelle: https://github.com/cryptoparty/flyers/blob/master/CryptoParty-Hamburg/hamburg_A3_2015_de.pdf):
> 	Wer?
> 	CryptoParties sind offen für alle, kostenlos und machen Spaß. Jeder kann es lernen, du brauchst nur einen eigenen Laptop, Tablet oder Smartphone. Komm vorbei!
> 	
> 	Was?
> 	CryptoParty ist eine dezentrale, globale Initiative mit dem Ziel allen Menschen den Zugang zu Datenverschlüsselung und den dahinterliegenden Konzepten zu ermöglichen.
> 	
> 	Warum?
> 	Auf CryptoParties lernst du wie du E-Mail, Chat und Dateien verschlüsselst, wie man anonym bleibt und es anderen beibringt. Jeder hat das Recht auf Privatspähre.

Textentwurf der berliner CryptoParty:

>>> Warum CryptoParty?
>>> 
>>> Privatsphäre ist der Raum, in dem Ideen entstehen, und in den man sich zurückziehen kann, wann immer man möchte. Dieser Raum ist nicht nur physisch, sondern auch digital. Weder Regierungen noch Konzerne möchten dies respektieren. Deswegen nehmen wir das selbst in die Hand.
>>> 
>>> alternativ:
>>> 
>>> Regierungen und Konzerne sammeln unserer Daten wo sie nur können, ob wir wollen oder nicht.
>>> Du willst dich schützen aber weißt nicht wie? 
>>> Besuche eine CryptoParty!
>>> 
>>> 
>>> Was ist eine CryptoParty?
>>> 
>>> CryptoParty ist eine weltweite, dezentrale Bewegung mit dem Ziel, allen Menschen das Wissen und die Fähigkeiten zu vermitteln, sich im digitalen Raum zu schützen. Dazu gehört die Verschlüsselung der Kommunikation, das Verhindern von Tracking, aber generelle Vorgehensweisen beim Umgang mit Computern und Smartphones.
>>> 
>>> CryptoParties sind offen für alle, insbesondere für Menschen ohne Vorwissen und/oder die sich bislang noch nicht getraut haben, kostenlos, und sollen in erster Linie Spaß machen!
>>> Bring dein Laptop oder Smartphone mit wenn du die Programme und Apps gleich ausprobieren möchtest.
>>> 
>>> Termine und Infos:
>>> Web: https://cryptoparty.in/berlin
>>> Twitter: https://twitter.com/cryptopartybln
>>> GnuSocial: https://quitter.se/cryptopartybln
>>> Diaspora: https://pod.disroot.org/u/cryptopartybln


> Der Text bzw. Verlinkung dahin soll auf folgenden Kanälen veröffentlicht werden: 
> 	* Twitter
> 	* Facebook
> 	* Instant Messenger
> 	* nordlab Mailingliste

Verschiedene Diaspora-Server haben Gateways zu Twitter und Facebook (z.B. sechat.org, siehe auch https://podupti.me)


> Helfer, Vortragende und Organisatoren
> -------------------------------------
> 
> 	* Martin (Betreiber der Mailingliste cryptoparty at lists.nordlab-ev.de) - Könnte was zu Browser (deren Grundlagen HTML, HTTP/HTTPS, TCP/IP) und Diffie-Hellman sowie Hashalgorithmen erzählen. Wenn es genug Anklang gibt, würde ich ggf. auch einen Workshop für Selbstbau-U2F-USB-Tokens anbieten.
HTML, weiß nicht. JavaScript ist im Hinblick auf Überwachung glaube ich das spannendere Thema.

> 	* Sara (ich würde mich eher im Hintergrund halten und nur kleine Sachen übernehmen, aufgrund von Zeitknappheit)
> 	* Gyrdon (Interessiert und bei passendem Termin aktiv dabei)
> 	* Alex (ich würde an den Terminen selbst teilnehmen)
> 	* Malte (mit Telepräsenz-Roboter)
( Für den WebRTC-Tisch? (-; )
> 	* bigfoot (wenn ich zur veranstaltung in FL bin)
>   * Tobi (ich würde mich auch gerne einbringen, wenns zeitlich passt auch an Terminen teilnehmen)


> Getränke und Snacks
> -------------------
> 
> Wie viel brauchen wir? Ist ggf. eine Voranmeldung z.B. via Webseite oder E-Mail wünschenswert? Ja, da Verpflegungsmenge stark von der Teilnehmeranzahl abhängt. Falls es eine "Infoveranstaltung" geben sollte, sieht man da die Resonanz und kann entsprechend besser planen 

Wenn's nicht-verderbliche Lebensmittel sind, könnte man ja auch für zwei CryptoParties einkaufen, dann hat man auch diesen ganzen Voranmeldungskrempel nicht.


> Inhalt
> ======
> 
> Grundlagen
> ----------
> 
> Internet
> ~~~~~~~~
> 
> TCP/IP
Bitte nur implizit.
> DNS
Wenn's reinpasst.
> Historische Einordnung (Hinweis auf Notwendigkeit sicherheitsorientierter RFCs, z.B. DNSSEC, DANE, Certificate Transparency)
Ne. Ne. Bitte.


> World Wide Web
> ~~~~~~~~~~~~~~
> 
> HTTP(S)
> HTML
HTML, weil?
> Browser
> 
> Kryptografie
> ~~~~~~~~~~~~
> 
> Konzepte: [finde ich ehrlich gesagt 2much. Unsere Studenten haben ja schon Probleme mit den Themen]
> 	* symmetrische Verschlüsselung
vielleicht implizit, um ins Thema asymmetrische Verschlüsselung einzuleiten
> 	* asymmetrische Verschlüsselung (a.k.a. Public Key Kryptografie)
wenn's geht immer im Kontext (eMail-Verschlüsselung, Instant-Messenger, Tor, etc.)
> 		* hybride Verschlüsselung
kann, muss aber in der Regel nicht
> 	* Diffie-Hellman-Schlüsselaustausch  (da wäre vielleicht das Video ganz interessant: https://www.youtube.com/watch?v=3QnD2c4Xovk)
hab ich noch nie erklären müssen. (und videos kann man sich auch gut
zuhause anschauen, oder?)
> 	* Hash-Algorithmus (CRC, MD5, SHA, bcrypt)
auch eher als Nebensatz bei der Erklärung eines anderen Themas.

> Browser
> -------
> 
> - HTTP vs. HTTPS (grobe Funktionsweise, PFS, HTTPS Everywhere)
> - Plugins (Flash, Silverlight, Adobe Reader, MS Office, ...)
unter dem Thema Plugins verstehe ich in der Regel: uBlock Origin, Disconnect.me, Privacy Badger, und NoScript.
Zu Flash sage ich in der Regel nur, dass es in die Tonne gehört.

> - Privater Modus
> - Do Not Track Einstellung
> - Browser Fingerprinting
> - Diverse "unsichere" APIs (WebRTC, Battery, usw.)
wobei WebRTC halt auch sehr geil ist.
> - GeoIP
> - Tor (auch Beispiel für Browser Hardening)
> 
> Instant Messenger
> ----------------
> 
> - Signal
> - WhatsApp
> - Threema
kann man drauf eingehen, wenn es Leute gibt, die es verwenden
> - Telegram
kann man drauf eingehen, wenn es Leute gibt, die es verwenden
> - XMPP + OTR/OpenPGP/OMEMO (z.B. via Conversations, yaxim, ... you name it ...)
> 
> PGP
> ---
> 
> PGP = Pretty Good Privacy, Hilfe bei Einrichtung unter Emailclients
> GPG = GNU Privacy Guard (OpenPGP Implementierung)
> 
> PGP Schlüssel verfizieren & signieren:
> 	* Schlüssel vor Ort den Kontakt verifizieren, indem man den digitalen Fingerabdruck (Fingerprint) abgleicht und ggf. signieren davor sollten erstmal vorab die Grundlagen da sein

PGP einrichten und verschlüsselte eMails verschicken: 1. CryptoParty (der Person, die das lernt)
PGP-Schlüssel signieren und all diese Dinge: 2. CryptoParty (der Person, die das lernt), wenn die Person nicht _super_ motiviert ist.
> 
> "Web of Trust". Gefahren bzgl Keyserver-Infrakstruktur vermitteln!
> Welche Anforderungen kann mein Schlüssel erfüllen? (Erzeugende Umgebung, Einsatzzweck, Smartcard ...)
yeah!

> Andere Themen
> -------------
> 
> 	* Open Source Software/Hardware
> 	* Tails (Bootable Live OS)
> 	* Libre Software
> 	* OTR (z.B. via XMPP oder IRC), Axolotl/OMEMO
> 	* U2F (Unified Two-Factor Authentication)
> 
> 
> U2F Zero Das würde ich erstmal in die Zukunft schieben. Da brauchen die Leute erstmal bisschen mehr Plan.
> ========
> 
> Wir könnten Open Source USB Zwei-Faktor-Authentifizierungstokens als Bastel-Workshop anbieten.
> 
> Freie Übersetzung von der Webseite (https://u2fzero.com/):
>     Das U2F Zero ist ein USB-Token, der mit jedem Dienst funktioniert, der Unterstützung für U2F bietet. Er fungiert als Zwei-Faktor-Authentifizierung oder manchmal auch als Passwortersatz. Keine Treiber benötigt. Einfach nur einstecken und Knopf drücken.
> 
> Laut dem U2F Zero Wiki kostet die Herstellung etwa $5 ($1-3 für das PCB und der Rest für die 8 Bauteile).
> 
> Für 30 Boards (ist das realistisch?) hätten wir mindestens folgende Kosten:
> 	* PCBs von hier http://dirtypcbs.com/view.php?share=23162&accesskey= in 2mm Dicke würden $48 kosten
> 	* die benötigten Bauteile bei https://www.digikey.com würden samt einem Programmer ca. $125 kosten
> Das würde dann bei aktuellem Wechselkurs ca. 5,20€ pro USB-Token machen.
> 
> Wir bräuchten allerdings mindenstes einen Programmer. Hat jmd. sowas?

Für SPI kann man auch nen Raspberry Pi benutzen. (Falls diese Information hilft...)


> P.S.:
> -----
> Coole Sache dieses Riseup.net PAD!




https://pad.riseup.net/p/cryptoparty-fl-intro
> ================================================
> CryptoParty Flensburg - Einführungsveranstaltung
> ================================================
> 
> Internet
> ========
> 
> 	* Vorgeschichte DARPA-Net (Sicherheit damals noch kein Thema usw.)
oder auch nicht.
> 	* TCP/IP vs. IPSec
und was mach ich mit dem Wissen dann?
> 	* DNS vs. DNSSec --> DNS Manipulation
und was mach ich mit dem Wissen dann?
> 	* Traceroute/Ping (ICMP)
> 	* Veranschaulichung von Netzwerk via Graphen
> 	* Kabelnetzwerk
???

> Datenträgerverschlüsselung
> ==========================
> 
> 	* H/W vs. S/W Verschlüsselung
???
> 	* VeraCrypt als Beispiel
> 	* Cold Boot Attacke auf laufenden Rechner, um Key aus RAM zu extrahieren
als Demo? Ja gerne!
> 	* Löschen --> Wiederherstellen
> 
> E-Mail
> ======
> 
> - grobe Erklörung von Header (Metadaten!) und Body (Nachricht/Anhänge)
das kommt immer ganz gut, insbesondere bei den Providern die den
Hostnamen der Absenderin nicht rausschneiden (d.h. z.B. „Toni's
MacBook“)
> - Absender mit Script faken
oder auch einfach mit Thunderbird, weil, es ist jetzt nicht
Rocket-Science, oder?
> - Gleiche Attacke mit GPG signierter Mail --> mit Signatur nicht möglich
https://xkcd.com/1181/

> Alle einzelnen Vorträge laufen auf das Thema "Vertrauen" raus -> Wem vertraut man? Wie lässt sich die Gegenstelle verifizieren/die Verbindung absichern?
Ja!


Mehr Informationen über die Mailingliste cryptoparty