[CryptoParty-FL] Re: Kommentare zum Pad

Martin Müller mail at mueller-martin.net
Fr Nov 4 13:01:25 UTC 2016


Hi auch!

> Am 04.11.2016 um 06:04 schrieb Malte <malte at wk3.org>:
> 
> Hi,
> 
> ich bin eine der Personen, die in Berlin CryptoParties veranstalten.
> Alex hatte mir den Link zu eurem Pad geschickt, und ich hab mir mal die
> Zeit (und Frechheit) genommen, das zu kommentieren <-:
Willkommen! Und wow danke, dass du dir die Zeit genommen hast das alles zu kommentieren!
Ich hab’ mal zurück kommentiert ;)

Kurz auch was zu mir: Ich bin ursprünglich im Flensburger Hackerspace (nordlab) organisiert.
Bin jetzt aber zwecks Studium in einer anderen Stadt - werde aber vermutlich zu dem Termin (v.a. als Helfer) kommen und bis dahin auch beim Organisieren helfen wo ich kann.
Ich mache das auch weil ich selbst im Hackerspace sehe, dass viele technische Themen nur grob bekannt sind und im Rahmen einer solchen Veranstaltung(sreihe) die Möglichkeit für alle besteht solche Defizite nachzuholen.

> 
> (Bzw. ich hab gerade noch das Einführungsveranstaltungs-Pad gefunden.
> Mir ist nicht ganz klar, wofür das eine Einführungsveranstaltung sein
> soll, aber der Vollständigkeit zuliebe kommentier ich das weiter unten
> auch noch (-:)
Die Idee war, dass man erstmal einige Grundlagen grob anreißt und jeweils gleich ein (vorbereitetes) Beispiel für die Angreifbarkeit vorführt um damit die Motivation für eine nähere Auseinandersetzung zu schaffen.
Die Einführungsveranstaltung sollte auch den groben Rahmen abstecken, um zu sehen wie viele Leute überhaupt kommen, welches Niveau sie erwarten und ob man das wiederholen möchte.


> https://pad.riseup.net/p/cryptoparty-fl
>> ======================
>> Crypto Party Flensburg
>> ======================
>> 
>> Kontakt: cryptoparty at lists.nordlab-ev.de
>> 
>> 
>> Mögliche Zielgruppe: (damit wir alle vom selben Reden)
>> 	* Personen, die von IT/Datenschutz keinen Plan haben
> 
> Das war schonmal schlimmer formuliert, aber ich möchte trotzdem die
> Gelegenheit nutzen, darauf hinzuweisen, dass CryptoParties sich wirklich
> an _alle_ Menschen richten. Am meisten muss man dabei diejenigen
> ermutigen, die sich nicht adäquat fühlen: die, die extreme
> Berührungsängste mit Technik haben, aber auch die, die schon Plan haben,
> aber denken, dass sie noch nicht _genug_ wissen.
Sehe ich genau so.
Ich fürchte wir haben nur (noch) nicht genug Leute, um die verschieden Niveaus gut gleichzeitig zu behandeln, aber da findet sich sicher was.

> 
> Nur, wenn man das im Vorraus gut kommuniziert, und diese (und alle
> anderen) Personen auf der Party selber gut einbindet, erziehlt man den
> Effekt, dass die Veranstaltung quasi von alleine läuft, und mit ein
> bisschen langfristiger Geduld auch über Monate und Jahre selbstständig
> trägt.
Das ist auch ein Punkt, der für eine Einführungsveranstaltung spricht, da kann man das auch nochmal deutlich machen.

> 
>> 	* advanced: Sowas könnte man ja später ggf. bei in den Räumen machen, mit key signing und sowas
> 
> Was mit Unerschrockenen auch gut machen kann: Neue Technologien/Software ausprobieren. Z.B. Ricochet, pond (wobei es der Software ja gerade an einer maintainenden Person fehlt), PEP, Secure Scuttlebutt, Tails, Subgraph, Qubes, etc.pp.
Danke für die Themenvorschläge - einiges kenne ich selber noch nicht und würde mich freuen wenn man sich sowas gegenseitig erklären könnte :)

> 
> 
>> Mögliche Locations:
>> 	* Hochschule Flensburg Wen fragen? Jörg Kranz? Der macht wohl die IT in der Hochschule und ich kenne jemanden, der ihn kennt ;) Das regel ich dann, wenns soweit ist :) Dann gibts schon nen Kontakt, klasse :) Die Hochschule hat uns einen Raum im Versatel Gebäude angeboten. Das finde ich mal ziemlich hammer!
>> 	* Offener Kanal Flensburg via nordlab e. V.
>> 	* Chaostreff Flensburg
>> 	* SBV Stadtteiltreff Nord (ca. 10...14 Personen, Getränke gegen Spende, Küche vorhanden) - ich frage den Raum mal an finde ich auch ganz nett. Man könnte ja abwechselnde locations nehmen
>> 	* Technologiezentrum Flensburg (das BarCamp/CampMontag Flensburg ist dort relativ erfolgreich, vielleicht würden wir dort auch unterkommen)
> 
> Es ist immer gut, wenn die Location gemütlich ist, wenn man Tee machen kann, und – Krönung – wenn es was zu essen gibt.
> 
> 
>> Mögliche Themen (Details siehe unten "Inhalt"):
>> 	* Browser/-Fingerprint
> jap!
>> 	* Instant Messenger (Problematik "Gated Community")
> jap!! Die Problematik zu erläutern sollte aber nicht mit „Jabber mit OTR!“ beantwortet werden, sondern mit „Lasst uns mal mit Signal anfangen, weil das können auch eure FreundInnen schnell benutzen, und wenn ihr dann noch ein bisschen Geduld habt, können wir uns Jabber, Conversations und OMEMO anschauen.“
>> 	* PGP/GPG, Smartcard
> Hier kann ich nur empfehlen, die Erwartungen der TeilnehmerInnen gut zu setzen. Ich sag immer „Cool, dass ihr eure eMails verschlüsseln wollt. Nur damit ihr bescheid wisst: PGP wurde in den 90ern entwickelt, und bedient sich auch heute immer noch ein bisschen so, d.h. man muss relativ viel von hand machen, aber wenn man es einmal eingerichtet hat, geht es recht einfach.“
>> 	* Festplattenverschlüsselung (Hard- vs. Software-based, Cold boot attack u.ä.) (vor allem interessant für die Lehramtler??)
> Lehramtler, weil?
An dem „Lehramtler“-Detail scheinen sich viele aufzuhängen. Es hieß diese müssten ihre Daten (Noten usw.) wohl auf einem verschlüsselten Datenträger speichern, deswegen wäre das für die ein Thema (an der Uni Flensburg sind da ja theoretisch viele Kandidaten).
>  Was ist hardware-based?

Naja, Hardware-basierte Festplattenverschlüsselung (also Krypto in H/W "gegossen"): https://de.wikipedia.org/wiki/Festplattenverschl%C3%BCsselung#Hardware

> 
> Ich erklär immer: Wenn möglich nativ (d.h. FileVault unter MacOS, LUKS/encryptfs unter Linux), und wenn OS-übergreifend VeraCrypt.
Und mit „nativ“ meinst du hier S/W - wobei es ja schon eine „Schicht“ darunter geht: nämlich in der H/W!
Die Frage ist nur wie sehr man dem traut (da ja nicht offen!) usw. - da muss man halt anders ran gehen (aber auch hier abhängig vom Threat Model).

> 
>> 	* allg. Internet Grundlagen
> das passiert eigentlich automatisch und implizit bei den anderen Themen
Stimmt natürlich, aber da stellt sich bei mir die Frage, ob man Einsteiger nicht verwirrt wenn man gleich alles an einem Thema erklärt.
Erfahrungsgemäß ist das dann meist zu viel Input auf einmal und es ist dann schnell eine Hürde erreicht bei der evtl. abgeschaltet wird.
Daher halte ich es für sinnvoll interessierten Leuten das gesondert zu erzählen - hier geht es ja v.a. um Detailwissen.

>> 	* Kryptografie Grundlagen
> das passiert eigentlich automatisch und implizit bei den anderen Themen
Auch hier ist Detailwissen gemeint - vielleicht auch für Fortgeschrittenere.

>> 	* Eine Frage des Vertrauens (Chain of Trust, Datenintegrität, Threat Model!)
> yeah!
>> 	* Passwort Management/Konzepte (z.B. diceware)
> jap!
>> 	* Plattformrelevante Privatsphäretools (Unix/Win/iOS/Android, etc.?)
> ?
Damit ist genau das gemeint, was du weiten oben als "nativ (d.h. FileVault unter MacOS, LUKS/encryptfs unter Linux)“ bezeichnest ;)

>> 	* VPN
> Hat nen sehr eingeschränkten Nutzen, und man braucht sehr viel Wissen, um die VPN-Nutzung zu threatmodeln, deswegen meiner Meinung nach eher kein gutes Thema für eine CryptoParty.
Jup, sehe ich genau so. Gibt weitaus wichtigere Themen.

> 
> Dafür:
>  * Tor Browser
Genau, das darf on der Browser/Web-Ecke nicht fehlen! Evtl. auch Alternativen wie I2P oder Freenet.

> 
>>  * Datenschutzoptionen bei Windows 10 (von Sempervideo gut erklärt)
> 
> Ja!!! (Die Menschen da abholen, wo sie sind.)
Jup, wobei viele von uns da schon mehr oder weniger raus sind (Gated Community? xD)

> 
>> Termine
>> =======
>> 
>> Wann soll die CryptoParty stattfinden?
>> Sollen gleich mehrere (regelmäßige) Termine festgelegt werden? Oder (erstmal) nur eine Test-Veranstaltung, um weiteren Bedarf zu klären?
>> 	* Infoveranstaltung ggf. mit Vorführungen
>> 	* Mitmachveranstaltungen, Encrypt/Decrypt, digitale Schnitzeljagd bis zum Folgetermin etc...
>> 	* z.B. Vierteljährige Signierpartys, ein großes Event im Jahr? (Abhängig von Resonanz und Teilnehmerzahl)
>> 	* Im Normalfall Abends am Wochenende. In Berlin war Einladung immer für 20h und es ging teilweise bis 1h morgens.
> 
> Regelmäßigkeit hilft auf jeden Fall enorm dabei, da ein Ding draus zu machen.
> Muss man dann aber auch die Kapazitäten für haben.
Genau das könnte ein Problem werden, deswegen wollten wir unsere Ressourcen auf einen Termin bündeln und sehen wie es ab da weitergeht.

> 
> 
>> Organistation
>> =============
>> 
>> Wollen wir eine simple Webseite mit grundlegenden Informationen? Ich würde dafür die offiziellen Kanäle benutzen und ggf. auf eurer Seite weiterverlinken https://www.cryptoparty.in/organize/howto
>> Wollen wir auf einer Webseite Teilnehmer registrieren lassen, damit Getränke & Snacks in adequater Menge vorgehalten werden können? Idee ist gut, da so gut geplant werden kann und ggf. auch die Location anhand dieser  Information gewählt werden kann. Anmeldung ähnlich Camp-Montag bietet gute Balance aus Anonymität und Verbindlichkeit. einerseits gut, anderseits sind die Nordlichter immer etwas quägelnd, wenn sie sich terminlich binden müssen. Man kann ja sagen "(anonyme) Anmeldung erwünscht"
>> Wer hat Interesse einen Vortrag bzw. Workshop o.ä. vorzubereiten und zu halten?
>> 
>> Technik
>> -------
>> 
>> 	* Beamer falls es @fh passiert, da kriegen wir bestimmt was
> Hab ich seit Ewigkeiten nicht mehr benutzt.
Hm, interessant. Vielleicht

> 
>> 	* ggf. Adapter und Kabel für Beamer (Thunderbolt, Display Port, HDMI, VGA, DVI)
> [-:
> 
>> 	* Internetzugang vor Ort! (LAN, WLAN) falls im SBV Bereitstellung über Lambda1-by-Gyrdon oder Gateway möglich
> Jap!
> 
> Und:
> 
>  * Strom (Eine Steckerleiste pro Tisch o.ä.)
Oh, danke! Das offensichtliche vergisst man meistens xD

> 
>> 	* Webseite (wir sollten cryptoparty.in nutzen) cryptoparty.in/flensburg ftw s.o. thumbs up! Update: https://www.cryptoparty.in/flensburg
>> 	* Lokaler Mirror mit diverser signierter Software für verschiedene Betriebssysteme (Tor, Enigmail, VeraCrypt) ja wäre schön, wenn wir sowas immer "dabei" hätten. FTP?
> Sowas wäre cool. Vor allem, wenn es da so ein Mirror-Skript gäbe, von dem dann auch andere Gebrauch machen könnten (-:
Besonders interessant ist das wenn man mal gar kein Netz hat oder viele Leute auf einer dünnen Leitung sitzen.
Mal sehen was wir da so gebastelt bekommen ;)

> 
> 
>> Ankündigungen
>> -------------
>> 
>> Wir brauchen einen kurzen Text, der Crypto Parties erklärt und Termin, Veranstaltungsort und Kontakt (ggf. Anmeldung) beschreibt. Gerne auch als Flyer!
>> 
>> Text der Hamburger CryptoParty (Quelle: https://github.com/cryptoparty/flyers/blob/master/CryptoParty-Hamburg/hamburg_A3_2015_de.pdf):
>> 	Wer?
>> 	CryptoParties sind offen für alle, kostenlos und machen Spaß. Jeder kann es lernen, du brauchst nur einen eigenen Laptop, Tablet oder Smartphone. Komm vorbei!
>> 	
>> 	Was?
>> 	CryptoParty ist eine dezentrale, globale Initiative mit dem Ziel allen Menschen den Zugang zu Datenverschlüsselung und den dahinterliegenden Konzepten zu ermöglichen.
>> 	
>> 	Warum?
>> 	Auf CryptoParties lernst du wie du E-Mail, Chat und Dateien verschlüsselst, wie man anonym bleibt und es anderen beibringt. Jeder hat das Recht auf Privatspähre.
> 
> Textentwurf der berliner CryptoParty:
> 
>>>> Warum CryptoParty?
>>>> 
>>>> Privatsphäre ist der Raum, in dem Ideen entstehen, und in den man sich zurückziehen kann, wann immer man möchte. Dieser Raum ist nicht nur physisch, sondern auch digital. Weder Regierungen noch Konzerne möchten dies respektieren. Deswegen nehmen wir das selbst in die Hand.
>>>> 
>>>> alternativ:
>>>> 
>>>> Regierungen und Konzerne sammeln unserer Daten wo sie nur können, ob wir wollen oder nicht.
>>>> Du willst dich schützen aber weißt nicht wie? 
>>>> Besuche eine CryptoParty!
>>>> 
>>>> 
>>>> Was ist eine CryptoParty?
>>>> 
>>>> CryptoParty ist eine weltweite, dezentrale Bewegung mit dem Ziel, allen Menschen das Wissen und die Fähigkeiten zu vermitteln, sich im digitalen Raum zu schützen. Dazu gehört die Verschlüsselung der Kommunikation, das Verhindern von Tracking, aber generelle Vorgehensweisen beim Umgang mit Computern und Smartphones.
>>>> 
>>>> CryptoParties sind offen für alle, insbesondere für Menschen ohne Vorwissen und/oder die sich bislang noch nicht getraut haben, kostenlos, und sollen in erster Linie Spaß machen!
>>>> Bring dein Laptop oder Smartphone mit wenn du die Programme und Apps gleich ausprobieren möchtest.
>>>> 
>>>> Termine und Infos:
>>>> Web: https://cryptoparty.in/berlin
>>>> Twitter: https://twitter.com/cryptopartybln
>>>> GnuSocial: https://quitter.se/cryptopartybln
>>>> Diaspora: https://pod.disroot.org/u/cryptopartybln
> 
Danke, das können wir bestimmt gut verbauen.

> 
>> Der Text bzw. Verlinkung dahin soll auf folgenden Kanälen veröffentlicht werden: 
>> 	* Twitter
>> 	* Facebook
>> 	* Instant Messenger
>> 	* nordlab Mailingliste
> 
> Verschiedene Diaspora-Server haben Gateways zu Twitter und Facebook (z.B. sechat.org, siehe auch https://podupti.me)
Ich glaube fast, dass keiner von uns Diaspora hat >.>

> 
> 
>> Helfer, Vortragende und Organisatoren
>> -------------------------------------
>> 
>> 	* Martin (Betreiber der Mailingliste cryptoparty at lists.nordlab-ev.de) - Könnte was zu Browser (deren Grundlagen HTML, HTTP/HTTPS, TCP/IP) und Diffie-Hellman sowie Hashalgorithmen erzählen. Wenn es genug Anklang gibt, würde ich ggf. auch einen Workshop für Selbstbau-U2F-USB-Tokens anbieten.
> HTML, weiß nicht. JavaScript ist im Hinblick auf Überwachung glaube ich das spannendere Thema.
Stimmt. Ich kann mich nur erinnern, dass ich es faszinierend fand, dass da einfach nur primitiver Text mit etwas Markup durch die Gegend geschickt wird. Natürlich muss man hier nicht auf die Details eingehen.

> 
>> 	* Sara (ich würde mich eher im Hintergrund halten und nur kleine Sachen übernehmen, aufgrund von Zeitknappheit)
>> 	* Gyrdon (Interessiert und bei passendem Termin aktiv dabei)
>> 	* Alex (ich würde an den Terminen selbst teilnehmen)
>> 	* Malte (mit Telepräsenz-Roboter)
> ( Für den WebRTC-Tisch? (-; )
xD

>> 	* bigfoot (wenn ich zur veranstaltung in FL bin)
>>  * Tobi (ich würde mich auch gerne einbringen, wenns zeitlich passt auch an Terminen teilnehmen)
> 
> 
>> Getränke und Snacks
>> -------------------
>> 
>> Wie viel brauchen wir? Ist ggf. eine Voranmeldung z.B. via Webseite oder E-Mail wünschenswert? Ja, da Verpflegungsmenge stark von der Teilnehmeranzahl abhängt. Falls es eine "Infoveranstaltung" geben sollte, sieht man da die Resonanz und kann entsprechend besser planen 
> 
> Wenn's nicht-verderbliche Lebensmittel sind, könnte man ja auch für zwei CryptoParties einkaufen, dann hat man auch diesen ganzen Voranmeldungskrempel nicht.
Das ist eher für die Folgeveranstaltungen relevant - falls wir solche leisten können.

> 
> 
>> Inhalt
>> ======
>> 
>> Grundlagen
>> ----------
>> 
>> Internet
>> ~~~~~~~~
>> 
>> TCP/IP
> Bitte nur implizit.
Auch hier ist der Fakt für Einsteiger interessant, dass eigentlich nur ein Zahlenhaufen durch eine Leitung geschickt wird und nur aufgrund der Tatsache, dass man sich auf eine mögliche Interpretation geeinigt hat, da auch tatsächlich was in dem Maß gemacht werden kann wie wir es heute tun.
Details sind auch nur für Interessierte gedacht.

>> DNS
> Wenn's reinpasst.
Internet ohne DNS erklären? Wie bereits erwähnt: Das ist der Tisch mit Detailwissen zur Funktionsweise des Internet ;)

>> Historische Einordnung (Hinweis auf Notwendigkeit sicherheitsorientierter RFCs, z.B. DNSSEC, DANE, Certificate Transparency)
> Ne. Ne. Bitte.
Hm, ich hab’ neulich ein interessantes Paper mit dem Titel „Why the Internet only just works“ http://fermatslibrary.com/s/why-the-internet-only-just-works gelesen und das macht deutlich was für ein fragiler Haufen das Internet ist - eben aufgrund dessen Historie. Der Punkt ist meiner Meinung nach schon wichtig wenn man verstehen möchte warum es so „unsicher“ ist und die Probleme nicht so schnell/einfach gefixt werden können.

> 
> 
>> World Wide Web
>> ~~~~~~~~~~~~~~
>> 
>> HTTP(S)
>> HTML
> HTML, weil?
Weil man es erwähnen sollte - schließlich ist des „H" in „HTTP“. Und weil das der Tisch mit Detailwissen zum Web ist :) Aber hier bringt es tatsächlich nix auf Details im Markup einzugehen. Soll hier nur grob veranschaulicht werden.

>> Browser
>> 
>> Kryptografie
>> ~~~~~~~~~~~~
>> 
>> Konzepte: [finde ich ehrlich gesagt 2much. Unsere Studenten haben ja schon Probleme mit den Themen]
>> 	* symmetrische Verschlüsselung
> vielleicht implizit, um ins Thema asymmetrische Verschlüsselung einzuleiten
Auch hier: Detailwissen für Interessierte.

>> 	* asymmetrische Verschlüsselung (a.k.a. Public Key Kryptografie)
> wenn's geht immer im Kontext (eMail-Verschlüsselung, Instant-Messenger, Tor, etc.)
Auch hier: Detailwissen für Interessierte.

>> 		* hybride Verschlüsselung
> kann, muss aber in der Regel nicht
Der Punkt ist aber für PGP/GPG-Interessierte besonders relevant.

>> 	* Diffie-Hellman-Schlüsselaustausch  (da wäre vielleicht das Video ganz interessant: https://www.youtube.com/watch?v=3QnD2c4Xovk)
> hab ich noch nie erklären müssen. (und videos kann man sich auch gut
> zuhause anschauen, oder?)
Das Argument finde ich nicht so schlüssig, weil man sicher zu den meisten hier erwähnten Themen ein Video zu Hause gucken könnte :P
Ein viel schöneres Video ist eher das: https://www.youtube.com/watch?v=U62S8SchxX4 Das kann man nämlich vor Ort nachmachen.

>> 	* Hash-Algorithmus (CRC, MD5, SHA, bcrypt)
> auch eher als Nebensatz bei der Erklärung eines anderen Themas.
Überprüfen von Signaturen e.g. von Dateien ist durchaus auch für Laien nützlich (z.B. in Bezug mit dem lokalen Mirror mit S/W).

> 
>> Browser
>> -------
>> 
>> - HTTP vs. HTTPS (grobe Funktionsweise, PFS, HTTPS Everywhere)
>> - Plugins (Flash, Silverlight, Adobe Reader, MS Office, ...)
> unter dem Thema Plugins verstehe ich in der Regel: uBlock Origin, Disconnect.me, Privacy Badger, und NoScript.
> Zu Flash sage ich in der Regel nur, dass es in die Tonne gehört.
Jup, genau das sollte die Essenz der Aussage sein. Man muss den Leuten dann aber auch leider sagen, dass einige Dinge immer noch nicht ohne gehen (z.B. und v.a. RTSP-Live Streams - und Betreiber verstecken die RTSP-URI gerne so, dass man sie nicht mit seinem externen Player abspielen kann).
Viel wichtiger meiner Meinung nach ist es deutlich zu machen, dass diese Plugins eigentlich Toolkits für Remote Code Execution sind, weil einfach kaum eine Woche ohne gravierende Sicherheitslücke vergeht und man als Update-Muffel ein riesiges Einfallstor offen hält.

> 
>> - Privater Modus
>> - Do Not Track Einstellung
>> - Browser Fingerprinting
>> - Diverse "unsichere" APIs (WebRTC, Battery, usw.)
> wobei WebRTC halt auch sehr geil ist.
Kommt drauf an, ob man gut findet, dass alles im Browser passieren muss. P2P ist ja nicht erst eine Erfindung von WebRTC.
Bei dem Punkt könnte ich aber sicher auch noch ein wenig lernen.

>> - GeoIP
>> - Tor (auch Beispiel für Browser Hardening)
>> 
>> Instant Messenger
>> ----------------
>> 
>> - Signal
>> - WhatsApp
>> - Threema
> kann man drauf eingehen, wenn es Leute gibt, die es verwenden
>> - Telegram
> kann man drauf eingehen, wenn es Leute gibt, die es verwenden
>> - XMPP + OTR/OpenPGP/OMEMO (z.B. via Conversations, yaxim, ... you name it ...)
>> 
>> PGP
>> ---
>> 
>> PGP = Pretty Good Privacy, Hilfe bei Einrichtung unter Emailclients
>> GPG = GNU Privacy Guard (OpenPGP Implementierung)
>> 
>> PGP Schlüssel verfizieren & signieren:
>> 	* Schlüssel vor Ort den Kontakt verifizieren, indem man den digitalen Fingerabdruck (Fingerprint) abgleicht und ggf. signieren davor sollten erstmal vorab die Grundlagen da sein
> 
> PGP einrichten und verschlüsselte eMails verschicken: 1. CryptoParty (der Person, die das lernt)
> PGP-Schlüssel signieren und all diese Dinge: 2. CryptoParty (der Person, die das lernt), wenn die Person nicht _super_ motiviert ist.
Finde ich eine gute Idee das so zu handhaben.

>> 
>> "Web of Trust". Gefahren bzgl Keyserver-Infrakstruktur vermitteln!
>> Welche Anforderungen kann mein Schlüssel erfüllen? (Erzeugende Umgebung, Einsatzzweck, Smartcard ...)
> yeah!
Top aktuell das Thema in Bezug auf das WoT Browser Plugin, das jetzt angeblich massiv Daten geleakt hat xD

> 
>> Andere Themen
>> -------------
>> 
>> 	* Open Source Software/Hardware
>> 	* Tails (Bootable Live OS)
>> 	* Libre Software
>> 	* OTR (z.B. via XMPP oder IRC), Axolotl/OMEMO
>> 	* U2F (Unified Two-Factor Authentication)
>> 
>> 
>> U2F Zero Das würde ich erstmal in die Zukunft schieben. Da brauchen die Leute erstmal bisschen mehr Plan.
>> ========
>> 
>> Wir könnten Open Source USB Zwei-Faktor-Authentifizierungstokens als Bastel-Workshop anbieten.
>> 
>> Freie Übersetzung von der Webseite (https://u2fzero.com/):
>>    Das U2F Zero ist ein USB-Token, der mit jedem Dienst funktioniert, der Unterstützung für U2F bietet. Er fungiert als Zwei-Faktor-Authentifizierung oder manchmal auch als Passwortersatz. Keine Treiber benötigt. Einfach nur einstecken und Knopf drücken.
>> 
>> Laut dem U2F Zero Wiki kostet die Herstellung etwa $5 ($1-3 für das PCB und der Rest für die 8 Bauteile).
>> 
>> Für 30 Boards (ist das realistisch?) hätten wir mindestens folgende Kosten:
>> 	* PCBs von hier http://dirtypcbs.com/view.php?share=23162&accesskey= in 2mm Dicke würden $48 kosten
>> 	* die benötigten Bauteile bei https://www.digikey.com würden samt einem Programmer ca. $125 kosten
>> Das würde dann bei aktuellem Wechselkurs ca. 5,20€ pro USB-Token machen.
>> 
>> Wir bräuchten allerdings mindenstes einen Programmer. Hat jmd. sowas?
> 
> Für SPI kann man auch nen Raspberry Pi benutzen. (Falls diese Information hilft...)
Ich fürchte der Chip lässt sich laut dem Projektwiki nur via diesem C2-Interface ("on-chip 2-Wire (C2) interface for in-system programming and debugging“)
programmieren.


> 
> https://pad.riseup.net/p/cryptoparty-fl-intro
>> ================================================
>> CryptoParty Flensburg - Einführungsveranstaltung
>> ================================================
>> 
>> Internet
>> ========
>> 
>> 	* Vorgeschichte DARPA-Net (Sicherheit damals noch kein Thema usw.)
> oder auch nicht.
Die Argumentation deckt sich mit dem Punkt "Grundlagen Internet“ von oben.

>> 	* TCP/IP vs. IPSec
> und was mach ich mit dem Wissen dann?
Ich weiß wie wackelig das ganze ist und warum ich mich überhaupt schützen soll (v.a. für die, die noch kein Threat Model haben).
Meine These ist ja, dass viele das nicht interessiert, weil sie gar nicht wissen wie viele Angriffsvektoren existieren und was nicht alles angegriffen werden kann (nämlich alles).

>> 	* DNS vs. DNSSec --> DNS Manipulation
> und was mach ich mit dem Wissen dann?
Auch hier sieht man wie fragil das ganze ist.

>> 	* Traceroute/Ping (ICMP)
>> 	* Veranschaulichung von Netzwerk via Graphen
>> 	* Kabelnetzwerk
> ???
Mit Kabelnetzwerk haben wir wahrscheinlich die http://www.submarinecablemap.com/ gemeint. Hier kann man zum Beispiel erklären warum es nie „schnell“ sein kann mit seinem Kumpel in den USA in Echtzeit zu zocken, einfach weil die Pakete ihre Zeit brauchen bis sie hin und wieder zurück sind (Round-Trip-Time).
ICMP finde ich interessant um zu zeigen, dass es auch noch andere Protokolle neben(!) TCP/IP bzw. UDP gibt und man sie auch selber zum Debuggen nutzen kann. Ping, aber auch Traceroute um was über die Netzwerktopologie zu einem anderen Endpunkt erfahren.

> 
>> Datenträgerverschlüsselung
>> ==========================
>> 
>> 	* H/W vs. S/W Verschlüsselung
> ???
Es gibt hardwareseitige-Verschlüsselung (von S/W-Ebene aus schwierig zu knacken und „transparent“), aber nicht offen vs. softwareseitige Verschlüsselung (z.B. mit Bordmitteln der meisten OS).
>> 	* VeraCrypt als Beispiel
>> 	* Cold Boot Attacke auf laufenden Rechner, um Key aus RAM zu extrahieren
> als Demo? Ja gerne!
>> 	* Löschen --> Wiederherstellen
>> 
>> E-Mail
>> ======
>> 
>> - grobe Erklörung von Header (Metadaten!) und Body (Nachricht/Anhänge)
> das kommt immer ganz gut, insbesondere bei den Providern die den
> Hostnamen der Absenderin nicht rausschneiden (d.h. z.B. „Toni's
> MacBook“)
Jup, auch hier ist es oft erleuchtend, dass es einfach nur (größtenteils lesbarer) Text ist.
>> - Absender mit Script faken
> oder auch einfach mit Thunderbird, weil, es ist jetzt nicht
> Rocket-Science, oder?
Stimmt, gar nicht daran gedacht...

>> - Gleiche Attacke mit GPG signierter Mail --> mit Signatur nicht möglich
> https://xkcd.com/1181/
Guter Witz - den kannte ich noch nicht xD
Aber mit Tools wie Enigmail oder GPGTools ist das ohne Aufwand auf den ersten Blick ersichtlich.
Geht auch hier darum zu zeigen, dass das System fragil ist und Handlungsbedarf besteht.

> 
>> Alle einzelnen Vorträge laufen auf das Thema "Vertrauen" raus -> Wem vertraut man? Wie lässt sich die Gegenstelle verifizieren/die Verbindung absichern?
> Ja!



Mehr Informationen über die Mailingliste cryptoparty