[CryptoParty-FL] Re: Kommentare zum Pad

malte at wk3.org malte at wk3.org
Fr Nov 4 14:30:16 UTC 2016


Quoting Martin Müller (2016-11-04 14:01:25)
> > (Bzw. ich hab gerade noch das Einführungsveranstaltungs-Pad gefunden.
> > Mir ist nicht ganz klar, wofür das eine Einführungsveranstaltung sein
> > soll, aber der Vollständigkeit zuliebe kommentier ich das weiter unten
> > auch noch (-:)
> Die Idee war, dass man erstmal einige Grundlagen grob anreißt und jeweils gleich ein (vorbereitetes) Beispiel für die Angreifbarkeit vorführt um damit die Motivation für eine nähere Auseinandersetzung zu schaffen.

Die Leute kommen schon freiwillig zu der CryptoParty,
sie sind schon motiviert.

Und Grundlagen würde ich immer nur dann erklären, wenn sie wirklich
nötig sind, um das, was man gerade tun möchte, auch zu verstehen.

Quasi genau andersrum: Du fängst mit den interessanten, praktischen,
spannenden Sachen an, um den Leuten Gründe und Motivationen zu geben,
die Grundlagen zu verstehen.

> Die Einführungsveranstaltung sollte auch den groben Rahmen abstecken, um zu sehen wie viele Leute überhaupt kommen, welches Niveau sie erwarten und ob man das wiederholen möchte.

Hm. Ne. Dann verstehst du glaube ich auch eine CryptoParty falsch.
Eine CryptoParty ist _immer_ eine Einführungsveranstaltung.


> Ich fürchte wir haben nur (noch) nicht genug Leute, um die verschieden Niveaus gut gleichzeitig zu behandeln, aber da findet sich sicher was.

Jein. CryptoParties richten sich immer an das niedrigste Niveau
(von Vorwissen und/oder kognitiven Fähigkeiten), bzw. da es verschiedene
Tische zu verschiedenen Themen gibt, kann man da auch ein bisschen nach
Interesse und Kompetenz sortieren.


> > Nur, wenn man das im Vorraus gut kommuniziert, und diese (und alle
> > anderen) Personen auf der Party selber gut einbindet, erziehlt man den
> > Effekt, dass die Veranstaltung quasi von alleine läuft, und mit ein
> > bisschen langfristiger Geduld auch über Monate und Jahre selbstständig
> > trägt.
> Das ist auch ein Punkt, der für eine Einführungsveranstaltung spricht, da kann man das auch nochmal deutlich machen.

Für wen?


> >>      * Festplattenverschlüsselung (Hard- vs. Software-based, Cold boot attack u.ä.) (vor allem interessant für die Lehramtler??)
> > Lehramtler, weil?
> An dem „Lehramtler“-Detail scheinen sich viele aufzuhängen. Es hieß diese müssten ihre Daten (Noten usw.) wohl auf einem verschlüsselten Datenträger speichern, deswegen wäre das für die ein Thema (an der Uni Flensburg sind da ja theoretisch viele Kandidaten).

Ok! Aber das ist ja gut!


> >  Was ist hardware-based?
> 
> Naja, Hardware-basierte Festplattenverschlüsselung (also Krypto in H/W "gegossen"): https://de.wikipedia.org/wiki/Festplattenverschl%C3%BCsselung#Hardware

Diese ganzen hardware-basierten Sachen sind meistens (immer?) proprietär
und sowieso nicht so richtig self-proliferating, d.h. meiner Meinung
nach nichts für CryptoParties.


> > Ich erklär immer: Wenn möglich nativ (d.h. FileVault unter MacOS, LUKS/encryptfs unter Linux), und wenn OS-übergreifend VeraCrypt.
> Und mit „nativ“ meinst du hier S/W - wobei es ja schon eine „Schicht“ darunter geht: nämlich in der H/W!

Welche gängige Hardware kann das denn?

> Die Frage ist nur wie sehr man dem traut (da ja nicht offen!) usw. - da muss man halt anders ran gehen (aber auch hier abhängig vom Threat Model).

Und wie praktisch die Anwendbarkeit ist. FileVault und encryptfs sind
beispielsweise praktisch, weil die Daten mit demselben Passwort
aufgemacht werden, mit dem man sich am Computer anmeldet.


> >>      * allg. Internet Grundlagen
> > das passiert eigentlich automatisch und implizit bei den anderen Themen
> Stimmt natürlich, aber da stellt sich bei mir die Frage, ob man Einsteiger nicht verwirrt wenn man gleich alles an einem Thema erklärt.
> Erfahrungsgemäß ist das dann meist zu viel Input auf einmal und es ist dann schnell eine Hürde erreicht bei der evtl. abgeschaltet wird.
> Daher halte ich es für sinnvoll interessierten Leuten das gesondert zu erzählen - hier geht es ja v.a. um Detailwissen.

Ne. Genau andersrum. Die Leute sind verwirrt, wenn du sie erstmal mit
Grundlagen vollkippst, zu denen sie (allein schon von den Vokabeln her!)
gar keinen Bezug haben.

Meiner Erfahrung nach funktioniert es am besten, wenn du das
Grundlagenwissen genau da einfließen lässt, wo es gerade gebraucht wird.


> > Dafür:
> >  * Tor Browser
> Genau, das darf on der Browser/Web-Ecke nicht fehlen! Evtl. auch Alternativen wie I2P oder Freenet.

Kann man über I2P und Freenet ganz normal im Web surfen?


> >> Der Text bzw. Verlinkung dahin soll auf folgenden Kanälen veröffentlicht werden: 
> >>      * Twitter
> >>      * Facebook
> >>      * Instant Messenger
> >>      * nordlab Mailingliste
> > 
> > Verschiedene Diaspora-Server haben Gateways zu Twitter und Facebook (z.B. sechat.org, siehe auch https://podupti.me)
> Ich glaube fast, dass keiner von uns Diaspora hat >.>

Es geht hier aber ja auch nicht um private Accounts, sondern um den
CryptoParty-Flensburg-Account, oder?


> >> TCP/IP
> > Bitte nur implizit.
> Auch hier ist der Fakt für Einsteiger interessant, dass eigentlich nur ein Zahlenhaufen durch eine Leitung geschickt wird und nur aufgrund der Tatsache, dass man sich auf eine mögliche Interpretation geeinigt hat, da auch tatsächlich was in dem Maß gemacht werden kann wie wir es heute tun.

Dann weißt du mehr über die Einsteiger (und Einsteigerinnen?) als ich.

> Details sind auch nur für Interessierte gedacht.

? (Für mich sind das schon Details...)


> 
> >> DNS
> > Wenn's reinpasst.
> Internet ohne DNS erklären?

Ja. Wenn du gerne über DNS rantest, setz ich mich aber gerne dazu (-;

> Wie bereits erwähnt: Das ist der Tisch mit Detailwissen zur Funktionsweise des Internet ;)

Die meisten Leute wollen halt keine Details. Was auch heißt, dass es
einige Leute gibt, die Details wollen, aber das sind dann meistens
1-on-1-Situationen so zwischen 23:30 und 02:30, d.h., wenn die meisten
Leute schon (zufrieden) nach hause gegangen sind.

> >> Historische Einordnung (Hinweis auf Notwendigkeit sicherheitsorientierter RFCs, z.B. DNSSEC, DANE, Certificate Transparency)
> > Ne. Ne. Bitte.
> Hm, ich hab’ neulich ein interessantes Paper mit dem Titel „Why the Internet only just works“ http://fermatslibrary.com/s/why-the-internet-only-just-works gelesen und das macht deutlich was für ein fragiler Haufen das Internet ist - eben aufgrund dessen Historie. Der Punkt ist meiner Meinung nach schon wichtig wenn man verstehen möchte warum es so „unsicher“ ist und die Probleme nicht so schnell/einfach gefixt werden können.

Ja. Das kann man aber auch mit dem Satz „Damals waren die Leute schon
froh, wenn der Text überhaupt ankam, und viele gingen davon aus ‚dass
das nur so eine Phase ist‘.“ abhandeln. Dass das hier nen eigenen Punkt
hat bangt mich ein bisschen.


> >> HTML
> > HTML, weil?
> Weil man es erwähnen sollte - schließlich ist des „H" in „HTTP“. Und weil das der Tisch mit Detailwissen zum Web ist :) Aber hier bringt es tatsächlich nix auf Details im Markup einzugehen. Soll hier nur grob veranschaulicht werden.

Hast du so einen Tisch schonmal betrieben?

Wenn du die Themen "DNS" und "HTML" an einem Tisch, auf einer
Veranstaltung behandeln willst, dann weiß ich nicht, wie das der Tisch
mit „Detailwissen“ sein kann – außer, dass man am Ende viele Details
weiß, die in keinem erkennbaren Zusammenhang stehen.

Nicht, dass man es _nicht_ behandeln kann oder sollte. Ich hab auch
schon mal auf einer CryptoParty mit den Leuten in den Sourcecode einer
Webseite geschaut. Aber das sind dann spezielle Umstände und spezielle
Interessen, und ich würde es nicht als Stichpunkt listen.


> Auch hier: Detailwissen für Interessierte.
> Auch hier: Detailwissen für Interessierte.

Alles kann Detailwissen für Interessierte sein. Warum ist ein Byte 8 Bit lang?
> 
> >>              * hybride Verschlüsselung
> > kann, muss aber in der Regel nicht
> Der Punkt ist aber für PGP/GPG-Interessierte besonders relevant.

Ja?

> >>      * Diffie-Hellman-Schlüsselaustausch  (da wäre vielleicht das Video ganz interessant: https://www.youtube.com/watch?v=3QnD2c4Xovk)
> > hab ich noch nie erklären müssen. (und videos kann man sich auch gut
> > zuhause anschauen, oder?)
> Das Argument finde ich nicht so schlüssig, weil man sicher zu den meisten hier erwähnten Themen ein Video zu Hause gucken könnte :P

Ah, ok. Ich hatte das so verstanden, dass man das auf der CryptoParty
zeigen könnte.

> Ein viel schöneres Video ist eher das: https://www.youtube.com/watch?v=U62S8SchxX4 Das kann man nämlich vor Ort nachmachen.

Nice!

(Wir haben auch Leute bei uns, die PGP mit selbst-gebastelten Schlüsseln
und Schlössern erklären!)

> >>      * Hash-Algorithmus (CRC, MD5, SHA, bcrypt)
> > auch eher als Nebensatz bei der Erklärung eines anderen Themas.
> Überprüfen von Signaturen e.g. von Dateien ist durchaus auch für Laien nützlich (z.B. in Bezug mit dem lokalen Mirror mit S/W).

Ja, aber dafür musst du ja keinen Plan von den verschiedenen
Hash-Algorithmen haben, oder? (und jetzt sag nicht „Detailwissen für
Interessierte“ ;-)


> >> - HTTP vs. HTTPS (grobe Funktionsweise, PFS, HTTPS Everywhere)
> >> - Plugins (Flash, Silverlight, Adobe Reader, MS Office, ...)
> > unter dem Thema Plugins verstehe ich in der Regel: uBlock Origin, Disconnect.me, Privacy Badger, und NoScript.
> > Zu Flash sage ich in der Regel nur, dass es in die Tonne gehört.
> Jup, genau das sollte die Essenz der Aussage sein. Man muss den Leuten dann aber auch leider sagen, dass einige Dinge immer noch nicht ohne gehen (z.B. und v.a. RTSP-Live Streams - und Betreiber verstecken die RTSP-URI gerne so, dass man sie nicht mit seinem externen Player abspielen kann).
> Viel wichtiger meiner Meinung nach ist es deutlich zu machen, dass diese Plugins eigentlich Toolkits für Remote Code Execution sind, weil einfach kaum eine Woche ohne gravierende Sicherheitslücke vergeht und man als Update-Muffel ein riesiges Einfallstor offen hält.

Da ist jetzt die Frage, ob man es für unverantwortlich hält, den Leuten
eine Ausrede zu geben, Flash installiert zu lassen, oder die Leute mit
installiertem Flash nach hause gehen zu lassen <-:


> >> "Web of Trust". Gefahren bzgl Keyserver-Infrakstruktur vermitteln!
> >> Welche Anforderungen kann mein Schlüssel erfüllen? (Erzeugende Umgebung, Einsatzzweck, Smartcard ...)
> > yeah!
> Top aktuell das Thema in Bezug auf das WoT Browser Plugin, das jetzt angeblich massiv Daten geleakt hat xD

Das ist zwar nur durch den Namen, aber ja, kann man benutzen, um zu
erklären, was Web of Trust _eigentlich_ bedeutet (aber vielleicht ist es
jetzt schon zu spät und wir müssen uns ein neues Wort ausdenken...).


> >>      * TCP/IP vs. IPSec
> > und was mach ich mit dem Wissen dann?
> Ich weiß wie wackelig das ganze ist und warum ich mich überhaupt schützen soll (v.a. für die, die noch kein Threat Model haben).
> Meine These ist ja, dass viele das nicht interessiert, weil sie gar nicht wissen wie viele Angriffsvektoren existieren und was nicht alles angegriffen werden kann (nämlich alles).

Wenn sie zu ner CryptoParty kommen, interessiert sie das. Und die
meisten gehen davon aus, dass alles mitgelesen werden kann, und
vielleicht auch wird, und wollen lernen, wie man zumindest Teile davon
verschlüsseln kann.

> >>      * DNS vs. DNSSec --> DNS Manipulation
> > und was mach ich mit dem Wissen dann?
> Auch hier sieht man wie fragil das ganze ist.

Aber was _mache_ ich dann mit dem Wissen?

Die Leute kommen zu der CryptoParty, weil sie schon verunsichert sind,
dann erzählst du ihnen Dinge, die sie noch mehr verunsichern, und dann
sagst du ihnen, dass sie da einfach nix machen können?



Ich hoffe die Härte/Vehemenz meiner Kommentare hält sich in erträglichen
Grenzen. Ich mach die Sache halt schon ne Weile und hab immer Angst,
dass die Leute, dieselben Fehler wie ich machen, und zumindest bei mir
war der Lernprozess schmerzhaft...


Liebe Grüße,

Malte


Mehr Informationen über die Mailingliste cryptoparty