[CryptoParty-FL] Re: Kommentare zum Pad

Alexandra Dirksen mail at adirksen.eu
Sa Nov 5 14:31:05 UTC 2016


Hm, das läuft auf die selbe Diskussion hinaus, wie ich sie mit Martin
schon hatte^^

Falls das alles organisatorisch klappt, gehe ich mal davon aus, dass
Malte &co. schon an dem Freitag kommen würden, oder? Dann können wir es
ja da dann ausdiskutieren...

Ich wäre dafür, dass beim ersten mal so zu machen, wie es die Leute mit
Erfahrung machen :)
Wenn wir dann noch Verbesserungsbedarf unsererseits sehen, können wir
das ja beim nächsten Mal umsetzen.

Im Grund ist die thematische Tiefe, die bei einem Tisch angesprochen
wird, völlig abhängig von den Teilnehmern, die ja den Inhalt
mitgestalten. Also sollte man das eh immer der Situation anpassen.
Einige Leute wollen einfach nur hören, welches "Addon" sie verwenden
sollen und nicht wie dieses funktioniert.
Das ist dann zwar schade, aber ich sehe das nicht als unsere Aufgabe,
jeden zu seinem Glück zu zwingen.

Am 05.11.2016 um 13:24 schrieb Martin Müller:
>> Am 04.11.2016 um 15:30 schrieb malte at wk3.org:
>>
>> Quoting Martin Müller (2016-11-04 14:01:25)
>>>> (Bzw. ich hab gerade noch das Einführungsveranstaltungs-Pad gefunden.
>>>> Mir ist nicht ganz klar, wofür das eine Einführungsveranstaltung sein
>>>> soll, aber der Vollständigkeit zuliebe kommentier ich das weiter unten
>>>> auch noch (-:)
>>> Die Idee war, dass man erstmal einige Grundlagen grob anreißt und jeweils gleich ein (vorbereitetes) Beispiel für die Angreifbarkeit vorführt um damit die Motivation für eine nähere Auseinandersetzung zu schaffen.
>> Die Leute kommen schon freiwillig zu der CryptoParty,
>> sie sind schon motiviert.
> Stimmt, aber jeder hat seine eigenen Gründe.
>
>>
>>> Die Einführungsveranstaltung sollte auch den groben Rahmen abstecken, um zu sehen wie viele Leute überhaupt kommen, welches Niveau sie erwarten und ob man das wiederholen möchte.
>> Hm. Ne. Dann verstehst du glaube ich auch eine CryptoParty falsch.
>> Eine CryptoParty ist _immer_ eine Einführungsveranstaltung.
> Dann verstehe ich das vielleicht wirklich falsch :(
>
>>
>>> Ich fürchte wir haben nur (noch) nicht genug Leute, um die verschieden Niveaus gut gleichzeitig zu behandeln, aber da findet sich sicher was.
>> Jein. CryptoParties richten sich immer an das niedrigste Niveau
>> (von Vorwissen und/oder kognitiven Fähigkeiten), bzw. da es verschiedene
>> Tische zu verschiedenen Themen gibt, kann man da auch ein bisschen nach
>> Interesse und Kompetenz sortieren.
>>
>>
>>>> Nur, wenn man das im Vorraus gut kommuniziert, und diese (und alle
>>>> anderen) Personen auf der Party selber gut einbindet, erziehlt man den
>>>> Effekt, dass die Veranstaltung quasi von alleine läuft, und mit ein
>>>> bisschen langfristiger Geduld auch über Monate und Jahre selbstständig
>>>> trägt.
>>> Das ist auch ein Punkt, der für eine Einführungsveranstaltung spricht, da kann man das auch nochmal deutlich machen.
>> Für wen?
> Für die Gäste, dass sie sich je nach Kompetenz gerne einbringen können bis hin Aufgaben selber zu übernehmen.
>
>>
>>>>>     * Festplattenverschlüsselung (Hard- vs. Software-based, Cold boot attack u.ä.) (vor allem interessant für die Lehramtler??)
>>>> Lehramtler, weil?
>>> An dem „Lehramtler“-Detail scheinen sich viele aufzuhängen. Es hieß diese müssten ihre Daten (Noten usw.) wohl auf einem verschlüsselten Datenträger speichern, deswegen wäre das für die ein Thema (an der Uni Flensburg sind da ja theoretisch viele Kandidaten).
>> Ok! Aber das ist ja gut!
> Jup.
>
>>
>>>> Was ist hardware-based?
>>> Naja, Hardware-basierte Festplattenverschlüsselung (also Krypto in H/W "gegossen"): https://de.wikipedia.org/wiki/Festplattenverschl%C3%BCsselung#Hardware
>> Diese ganzen hardware-basierten Sachen sind meistens (immer?) proprietär
>> und sowieso nicht so richtig self-proliferating, d.h. meiner Meinung
>> nach nichts für CryptoParties.
> Proprietät ist ja nicht zwangsläufig schlecht, sonst könnte man mit dem gleichen Argument die hier erwähnten Bordmittel (FileVault, BitLocker etc.) auch nicht auf CryptoParties bringen. Man muss die Implikationen nur klar vermitteln.
>
>>
>>>> Ich erklär immer: Wenn möglich nativ (d.h. FileVault unter MacOS, LUKS/encryptfs unter Linux), und wenn OS-übergreifend VeraCrypt.
>>> Und mit „nativ“ meinst du hier S/W - wobei es ja schon eine „Schicht“ darunter geht: nämlich in der H/W!
>> Welche gängige Hardware kann das denn?
> Viele „moderne“ SSD und häufig auch viele andere neuere Flash-Speichermedien wie USB-Sticks.
>
>>> Die Frage ist nur wie sehr man dem traut (da ja nicht offen!) usw. - da muss man halt anders ran gehen (aber auch hier abhängig vom Threat Model).
>> Und wie praktisch die Anwendbarkeit ist. FileVault und encryptfs sind
>> beispielsweise praktisch, weil die Daten mit demselben Passwort
>> aufgemacht werden, mit dem man sich am Computer anmeldet.
> Klar, das ist oft eine Frage der Konfiguration. Bei H/W basierter Verschlüsselung muss man teilweise sogar gar nichts machen, daher werden die auch oft als Self Encrypting Drive (SED) bezeichnet (wobei ein eigenes Passwort durchaus sinnvoll ist).
>
>>
>>>> Dafür:
>>>> * Tor Browser
>>> Genau, das darf on der Browser/Web-Ecke nicht fehlen! Evtl. auch Alternativen wie I2P oder Freenet.
>> Kann man über I2P und Freenet ganz normal im Web surfen?
> Ich bin mit den beiden nicht so vertraut, aber bei I2P scheint es sog. „Outproxies“ zu geben. Bei Freenet ist das anscheinend nicht vorgesehen, aber solche alternativen Konzepte sind auch durchaus nennenswert. (Ich nehm’ ungern das D[arknet]-Wort in dem Mund...) An der Stelle ist evtl. auch IPFS interessant.
>
>>
>>>>> Der Text bzw. Verlinkung dahin soll auf folgenden Kanälen veröffentlicht werden: 
>>>>>     * Twitter
>>>>>     * Facebook
>>>>>     * Instant Messenger
>>>>>     * nordlab Mailingliste
>>>> Verschiedene Diaspora-Server haben Gateways zu Twitter und Facebook (z.B. sechat.org, siehe auch https://podupti.me)
>>> Ich glaube fast, dass keiner von uns Diaspora hat >.>
>> Es geht hier aber ja auch nicht um private Accounts, sondern um den
>> CryptoParty-Flensburg-Account, oder?
> Stimmt, müsste halt jmd. einen solchen Account anlegen und pflegen.
>
>>
>>>>> TCP/IP
>>>> Bitte nur implizit.
>>> Auch hier ist der Fakt für Einsteiger interessant, dass eigentlich nur ein Zahlenhaufen durch eine Leitung geschickt wird und nur aufgrund der Tatsache, dass man sich auf eine mögliche Interpretation geeinigt hat, da auch tatsächlich was in dem Maß gemacht werden kann wie wir es heute tun.
>> Dann weißt du mehr über die Einsteiger (und Einsteigerinnen?) als ich.
> So war das nicht gemeint - eher im Sinne von "Fun Fact“.
>
>>> Details sind auch nur für Interessierte gedacht.
>> ? (Für mich sind das schon Details...)
> Das ist sicherlich auch abhängig vom Betrachtungswinkel ;) Aber ich weiß was du meinst.
>
>>>>> DNS
>>>> Wenn's reinpasst.
>>> Internet ohne DNS erklären?
>> Ja. Wenn du gerne über DNS rantest, setz ich mich aber gerne dazu (-;
> Ich wollte nicht darüber ranten, sondern meinte, dass man das Internet schlecht ohne DNS erklären kann.
>
>>> Wie bereits erwähnt: Das ist der Tisch mit Detailwissen zur Funktionsweise des Internet ;)
>> Die meisten Leute wollen halt keine Details. Was auch heißt, dass es
>> einige Leute gibt, die Details wollen, aber das sind dann meistens
>> 1-on-1-Situationen so zwischen 23:30 und 02:30, d.h., wenn die meisten
>> Leute schon (zufrieden) nach hause gegangen sind.
> Jetzt hast du glatt einen wunden Punkt erwischt, weil ich das echt Schade finde - aber natürlich auch verstehen kann.
> Einige Dinge gehen IMHO nicht ohne gewisse Details: Ich kann z.B. (noch ;D) nicht Auto fahren wollen ohne Ahnung von den Verkehrsregeln zu haben und mich grundlegend mit Autos auszukennen (Stichwörter: Lenkrad, Gas, Bremse und ggf. Kupplung/Schaltung usw.).
> Man braucht aber gewisse Grundlagen, um wenigstens an der Diskussion teilhaben zu können oder um mindestens für sich die berühmten „informierten Entscheidungen" treffen zu können.
>
>>>>> Historische Einordnung (Hinweis auf Notwendigkeit sicherheitsorientierter RFCs, z.B. DNSSEC, DANE, Certificate Transparency)
>>>> Ne. Ne. Bitte.
>>> Hm, ich hab’ neulich ein interessantes Paper mit dem Titel „Why the Internet only just works“ http://fermatslibrary.com/s/why-the-internet-only-just-works gelesen und das macht deutlich was für ein fragiler Haufen das Internet ist - eben aufgrund dessen Historie. Der Punkt ist meiner Meinung nach schon wichtig wenn man verstehen möchte warum es so „unsicher“ ist und die Probleme nicht so schnell/einfach gefixt werden können.
>> Ja. Das kann man aber auch mit dem Satz „Damals waren die Leute schon
>> froh, wenn der Text überhaupt ankam, und viele gingen davon aus ‚dass
>> das nur so eine Phase ist‘.“ abhandeln. Dass das hier nen eigenen Punkt
>> hat bangt mich ein bisschen.
> Das Internet funktioniert auch (und vor allem) heute noch nach dem „Best Effort“ Prinzip.
> In Zeiten von IPv4-Knappheit, größtenteils dadurch bedingtem NAT, schlechtem Multicast und bedingt gutem Roaming ist das heute nicht anders (steht auch alles im Paper ;P).
>
> Meine Idee ist es die Dinge eher zu „entzaubern“. Mal ein Telnet Prompt aufmachen, den Leuten zeigen, dass HTTP im Grunde nur simple (lesbare!) Befehle sind und eine Konversation zwischen Client und Server stattfindet und die Antwort ebenfalls lesbar ist. Popeliger Text. Bei TCP ein paar aneinander gereihte Zahlen, für die man sich ein Format ausgedacht und darauf geeinigt hat. Mehr nicht.
> Der nächste Punkt ist: Diese Dinge sind nicht alle in Stein gemeißelt oder gottgegeben. Das ist wichtig, um verstehen zu können, dass wir das Ändern können und da reicht oft schon der bloße Willen der breiten Masse. Aber da muss es erstmal ankommen.
> V.a. erhoffe ich mir durch diese Herangehensweise vielen vielleicht diese (Ehr-)Furcht und Ohnmacht vor Technik, die für manche vielleicht angsteinflößend ist, zu nehmen.
>
>>
>>>>> HTML
>>>> HTML, weil?
>>> Weil man es erwähnen sollte - schließlich ist des „H" in „HTTP“. Und weil das der Tisch mit Detailwissen zum Web ist :) Aber hier bringt es tatsächlich nix auf Details im Markup einzugehen. Soll hier nur grob veranschaulicht werden.
>> Hast du so einen Tisch schonmal betrieben?
> Erwischt: Nein.
>
>> Wenn du die Themen "DNS" und "HTML" an einem Tisch, auf einer
>> Veranstaltung behandeln willst, dann weiß ich nicht, wie das der Tisch
>> mit „Detailwissen“ sein kann – außer, dass man am Ende viele Details
>> weiß, die in keinem erkennbaren Zusammenhang stehen.
> <a href=„http://localhost“>Ein Link auf eine Seite mit DNS-Namen der historisch-bedingt(!) (steht btw. im obigen Paper :P) über die /etc/hosts aufgelöst wird ;P</a>
>
>> Nicht, dass man es _nicht_ behandeln kann oder sollte. Ich hab auch
>> schon mal auf einer CryptoParty mit den Leuten in den Sourcecode einer
>> Webseite geschaut. Aber das sind dann spezielle Umstände und spezielle
>> Interessen, und ich würde es nicht als Stichpunkt listen.
> Ich verstehe vollkommen deine Herangehensweise, aber glaubst du es wäre falsch es mal von der vereinfachten technischen Seite anzugehen?
> Wie bereits erwähnt, ich hab die Idee, dass es nach dem oben genannten Prinzip des „Entzauberns“ auch funktionieren kann.
>
>>
>>> Auch hier: Detailwissen für Interessierte.
>>> Auch hier: Detailwissen für Interessierte.
>> Alles kann Detailwissen für Interessierte sein. Warum ist ein Byte 8 Bit lang?
> Weil sich das durchgesetzt hat. Früher gab es durchaus Systeme, bei denen es nicht so war ;) Und heute findet man hier und da sicher auch andere Wortgrößen. Und genau das meine ich mit „in Stein gemeißelt“ bzw. gottgegeben - es ist es nämlich nicht.
>
>>>>>             * hybride Verschlüsselung
>>>> kann, muss aber in der Regel nicht
>>> Der Punkt ist aber für PGP/GPG-Interessierte besonders relevant.
>> Ja?
> Nicht?
>
>>> Ein viel schöneres Video ist eher das: https://www.youtube.com/watch?v=U62S8SchxX4 Das kann man nämlich vor Ort nachmachen.
>> Nice!
> Finde ich auch :) Ich wünsche mir eben, dass man viele schwierige Grundlagen so vermittelt.
>
>>>>>     * Hash-Algorithmus (CRC, MD5, SHA, bcrypt)
>>>> auch eher als Nebensatz bei der Erklärung eines anderen Themas.
>>> Überprüfen von Signaturen e.g. von Dateien ist durchaus auch für Laien nützlich (z.B. in Bezug mit dem lokalen Mirror mit S/W).
>> Ja, aber dafür musst du ja keinen Plan von den verschiedenen
>> Hash-Algorithmen haben, oder? (und jetzt sag nicht „Detailwissen für
>> Interessierte“ ;-)
> Nein, das habe ich auch gar nicht andeuten wollen.
> Man kann den Leuten z.B. wunderbar erklären, dass ihre Passwörter (hoffentlich) immer so gespeichert werden.
> Und das es da verschiedene Algorithmen gibt (einige „sicherer“ als andere) und die wunderbaren Eigenschaften auch im informatischen Alltag nützlich sind -> z.B. Prüfen, ob ein Download ordentlich war.
>
>>
>>>> Zu Flash sage ich in der Regel nur, dass es in die Tonne gehört.
>>> Jup, genau das sollte die Essenz der Aussage sein. Man muss den Leuten dann aber auch leider sagen, dass einige Dinge immer noch nicht ohne gehen (z.B. und v.a. RTSP-Live Streams - und Betreiber verstecken die RTSP-URI gerne so, dass man sie nicht mit seinem externen Player abspielen kann).
>>> Viel wichtiger meiner Meinung nach ist es deutlich zu machen, dass diese Plugins eigentlich Toolkits für Remote Code Execution sind, weil einfach kaum eine Woche ohne gravierende Sicherheitslücke vergeht und man als Update-Muffel ein riesiges Einfallstor offen hält.
>> Da ist jetzt die Frage, ob man es für unverantwortlich hält, den Leuten
>> eine Ausrede zu geben, Flash installiert zu lassen, oder die Leute mit
>> installiertem Flash nach hause gehen zu lassen <-:
> Wir sind uns da einig, dass das weg muss.
> Das Problem ist, dass man zumindest für diesen Fall keine universelle Alternative hat. Man kann zumindest Hoffnungen schüren, dass es entweder eine geeignete neue Schnittstelle gibt, oder gebaut werden kann (vll. sogar mit WebRTC?) oder das Alternativen wie HLS häufiger eingesetzt werden.
> Man kann ihnen das alles vermitteln und die Entscheidung obliegt dann jedem einzelnen. Das muss man halt aushalten ;)
>
>>
>>>>> "Web of Trust". Gefahren bzgl Keyserver-Infrakstruktur vermitteln!
>>>>> Welche Anforderungen kann mein Schlüssel erfüllen? (Erzeugende Umgebung, Einsatzzweck, Smartcard ...)
>>>> yeah!
>>> Top aktuell das Thema in Bezug auf das WoT Browser Plugin, das jetzt angeblich massiv Daten geleakt hat xD
>> Das ist zwar nur durch den Namen, aber ja, kann man benutzen, um zu
>> erklären, was Web of Trust _eigentlich_ bedeutet (aber vielleicht ist es
>> jetzt schon zu spät und wir müssen uns ein neues Wort ausdenken...).
> Jo, stimmt. Oder erklären was bei diesem Exemplar schief gelaufen ist. 
>
>>
>>>>>     * TCP/IP vs. IPSec
>>>> und was mach ich mit dem Wissen dann?
>>> Ich weiß wie wackelig das ganze ist und warum ich mich überhaupt schützen soll (v.a. für die, die noch kein Threat Model haben).
>>> Meine These ist ja, dass viele das nicht interessiert, weil sie gar nicht wissen wie viele Angriffsvektoren existieren und was nicht alles angegriffen werden kann (nämlich alles).
>> Wenn sie zu ner CryptoParty kommen, interessiert sie das. Und die
>> meisten gehen davon aus, dass alles mitgelesen werden kann, und
>> vielleicht auch wird, und wollen lernen, wie man zumindest Teile davon
>> verschlüsseln kann.
> Du widersprichst dir da jetzt. Weiter oben schreibst du selbst "Die meisten Leute wollen halt keine Details.“
> Wie soll ich denn wissen wovor ich mich schützen soll? Ich kenne immer noch Leute die glauben mit einer Firewall wären sie sicher vor Viren. Und solche Irrglauben entstehen, wenn man eben nur Gegenmittel angeboten bekommt ohne zu wissen wofür sie gut sind und in welchem Umfang sie wirken. Ich nenne diese Haltung daher auch „Computer-Esoterik“. Und wir sollten aufpassen, dass wir nicht sowas bekräftigen.
>
>>>>>     * DNS vs. DNSSec --> DNS Manipulation
>>>> und was mach ich mit dem Wissen dann?
>>> Auch hier sieht man wie fragil das ganze ist.
>> Aber was _mache_ ich dann mit dem Wissen?
> Das was man halt mit allem Wissen macht ;)
>
>> Die Leute kommen zu der CryptoParty, weil sie schon verunsichert sind,
>> dann erzählst du ihnen Dinge, die sie noch mehr verunsichern, und dann
>> sagst du ihnen, dass sie da einfach nix machen können?
> Auch das ist ein wunder Punkt bei mir:
> Meiner Meinung nach gibt es keine praktische Sicherheit, schon gar nicht in der Informationstechnik. Das Gegenteil zu vermitteln ist fast schon grob fahrlässig, weil sich die Leute dann in falscher Sicherheit wähnen. Selbst Open Source Software hilft nicht viel, wenn die Hardware kompromittiert ist bzw. werden kann (wovon man heutzutage größtenteils ausgehen kann - aber das gehört eher in die Aluhut/FUD-Ecke...).
>
> Ich sage das nicht, weil es die Leute verunsichern soll, sondern weil ich sie motivieren möchte das vor allem politisch bzw. durch Umdenken anzugehen z.B. von Herstellern offene Hardware/Software oder mindestens regelmäßige (Firmware-)Updates zu fordern.
> Meiner Meinung nach ist das DIE Gelegenheit den Leuten das Wissen in die Hand zu geben, um sich damit auseinandersetzen zu können und mit informierter Meinung konkrete Forderungen in ihrem Alltag mit Technik an Hersteller, die Gesellschaft usw. stellen zu können.
>
>>
>> Ich hoffe die Härte/Vehemenz meiner Kommentare hält sich in erträglichen
>> Grenzen. Ich mach die Sache halt schon ne Weile und hab immer Angst,
>> dass die Leute, dieselben Fehler wie ich machen, und zumindest bei mir
>> war der Lernprozess schmerzhaft...
> Die Vehemenz ist stellenweise erkennbar, aber das ist bei mir sicher nicht anders ;)
> Und spricht doch nichts gegen eine gute konstruktive Diskussion, die wir hier meiner Meinung nach haben!
> Wir sind halt nur ziemlich schnell von Organisationsdiskussion bei Grundsatzdiskussion gelandet - oder in einem Meme ausgedrückt: „That escalated quickly“ ;P https://giphy.com/gifs/ToMjGpjpXMFPshSYGLm/html5
>
> Ich für meinen Teil finde es großartig, dass du dir so viel Zeit nimmst und mit einem quasi Fremden bzw. dieser kleinen frischen Mailingliste über ein gemeinsames Thema diskutierst :)
> Danke dafür!
>
> Gleichfalls liebe Grüße
> Martin




Mehr Informationen über die Mailingliste cryptoparty