[CryptoParty-FL] Re: Kommentare zum Pad

malte at wk3.org malte at wk3.org
Mo Nov 7 06:52:12 UTC 2016


Quoting Martin Müller (2016-11-05 13:24:51)
> > Am 04.11.2016 um 15:30 schrieb malte at wk3.org:
> > Quoting Martin Müller (2016-11-04 14:01:25)

[Der Begriff „Einführungsveranstaltung“ im Kontext CryptoParty]

> > Die Leute kommen schon freiwillig zu der CryptoParty,
> > sie sind schon motiviert.
> Stimmt, aber jeder hat seine eigenen Gründe.

Aber?


> >> Die Einführungsveranstaltung sollte auch den groben Rahmen abstecken, um zu sehen wie viele Leute überhaupt kommen, welches Niveau sie erwarten und ob man das wiederholen möchte.
> > 
> > Hm. Ne. Dann verstehst du glaube ich auch eine CryptoParty falsch.
> > Eine CryptoParty ist _immer_ eine Einführungsveranstaltung.
> Dann verstehe ich das vielleicht wirklich falsch :(

Ich zitier mal von der CryptoParty-Webseite:

> CryptoParties are open for everyone but especially for people wanting
> to protect their privacy online but not knowing how yet,

> Sadly, many people don't consider themselves able to process it and
> don't even start. That's what we want to change. Take away the fear of
> cryptic and technical things (two properties inherent to cryptographic
> tools) so they can continue educating themselves and others. 


> >> Das ist auch ein Punkt, der für eine Einführungsveranstaltung spricht, da kann man das auch nochmal deutlich machen.
> > 
> > Für wen?
> Für die Gäste, dass sie sich je nach Kompetenz gerne einbringen können bis hin Aufgaben selber zu übernehmen.

Still a CryptoParty. Hier in Berlin veranstalten wir alle zwei Monate
zusätzlich ein Train-the-Trainers, aber das ist eher optionaler Natur,
und hat sich auch erst nach Jahren regelmäßiger CryptoParties etabliert.


> > Diese ganzen hardware-basierten Sachen sind meistens (immer?) proprietär
> > und sowieso nicht so richtig self-proliferating, d.h. meiner Meinung
> > nach nichts für CryptoParties.
> Proprietät ist ja nicht zwangsläufig schlecht, sonst könnte man mit dem gleichen Argument die hier erwähnten Bordmittel (FileVault, BitLocker etc.) auch nicht auf CryptoParties bringen. Man muss die Implikationen nur klar vermitteln.

Naja, wir sagen „Wenn du schon ein MacOSX hast, und gerade noch keinen
Bock oder nicht die Möglichkeit auf Linux umzusteigen, dann mach den
Haken bei FileVault.“, aber wir würden nicht sagen „Kauf dir einen Mac,
damit du den Haken bei FileVault setzen kannst.“.

Wir empfehlen keine proprietären Dinge, aber wir arbeiten damit.


> > Welche gängige Hardware kann das denn?
> Viele „moderne“ SSD und häufig auch viele andere neuere Flash-Speichermedien wie USB-Sticks.

Ok. Musst du mir dann mal zeigen, weil ich das dann bislang übersehen
habe...


> >> Die Frage ist nur wie sehr man dem traut (da ja nicht offen!) usw. - da muss man halt anders ran gehen (aber auch hier abhängig vom Threat Model).
> > 
> > Und wie praktisch die Anwendbarkeit ist. FileVault und encryptfs sind
> > beispielsweise praktisch, weil die Daten mit demselben Passwort
> > aufgemacht werden, mit dem man sich am Computer anmeldet.
> Klar, das ist oft eine Frage der Konfiguration. Bei H/W basierter Verschlüsselung muss man teilweise sogar gar nichts machen, daher werden die auch oft als Self Encrypting Drive (SED) bezeichnet (wobei ein eigenes Passwort durchaus sinnvoll ist).

Häh? Aber wenn ich gar nichts machen muss, dann muss auch die Dieb:in
nichts machen, oder?


> (Ich nehm’ ungern das D[arknet]-Wort in dem Mund...)

…womit du nicht die einzige Person bist. Tor diskutiert ja auch
verschiedene Nomenklaturen wie Onion Space, Onion Service, etc.

> An der Stelle ist evtl. auch IPFS interessant.

…und Zeronet, und SecureScuttleButt, und Tahoe-LAFS, und viele mehr, die
meiner Meinung nach aber alle out-of-scope für CryptoParties sind.


> >>>> TCP/IP
> >>> Bitte nur implizit.
> >> Auch hier ist der Fakt für Einsteiger interessant, dass eigentlich nur ein Zahlenhaufen durch eine Leitung geschickt wird und nur aufgrund der Tatsache, dass man sich auf eine mögliche Interpretation geeinigt hat, da auch tatsächlich was in dem Maß gemacht werden kann wie wir es heute tun.
> > 
> > Dann weißt du mehr über die Einsteiger (und Einsteigerinnen?) als ich.
> So war das nicht gemeint - eher im Sinne von "Fun Fact“.

Fun Fact: Es hängt sehr vom Publikum ab, was Fun ist (-;


> >>>> DNS
> >>> Wenn's reinpasst.
> >> Internet ohne DNS erklären?
> > 
> > Ja. Wenn du gerne über DNS rantest, setz ich mich aber gerne dazu (-;
> Ich wollte nicht darüber ranten, sondern meinte, dass man das Internet schlecht ohne DNS erklären kann.

Es kann aber auch sein, dass DNS gerade eine Tangente, die man auch
hätte weglassen können, zuviel ist.


> >> Wie bereits erwähnt: Das ist der Tisch mit Detailwissen zur Funktionsweise des Internet ;)
> > 
> > Die meisten Leute wollen halt keine Details. Was auch heißt, dass es
> > einige Leute gibt, die Details wollen, aber das sind dann meistens
> > 1-on-1-Situationen so zwischen 23:30 und 02:30, d.h., wenn die meisten
> > Leute schon (zufrieden) nach hause gegangen sind.
> Jetzt hast du glatt einen wunden Punkt erwischt, weil ich das echt Schade finde - aber natürlich auch verstehen kann.
> Einige Dinge gehen IMHO nicht ohne gewisse Details: Ich kann z.B. (noch ;D) nicht Auto fahren wollen ohne Ahnung von den Verkehrsregeln zu haben und mich grundlegend mit Autos auszukennen (Stichwörter: Lenkrad, Gas, Bremse und ggf. Kupplung/Schaltung usw.).

Fun Fact: Die meisten Leute fahren schon Auto, haben ungeschützten
Geschlechtsverkehr, und waschen ihr Geschirr in der Kloschüssel
(Healthcare-Metaphern funktionieren meiner Meinung nach besser im
IT-Sicherheitskontext).

Ich kann den wunden Punkt gut nachvollziehen, und deswegen ist es
vielleicht insbesondere gut, darüber zu schreiben.

CryptoParties sind für mich zum größten Teil emotionale Arbeit,
alles andere sind technische Details.

Setting the scene, breaking down walls.


> Man braucht aber gewisse Grundlagen, um wenigstens an der Diskussion teilhaben zu können oder um mindestens für sich die berühmten „informierten Entscheidungen" treffen zu können.

Ja. Und manche Menschen möchten nicht über alles diskutieren, und
wählen/entscheiden aus dem Bauch. Informierte Entscheidungen an sich
sind schon ein Spektrum. Mir reicht es vielleicht schon zu wissen, dass
Julia Reda gegen TTIP und CETA ist, ohne auch nur einen Hauch darüber zu
wissen, was in den jeweiligen Abkommen drinsteht, oder wie
internationale Abkommen überhaupt grundlegend funktionieren.


> Meine Idee ist es die Dinge eher zu „entzaubern“. Mal ein Telnet Prompt aufmachen, den Leuten zeigen, dass HTTP im Grunde nur simple (lesbare!) Befehle sind und eine Konversation zwischen Client und Server stattfindet und die Antwort ebenfalls lesbar ist. Popeliger Text. Bei TCP ein paar aneinander gereihte Zahlen, für die man sich ein Format ausgedacht und darauf geeinigt hat. Mehr nicht.

Ja. Das kann funktionieren, wenn die Leute verstehen, was du da tust,
wenn du einen Telnet-Prompt aufmachst, und zwischen der ganzen Syntax
den popeligen Text entdecken können.

> Der nächste Punkt ist: Diese Dinge sind nicht alle in Stein gemeißelt oder gottgegeben. Das ist wichtig, um verstehen zu können, dass wir das Ändern können und da reicht oft schon der bloße Willen der breiten Masse. Aber da muss es erstmal ankommen.

Ich weiß nicht. Ich glaub das funktioniert nicht so wie bei Sinnlos im
Weltraum (Episode 6, 04:10,
http://www.sinnlosimweltraum.com/sinnlos-im-weltraum-episode-6-der-uberlaufer-remulaner_89f6313aa.html)

> V.a. erhoffe ich mir durch diese Herangehensweise vielen vielleicht diese (Ehr-)Furcht und Ohnmacht vor Technik, die für manche vielleicht angsteinflößend ist, zu nehmen.

Da muss man halt super-vorsichtig sein. Wenn du die Leute mit ihren
Ängsten konfrontierst, musst du auch bereit sein, sie aufzufangen und
soweit mit ihnen zu gehen, dass sie am Ende mit weniger Angst nach hause
gehen als sie gekommen sind.


> > Nicht, dass man es _nicht_ behandeln kann oder sollte. Ich hab auch
> > schon mal auf einer CryptoParty mit den Leuten in den Sourcecode einer
> > Webseite geschaut. Aber das sind dann spezielle Umstände und spezielle
> > Interessen, und ich würde es nicht als Stichpunkt listen.
> Ich verstehe vollkommen deine Herangehensweise, aber glaubst du es wäre falsch es mal von der vereinfachten technischen Seite anzugehen?
> Wie bereits erwähnt, ich hab die Idee, dass es nach dem oben genannten Prinzip des „Entzauberns“ auch funktionieren kann.

Ja. Kann funktionieren. Und CryptoParties sind auch dazu da, Dinge
auszuprobieren. Aber wenn man Traumata durch weiteres Trauma behandeln
will, sollte man wissen, was man tut (so wie Chirurg:innen in der Regel
nur Menschen aufschneiden, wenn sie sich sehr sicher sind, dass durch
das Aufschneiden der Gesamtzustand am Ende verbessert wird, und wenn sie
für die Prozedur geschult sind).

Das klingt jetzt vielleicht überdramatisierend, aber auf CryptoParties
hast du sehr viele Leute, denen in ihrer Vergangenheit so Sachen gesagt
wurden, wie, dass sie Technik nicht zu interessieren hat, dass sie
sowieso zu dumm dafür sind, o.ä., bis hin zu Menschen mit konkreter,
harter, pathologischer Paranoia.

Und während letztere recht leicht auszumachen sind, sitzen die ersteren
vielleicht einfach nur still und aufmerksam in der Ecke, gehen nach ner
Stunde zuhören nach hause, und kommen nie wieder.

Und es ist nicht deine oder irgendjemandes Aufgabe, diese Leute
mitzunehmen, aber es wäre meiner Meinung nach auch schade, es nicht zu
tun – umso mehr, wenn es aus Versehen wäre.



> >>>>             * hybride Verschlüsselung
> >>> kann, muss aber in der Regel nicht
> >> Der Punkt ist aber für PGP/GPG-Interessierte besonders relevant.
> > 
> > Ja?
> Nicht?

Ich weiß nicht, manchmal fragt jemand nach, ob die verschlüsselten Daten
denn nicht riesig werden, wenn sie an viele verschiedene Empfänger:innen
verschlüsselt werden, aber die meisten sind einfach froh, wenn es
funktioniert.


> > Da ist jetzt die Frage, ob man es für unverantwortlich hält, den Leuten
> > eine Ausrede zu geben, Flash installiert zu lassen, oder die Leute mit
> > installiertem Flash nach hause gehen zu lassen <-:
> Wir sind uns da einig, dass das weg muss.
> Das Problem ist, dass man zumindest für diesen Fall keine universelle Alternative hat. Man kann zumindest Hoffnungen schüren, dass es entweder eine geeignete neue Schnittstelle gibt, oder gebaut werden kann (vll. sogar mit WebRTC?) oder das Alternativen wie HLS häufiger eingesetzt werden.
> Man kann ihnen das alles vermitteln und die Entscheidung obliegt dann jedem einzelnen. Das muss man halt aushalten ;)

Jepp.


> >>>>     * TCP/IP vs. IPSec
> >>> und was mach ich mit dem Wissen dann?
> >> Ich weiß wie wackelig das ganze ist und warum ich mich überhaupt schützen soll (v.a. für die, die noch kein Threat Model haben).
> >> Meine These ist ja, dass viele das nicht interessiert, weil sie gar nicht wissen wie viele Angriffsvektoren existieren und was nicht alles angegriffen werden kann (nämlich alles).
> > 
> > Wenn sie zu ner CryptoParty kommen, interessiert sie das. Und die
> > meisten gehen davon aus, dass alles mitgelesen werden kann, und
> > vielleicht auch wird, und wollen lernen, wie man zumindest Teile davon
> > verschlüsseln kann.
> Du widersprichst dir da jetzt. Weiter oben schreibst du selbst "Die meisten Leute wollen halt keine Details.“
> Wie soll ich denn wissen wovor ich mich schützen soll? Ich kenne immer noch Leute die glauben mit einer Firewall wären sie sicher vor Viren. Und solche Irrglauben entstehen, wenn man eben nur Gegenmittel angeboten bekommt ohne zu wissen wofür sie gut sind und in welchem Umfang sie wirken. Ich nenne diese Haltung daher auch „Computer-Esoterik“. Und wir sollten aufpassen, dass wir nicht sowas bekräftigen.

Ja. Nein. Ich widersprech mir nicht. Wenn die Leute schon motiviert
sind, aber nicht wissen, was sie tun können, dann ist Wissen, dass sie
zwar noch mehr motivieren könnte, ihnen aber auch keine
Handlungsoptionen bietet, eher frustrierend/demotivierend.

Dass man Firewalls und Antivirensoftware entzaubern sollte, ist keine
Frage, aber wir waren gerade beim Thema *TCP/IP vs. IPSec*, oder?


> >>>>     * DNS vs. DNSSec --> DNS Manipulation
> >>> und was mach ich mit dem Wissen dann?
> >> Auch hier sieht man wie fragil das ganze ist.
> > 
> > Aber was _mache_ ich dann mit dem Wissen?
> Das was man halt mit allem Wissen macht ;)

Ja, keine Ahnung, sag es mir halt.


> > Die Leute kommen zu der CryptoParty, weil sie schon verunsichert sind,
> > dann erzählst du ihnen Dinge, die sie noch mehr verunsichern, und dann
> > sagst du ihnen, dass sie da einfach nix machen können?
> Auch das ist ein wunder Punkt bei mir:
> Meiner Meinung nach gibt es keine praktische Sicherheit, schon gar nicht in der Informationstechnik. Das Gegenteil zu vermitteln ist fast schon grob fahrlässig, weil sich die Leute dann in falscher Sicherheit wähnen. Selbst Open Source Software hilft nicht viel, wenn die Hardware kompromittiert ist bzw. werden kann (wovon man heutzutage größtenteils ausgehen kann - aber das gehört eher in die Aluhut/FUD-Ecke...).
> 
> Ich sage das nicht, weil es die Leute verunsichern soll, sondern weil ich sie motivieren möchte das vor allem politisch bzw. durch Umdenken anzugehen z.B. von Herstellern offene Hardware/Software oder mindestens regelmäßige (Firmware-)Updates zu fordern.
> Meiner Meinung nach ist das DIE Gelegenheit den Leuten das Wissen in die Hand zu geben, um sich damit auseinandersetzen zu können und mit informierter Meinung konkrete Forderungen in ihrem Alltag mit Technik an Hersteller, die Gesellschaft usw. stellen zu können.

Ok. Aber dann musst du keine CryptoParty, sondern Workshops zu den
Themen
„Wie schreibe ich wirksame Briefe an Hard- und Software-Hersteller?“,
„Wie trete ich einer Partei bei und gestalte deren Wahlprogramm mit?“,
„Wo ist die nächste Ortsgruppe des Digitalcourage e.V.?“
geben.


Und, dass es keine praktische Sicherheit gibt... Keine Ahnung: Hack mich!

(Das geht auch an den Rest der Mailingliste: Hackt mich und schickt mir
eine eMail, die mit meinem PGP-Key signiert wurde, oder schickt mit
meine vergangenen/kommenden zwei Wochen Browser-History!)


> Ich für meinen Teil finde es großartig, dass du dir so viel Zeit nimmst und mit einem quasi Fremden bzw. dieser kleinen frischen Mailingliste über ein gemeinsames Thema diskutierst :)
> Danke dafür!

Cool. Dito!


Liebe Grüße,

Malte


Mehr Informationen über die Mailingliste cryptoparty