Cryptoparty: Unterschied zwischen den Versionen

Aus C3D2
Wechseln zu: Navigation, Suche
(Präsentation)
(Präsentation)
Zeile 51: Zeile 51:
 
* [https://github.com/nomaster/cryptoparty-keynote github.com:nomaster/cryptoparty-keynote]
 
* [https://github.com/nomaster/cryptoparty-keynote github.com:nomaster/cryptoparty-keynote]
 
*: Inhaltlich nicht geprüft!
 
*: Inhaltlich nicht geprüft!
* [XR Cryptoparty](https://hackmd.c3d2.de/XRITprep#)
+
* [https://hackmd.c3d2.de/XRITprep# XR Cryptoparty]
  
 
== Themen ==
 
== Themen ==

Version vom 17. Juli 2019, 22:33 Uhr

Kryptografie ist manchmal kein einfaches Thema. Es gibt viele Themen aus dem Bereich, die leider oft nicht in ausreichender Tiefe verstanden werden, um die vorhandenen Werkzeuge anzuwenden.

Im C3D2 werden Dinge, wie OpenPGP/S/MIME, TLS (auch mit CAcert), Festplattenverschlüsselung, aktuelle Messaging-Lösungen mit u.a. OTR und vieles Weitere praktiziert, gelehrt und gar gepredigt. Wir legen dabei Wert auf Freie Software und offene Standards.

Wenn ein Mensch mal nicht weiter weiß, gibt es andere hilfsbereite Menschen. Und genau darum geht es bei Cryptopartys.

einzelne Veranstaltungen

Veranstaltende in Dresden

Bisher fanden in Dresden Cryptoparties und angelehnte Veranstaltungen statt bei:

Wir freuen uns auf weitere!

Organisation

Hinweis zu diesem Abschnitt

Es sollen Hinweise zur Organisation einer Cryptoparty beim C3D2 gegeben werden.

Allgemeine Hinweise zur Organisation einer Cryptoparty sollten bei https://www.cryptoparty.in/organize/howto (oder ähnliche Seite von der von dieser Seite hier verwiesen wurde) dokumentiert werden.

Im Falle von größerem Umfang kann daraus ein eigenständiger Artikel Cryptoparty/Organisation entstehen.

Zusammenwirken

Datenschutzbeauftragte

am Beispiel chaosdorf[2]

Organisation Siehe auch

Präsentation

Themen

Kryptographie kann in schlichter Art der Steganographie - wie eine Geheimschrift - das Lesen durch Mitmenschen erschweren. Um aber gegen die Automatisierung in Staatsapparaten und Weltkonzernen seine Privatsphäre zu schützen, bedarf es wirksamer Verschlüsselung. In den folgenden Abschnitten sollen Technologien der letzteren Kategorie mit ihren Anwendungsgebieten benannt werden und als Starthilfe für Interessierte dienen.

Bedeutung von offenen Standards

Gemäß Kerckhoffs’ Prinzip ist ein geheimer Standard keine Grundlage für Sicherheit.

Geheimnisse von Zweien kann eine dritter Stelle nicht überprüfen, ohne eingeweiht zu sein. Wenn die Dritte aber die Technologie nicht überprüfen und damit auch nicht verstehen kann, hat sie keine Grundlage für Vertrauen.
Wenn nun wiederum das Vertrauen darin fehlt, gibt es auch keinen guten Grund für den Einsatz der Technologien.

Vertraulichkeit beruht aber auf Geheimnissen. Das Geheimnis wird daher durch Schlüssel austauschbar und der Standard kann offen gelegt werden. Sobald ein Schlüssel verloren oder nicht mehr geheim ist, kann das zugehörige Schloss nach dem gleichen Standard ausgetauscht werden.

Informationsparadigma

"Das Internet vergisst nicht!"

Jede Information, die wir heute im Netz teilen, wird bestehen bleiben. Wahrscheinlich werden wir selbst zeitnah nicht mehr darauf zugreifen können, aber wir sollten davon ausgehen, dass andere es weiterhin können.

Warum ist das so? Ganz einfach: Informationen werden auf dem Weg von einer sendenden Person A an eine empfangende Person Z auf allen Zwischenstationen - zumindest kurzfristig - gespeichert. Aber wie und wie lange gespeichert wird, kann weder A noch Z ernsthaft kontrollieren. Daher werden wir auch nur sehr bedingt darin vertrauen können, dass ein "gesprochenes Wort" im Internet so flüchtig ist wie das Gespräch in einer altmodischen Bar in der selbst der lauschende Barkeeper schon am nächsten Morgen nur noch Teile des Gehörten erinnern kann.

Verschlüsselung

In Zeiten der Vollautomatisierung sind offene Daten bares Geld. Große Konzerne verdienen weltweit wahnwitzige Milliardensummen mit offenen Daten. Nicht nur mit Fakten und z.B. durch Steuermittel finanzierte Arbeitsergebnisse. Auch nicht nur gemeinfreie Werke oder Werke deren Schutzrechte abgelaufen sind, sondern vor allem Daten über Personen und ihr Verhalten.

In der Informationsgesellschaft ist es richtig und wichtig möglichst viel über die Welt erfahren zu können und einen offenen Austausch zu gestalten. Aber wenn es um die Überwachung und Ermöglichung der Steuerung geht, sollten wir alle ein Interesse haben den Einfluss Anderer auf uns zu minimieren - gleich ob das "nur" durch Werbung oder durch Filterung von Informationen die wir abfragen geschieht oder sogar denkbare organisatorische Maßnahmen wie z.B. no-flight-listen.

Wenn also offene Informationen über unsere Kommunikation und unser Verhalten schädlich sein können, müssen wir ein Interesse daran haben, nicht-offen zu kommunizieren. Und nur die gewünschten Kommunikationspartner·innen· sollen gezielt Zugriff erhalten.

Verschlüsselung von E-Mail

E-Mail ist das Hauptkommunikationsmittel in der Informationsgesellschaft. So wie heute so gut wie Jede·r· der in Deutschland arbeitet ein Bankkonto hat um das Gehalt zu empfangen und den stattlichen Verpflichtungen nachzukommen, hat auch beinahe Jede·r· einen Mail-Account, um sich u.a. im www erreichbar zu machen.

Es wird nicht nur Post zugesendet, auch Authentisierungen für die Erreichbarkeit werden damit durchgeführt. Viele Services im Web bedingen zuvor eine Erreichbarkeit per E-Mail.

Und die meisten Services senden E-Mails komplett offen. Egal ob daran Geheimnisse oder sensible Informationen transportiert werden wie Passworte, personenbezogene Daten, Geschäftsdaten oder gar intimste Details, wie Gesundheitsdaten oder Finanztransaktionen.

PGP

Der Erfinder von PGP hat bereits von einer gefühlten Ewigkeit wunderbar zusammen gefasst, Why do you need PGP? (Warum brauchst du PGP?) (deutschsprachige Fassung Warum eigentlich PGP benutzen?), warum es dazu kam und warum jede Person ein Interesse daran haben sollte.

Die Anleitung der FSF (auch als deutschsprachige Fassung) ist eine sehr schöne Einführung in die Nutzung von PGP am Beispiel eines freien Mail-Clients mit Erweiterungen aus Freier Software.

S/MIME

Der Industriestandard ist leider in der Wirtschaft noch unumgänglich. Das Protokoll basiert auf einer hierarchischen Infrastruktur (siehe #X.509) und widerspricht in diesem Punkt den Idealen der Hackerethik.

Um Nutzer·inne·n ein Verständnis dafür zu vermitteln sowie die Kontrollzwänge von Verantwortlichen aus Politik und Wirtschaft zu mildern, wird dennoch die Funktionsweise erklärt.

Verschlüsselung von Sofortnachrichten

OTR
PGP
OMEMO

Verschlüsselung von Datenträgern

LUKS
Truecrypt
geom_eli
ZFS-Native

http://open-zfs.org/wiki/ZFS-Native_Encryption

Verschlüsselung beim Surfen

Wie kann direkte Zuordnung zu meiner Person vermieden werden?

Anonymität vs. Pseudonymität

Anonym ist man dann, wenn man nicht angesprochen werden kann. Das heißt auch, es gibt keinen Namen mit dem referenziert werden und keine Adresse an die eine Antwort direkt und unmittelbar übermittelt werden könnte.

Da Anonymität die genannten Nachteile mit sich bringt, ist es gängige Praxis mit Pseudonymen zu arbeiten. Hierdurch wird eine reale Person weiterhin durch Verschleierung geschützt, kann aber adressiert werden.

Netzwerke

Standards

OpenPGP

Inhalte
Siehe auch
https://ssl.webpack.de/www.openpgp-schulungen.de/inhalte/

OTR

TLS

LUKS

VPN

SSH

TOR

X.509

Siehe auch

Weblinks

Einzelnachweise

  1. pentapad:20150122-cryptoparty-ifsr
  2. https://chaosdorf.de/2014/08/cryptoparty-im-ldi/