====== Verschlüsselungsworkshop ====== Idee: Verschlüsselungsworkshop für Interessierte da das Thema gerade dank PRISM und TEMPORA wieder sehr aktuell ist. Es folgt die - stichwortartige - Sammlung von Themenbereichen und Inhalten die man in einem Verschlüsselungsworkshop ansprechen kann oder sollte. Die eigentlichen Themen müssen noch weiter ausgearbeitet werden, und die endgültige Auswahl der Themen gegebenenfalls jeweils an den konkreten Vortrag bzw das Publikum angepasst werden. ===== Durchführung/Planung ===== Passwort Sicherheit: Auf Flyer von Asta/c't verweisen. - Beispiele(konkret) warum sich verschlüsseln lohnt Theoretischer Teil(max: 1h, eher 30min) * Allgemeine Einführung Asymmetrisch / Symmetrische Verschlüsselung / Cäsar/Rot13 (Nerdgirl) * Metadaten(Stu) Hierbei Erwähnen: Komfort vs Sicherheit und Spenden für Tools & Diszipliniertes verhalten Erwähnen Praktischer Teil(~3h) - PGP/Enigmal + Thunderbird (sand) - Tor + httpseverywhere (Amnethyst) - OTR/Jabber (ands) - Dropbox/boxcryptor (stu) Organisation * Hand-Out erstellen * Warpzone Vorlage für Präsentationen erstellen(Libreoffice o.ä.) (laura / phryk) * Flyer erstellen * Doodle für nächsten Termin (stu) * Folien und ähnliches im git einchecken Das Git findet sich im [[https://gitlab.warpzone.ms/presse/cryptoworkshop|Gitlab]] Idee * Thema an Schulen bringen ===== Aufbau ===== * Theoretischer Teil unterteilt in (allgemeine) Einführung und die verschiedenen Bereiche. Jeder Teil sollte weit verbreitete Software vorstellen, auf möglicherweise vorhandene Probleme hinweisen und möglichst eine sichere Alternative vorstellen. * Praktischer Teil: Hilfe beim Installieren von ausgewählten Programmen. * Anpassen der Themenbereichen während des Vortrags (Umfragen wer etwas nutzt) oder auch schon vorher (z.B: Vortrag an Uni; mehr SozialeNetze/Cloud/IM, BürgerNetz, mehr Email etc.) ===== Allgemeiner Teil ===== * Zitate von Snowden/Manning etc. * Beispiel um zu zeigen, wie man in den Fokus geraten kann: unkommentiert nach Begriffen suchen --> "Fehl"schlüsse sammeln --> Erläutern weshalb/wonach man wirklich suchte * Schocken: z.B: Mitschneiden von unverschlüsselten Mails per Wireshark, Ethercap mitlaufen lassen, Firesheep, etc. * Plausible Deniability(Truecrypt/OTR(?)/..) * Asynchrone/Synchrone Verschlüsselung * Bestandsdatenauskunft [[http://www.heise.de/newsticker/meldung/Neuregelung-zur-Datenweitergabe-an-Ermittler-tritt-in-Kraft-1908850.html|s. heise]] ===== Kommunikation ===== ==== Email ==== * PGP / Enigmail (Dezentral) - including: Keysigning-party, Quellen für Anleitung: [[http://www.metronaut.de/2013/06/jetzt-mailverschlusselung-einrichten-eine-anleitung/|Metronaut]] * MIME (selbe Problem wie bei SSL) * Negativbeispiel: DE-Mail - keine Ende-zu-Ende Verschlüsselung * Anonymer Briefkasten? ==== Instant Messaging ==== * Jabber / OTR * Whatsap / Alternativen(Threma?) ==== VOIP ==== * Skype [[http://www.heise.de/security/meldung/Vorsicht-beim-Skypen-Microsoft-liest-mit-1857620.html|Vorsicht beim Skypen - Microsoft liest mit]] * Alternativen? ==== anonyme Kommunikation ==== * toter USB-"Briefkasten", Dead Drops ===== Soziale Netze ===== * Facebook * G+ * Twitter * Grundsatzfrage: Klar machen was man online stellt. Bewust alles (an solchen Orten) öffentlich stellen. * Beispiel: (Deutsches) Au-Pair wird an Amerikanischer Grenze nach Hause geschickt nach (schwarz)Arbeit Verabredung über Facebook * Alternativen? Eher nicht ===== Cloud(Services) ===== * Dropbox etc. * Boxcrypter/TrueCrypt o.ä. * selber hosten? -> Private Cloud z.b. owncloud o.ä.? nur kurz * Schnitstelle zum Anzapfen direkt eingebaut -> Beispiel Microsoft ===== Metadaten ===== * Implikationen? * Beispiel: Malte Spitz -> Handy-Bewegungsdaten siehe [[https://netzpolitik.org/2012/neue-verkehrsdaten-von-malte-spitz-vorratsdatenspeicherung-geht-auch-ohne-gesetz-weiter/|Netzpolitik]] und [[http://www.zeit.de/datenschutz/malte-spitz-vorratsdaten/|Zeit.de Visualisierung]] [[https://netzpolitik.org/2013/verbindungsdaten-verraten-geheime-cia-operation-aus-dem-jahr-2003-in-italien/|Artiekl wie CIA Agent mithilfe von MetaDaten geschnappt werden]] * Vermeidung quasi nicht möglich ===== WWW/Surfen ===== * TOR * VPN/Proxy * CCC Anonymizer (Ähnlich TOR? -> Stuc fragen) ===== Passwörter ===== * Datenbank/Keepass * Auswahl des Passworts/Wie Merken?/Was ist ein sicheres Passwort?/Nie dasselbe Passwort auf mehreren Seiten nutzen! * Artikel in der c't [[http://www.heise.de/security/artikel/Passwort-Schutz-fuer-jeden-1792413.html|Passwort Schutz für jeden]] ===== Ausführung: physische Sicherheit ===== * Schlüssel * Keylogger * Vollverschlüsselung * ... ====== Quellen ====== * [[https://github.com/cryptoparty/handbook|Cryptoparty Handbuch]] und [[https://github.com/Annskaja/CryptoParty|Flyer]] als Mögliche Quelle via ML sowie [[http://www.cryptoparty.in/index]] auch gut [[https://securityinabox.org/en/|Security in a box]] * Software: [[http://prism-break.org/|Übersicht von Software und freien alternativen]] sowie [[http://alternativeto.net/|Suche nach alternativen zu bekannter Software]]