CypherPunks

CypherPunks setzen sich für die vermehrte Benutzung von Kryptographie ein, um soziale und politische Änderungen zu bewirken. Sie wollen Privatsphäre und Vertraulichkeit der Kommunikation schützen.

Thema des Workshops / der Treffen sind daher Kryptographie (Grundlagen, Tools, praktische Erfahrungen), andere Methoden zum Schutz der Privatspäre / Vertraulichkeit, etc.

Links:

Mailingliste

Die Mailingliste ist oeffentlich und wird archiviert.

Termin

Alle 2 Wochen regelmaessig Sonntag 19:00 (shackspace, Ulmer Str. 255, Stuttgart-Wangen).

Nächster Termin: 30.8.2015

  • Themen: ad-hoc

Auf Wunsch ad-hoc immer möglich: PGP/GPG-Keysigning („GPG-Visitenkarten“ + Ausweis mitbringen).

Vorherige Termine

  • 16.8.2015
    • Themen ad-hoc
  • 2.8.2015
    • Themen ad-hoc
  • 19.7.2015
    • Themen: keybase.io, best practises neuer GPG-Key
    • Zusammenfassung: keybase.io ist eine Kombination aus Keyserver und sozialem Netzwerk. Man kann dort seinen PGP-Key hosten, wie auf einem klassischen Keyserver. Darüber hinaus kann man dem Key verschiedene Identitäten (Twitter, Github, Webseite, …) bescheinigen lassen. Man kann dazu ein in Javascript geschriebenes CLI-Tool verwenden. Wenn man dem nicht traut, kann man auch alles mit echo, gpg, perl, curl erledigen. Die entsprechenden Kommandos bekommt man von der keybase-Webseite. Umstritten ist die Möglichkeit auch seinen privaten Key dort zu hosten. Man bekommt dann für Signierungen und Entschlüsselungen den Key in den Webbrowser geliefert und kann ihn mit seiner Passphrase freischalten. Entschlüsselung/Signatur erfolgt dann im Browser in Javascript. Kann Vorteile haben, weil man dann alles mit der Webseite machen kann und nicht einmal mehr das CLI braucht. Eventueller Kompromiss: Nur einen Key für casual communication (Regenjacke) dort hosten. Für sensiblere Kommunikation einen weiteren besser gesicherten Key haben (Himalaya-Ausrüstung).
    • Fazit: ziemlich charmantes Projekt. Man kann auf ihm PGP-Keys von Leuten suchen, von denen man nur den Twitter-Account kennt und sich dann sicher sein, dass auch wirklich die Person mit dem Twitter-Account dahinter steckt.
    • Mein keybase-Profil: http://keybase.io/johmue; wer noch einen Invite braucht, kann sich bei mir melden. E-Mailadresse findet ihr, wenn ihr euch auf keybase meinen PGP-key holt. Dort stehen meine Mailadressen drin :)
  • 5.7.2015?
    • ?
  • 21.6.2015
    • Themen ad-hoc
  • 7.6.2015
    • Themen ad-hoc
  • 24.5.2015
    • Themen ad-hoc
    • logjam ssl/tls sicherheitsproblem
  • 10.5.2015
    • no-spy Konferenz
    • diverses ad-hoc
  • 26.4.2015
    • Themen ad-hoc
  • 12.4.2015
    • Themen ad-hoc
    • easterhegg 2015
    • attic crypto design bug (fixed)
  • 29.3.2015
  • 15.3.2015
    • Themen ad-hoc
  • 1.3.2015
    • lenovo und der superfish, ab hersteller installierte malware
    • gemalto hacked, chipkarten-gau
    • enigmail:
      • „sent“ mail unverschluesselt - wo ist das encrypt-to-self setting geblieben in 1.7.2?
      • draft?
      • komfort-modus?
      • revocation cert
      • email-roundtrip bei key auf ks hochladen - gibt's das? flag „nomodify“?
    • mailbox.org
    • verschluesselte backups mit attic
  • 18.01.2015
  • 4.1.2015 Themen: 31c3
    • SSL-Labs evaluiert
    • Android Encryption indicator
    • TODO: Encryption best practices, alle Teilnehmer sollen auf den gleichen Stand kommen
  • 21.12.2014 Random Thema, Laptop 31c3-vorbereiten und Weihnachtsfeier(?). der shackspace ist offen, lediglich die Statusanzeige spinnt und sagt „closed“.
  • 23.11.2014 Thema wird ad-hoc beschlossen
  • 09.11.2014 Thema wird ad-hoc beschlossen
  • 26.10.2014 Thema wird ad-hoc beschlossen
  • 12.10.2014 Thema wird ad-hoc beschlossen
  • 28.09.2014 Thema wird ad-hoc beschlossen
  • 14.09.2014 Thema wird ad-hoc beschlossen
  • 31.08.2014 Thema wird ad-hoc beschlossen
  • 17.08.2014 Thema wird ad-hoc beschlossen
  • 03.08.2014 Thema wird ad-hoc beschlossen
    • Hinweis: wir muessen wohl was ohne Internet machen, da im RZ an diesem Wochenende gebastelt wird. Oder es bringt jemand Internet in Form eines LTE/UMTS-Hotspot (Smartphone, Router, …) mit.
  • 20.7.2014
  • 06.7.2014 Thema wird ad-hoc beschlossen
  • 22.6.2014 Thema wird ad-hoc beschlossen
  • 8.6.2014 Darknet (Roland) - wichtig: nicht im Seminarraum, sondern diesmal im Raum OR2!
    • Was ist das?
    • Was bietet es?
    • Wie funktioniert es?
    • Wie sicher nutzen?
  • 25.5.2014 Sicheres Onlinebanking
    • Welche Bank bietet es an?
    • Welche Software / Apps sind sicher?
    • Sichere Alternativen zum unsicheren Mobile-TAN-Verfahren
    • Wie die Banken dazu bringen, sichere Alternativen anzubieten?
  • 11.5.2014 Ideen:
  • 27.4.2014 Ideen:
    • ssh (Konfiguration, key auth, …)
    • retroshare
    • gpg-schluessel via tor
    • https://www.torservers.net/ - wollen wir sponsorn? ne eigene exit node?
    • Bug, Auswirkungen, Gefahren, was tun als Server-Betreiber bzw. als Internet-Anwender)
    • SSL, Zertifikate, Passwoerter, …
  • 30.3.2014 Cloudlösungen (Dropbox, Owncloud, bwsync&share)
  • 16.3.2014 Thema noch zu definieren
  • 2.3.2014
    • ssh-Tunnelbau („ad-hoc vpn“)
    • iptables
    • tails - live distribution, alles via tor (nachschauen: wir wird das gemacht? iptables?)
  • 16.2.2014 Diverses
    • Idee „CryptoParty fuer Journalisten / Abgeordnete“?
    • Kurzer Bericht von der Cryptoparty in der Stadtbibliothek
    • … (weitere Ideen hier hinzufuegen) …
  • 2.2.2014 Smartphone / Tablet Security Erfahrungsaustausch
  • 19.1.2014 Datenschutz und Privatsphäre (RGV)
  • 5.1.2014 30C3 Nachklatsch I
  • 22.12.2013 - war da was? Kann jemand ne Zusammenfassung schreiben?
    • Da war nichts. 2 Interessierte sind nach langem Warten wieder gegangen.
    • ciphers - was gibt's wo so alles, was ist brauchbar, was nicht?
    • konfiguration webserver (apache2 / nginx / …)
    • andere serverdienste?
    • zertifikate - guenstige Anbieter
    • clientside software und ssl/tls - was geht wo?
  • 24.11.2013
    • Eigener, privater Web- und eMailserver zu Hause (wegen Erkrankung auf unbestimmte Zeit verschoben)
      • Welche Möglichkeiten und Voraussetzungen gibt es
      • Welche Hardware ist erforderlich
      • Welche Software gibt es für Linux, Windows und Andere
      • Wie richtig installieren und konfigurieren
      • Wie richtig absichern, um Datenspionage zu verhindern und einen sicheren Betrieb zu gewährleisten
  • 10.11.2013 Themen
  • 27.10.2013
    • Portable „sichere“ Plattformen (Karl)
      • Vorstellung Thema und Karl
      • Erste Themen: Trusted Computing Base, Laufzeitumgebungen und existierende Plattormen
    • SQRL https://www.grc.com/sqrl/sqrl.htm - was ist gut / was ist schlecht? (Thomas)
      • würde mich über Feedback von anderen freuen, mehr Augen sehen mehr :)
  • 13.10.2013 Thema noch zu definieren (wenn hier nix steht wird adhoc was gemacht)
  • 29.9.2013 Tor (Bestätigt, h0uz3)
    • Wie funktioniert Tor?
    • Wofür kann man es benutzen?
    • Zuverlässigkeit, Geschwindigkeit, Angreifbarkeit
    • Ereignisse der letzten Monate
    • Gibt's Folien / Notizen hierzu?
  • 15.9.2013 GnuPG / email / Keysigning - andere Themen werden ad-hoc beschlossen, falls keiner hier eins reinschreibt.
  • x.x.2013 OpenVPN - siehe auch VPN
    • Server aufsetzen und konfigurieren
    • Clients anbinden
    • Graphische Oberflächen (NetworkManager usw.)
    • Wunschthema TW: „Internet via VPN“:
      • auf Notebook laeuft VPN-Client
      • auf nem eigenen Server (im Internet, zu Hause, Firma, …) laeuft der VPN-Server
      • vom Server werden die Zugriffe in's Internet weitergeleitet.
      • moeglichst transparente Funktion, so dass man nicht jeden Client / Service (Browser, EMail, IRC, …) einzeln umkonfigurieren muss.
      • Gemeinsame Diskussion / Experimente dazu.
  • 1.9.2013 Bitmessage
  • 18.8.2013 eigentlich war OpenVPN geplant - ist aber ausgefallen mangels Vortragendem. Wir haben dann so ueber Diverses geredet, unter anderem:
    • BitMessage
    • KeySigning / Enigmail
    • ssh-Tunnel
    • Passworte
    • Wie kann man PW-Sicherheit abschätzen, wie sichere Passwörter erzeugen?
    • PW-Management - Software/Dienste/Methoden - was gibt es? Erfahrungsaustausch, Diskussion.
    • Viren/Trojaner-freien Laptop mitbringen
    • gültigen Personal-Ausweis oder Reisepass mitbringen
    • falls bereits vorhanden: GPG/PGP-Visitenkarten mitbringen
    • Grundlagen: Key erstellen, sign, encrypt, decrypt, verify
    • wer die Grundlagen bereits kennt und nur am Keysigning teilnehmen will, kann auch etwas spaeter kommen (ca. 21 Uhr).
    • Freie Diskussion zu *.* aussschliesslich nach den oben angekündigten Themen.
  • 7.7.2013 Fand dieser Termin statt? Kann jemand ne kurze Zusammenfassung schreiben?
  • 23.6.2013 Grundlagen

Themen

Wichtig:

  • Wer sich für ein Thema interessiert, traegt sich bitte in die Liste darunter ein.
  • Wer zu einem Thema was zeigen / vortragen kann, traegt sich bitte rechts vom Thema in runden Klammern ein (das bedeutet nicht, dass man dann den ganzen Workshop alleine vortragen muss/soll, es traegt halt jeder bei, was er/sie will/kann).
  • Dass beides fruehzeitig passiert ist wichtig fuer die Zeitplanung jedes Teilnehmers. Wenn keine entsprechenden Informationen hier vorab eingetragen werden, werden Themen ad-hoc beim Workshop entschieden, d.h. ihr wisst dann nicht vorher was kommt, koennt Euch nicht vorbereiten, koennt Termine fuer wichtige Themen nicht vorher wissen und wenn ihr nicht da seid, dann verpasst ihr moeglicherweise was, was Euch interessiert haette.
  • Themen, fuer die sich niemand interessiert, werden nicht besprochen.
  • Themen, zu denen niemand was vortragen / zeigen will, koennen bestenfalls in ad-hoc Stammtischmanier besprochen werden.

Grundlagen / Motivation / Politik / Gesellschaft

  • Wer will Daten und warum?
  • Wer kommt wie an Daten?
  • „Nothing to hide“ – hand over your mobile phone!
  • StaSi 2.0
  • Zensur
  • Nachteile / Kosten (der Anonymisierung und Verschluesselung)?

Inhalte / Dateien / Massenspeicher

  • GnuPG verschluesseln/signieren (tw, )
  • LUKS / dm-crypt Festplatte verschluesseln (tw, je)
  • TrueCrypt Festplatte verschluesseln
  • sichere Backups (je)

Netzwerk

  • SSL / TLS / CA - Verbindungssicherheit
  • SSH, (Win)SCP/SFTP - Muscheln, Schluessel und Tunnel (tw, …)
  • VPN - virtuelles privates Netzwerk
  • IPSEC - gesicherte IP-Verbindungen
  • TOR - Anonymitaet im Internet
  • OpenVPN

Welche Netz-Anwendungen muessen gesichert werden ?

  • Mail, Mailinglisten
  • HTTP-like protocols
  • Websites
  • Chat (IRC ?)
  • Telefonie
  • Social Webs ?
  • Nameservices, DNS-like ?
  • Geldverkehr (bitcoin usw?)

Gegen welche Angriffe ?

  • Inhalte sichern gegen unauthorisiertes Mitlesen
  • Inhalte sichern gegen unauthorisierte Modifikation
  • Verkehrsdaten sichern (nicht einfach!)
  • Replay-Angriffe
  • Aufdecken der Anonymitaet
  • Aufdecken der Pseudonymitaet
  • ungueltige Attribution (d.h. digitale Signaturen, „I wrote that, and I can prove it“)

Authentifizierung

Cloud-Dienstanbieter

  • E-Mail: gmail, gmx, web.de, yahoo, apple, hotmail, live, …
  • Soziale Netze: Facebook, Google+, LinkedIn, Xing, MySpace,
  • Twitter, Skype, Hangouts, Whatsapp, …
  • ICQ, IRC, Jabber, …
  • Dropbox (u.ä.), Google Docs, Google Calendar
  • Doodle
  • Github, Bitbucket, Google Code, …

User-Tracking

  • Werbeplattformen: Doubleclick, …
    • tw
  • Google Adwords, Adsense
    • tw
  • Google Services (Web2.0 Code, Fonts, StyleSheets, …)
    • tw
  • ivwbox.de
    • tw

Suchen

* https://searx.0x2a.tk/ (python meta-suche) * http://yacy.net/de/ (java dezentrale suchmaschine)

Devices

  • Smartphones / Tablets - Android
  • Smartphones / Tablets - iOS
  • Anonymisierung und Verschluesselung fuer Smartphones
    • tw
  • Smart-TVs
  • intelligente Stromzähler
  • KFZ-Elektronik

Sonstiges

Coding

Jetzt doch hier: https://cryptopartystadtbib.piratenpad.de/cypherpunks-shack

Falls doch noch mehr für die Coding-Gruppe benötigt wird, dann bitte bei Loomio anmelden und dann auf folgenden Link vorbeischauen: https://www.loomio.org/d/M9sKgoVi/brainstorming-zu-coding (Tutorial zu Loomio: https://www.youtube.com/watch?v=bIEyNNcXbZA)

Ideen

  • mehr an die Oeffentlichkeit gehen
  • kostenguenstige Loesungen?
  • TODO: slideset merkel-phone finden
  • wolfram-alpha facebook daten anzeigen
  • graph500.org
project/cypherpunks.txt · Zuletzt geändert: 2015/08/26 10:58 von tw