HowTo Kryptoparty

Termine 2019

Bundesweite Liste

Wie man eine Cryptoparty macht

Cryptopartys sind Veranstaltungen, auf denen man Kryptografie und Datenschutzmaßnahmen ganz praktisch lernt. (Mehr auf Wikipedia)

Schritt für Schritt zur Cryptoparty

Lies dich in das Thema ein

Erstmal brauchst du einen Grundstock an Wissen über Crypto und Datenschutz. Falls du den noch nicht hast, ist das Privacy Handbuch ein guter Anfang. Noch mehr findest du im Abschnitt Material und Quellen dieses Artikels.

Überlege dir, für wen du die Party machst

Grundsätzlich soll eine Cryptoparty so gestaltet sein, dass ein zehn Jahre altes Kind es versteht. Wenn du aber genau weißt, dass nur Leute kommen, die schon mit Tor surfen und schon OpenPGP nutzen, solltest du die Lernziele entsprechend anpassen.

Grundsätzliches, das ihr vermitteln solltet:

• Datenschutz sind Verhaltensweisen, kein Programm, das man installieren kann.
• Sicherheit ist eine Kette, die nur so stark ist wie das schwächste Glied.

Stelle Lernziele auf

• Was sollen die Leute nach der Cryptoparty können oder wissen?
• Wenn du dazu gute Antworten hast, ist die Ausarbeitung viel einfacher.

Mögliche Lernziele für Neulinge

Die Teilnehmenden wissen nach der Party:

• wo und wie Datenspuren anfallen (im Internet)
• wer diese Daten haben will
• wie diese Daten gesammelt werden
• wie man verhindern kann, dass die eigenen Daten gesammelt werden
• wie man seine E-Mails mit OpenPGP oder S/MIME verschlüsselt und verschlüsselte Mails empfängt (besser noch: wie man gleich was besseres als E-Mail verwendet)
• wie man seine Datenträger verschlüsselt
• was ein gutes Passwort ist
• dass auch schwache Schlüssel das stärkste Glied in der Kette sind und die echten Sicherheitsprobleme anderswo liegen

und haben ein Schlüssel-Paar erstellt und an einen Keyserver gesendet.

Achte darauf, dass für die Vorträge nur so viel Zeit verwendet wird, dass im praktischen Teil danach (quasi) jeder das gewünschte Ziel erreicht.

fortgeschrittene Lernziele

Die Teilnehmenden wissen/können nach der Party:

• was asymmetrische Verschlüsselung ist
• was ein Diffie-Hellman Schlüsseltausch ist
• wie man User-IDs und Fingerprint prüft und die User-IDs zertifiziert
• was gute Schlüssel von schlechten unterscheidet
• welche Systeme es gibt, die man als Alternative zu E-Mail (SMTP) verwenden kann, um das Abgreifen von Metadaten zu vermeiden

Die Thematik ist viel zu umfassend und viel zu kompliziert, als dass man sie auf einer einzelnen Veranstaltung abhandeln könnte. Deshalb ist es gerade bei kleineren Veranstaltungen sinnvoll, die Themen zu variieren. Sorge dafür, dass die Teilnehmer der Veranstaltungsankündigung halbwegs präzise entnehmen können, was sie erwartet, um Enttäuschungen zu vermeiden.

Sorge dafür, dass den Teilnehmern klar wird, dass es bei der Gewinnung zukünftiger Teilnehmer und der Schaffung eines öffentlichen Bewusstseins ganz erheblich auch auf sie ankommt. Mache sie mit den Möglichkeiten, die Verbreitung von Kryptografie zu unterstützen, vertraut.

Finde Helfer

Die Chance, dass die meisten Teilnehmer am Ende der Veranstaltung ein gutes Ergebnis erreicht haben, ist immens höher, wenn genügend Helfer zur Verfügung stehen. Wie viele (pro Teilnehmer) genug sind, hängt von den Vorkenntnissen der Teilnehmer und der Schwierigkeit des Themas (bzw. des praktischen Teils) ab.

Es mag dem Schulungserfolg sehr förderlich sein, die wichtigsten Informationen auf Papier zu verteilen.

Finde einen Veranstaltungsort

Eigentlich braucht man nicht viel. Selbst Internetzugang ist nicht unbedingt notwendig. Wo ein Wille ist, da ist auch ein Weg.

Hackerspaces sind eine gute Adresse, da dort auch gleich Lehrpersonal im Raum ist.

Mache Werbung

• Aktiviere deinen Freundeskreis; das sind die Leute, mit denen du kommunizierst.
• Flyern ist billig und wirkungsvoll
• in sozialen Netzen
• die Lokalpresse freut sich, wenn endlich mal was los ist: Ruf Sie an!
• auf cryptoparty.in eintragen

Kryptoparty!

Je nachdem, wo du dich befindest und ob es mehr Workshop oder klassische Cryptoparty sein soll, sorge für:

1. Getränke
2. Süßkram und Essen
3. Musik (am liebsten freie)
4. CAcert Assurer wären gut
5. weitere Lehrkräfte

Material und Quellen

Internationale Quellen

• Surveillance Self-Defence von der Electronic Frontier Foundation bietet einen Katalog von diversen Tutorials etc. an: https://ssd.eff.org/

Mailingliste

Abonniere die Cryptoparty-Mailingliste, um dich mit anderen Organisatoren auszutauschen!

HowTo's im Wiki

Hier darf man gerne auch noch dran mitarbeiten

• Mehr Infos zu Krypto-Party, Zertifikaten und Tools
• HowTo Anonym Netzwerken
• HowTo Anonym Browsen
• HowTo Anonym Browser Tools
• HowTo Anonym Suchen
• HowTo Festplatten verschlüsseln
• HowTo IP-Logging ausschalten
• weitere HowTo's sind unter HowTo zu finden.

Fertige Präsentationen

• Digitale Selbstverteidigung (odp-Vorlage: Datei:Präsentation Cryptoparty.odp; pdf-Datei:  Präsentation_Cryptoparty.pdf (Dateibeschreibung)
• Cryptoparty - prezi.com(update 25.07.)
• Datei:Cryptoparty für LehrerInnen.odp
• Datei:Cryptoparty Präsentation Nivatius-Cheatha.odp (unfertig)
• OTR - Off The Record Messaging CC-BY Daniel 'dictvm' Heitmann (Zum starten rechte Cursortaste drücken)
• Emails verschlüsseln mit PGP für "normale" Leute; CC Zero von Ortwin
• Anonym Veröffentlichen www.dropbox.com; CC Zero von Ortwin
• Digitale Selbstverteidigung (Google Drive) CC Zero von Ortwin via Twitter-Nachfrage: [1]
• Chaosradio Cryptoparty ein Podcast
•  TrueCrypt nutzen (PDF-Präsentation Verschlüsselung) (Dateibeschreibung)
•  Jabber (XMPP) (PDF-Präsentation Chatprogramme) (Dateibeschreibung)
• Präsentationen und Vortragsunterlagen der beiden Kryptopartys in Bremen: Kryptoparty am 24.07.2013, Kryptoparty am 07.08.2013
• Grundlagen der Verschlüsselung - CC-BY-SA ka’imi
• Verschlüsselung im Web von nowhere

Handouts

• Handout 2-Seiter (von Nivatius/Cheatha): Datei:Handout Cryptoparty 2Seiten Nivatius.odt
• Handouts vom Krypto-Pavillon auf dem RLP-Wahlkampfauftakt:
  • Sichere Passwörter und KeePassX: Datei:KryptoHandout01-Passwoerter.pdf
  • Mail-Verschlüsselung und PGP/GPG: Datei:KryptoHandout02-Mail.pdf
  • Anonymes Surfen und Tor: Datei:KryptoHandout03-Surfen.pdf
  • Festplatten-Verschlüsselung und Truecrypt: Datei:KryptoHandout04-Festplatten.pdf
  • Archiv mit allen PDFs und LaTeX-Quellen: Datei:KryptoHandouts.zip
  • Verbesserungen etc. sind willkommen: Benutzer:HeptaSean

Videos von Präsentationen

• Cryptoparty Heidelberg
• noch mehr bitte

Kryptodisk

Die Kryptodisk wurde für Kryptopartys und Datenschutzschulungen entworfen: Man kann sie dort einfach verteilen, sie enthält viel freie Software für Linux, Mac und Windows. So muss man nicht umständlich alles einzeln herunterladen sondern hat alles an einem Platz. Die Kryptodisk basiert auf einer unveränderten Version Tails, der weitere Dateien und Software hinzugefügt wurden. Damit kann man seinen Rechner mit einem für die Nutzung des Tor-Netzwerks vorkonfigurierten Linux-Live-System starten. Zusätzlich ist eine Übersicht beigefügt, welches Tool wobei helfen kann. Ebenfalls liegen Handbücher zum Thema Sicherheit bei und Dateien, um ein DVD-Label und ein DVD-Booklet auszudrucken. Zusätzlich liegt die Aufzeichnung einer von den Piraten veranstalteten Kryptoparty bei und ein HowTo-Video, wie man unter Windows Mails verschlüsselt, von der Installation bis zum Versand der Mails.

Bei Frage dazu bitte an Cheatha wenden! Eine Anleitung, wie man seine eigene Kryptodisk baut steht auf GitHub bereit. Mitarbeit erbeten!

Kryptodisk download

Aktuelle Version: v1.1.0.5 (Tails: v1.1.0, Disk: v5)
Größe: 2,2GB
Download: kryptodisk.iso (Direktdownload)
Prüfsummen: MD5 | SHA512 | Signatur

Kryptodisk lite download

Die Kryptodisk lite enthält die Software, Videos und Anleitungen der Kryptodisk, basiert aber nicht auf Tails und ist somit kein Live-DVD. Der Download dieser Version ist dann sinnvoll, wenn man nur die Software/Anleitungen, aber kein Live-System benötigt

Aktuelle Version: v1.1.0.5
Größe: 997MB
Download: kryptodisk_lite.zip (Direktdownload)
Prüfsummen: MD5 | SHA512 | Signatur

Handbücher und andere Dokumente

Handbücher

• Privacy Handbuch (PDF) (Webseite)
• www.cryptoparty.in - Cryptoparty Handbook (engl.)

Anleitungen

• www.cryptoparty.in - Kurzes Howto (engl.)
• HowTo - GnuPG Keysigning-Party
• Encryption Works by Micah Lee Anleitung zur Einrichtung von Tails für Verfolgte und Journalisten

Weiterführende Links

• openpgp-schulungen.de - sehr tiefgehende Infos zu OpenPGP

• Was man vor dem Einsatz von OpenPGP wissen sollte
• Was gute OpenPGP-Schlüssel ausmacht
• verbreitete Irrtümer
• Empfehlungen zur Vorbereitung der Erzeugung hochwertiger OpenPGP-Schlüssel
• Script zur Erzeugung hochwertiger OpenPGP-Schlüssel
• Möglichkeiten, die Verbreitung von Kryptografie zu fördern
• detaillierte Beschreibung von GnuPG

• The International PGP Home Page
• Kryptoeinführung
• Non-Technical PGP
• E-Mail Verschlüsselung gpg4win und Thunderbird/Enigmail Schritt-für-Schritt Installationsanleitung sowie Konfiguration
• englisch: OpenPGP Best Practices (von Daniel Kahn Gillmor u.a.)

Grundsätzliche Probleme

Bei allen Cryptohandbüchern und Materialien, die hier verlinkt sind, bedenkt, dass sie überwigend vor der Ära Snowden geschrieben wurden. Vieles davon ist einfach so nicht mehr richtig und angesichts des "globalen aktiven Angreifers" nicht wirklich sicher. Mit guter Verschlüsselung kann man die NSA ärgern, aber es werden politische Lösungen benötigt, um die Ausschnüffelung aufzuhalten.

"Wir versuchen ein soziales Problem technisch zu lösen"

E-mail und PGP

Wie wir seit Snowden wissen, werden verschlüsselte Nachrichten von Geheimdiensten systematisch gespeichert. Mit OpenPGP verschlüsselte Nachrichten sind entschlüsselbar, solange der Besitzer den Schlüssel nicht vernichtet. Somit kann der Besitz des Schlüssels Hausdurchsuchungen verursachen, oder auf andere Art die eigene Unversehrtheit beeinträchtigen.

Periodisches Erneuern der Schlüssel funktioniert mittels Subkeys, erfordert aber das regelmäßige versenden solcher Subkeys an alle möglichen Gesprächspartner. Alternativ muss man zentralen Keyservern vertrauen, welche systematisch ausgewertet werden, wie infolge beschrieben:

• Analysis of a dynamic social network built from PGP keyrings
• http://cryptome.org/2013/07/mining-pgp-keyservers.htm

Weiteres Problem von PGP/Mail ist, dass nicht versteckt werden kann, wer wann wieviel mit wem zu bereden hat. Somit entsteht eine Datenhalde ähnlich der Vorratsdatenspeicherung. Dies kann beim veralteten E-Mail-System gar nicht vermieden werden.

In HowTo Anonym Netzwerken wird Software aufgeführt, mit der man vollständig anonymisiert verschlüsselt kommunizieren kann. Da sowieso alle Teilnehmer eine neue Software installieren müssen, hat es keinen Sinn, krampfhaft an E-Mail festzuhalten, welches architekturbedingt eine zeitgemäße Sicherheit nicht mehr bieten kann. Die neue Generation an privater Kommunikationssoftware ist obendrein auch noch erheblich einfacher zu handhaben.

Jacob Appelbaum ist überzeugt, dass E-Mail abgeschafft und ersetzt gehört, und er ist in Entwicklerkreisen mit dieser Sichtweise nicht allein.Jacob empfiehlt PGP über Pond.(keine Quelle) Es gibt mindestens 13 Gründe nicht auf PGP über E-Mail zu setzen.

KryptopartyPrivacyComputer und TechnikVeranstaltung