====== CypherPunks ====== {{tag>project cypherpunks event:workshop computing sig networking}} [[http://en.wikipedia.org/wiki/Cypherpunk|CypherPunks]] setzen sich für die vermehrte Benutzung von Kryptographie ein, um soziale und politische Änderungen zu bewirken. Sie wollen Privatsphäre und Vertraulichkeit der Kommunikation schützen. Thema des Workshops / der Treffen sind daher Kryptographie (Grundlagen, Tools, praktische Erfahrungen), andere Methoden zum Schutz der Privatspäre / Vertraulichkeit, etc. Links: * Cypherpunks [[https://www.youtube.com/watch?v=i85fX9-sKYo|part 1]] + [[https://www.youtube.com/watch?v=FPebAr7ST-E|part 2]] with ([[http://en.wikipedia.org/wiki/Julian_Assange|Julian Assange]], [[http://en.wikipedia.org/wiki/Andy_M%C3%BCller-Maguhn|Andy Müller-Maguhn]], [[http://en.wikipedia.org/wiki/J%C3%A9r%C3%A9mie_Zimmermann|Jeremie Zimmermann]] and [[http://en.wikipedia.org/wiki/Jacob_Appelbaum|Jacob Appelbaum]]). * http://prism-break.org/ * https://archive.org/details/LittleBrotherByDoctorowdeutsch (+ Link zum Original dort, CC-License) * http://privacyhandbuch.eu.pn/ ===== Mailingliste ===== * cypherpunks@lists.shackspace.de * https://lists.shackspace.de/mailman/listinfo/cypherpunks Die Mailingliste ist oeffentlich und wird archiviert. Achtung: da die Mailingliste mehr von Spammern als von den Cypherpunks benutzt wurde, ist geplant, diese demnaechst zu loeschen. Wer was dagegen hat, soll sich bitte an TW wenden. ===== Termin ===== Alle **4 Wochen** regelmaessig Sonntag 19:00 (shackspace, Ulmer Str. 255, Stuttgart-Wangen). Die Termine stehen auf: https://events.shackspace.de/ ==== Vorherige Termine ==== * 19.08.2018 * 22.07.2018 * 24.06.2018 * 27.05.2018 * 29.04.2018 * 01.04.2018 * Ausgefallen - 3 Teilnehmer haben vergeblich auf den Veranstalter gewartet. * 04.03.2018 * 04.02.2018 * 07.01.2018 * 10.12.2017 * 12.11.2017 * 15.10.2017 * 17.09.2017 * 03.09.2017 * 20.08.2017 * war da was? * 06.08.2017 * war da was? * 23.07.2017 * ? * 09.07.2017 * Ausgefallen - 3 Teilnehmer haben vergeblich gewartet. * 25.06.2017 * ? * 11.06.2017 * ? * 28.05.2017 * ausgefallen wegen GPN * 14.05.2017 * ? * 30.04.2017 * Terminankündigung: * 19.05. - 21.05.2017 6. No-Spy Konferenz (https://no-spy.org) * 16.04.2017 * Fällt aus! (Ostersonntag) * 02.04.2017 * ? * 19.03.2017 * ? * 05.03.2017 * ? * 19.02.2017 * https://keybase.io/ - hatten wir das schon untersucht ? * Andreas Qu. ( bughunter ) sucht für seinen neuen 16kbit-RSA-GnuPG-Key Unterschriften * 05.02.2017 * Messenger https://riot.im * 22.01.2017 * ? * 08.01.2017 * 33c3 Nachklatsch * 25.12.2016 * Weihnachten im Shackspace - fällt mangel Teilnehmer aus! * 11.12.2016 * ? * 27.11.2016 * ? * 13.11.2016 * ? * 30.10.2016 * ? * 16.10.2016 !!! * offene Talkrunde * 25.09.2016 * ? * 11.09.2016 * ? * 28.08.2016 * Observatory Sicherheitstest für Websites https://observatory.mozilla.org/ * Neuer Snowden Film https://snowdenfilm.com/ * Store All Your Secrets in a Rubik's Cube http://www.popularmechanics.com/technology/security/a20672/snowden-rubiks-cube-sd-card-trick/ * 17.07.2016 * Fällt aus! * 03.07.2016 * https://talky.io/ - Truly simple video chat and screen sharing for groups. * https://theintercept.com/2016/06/28/he-was-a-hacker-for-the-nsa-and-he-was-willing-to-talk-i-was-willing-to-listen/ * https://theintercept.com/2016/07/02/security-tips-every-signal-user-should-know/ * 19.06.2016 * Fällt aus! * 14.02.2016 * vpngw - high performance VPN gateway + multiple auto-VPN via wireless LAN (TW) * 17.01.2016 * Signal Messenger https://whispersystems.org * 03.01.2016 * [[https://github.com/peermusic/secure-webrtc-swarm|secure-webrtc-swarm]] * 20.12.2015 * 5-min-Vortrag von Andreas Quiring über Hashes und Demo des "Einbruchs ins MD5" * 8.11.2015 * [[https://github.com/pguth/peermesh|Peermesh]] In Browser Group File Sharing, end-to-end encrypted, peer-to-peer. * 25.10.2015 * ricochet chat via tor hidden service * matrix.org chat * https://freedom-to-tinker.com/blog/haldermanheninger/how-is-nsa-breaking-so-much-crypto/ + https://weakdh.org/sysadmin.html * datenspuren → https://media.ccc.de/c/ds2015 * citizenfour 23.11.2015 in der ard * __Terminankündigung:__ * 13.11. - 15.11.15 No-Spy Konferenz (https://no-spy.org) * 20.11. - 22.11.15 Nethack (https://nethack.selfnet.de) *19.7.2015 * Themen: keybase.io, best practises neuer GPG-Key * Zusammenfassung: keybase.io ist eine Kombination aus Keyserver und sozialem Netzwerk. Man kann dort seinen PGP-Key hosten, wie auf einem klassischen Keyserver. Darüber hinaus kann man dem Key verschiedene Identitäten (Twitter, Github, Webseite, ...) bescheinigen lassen. Man kann dazu ein in Javascript geschriebenes CLI-Tool verwenden. Wenn man dem nicht traut, kann man auch alles mit echo, gpg, perl, curl erledigen. Die entsprechenden Kommandos bekommt man von der keybase-Webseite. Umstritten ist die Möglichkeit auch seinen privaten Key dort zu hosten. Man bekommt dann für Signierungen und Entschlüsselungen den Key in den Webbrowser geliefert und kann ihn mit seiner Passphrase freischalten. Entschlüsselung/Signatur erfolgt dann im Browser in Javascript. Kann Vorteile haben, weil man dann alles mit der Webseite machen kann und nicht einmal mehr das CLI braucht. Eventueller Kompromiss: Nur einen Key für casual communication (Regenjacke) dort hosten. Für sensiblere Kommunikation einen weiteren besser gesicherten Key haben (Himalaya-Ausrüstung). * Fazit: ziemlich charmantes Projekt. Man kann auf ihm PGP-Keys von Leuten suchen, von denen man nur den Twitter-Account kennt und sich dann sicher sein, dass auch wirklich die Person mit dem Twitter-Account dahinter steckt. * Mein keybase-Profil: http://keybase.io/johmue; wer noch einen Invite braucht, kann sich bei mir melden. E-Mailadresse findet ihr, wenn ihr euch auf keybase meinen PGP-key holt. Dort stehen meine Mailadressen drin :) * 24.5.2015 * Themen ad-hoc * logjam ssl/tls sicherheitsproblem * 10.5.2015 * no-spy Konferenz * diverses ad-hoc * 12.4.2015 * Themen ad-hoc * easterhegg 2015 * attic crypto design bug (fixed) * 29.3.2015 * Themen ad-hoc * https://thetinhat.com/tutorials/all.html * 1.3.2015 * lenovo und der superfish, ab hersteller installierte malware * gemalto hacked, chipkarten-gau * enigmail: * "sent" mail unverschluesselt - wo ist das encrypt-to-self setting geblieben in 1.7.2? * draft? * komfort-modus? * revocation cert * email-roundtrip bei key auf ks hochladen - gibt's das? flag "nomodify"? * mailbox.org * verschluesselte backups mit attic * 18.01.2015 * ssh absichern http://stribika.github.io/2015/01/04/secure-secure-shell.html * DarkMail * tox.im * 4.1.2015 Themen: 31c3 * SSL-Labs evaluiert * Android Encryption indicator * TODO: Encryption best practices, alle Teilnehmer sollen auf den gleichen Stand kommen * 21.12.2014 Random Thema, Laptop 31c3-vorbereiten und Weihnachtsfeier(?). der shackspace ist offen, lediglich die Statusanzeige spinnt und sagt "closed". * 20.7.2014 * Suchmaschinensoftware YaCy ([[http://yacy.net/de/index.html|http://yacy.net/de/index.html]]) /rgv * 06.7.2014 Thema wird ad-hoc beschlossen * 22.6.2014 Thema wird ad-hoc beschlossen * https://entropia.de/GPN14:Fahrplan und https://entropia.de/GPN14:Streams - folgende könnten interessant sein: * https://entropia.de/GPN14:All_your_secrets_belong_to_me * https://entropia.de/GPN14:Linux-based_home_NAS * https://entropia.de/GPN14:Ein_neuer_Blick_auf_alte_Krypto * https://entropia.de/GPN14:PGP_f%C3%BCr_Webmail * https://entropia.de/GPN14:Websecurity * https://entropia.de/GPN14:ssh-agent-filter_und_openssh-known-hosts * https://ssd.eff.org * https://emailselfdefense.fsf.org/ * 8.6.2014 Darknet (Roland) - wichtig: nicht im Seminarraum, sondern diesmal im Raum OR2! * Was ist das? * Was bietet es? * Wie funktioniert es? * Wie sicher nutzen? * 25.5.2014 Sicheres Onlinebanking * Welche Bank bietet es an? * Welche Software / Apps sind sicher? * Sichere Alternativen zum unsicheren Mobile-TAN-Verfahren * Wie die Banken dazu bringen, sichere Alternativen anzubieten? * 11.5.2014 Ideen: * TLS-EH14-Talk von Hanno - können wir das Internet noch (sicherheitstechnisch) fixen? * http://eh14.easterhegg.eu/pages/fahrplan/system/attachments/2298/original/brokentls-en.pdf * gnunet / secushare / i2p / ... (EH14-Talks/Diskussion) - reboot the internet? * http://www.wauland.de/files/2014-03-25_InternetForThe21stCentury.pdf * http://secushare.org/ https://gnunet.org/ http://geti2p.net/en/ * 27.4.2014 Ideen: * ssh (Konfiguration, key auth, ...) * retroshare * gpg-schluessel via tor * https://www.torservers.net/ - wollen wir sponsorn? ne eigene exit node? * 13.4.2014 http://heartbleed.com/ : * Bug, Auswirkungen, Gefahren, was tun als Server-Betreiber bzw. als Internet-Anwender) * SSL, Zertifikate, Passwoerter, ... * 30.3.2014 Cloudlösungen (Dropbox, Owncloud, bwsync&share) * bwsync&share: Die Cloudlösung des Landes BW als Alternative zu Dropbox und Co. ([[http://bwlsdf.scc.kit.edu/bwSyncAndShare|http://bwlsdf.scc.kit.edu/bwSyncAndShare]] * [[http://www.tik.uni-stuttgart.de/dienste/bwDienste/bw_sync_share/index.html|http://www.tik.uni-stuttgart.de/dienste/bwDienste/bw_sync_share/index.html]] * Vorstellung von bwsync&share (von mir als Nutzer) /RGV * Evtl. Gast der am Projekt bwsync&share beteiligt ist (Zusage steht noch aus) * Owncloud6 als private Cloud. Vorstellung. /RGV * Mögliche Server oder NAS für eigene Clouds? Systemvorraussetzungen? Mieten oder selber betreiben? * z.B Server [[http://www8.hp.com/de/de/products/proliant-servers/product-detail.html?oid=4248009#!tab=features|HP ProLiant MicroServer]] * oder NAS [[http://www.synology.com/de-de/products/overview/DS114|Synology]] * oder mieten [[https://www.hetzner.de/|https://www.hetzner.de/]] * **Nachtrag:** bwsync&share ist ein kommerzieller Dienst (nicht openSource): [[https://www.powerfolder.com/de/references/|https://www.powerfolder.com/de/references/]] * 16.3.2014 Thema noch zu definieren * 2.3.2014 * ssh-Tunnelbau ("ad-hoc vpn") * iptables * tails - live distribution, alles via tor (nachschauen: wir wird das gemacht? iptables?) * 16.2.2014 Diverses * Idee "CryptoParty fuer Journalisten / Abgeordnete"? * Kurzer Bericht von der Cryptoparty in der Stadtbibliothek * ... (weitere Ideen hier hinzufuegen) ... * 2.2.2014 Smartphone / Tablet Security Erfahrungsaustausch * Apps? * Betriebssysteme? * http://spon.de/ad8iX * http://shackspace.de/wiki/doku.php?id=project:cypherpunks-mobile-security Notizen * 19.1.2014 Datenschutz und Privatsphäre (RGV) * [[https://www.youtube.com/watch?v=IWGxQEFqIEY]] Vortrag Peter Schaar * [[https://netzpolitik.org/2014/deutschland-hat-eine-zweifelhafte-datenschutzbeauftragte-die-eu-vielleicht-bald-keinen/]] EU Datenschützer Hustinx hört auf. * IDP14 (Ind. Day of Privacy) am 01.02.14 steht an. * Vortrag von Herr Urbat als Datenschutzbeauftragter ([[https://twitter.com/Stefan_Urbat]]) * https://github.com/Katee/quietnet ausprobieren (TW) * https://bettercrypto.org/ / sshuttle / iodine (TW) * 5.1.2014 30C3 Nachklatsch I * 22.12.2013 - war da was? Kann jemand ne Zusammenfassung schreiben? * Da war nichts. 2 Interessierte sind nach langem Warten wieder gegangen. * 8.12.2013 SSL / TLS (TW) Slides: https://docs.google.com/presentation/d/1okLzNo-uAllzYSXREkKI4u5qMDypczJ-xdMTKMk9Rrg/edit?usp=sharing * ciphers - was gibt's wo so alles, was ist brauchbar, was nicht? * konfiguration webserver (apache2 / nginx / ...) * andere serverdienste? * zertifikate - guenstige Anbieter * clientside software und ssl/tls - was geht wo? * 24.11.2013 * Eigener, privater Web- und eMailserver zu Hause (wegen Erkrankung auf unbestimmte Zeit verschoben) * Welche Möglichkeiten und Voraussetzungen gibt es * Welche Hardware ist erforderlich * Welche Software gibt es für Linux, Windows und Andere * Wie richtig installieren und konfigurieren * Wie richtig absichern, um Datenspionage zu verhindern und einen sicheren Betrieb zu gewährleisten * 10.11.2013 Themen * Privacy bei Social-Links http://panzi.github.io/SocialSharePrivacy/ * http://people.csail.mit.edu/rivest/Chaffing.txt * 27.10.2013 * Portable "sichere" Plattformen (Karl) * Vorstellung Thema und Karl * Erste Themen: Trusted Computing Base, Laufzeitumgebungen und existierende Plattormen * SQRL https://www.grc.com/sqrl/sqrl.htm - was ist gut / was ist schlecht? (Thomas) * würde mich über Feedback von anderen freuen, mehr Augen sehen mehr :) * 13.10.2013 Thema noch zu definieren (wenn hier nix steht wird adhoc was gemacht) * 29.9.2013 Tor (Bestätigt, h0uz3) * Wie funktioniert Tor? * Wofür kann man es benutzen? * Zuverlässigkeit, Geschwindigkeit, Angreifbarkeit * Ereignisse der letzten Monate * Gibt's Folien / Notizen hierzu? * 15.9.2013 GnuPG / email / Keysigning - andere Themen werden ad-hoc beschlossen, falls keiner hier eins reinschreibt. * x.x.2013 OpenVPN - siehe auch [[http://de.wikipedia.org/wiki/Virtual_Private_Network|VPN]] * Server aufsetzen und konfigurieren * Clients anbinden * Graphische Oberflächen (NetworkManager usw.) * Wunschthema TW: "Internet via VPN": * auf Notebook laeuft VPN-Client * auf nem eigenen Server (im Internet, zu Hause, Firma, ...) laeuft der VPN-Server * vom Server werden die Zugriffe in's Internet weitergeleitet. * moeglichst transparente Funktion, so dass man nicht jeden Client / Service (Browser, EMail, IRC, ...) einzeln umkonfigurieren muss. * Gemeinsame Diskussion / Experimente dazu. * 1.9.2013 Bitmessage * 18.8.2013 eigentlich war OpenVPN geplant - ist aber ausgefallen mangels Vortragendem. Wir haben dann so ueber Diverses geredet, unter anderem: * BitMessage * KeySigning / Enigmail * ssh-Tunnel * Passworte * [[project:cypherpunks-passwords|4.8.2013 Passwort-Management]] * Wie kann man PW-Sicherheit abschätzen, wie sichere Passwörter erzeugen? * PW-Management - Software/Dienste/Methoden - was gibt es? Erfahrungsaustausch, Diskussion. * [[project:cypherpunks-email-gpg|21.7.2013 PGP/GPG Grundlagen, danach Keysigning]] * Viren/Trojaner-freien Laptop mitbringen * gültigen Personal-Ausweis oder Reisepass mitbringen * falls bereits vorhanden: GPG/PGP-Visitenkarten mitbringen * Grundlagen: Key erstellen, sign, encrypt, decrypt, verify * wer die Grundlagen bereits kennt und nur am Keysigning teilnehmen will, kann auch etwas spaeter kommen (ca. 21 Uhr). * Freie Diskussion zu *.* aussschliesslich **nach** den oben angekündigten Themen. * 7.7.2013 Fand dieser Termin statt? Kann jemand ne kurze Zusammenfassung schreiben? * 23.6.2013 Grundlagen ===== Themen ===== Wichtig: * Wer sich für ein Thema interessiert, traegt sich bitte in die Liste darunter ein. * Wer zu einem Thema was zeigen / vortragen kann, traegt sich bitte rechts vom Thema in runden Klammern ein (das bedeutet nicht, dass man dann den ganzen Workshop alleine vortragen muss/soll, es traegt halt jeder bei, was er/sie will/kann). * Dass beides fruehzeitig passiert ist wichtig fuer die Zeitplanung jedes Teilnehmers. Wenn keine entsprechenden Informationen hier vorab eingetragen werden, werden Themen ad-hoc beim Workshop entschieden, d.h. ihr wisst dann nicht vorher was kommt, koennt Euch nicht vorbereiten, koennt Termine fuer wichtige Themen nicht vorher wissen und wenn ihr nicht da seid, dann verpasst ihr moeglicherweise was, was Euch interessiert haette. * Themen, fuer die sich niemand interessiert, werden nicht besprochen. * Themen, zu denen niemand was vortragen / zeigen will, koennen bestenfalls in ad-hoc Stammtischmanier besprochen werden. ==== Grundlagen / Motivation / Politik / Gesellschaft ==== * Wer will Daten und warum? * Wer kommt wie an Daten? * "Nothing to hide" -- hand over your mobile phone! * StaSi 2.0 * Zensur * Nachteile / Kosten (der Anonymisierung und Verschluesselung)? ==== Inhalte / Dateien / Massenspeicher ==== * GnuPG verschluesseln/signieren (tw, ) * LUKS / dm-crypt Festplatte verschluesseln (tw, je) * TrueCrypt Festplatte verschluesseln * sichere Backups (je) ==== Netzwerk ==== * SSL / TLS / CA - Verbindungssicherheit * SSH, (Win)SCP/SFTP - Muscheln, Schluessel und Tunnel (tw, ...) * VPN - virtuelles privates Netzwerk * IPSEC - gesicherte IP-Verbindungen * TOR - Anonymitaet im Internet * OpenVPN ==== Welche Netz-Anwendungen muessen gesichert werden ? ==== * Mail, Mailinglisten * HTTP-like protocols * Websites * Chat (IRC ?) * Telefonie * Social Webs ? * Nameservices, DNS-like ? * Geldverkehr (bitcoin usw?) ==== Gegen welche Angriffe ? ==== * Inhalte sichern gegen unauthorisiertes Mitlesen * Inhalte sichern gegen unauthorisierte Modifikation * Verkehrsdaten sichern (nicht einfach!) * Replay-Angriffe * Aufdecken der Anonymitaet * Aufdecken der Pseudonymitaet * ungueltige Attribution (d.h. digitale Signaturen, "I wrote that, and I can prove it") ==== Authentifizierung ==== * Passwort (tw, toerb) * Key, Zertifikat * OpenID / oAuth / Persona * 2factor, Google Authenticator (tw, ...) * SQRL https://www.grc.com/sqrl/sqrl.htm * tw * HW-Tokens * tw * toerb * SRP https://en.wikipedia.org/wiki/Secure_Remote_Password_Protocol ==== Cloud-Dienstanbieter ==== * E-Mail: gmail, gmx, web.de, yahoo, apple, hotmail, live, ... * Soziale Netze: Facebook, Google+, LinkedIn, Xing, MySpace, * Twitter, Skype, Hangouts, Whatsapp, ... * ICQ, IRC, Jabber, ... * Dropbox (u.ä.), Google Docs, Google Calendar * Doodle * Github, Bitbucket, Google Code, ... ==== User-Tracking ==== * Werbeplattformen: Doubleclick, ... * tw * Google Adwords, Adsense * tw * Google Services (Web2.0 Code, Fonts, StyleSheets, ...) * tw * ivwbox.de * tw ==== Suchen ===== * https://searx.0x2a.tk/ (python meta-suche) * http://yacy.net/de/ (java dezentrale suchmaschine) ==== Devices ==== * Smartphones / Tablets - Android * Smartphones / Tablets - iOS * Anonymisierung und Verschluesselung fuer Smartphones * tw * Smart-TVs * intelligente Stromzähler * KFZ-Elektronik ==== Sonstiges ==== * dezentralisieren (mehr "peer to peer") - webrtc, bittorrent, ... * Bitcoin? * Smartcards - für gpg sinnvoll? * Es gibt diverse Kartenlesen für PCMCIA / ExpressCard - Slots die heutzutage meistens unbenutzt sind. GPG bietet eine Möglichkeit seinen Schlüssel bequem per Chipkarte zu nutzen. Ohne Chipkarte kein Zugriff. * http://www.hauke-laging.de/sicherheit/openpgp.html#smartcards * Erhältlich sind die Karten z.B. hier: http://shop.kernelconcepts.de/product_info.php?cPath=1_26&products_id=42 * Wir können evtl. selber schreiben, da der shack bzw. hadez einen Schreiberling hat..? * Piraten Stammtisch LB 15.8.: Portable verschlüsselte Plattform * Qemu + Linux mit PGP E-Mail, TOR/Onion * Oder Portable Versionen * http://www.theguardian.com/world/2013/sep/05/nsa-how-to-remain-secure-surveillance * Tails https://tails.boum.org/ * BleachBit http://bleachbit.sourceforge.net/ ==== Coding ==== Jetzt doch hier: https://cryptopartystadtbib.piratenpad.de/cypherpunks-shack Falls doch noch mehr für die Coding-Gruppe benötigt wird, dann bitte bei Loomio anmelden und dann auf folgenden Link vorbeischauen: https://www.loomio.org/d/M9sKgoVi/brainstorming-zu-coding (Tutorial zu Loomio: https://www.youtube.com/watch?v=bIEyNNcXbZA) ==== Ideen ==== * mehr an die Oeffentlichkeit gehen * kostenguenstige Loesungen? * TODO: slideset merkel-phone finden * wolfram-alpha facebook daten anzeigen * graph500.org ==== random links ==== * redecentralize@librelist.com mailinglist * http://trustiosity.com/snow/ * http://youbroketheinternet.org/ * http://redecentralize.org/ * http://decentralizecamp.com/ * https://github.com/redecentralize/alternative-internet * https://www.zerotier.com/ * http://p4p2p.net/ * https://wiki.openitp.org/events:techno-activism_3rd_mondays * http://springofcode.org/ * http://www.techcityinsider.net/redecentralization/ * http://conversejs.org * https://github.com/wetube/bitcloud/ * http://avatar.ai * https://cryptography.io/ * http://telehash.org/ * https://github.com/Tribler/tribler * https://www.newschallenge.org/challenge/2014/submissions/mail-in-a-box https://github.com/JoshData/mailinabox * http://cozy.io/ * https://briarproject.org * https://arkos.io * https://github.com/amatus/gnunet-web * https://letsencrypt.org/ * https://github.com/nabla-c0d3/sslyze