Das Bündnis Privatsphäre Leipzig e. V. ist eine überparteiliche Bürgerinitiative mit dem Ziel, Überwachung, Rechtsstaatlichkeit und Demokratie in einem breiten öffentlichen Diskurs zu thematisieren.
Monatliche Meetups
Monatliches Meetup (Stammtisch) immer am letzten Donnerstag des Monats ab 19 Uhr
CryptoParty is a decentralized, global initiative to introduce the most basic cryptography programs and the fundamental concepts of their operation to the general public.
Wir verstehen Cyptoparties als Vermittlung von Wissen zur „Digitale Selbstverteidigung“.
CryptoParty Season 2/2018 (Herbst/Winter) in der naTo
10. September 2018 – Beobachte mich nicht - Teil 1, HTTPS, Tracking, Browser-Addons;
22. Oktober 2018 – Beobachte mich nicht - Teil 2, Anonymisierung mit Tor und VPNs, Passwörter und Passwort Manager
12. November 2018 – Das können wir selber – Alternative Soziale Netzwerke, Self Hosting
CryptoParty Season 2/2018 (Herbst/Winter) in der naTo
03. Dezember 2018 – Wir unterhalten uns privat – Crypto-Messenger Apps für Mobilgeräte
25.02.2019 – Thema: Clouldsysteme und Backups (TBC).
März 2019 (TBD) – Datei- und Festplattenverschlüsselung (TBD).
Weitere Projekte (z. T. in Planung):
Lesungen für Privatsphäre (z. B. zum Safer Internet Day)
Teilnahme an den Kritischen Einführungswochen (KEW) an der Uni Leipzig
CryptoParties für Schüler*innen, Journalist*innen, Jurist*innen, Student*innen
Teilnahme an Podiumsdiskussionen, Interviewprojekten
Podcast zu Datenschutz und Datensicherheit
Digitale Selbstverteidigung
»Wenn wir nichts Falsches tun, dann haben wir das Recht, alles in unserer Macht Stehende zu unternehmen, um das traditionelle Gleichgewicht zwischen uns und der lauschenden Macht aufrechtzuerhalten.«
beschreiben Möglichkeiten von Angriffen und decken Verhaltensweisen oder Übertragungswege und -formen auf, die mit Risiken verbunden sein können
helfen Grenzen und Möglichkeiten von technischen Lösungen wie Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung besser einzuschätzen und eigenes Verhalten anzupassen.
Bedrohungsmodell
Übersicht
Die W-Fragen
Schutzintressen und -rahmen ermitteln
Was möchte ich schützen?
Vor wem möchte ich es schützen?
Was sind die Konsequenzen, wenn der Schutz versagt?
Welche Angriffswege könnten genutzt werden?
Wie wahrscheinlich ist die Notwendigkeit es schützen zu müssen?
Wie viel Aufwand und Umstände möchte ich in Kauf nehmen und worauf möchte ich verzichten, um es zu schützen?
Exkurs
Smartphones und Handys
Fazit
Bedrohungsmodelle als Mittel zur Selbstermächtigung
Bedrohungsmodelle unterstützen bei der Abwägung von Risiken in Bezug auf Datensicherheit und -schutz
Bedrohungsmodelle identifizieren schützenswerte Güter (Assets), Angreifer*Innen, Risiken und Angriffspotentiale
Identifizierte Bedrohungen können besser eingeschätzt werden (Entscheidung für oder gegen Maßnahmen)
Rationalisierung: Kosten-Nutzen-Abwägung (zu einem bestimmten Grad)
Chat-Apps und Messenger auf Mobilgeräten
Grundkonzepte
Asynchrone (SMS-artige) Tools
Synchrone (Chat-) Tools
Grundkonzepte 2
Ende-zu-Ende-Verschlüsselung
umgesetzt durch Perfect Forward Secrecy
Problem: Asynchrone Nachrichten
Grundkonzepte 3
Kernproblem (XKCD)
Grundkonzepte 4
Kernproblem (nochmal XKCD)
Perfect Forward Secrecy
Späteres Aufdecken oder Brechen von geheimen Nutzerschlüsseln darf es nicht erlauben, frühere oder künftige Nachrichten zu entschlüsseln
⇒ neue Schlüssel für jede Nachricht erzeugen
PFS-Problem
Schlüsselerzeugung ohne Schlüsselaustausch
erfordert, dass beide Teilnehmer online sind
erfordert einige Hilfsdaten in beide Richtungen
die Forderung FS ist strenggenommen unvereinbar mit asynchronen Nachrichten (wie SMS)
durch Axolotl-Ratchet (heißt jetzt double ratchet, aber andere Implementationen werden weiter gern nach Salamandern benannt) gelöst, nicht bei allen implementiert (z.B. Threema)
Alle 3 Features auch in Nachfolgern (OMEMO, Axolotl, mpOTR)
einfaches OTR kann als Layer auf Chatsystem laufen (z.B. Plugin in ICQ/Client), bessere Protokolle brauchen Servererweiterung (XEP-0384 für Clients verlangt 0334 und/oder 0313 für Server)