Liebe Kolleg*innen und Kommiliton*innen,
zum Abschluss des Semesters möchten wir Sie herzlich zu unserer OnlineCryptoParty einladen, und zwar am Dienstag, den 22.2.22, 17-20 Uhr. CryptoParties sind Workshops, auf denen wir voneinander lernen und uns gegenseitig helfen Nachrichten und Daten zu verschlüsseln, anonym zu surfen oder uns etwas sicherer im digitalen Raum zu bewegen. CryptoParties sind offen für alle und richten sich vor allem an Menschen mit wenig technischen Vorkenntnissen. Wir nutzen natürlich wieder freie Open Source Software (FLOSS), da nur bei zugänglichem Quellcode die Einhaltung von Datenschutz und Datensicherheit überprüft werden kann. Außerdem gibt es die Möglichkeit, die Initiative #gnuHU bei einem lockeren Austausch in einer 2D-Welt (Workadventure) kennenzulernen.
Weitere Informationen zu möglichen Themen und unserem Treffpunkt in BigBlueButton finden Sie unter: https://hu.berlin/gnuhu-cryptoparty3
Mit besten Grüßen, Lara von #gnuHU
Moin Lara,
Am Dienstag 15 Februar 2022 12:54:08 schrieb Lara Hube:
zum Abschluss des Semesters möchten wir Sie herzlich zu unserer OnlineCryptoParty einladen, und zwar am Dienstag, den 22.2.22, 17-20 Uhr.
schön, dass Ihr so !twas anbietet! :)
die Möglichkeit, die Initiative #gnuHU bei einem lockeren Austausch in einer 2D-Welt (Workadventure) kennenzulernen.
Tipp: Die FSF-US hat mal Libreadventure aus dem Freien Software-Teil von workadventure gemacht (da der Quelltext etwas versteckt war): https://vcs.fsf.org/?p=libreadventure.git;a=summary
Mein Fachtipp Nummer 2: https://claws-mail.org/ + GnuPG für sichere Emails anstatt Thunderbird, auch für Windows, weil Thunderbird mindestens die Abschaltung des Nicht-Standards "..." Betreffs braucht und weniger schlank ist, siehe https://wiki.gnupg.org/EMailClients/Thunderbird >;)
Viel Erfolg und eine schöne Cryptoparty! Gruß, Bernhard
Hallo Bernhard,
ich bin mal so frei und antworte für Lara. :)
Danke für die Pro-Tipps! Wir haben auch gerade den Hinweis auf kraut.world bekommen, aber aufgrund von Zeitmangel wird es nun doch auf nen einfachen Raum bei Workadventu.re hinauslaufen...
Danke auch für den Hinweis auf Claws Mail, das kannte ich noch nicht. Sehr schön zu wissen, dass es inzwischen auch eine gute Alternative zu Thunderbird gibt. Für die "blutigen Anfänger*innen" ist Thunderbird aber vielleicht doch die erste Wahl, vor allem um das Vorurteil aus dem Weg zu räumen, dass PGP so furchtbar kompliziert sei. Darüber könnte man bestimmt auch Grundsatzdiskussionen führen, aber wir haben schon CryptoParties gemacht, wo Leute überhaupt zum ersten Mal an ein Mailprogramm herangeführt wurden, oder sogar PGP-Verschlüsselung mit Apple Mail erklärt... Aber für die "Fortgeschritteneren" ist das auf jeden Fall ein super Tipp.
Mal schauen, was passiert. Unsere CryptoPartys sind immer etwas experimentell und improvisiert, es bleibt also eine Überraschung welche Themen wir dann überhaupt besprechen.
Viele Grüße
Rebecca für #gnuHU
Am 21.02.2022 um 09:16 schrieb Bernhard E. Reiter:
Moin Lara,
Am Dienstag 15 Februar 2022 12:54:08 schrieb Lara Hube:
zum Abschluss des Semesters möchten wir Sie herzlich zu unserer OnlineCryptoParty einladen, und zwar am Dienstag, den 22.2.22, 17-20 Uhr.
schön, dass Ihr so !twas anbietet! :)
die Möglichkeit, die Initiative #gnuHU bei einem lockeren Austausch in einer 2D-Welt (Workadventure) kennenzulernen.
Tipp: Die FSF-US hat mal Libreadventure aus dem Freien Software-Teil von workadventure gemacht (da der Quelltext etwas versteckt war): https://vcs.fsf.org/?p=libreadventure.git;a=summary
Mein Fachtipp Nummer 2: https://claws-mail.org/ + GnuPG für sichere Emails anstatt Thunderbird, auch für Windows, weil Thunderbird mindestens die Abschaltung des Nicht-Standards "..." Betreffs braucht und weniger schlank ist, siehe https://wiki.gnupg.org/EMailClients/Thunderbird >;)
Viel Erfolg und eine schöne Cryptoparty! Gruß, Bernhard
FSFE-de mailing list FSFE-de@lists.fsfe.org https://lists.fsfe.org/mailman/listinfo/fsfe-de
Diese Mailingliste wird durch den Verhaltenskodex der FSFE abgedeckt. Alle Teilnehmer werden gebeten, sich gegenseitig vorbildlich zu behandeln: https://fsfe.org/about/codeofconduct
Hallo Rebecca,
Am Dienstag 22 Februar 2022 13:22:57 schrieb Rebecca Sieber:
Wir haben auch gerade den Hinweis auf kraut.world bekommen,
ah, den kannte ich noch nicht. Danke für Euren Pro-Tipp! :)
vor allem um das Vorurteil aus dem Weg zu räumen, dass PGP so furchtbar kompliziert sei.
Dann noch ein Pro-Tipp: Richtig gut funktioniert es, wenn beide Seiten den öffentlichen OpenPGP-Schlüssel per WKD zur Verfügung stellen. (Ist auch noch verbesserungsfähig, hier Infos zu einer Bachelorarbeit zum Thema, welche ich mitbetreut habe: https://wiki.gnupg.org/WKD/BachelorThesisIncreaseWKDUsage2021 )
Gruß, Bernhard
WKD ist ne feine Sache, kann nur nicht jeder umsetzen, da man eine Domain braucht. Zum Glück bieten inzwischen einige Mailanbieter WKD als Service an.
Noch mehr Potential hat das ganze, wenn man WKD mit einer dezentralen OpenPGP CA (zB. https://openpgp-ca.org/) kombiniert. So kann man sehr schnell vertrauenswürdige Schlüssel von Nutzern innerhalb von Firmen oder Organisationen finden.
Happy Hacking!
Hi Paul,
Am Mittwoch 23 Februar 2022 15:03:15 schrieb Paul Schaub:
Noch mehr Potential hat das ganze, wenn man WKD mit einer dezentralen OpenPGP CA (zB. https://openpgp-ca.org/) kombiniert.
WKD hat keine weitergehende Zertifizierungsfunktion, ist also keine CA.
Das automatisierte Vorgehen bei der Software openpgp-ca passt nicht ganz zum Begriff CA, weil es keine weitergehende Prüfung gibt, die allgemein von einer Zertifizierungsstelle erwartet werden würde. Und da die Tatsache, dass der Schlüssel sich bereits in WKD befindet, bereits die automatische Prüfung enthält, gibt es keine zusätzlichen Zusicherungen. Sprich, es gibt keine extra Vertrauensinformation durch die Verwendung, es ist unnötig und es ist deshalb aus meiner Sicht auch nicht passend deshalb den Pubkey des Mechanismus zu signieren.
Wenn es eine weitergehende Prüfung gibt, und das bei der Organisation jemand übernimmt, dann kann ein organisationsweiter öffentlicher Schlüssel tatsächlich als dezentrale Zertifizierungsstelle interessant sein.
Meiner Ansicht nach kann FSFE für die meisten Email-Adressen keine CA sein, weil wir die Identität nicht weiter prüfen können (und wollen).
Viele Grüße, Bernhard
Hey,
Am 24.02.22 um 18:12 schrieb Bernhard E. Reiter:
Hi Paul,
Am Mittwoch 23 Februar 2022 15:03:15 schrieb Paul Schaub:
Noch mehr Potential hat das ganze, wenn man WKD mit einer dezentralen OpenPGP CA (zB. https://openpgp-ca.org/) kombiniert.
WKD hat keine weitergehende Zertifizierungsfunktion, ist also keine CA.
Hab ich auch nicht behauptet :D
Das Web Key Directory dient m.E.n primär der Key Discovery.
Kombinieren kann man das ganze trotzdem wunderbar mit der OpenPGP-CA (erläutere ich weiter unten).
Das automatisierte Vorgehen bei der Software openpgp-ca passt nicht ganz zum Begriff CA, weil es keine weitergehende Prüfung gibt, die allgemein von einer Zertifizierungsstelle erwartet werden würde.
Kommt drauf an, was zertifiziert wird.
Und da die Tatsache, dass der Schlüssel sich bereits in WKD befindet, bereits die automatische Prüfung enthält, gibt es keine zusätzlichen Zusicherungen. Sprich, es gibt keine extra Vertrauensinformation durch die Verwendung, es ist unnötig und es ist deshalb aus meiner Sicht auch nicht passend deshalb den Pubkey des Mechanismus zu signieren.
Das kommt darauf an, wie man die OpenPGP-CA verwendet. Eine Bank mag zum Beispiel die Schlüssel ihrer Mitarbeiter nur nach strenger, manueller Prüfung signieren. Für einen Verein wie die FSFE reicht es ja, ob das Mitglied nachweisen kann, den Schlüssel und die FSFE Mailadresse zu kontrollieren.
Wenn es eine weitergehende Prüfung gibt, und das bei der Organisation jemand übernimmt, dann kann ein organisationsweiter öffentlicher Schlüssel tatsächlich als dezentrale Zertifizierungsstelle interessant sein.
Meiner Ansicht nach kann FSFE für die meisten Email-Adressen keine CA sein, weil wir die Identität nicht weiter prüfen können (und wollen).
Kommt drauf an. Es gibt Informationen, bei der eine maschinelle Prüfung ausreichend ist. Zum Beispiel kann die Frage, ob eine Person die EMail Addresse XYZ@fsfe.org kontrolliert durch eine einfache Challenge (zB. Bestätigungslink an die Mailadresse) geprüft werden.
Somit wäre die OpenPGP-CA zB. für die FSFE tatsächlich interessant, da mit ihr zB. die @fsfe.org Aliase der Mitglieder und Unterstützer signiert werden könnten. Fügt dann ein Nutzer die FSFE CA als Trusted Introducer hinzu, so kann er komfortable mit anderen FSFE Mitgliedern verschlüsselt Kontakt aufnehmen.
Ich persönlich finde das Projekt auf jeden Fall mega spannend. Meiner Meinung nach müssen wir weg von "Zeig mir deinen Perso, sonst signiere ich dir gar nichts!", hin zu nutzbarer Kryptogafie und die OpenPGP-CA ist dafür ein wichtiger Baustein.
Paul
Viele Grüße, Bernhard
FSFE-de mailing list FSFE-de@lists.fsfe.org https://lists.fsfe.org/mailman/listinfo/fsfe-de
Diese Mailingliste wird durch den Verhaltenskodex der FSFE abgedeckt. Alle Teilnehmer werden gebeten, sich gegenseitig vorbildlich zu behandeln: https://fsfe.org/about/codeofconduct
Hi Paul,
Am Donnerstag 24 Februar 2022 18:32:03 schrieb Paul Schaub:
Das Web Key Directory dient m.E.n primär der Key Discovery.
dem Entwurf nach, bringt WKD etwas Vertrauen, ist also mehr als Key Discovery.
Für einen Verein wie die FSFE reicht es ja, ob das Mitglied nachweisen kann, den Schlüssel und die FSFE Mailadresse zu kontrollieren.
Das wird durch die Anwesenheit im WKD bereits mitgeteilt eine weitere automatisierte Unterschrift erweckt den Eindruck, dass weitergehend geprüft worden ist, hier fällt der Ansatz von openpgp-ca meiner Ansicht nach zu kurz, er ist überflüssig und deshalb, wenn er so verwendet wird, sogar der Sicherheit abträglich.
Meiner Meinung nach müssen wir weg von "Zeig mir deinen Perso,
Das wird mit WKD allein schon erreicht. Dafür ist es vor mehr als 5 Jahren entworfen worden.
Wichtig ist zur Zeit diese Möglichkeit in mehr Email-Klienten voll auszubauen, dazu hat Christoph Klassen gerade eine Bachelorarbeit geschrieben, ein Teil der Infos findet sich hier https://wiki.gnupg.org/WKD/BachelorThesisIncreaseWKDUsage2021
Viele Email-Klienten nutzen noch nicht die 3. Generation von WKD und tun das auch noch nicht automatisch.
Viele Grüße, Bernhard