CryptoParty #9: Wem trauen?

Der neunten CryptoParty ging eine Diskussion in der Mailingliste zur CryptoParty voraus, in der die Frage nach Operational Security (OPSEC) bisweilen leidenschaftlich debattiert wurde. Diese Vorabdiskussion hatte zwei äußerst positive Effekte: Einerseits konnte man sich aufs Thema einstellen und eventuelle Fragen vorbereiten, andererseits wurden immer wieder Links gepostet, wodurch es (für mich) erstmalig möglich war, sich mit einem Thema auseinanderzusetzen, vertieftes Wissen wirken zu lassen und (endlich einmal) eine CryptoParty mit ein wenig Vorwissen zu besuchen. Leider fand sie diesmal nicht im Metalab, sondern im Gödel-Seminarraum der TU Wien statt; was nach bequemen, klimatisierten und perfekt ausgestatteten Seminarräumlichkeiten klingt, entpuppte sich als wenig erfreuliche Entscheidung: Es war kalt, der WLAN-Zugang war (außer für TU-Studentinnen und -Studenten) gesperrt und der 3G-Empfang so dermaßen schlecht, dass die meisten mitten im Technikzentrum des Landes ohne Internet arbeiten mussten. Und das ist einer CryptoParty erstaunlich abträglich1.

Erläuterungen zur und ein Einführung in OPSEC benötigen jedoch nicht unbedingt Netzkonnektivität, und so wurden die relevanten Fragen gestellt: Wo ist Kryptografie (überhaupt) sinnvoll und wo nicht? Was lösen kryptografische Spuren aus, wenn sie mit einer Person in Verbindung gebracht werden? Was, wenn alles verschlüsselt ist und man in die Zwangslage gerät, entschlüsseln zu müssen? Wie sind Menschen zu beurteilen, die überhaupt keine digitale, geschweige denn keine kryptografische Spur haben? Und wie sieht auch hier die Relation aus? Wie verhalte ich mich online, um sicher zu bleiben? Wie offline, um nicht aufzufallen? Habe ich mehrere Identitäten? Wie trenne ich sie voneinander, wie schütze ich sie voreinander? Wie verhalte ich mich je nach Identität? Wann tweete ich, wann schicke ich E-Mails und wann schlafe ich? Was lässt sich aus meinen Aktivitätszeiten ablesen? Ist ein US-Großangriff an den bestellten Pizzen in Pentagon-Nähe berechenbar? Ist es besser, einen Reiselaptop und einen Arbeitslaptop zu besitzen? Oder reichen virtuelle Maschinen? Was mache ich, wenn ich, zB am Flughafen, zur Entschlüsselung meiner Daten gezwungen aufgefordert werde? Oder direkt nach dem Passwort? Ist der Privatporno genügend verschlüsselungswürdig, um als Rechtfertigung für das offensichtliche TrueCrypt-Volume zu dienen? Können Hidden Volumes entdeckt werden? (Wer kennt Rubberhose, den Vorgänger der TrueCrypt Hidden Volumes, der von Julian Assange entwickelt wurde?) Kann man am Stromverbrauch (Stichwort „Smart Meter“) erkennen, welchen Film man sich gerade am Computer ansieht? Und so ging es geballt weiter.

Nach einiger Zeit bildeten sich die für CryptoPartys typischen Kleingruppen, wobei die aktivste sicherlich die PGP/GPG-Gruppe war. Dort wurde nicht nur E-Mail-Verschlüsselung diskutiert und hierfür nötige Software installiert; allgemeine Empfehlungen zu Datenschutz und -sicherheit wurden ebenso angesprochen. Die datenschutzfreundliche und auf CryptoPartys erstaunlich beliebte Browser-Erweiterung Ghostery zur Blockierung von Trackingdiensten wurde massig installiert und anschließend wieder entfernt, da eine Kombination aus AdBlock Plus und Fanboy’s Ultimate List in Vergleichstests bessere Ergebnisse zeigte und Redundanzen verhinderte. Der Vergleichstest wurde im September 2011 durchgeführt; wie das heute aussieht, weiß ich nicht. Einen interessanten Absatz aus dem Test würde ich jedoch gerne bei der nächsten CryptoParty im Juni zu Diskussion stellen: „Please note: Chrome, Safari, Mobile Safari, and the Android browser DO NOT presently support content blocking. Firefox extensions are able to block content, and users can install blocklists in Internet Explorer 9.“

Mal sehen. CryptoParty #10 am Montag, 24. Juni 2013, ab 19:00 Uhr. Hoffentlich mit Internet. Und vielleicht mit dem Thema „True Content Blocking“.

Nachtrag vom 24. Juni 2013

Thomas M. hat mich darauf hingewiesen, dass der von mir als zur Diskussion geplante Satz (siehe oben), so nicht mehr stimmt. Chrome und Safari – beide! – blockieren nunmehr korrekt, sofern die richtigen Plugins benutzt werden.


  1. Ganz und gar nicht abträglich war hingegen der Vorrat an günstigem Mate, für dessen Bereitstellung ich mich hiermit bedanken möchte. War das gerade eben eine Danksagung in einer Fußnote? Ja.