Crypto-Party Runde 2


„Tor-Server-Überwachung überschreitet Grenze“.

Waaaa, bitte nicht. Weiterhin bitte ich um Korrektur, sollte ich mich irren, doch ich zumindest habe in meiner AppITSec-Zusammenfassung stehen: „Im Übrigen werden sämtliche von einem Client zeitleich über Tor abgewickelten Verbindungen über ein und die selbe Route abgewickelt, wodurch eine einzige unsichere Application durch Übertragung unsicherer Metadaten die Zuordnung aller aktuell geführten Kommunikationen ermöglicht.“
Die Quellen und/oder Copy-Paste-Absätze hierfür waren entweder Wiki oder die für die Übung bereitgestellte Quellen.


Moment, dein Argument ist „Weil es trotz allem möglich ist, sich mit Tor zu deanonymisieren wenn man persönliche Informationen über ungesicherte Protokolle überträgt, sollte man Tor nicht einsetzen“ ähwas?


Vielleicht meint er man sollte was anderes einsetzen. Nur waere dann die Frage nach einer sinnvolleren Alternative…


Ich wär auch dabei, weiß aber nicht, ob ich’s pünktlich bis 15:00 schaff. Hoffe man kann im Zweifelsfall auch noch später “einsteigen” :wink:


klar!


Nein, ich wollte darauf Hinweisen, dass eine Bemerkung bezüglich der Verwendung in dieser fast schon Aufforderung durchaus angebracht ist. Wenn ich gerade Dinge tu, bei denen ich wirklich anonym bleiben möchte, dann sollte ich eben nicht nebenbei beliebige Protokolle verwenden. Ob es für letzteres sinnvolle Alternativen gibt, weiß ich nicht. Jedenfalls finde ich die Aussage „Fürs normale Surfen: Benutzen Sie Tor“ einfach unpassend, da Deanonymisierung von TOR-Nutzern auf verschiedene Weisen erfolgen können.


Naja, das ist halt die Frage, was mit “normalem Surfen” gemeint ist.

Wenn ich Artikel auf Heise les, Welt und SpOn durchschau und einfach ein bisschen surf?
Oder wenn ich in FB und Foren aktiv bin?

Für ersteres ist Tor in Ordnung, für zweiteres sollte mans lassen… :wink:


Kann leider doch nicht kommen, habe den ganzen Nachmittag einen Termin :-/

Viel Spaß euch! :slight_smile:


Tor kann auch für FB sinnvoll sein, da es z.B. verhindert, dass FB deine Positionsdaten erfassen kann. (Oder bei einem Pseudonym noch deutlich mehr.)

Allgemein muss man natürlich immer aufpassen, wie man Tor nutzt und was man da alles macht, aber das gilt immer bei solchen Themen.

1 Like

Ich würde dir für deinen normalen Browser auch Ghostery empfehlen. Es ist schon dreist, was manche Websites alles von einem abfragen.


Wie ich höre war die Crypto-Party recht erfolgreich. Da ich leider nicht kommen konnte: wie war es denn? Was habt ihr alles behandelt?


  1. Das typische GPG mit Schlüsselaustausch vor Ort.
  2. Tor und NSA-Dinge.
2 Likes

Danke allen Teilnehmern, wenn ihr Kritik/Feedback habt immer her damit :slight_smile:


Es hat mich gefreut, dass es diesmal einer meiner Wunschpunkte auf die Tagesordnung geschafft hat. Auch die gerührte Werbetrommel scheint ihre Wirkung nicht verfehlt zu haben, was die Existenz des Bedarfs nach Cryptoparties hinreichend dargelegt haben dürfte.
Als Anmerkung fürs nächste Mal verweise ich auf den bereits das letzte mal geäußerten Wunsch “Softwarebasierte FDE”.
Alles in allem kann man sagen ein gelungener Nachmittag/Abend und ich danke fürs erneute Organisieren. :wink:


Unter Linux ist das recht klar (LUKS), unter Windows aktuell ein Problem, nachdem TrueCrypt nicht mehr weiter entwickelt wird. Mindestens ein Teilnehmer wollte auch darüber reden, aber da das aktuell etwas schwer ist, wurde da nicht viel draus. Wenn du da mehr weißt bitte posten.


Ich weiß da momentan nur soviel, wie auf Heise zu lesen ist. Irgend ein neues Projekt bahnte sich da an, das wohl einen Großteil des TrueCrypt-Codes (abgewandelt) übernommen habe, allerdings soweit ich weiß noch etwas braucht, bis es nutzbar sein wird.
Vorallem wenn man Systemübergreifend verschlüsseln möchte bleiben momentan vermutlich nur ältere TrueCrypt-Versionen.


Projekte die auf dem TrueCrypt Source aufbauen sind leider allein wegen der Lizenz problematisch. Der Source wurde bei TrueCrypt wohl veröffentlicht um die Software überprüfbar zu machen, den Kriterien für Freie Software genügt das Ganze aber nicht. Die zum Schluss geänderte Lizenz behebt auch nicht alle dieser Probleme und bezieht sich auch AFAIK nur auf die read-only-Version von TrueCrypt.


Daher auch explizit “abgewandelt”. :wink:
Die offizielle Begründung von TrueCrypt für das Ausbleiben der Lizenz-Anpassung war soetwas wie: Wir wollten den Code ohnehin komplett überarbeiten, schreibt das daher mal lieber gleich from the scratch, dabei dürft ihr unseren Code allerdings als Inspiration nutzen.


Die Frage ist halt, in wie weit “abgewandelt übernommen” noch im Rahmen von “als Inspiration nehmen” liegt. Hast du eine URL zum einem konkreten Projekt?


Deutscher Nachfolger für TrueCrypt angekündigt
TrueCrypt-Entwickler verweigert Lizenz-Umstellung