original Pad: https://pad.zombofant.net/p/fsfw-dd-20150401
*Links
warum PGP? http://www.pgpi.org/doc/whypgp/
video: https://www.youtube.com/watch?v=MpwkB-F5dvg
lowlevel howto pgp mit sven: https://guckes.titanpad.com/11
faq pgp, kryptoparty mit sven: https://guckes.titanpad.com/16
riseup email: https://help.riseup.net/de/email
riseup verschlüsselung: https://help.riseup.net/de/security/message-security
riseup pgp best practices: https://help.riseup.net/en/security/message-security/openpgp/best-practices
riseup howto enigmail: https://help.riseup.net/en/security/message-security/openpgp/enigmail
fsf emailselfdefense (12 lang): http://emailselfdefense.fsf.org/ deutsch: https://EmailSelfDefense.FSF.org/de
enigmail quick start guide: https://www.enigmail.net/documentation/quickstart-ch1.php
Video: Thunderbird auf Windows: http://www.kryptowissen.de/enigmail-thunderbird-windows-tutorial.html
Spiegel online“Schritt für Schritt Anleitung” http://www.spiegel.de/fotostrecke/openpgp-so-verschluesseln-sie-ihre-e-mails-fotostrecke-98718-2.html
GPG-Plugin für Apple Mail: https://gpgtools.org/
Video als Stift-Film: https://www.youtube.com/watch?v=inxNRA4xK1Q
e2e-encr bei posteo: https://posteo.de/site/verschluesselung#ende-zu-ende
pgp auf Websites mit Mailforms: http://s.hanewin.net/contact/de.htm (https://github.com/vv01f/apgpjs )
(Für dieses Jahr) Nicht relevant
pEp: pgp ganz einfach, auch mit Outlook und Support für Unternehmen: http://pep-project.org/
Vorstellung bei Datenspuren 2014: http://www.c3d2.de/news/ds14-mitschnitte-online.html
CMS (Chaos macht Schule) Folien (für den C3D2): https://github.com/c3d2/cms/
Krypto allgemein: http://www.oemg.ac.at/DK/Didaktikhefte/2007%20Band%2040/VortragDorfmayr.pdf
SmartCarts
PGP 4096 RSA http://shop.kernelconcepts.de/
TU Dresden S/MIME Link: https://tu-dresden.de/die_tu_dresden/zentrale_einrichtungen/zih/dienste/datennetz_dienste/pki/nutzerzertifikat/email/email_encryption/document_view?set_language=de
Antrag und andere Infos: https://tu-dresden.de/die_tu_dresden/zentrale_einrichtungen/zih/dienste/datennetz_dienste/pki/
Schritt-für-Schritt-Video für Windows und Thunderbird: https://www.youtube.com/watch?v=ieuHHu4MoMo (das ist wirklich sehr ausführlich und IMO sehr zu empfehlen)
Linksammlung dazu: http://www.investigativerecherche.de/digitale-sicherheit/
*Diskussion
Wahrscheinlich läuft es darauf hinaus, eine Liste zusammenzustellen der Form:
0. Wenn Du bisher nur Web-Mail nutzt: installiere ein Mailprogramm (Vorteile: ….)
Nachteile:
Du musst die Installation (denkbar auch portabel auf USB-Stick) dabei haben
Durchsuchen mehrerer verschlüsselter Mails gleichzeitig nicht möglich → Inwiefern ist das ein Nachteil gegenüber Webmail? Webmail unterstützt verschlüsselte Mails gar nicht. → Zustimmung! Dann zu Besonderheiten (habe ich eben zu 'Nachteile' und 'Vorteile' ergänzt) verschieben?
Schlechter Support (für Firmen kritisch) → Die Kampagne richtet sich an Privatpersonen.
dauerhafte Entschlüsselung nicht nutzungsfreundlich implementiert → Siehe Punkt 2. → Zustimmung!
Vorteile:
Abrufen der Mails aller Mailaccounts zur gleichen Zeit
leichtere Suche nach bestimmter Mail
Lokale Speicherung (auch nur als icherheitskopie) möglich
offline-Verfügbarkeit
vergleichsweise einfachere Möglichkeiten zur Anpassung (Aussehen bis Zusammenfassungen)
Besonderheiten:
Wenn du Windows verwendest…
mit Outlook → Link 1
mit Thunderbird → Link 2
Wenn du freies *nix-
OS verwendest… → Link 3
Nur Thunderbird oder auch KMail, mutt und Evolution? (Ich würde sagen, wer schon einen Mailclient != Thunderbird verwendet, ist mit guter Wahrscheinlichkeit technisch kompetent genug, um das selber einzurichten mit einigen allgemeinen Pointern.)
-
Wenn du Kommandozeilenfetischist bist …
funktioniert Link 4 auf beinahe allen Systemen gleich
Smartphone
iOS
iPGMail
oPenGP
Android (und darauf basierende)
K-9-Mail mit APG
*Arbeitspakete
Hintergrund-Infos (hierfür kann wahrscheinlich vieles von emailselfdefense.org adaptiert werden)
Warum Verschlüsselung,
kurzer technischer Hintergrund
öffentlicher und privater Schlüssel,
Unterschied zwischen Signieren und Verschlüsseln
Rolle von Keyservern, und Signierung
Wozu dient ein “Wiederufs-Zertifikat”
Definition des exakten Umfangs des Gewinnspiels (Welche Schritte sind auszuführen?)
(Jonas) Zieladresse einrichten
(Johannes) Schritt für Schritt Anleitung von der Installation bis zum Abschicken und Empfangen von verschlüsselten Mails
Installation von Thunderbird
Einrichtung von Thunderbird für gängige Provider (web.de, gmx, gmail) → Da ist nicht viel zu tun, Thunderbird hat selbst ne Provider-Datenbank, sodass Eingabe von Mailadresse und Passwort reicht.
(Für uns Testaccount bei @posteo.de)
Problematik mit Virenscanner von Avast beachten
Installation von GPG4Win → nur unter Windows
Installation von Enigmail mittels Thunderbird-Plugin-Manager
Erzeugung eines Schlüsselpaars (Empfehlung für Schlüsselpasswort) – Geht das direkt in Enigmail oder muss man sich dafür zwingend an das GPG-Tool der jeweiligen Plattform halten? Das geht direkt in Enigmail.
Widerrufszertifikat? - Es wird eine Datei zum Speichern angeboten, auch wenn kein korrektes Passwort für den Schlüssel eingegeben wurde.
Import von unseres öffentlichen Schlüssels
Keyserver direkt aus Enigmail
-
Versenden und Verschlüsseln von E-Mails
Empfangen und Entschlüsseln von E-Mails
Test der Anleitung durch Leute aus dem Bekanntenkreis (werden alle für das Gewinnspiel erforderlichen Schritte erfolgreich eingerichtet?)
Kampagnenwebseite bauen
Stefan wird erstmal ein Webseiten-Design konzipieren, das ist auf jeden Fall ne Vorbedingung.
Der Umfang der Kampagnenwebseite ist dann davon abhängig, ob das Wiki zum Kampagnenstart für öffentliche Besucher vorzeigbar ist.
(Carsten) Organisation der Preise
Öffentlichkeitsarbeit
Flyer erstellen, drucken, verteilen
Wir sollten irgendwo darauf Bezug nehmen, dass die von uns empfohlene Variante zur Email-Verschlüsselung (PGP) nicht die ist, die die TU empfiehlt (S/MIME).
Unterschied: S/MIME setzt Vertrauen einer (fremden) Organisation voraus. Das könnte auch unser zentrales Argument sein.
Warum können wir einer zentralen Stelle nicht vertrauen?
Ohne dein Einverständnis kann der Schlüssel gesperrt werden.
Dein Sperrantrag kann ignoriert werden.
Die Zentrale kann korrumpiert sein und du hast dort keinen Einfluss.
Es ist nicht nur *eine* zentrale Stelle. Das Betriebssystem vertraut sofort erstmal dutzenden zentralen Stellen, auch aus China oder Iran.