Phänomen Cryptoparty: Kampfsport für Computer

Ich war auf dieser Veranstaltung und muss sagen, dass ich es sehr informativ fand. Ich benutze privat Windows (hatte auch mal ne Zeit lang Ubuntu, aber ganz ehrlich: Windows mit seinen Macken, die ich allein beheben kann ist mir lieber, als ein Betriebssystem, mit dem ich nichts alleine machen kann - ich war auch zu faul). Ähnlich wie es hier geschrieben wurde, waren Informationen für Laien bzw. Durchschnittsnutzer dabei als auch für Fortgeschrittene bzw. Profis. Ein weiterer Besuch ist bei mir auf alle Fälle sicher.

Das Problem bei diesem Clientel ist wie schon so treffend beschrieben die Fixierung auf Linux as holy cow of security (was nux definitiv NICHT ist). Kommt da Hänschen oder Lieschen mit einem OS das auch Normalsterbliche bedienen können (yadda yadda NEIN linux ist NICHT einfach zu beherrschen, und grade wenns thematisch komplex wird schon gar nicht) ist das Getöse gleich gross und als erstes "Sicherheitsupdate" wird die Umstellung auf linux verordnet. Das ist gelinde gesagt nerdmässiger bullshit und für otto normal user definitv völlig sinnlos. Ich behaupte dass ein normal user oder Anfänger NIEMALS mit Linux ohne fremde Hilfe klarkommt wenn es um komplexeres geht als einfach nur ubuntu aufzuspielen und mal ins internet zu gehen...allenfalls die allersimpelsten Konfiguationsschritte die hoffentlich flawless funktionieren sofern die Hardware ordentlich unterstützt wird kann man hier auch Anfängern bzw Fortgeschrittenen zumuten. ICh selbst bin 20 JAhre lang MS User seit MS DOS 5.0 und kann nur sagen, jedesmal wenn ich mich mit dem Thema Linux befasse ende es früher oder später mit einem Wutanfall ob der kryptischen Bedienung wenn es um fortgeschrittenere Themen geht. Und bläd bin ich bestimmt nicht. Es ist mir einfach nicht intuitiv genug.

Ahja, doch nur eine Werbeveranstaltung der Linux-Sekte, voll mit paranoiden Frickel-Nerds für die das OS zur Religion geworden ist.

Kommanoszeile ... von denen liebevoll gepflegte Steinzeit-Technologie, und da sind die auch noch stolz drauf. Haben's bis heute nicht geschafft ihre Kräfte zu bündeln und eine einheitliche und brauchbare GUI zu fabrizieren. Weil, Kommandozeile ist ja sooo toll, wer braucht da eine GUI, gelle?

Treiber- und Softwareinstallation, eine einzige Katastrophe. Klar, OpenOffice installieren geht ganz leicht, aber wehe man hat mal was leicht spezielles. Da geht denen richtig einer ab wenn die 6 Stunden frickeln dürfen.

Und soll hier keiner behaupten ich hätte keine Ahnung oder wäre MS-Fanboi. Ich hasse MS und im Freundeskreis bin's immer ich der ranzgezogen wird nachdem alle anderen "Profis" versagt haben. Linux musste ich auch schon zigmal installieren und konfigurieren weil's die nicht hinbekommen.

Reden tu ich mit Hardcore-Linuxern schon gar nicht mehr, die werden immer ganz schnell aggressiv wenn man ihren Gott kritisiert, totale Fanatiker und Sektierer. Benehmen sich auch genauso, halten sich für die kleine eingeschworene Gemeinde die sich auf Biegen und Brechen gegen die Welt verteidigen muss. Kritik aus den eigenen Reihen wird gnadenlos verfolgt und ausgemerzt, fast wie Scientology.

Die Welt könnte wirklich ein unabhängiges und weitverbreitetes OS brauchen, aber mit diesen fanatischen Kommandozeilen-Frickel-Spinnern wird das nie was.

Es ist unbedingt notwendig, dass an dieser Front mehr Know-How unters Volk gebracht wird. Ich war auf einem dieser Termine; für Leute mit Kryptografie als Hobby mag so ein Rundumschlag recht interessant sein, ich frage mich aber, was bei Normalsterblichen davon hängenbleibt.

Ich biete bei der Berliner Linux User Group kostenlose Schulungen zu einem kleinen Ausschnitt dieses Themas (OpenPGP: Verschlüsselung und Signaturen primär für E-Mails) an, bisher nur für Leute mit Computern als Hobby (wie gesagt: Linux...), und meine Erfahrungen bezüglich der Menge an Wissen, die man auf einem solchen Termin in Leute hineinfüttern kann, sind – gelinde gesagt – ernüchternd. Bisher verläuft die Weiterentwicklung der Schulung so, dass der Anspruch beständig heruntergeschraubt wird.

Außerdem fehlt mir dort ein Bewusstsein für die Relevanz der einzelnen Abschnitte auf der Paranoia-Skala. Da werden Neulinge, deren bisheriger Höhepunkt an IT-Sicherheit das VPN ins Uni-Netz ist, mit Zeug konfrontiert, das für Leute relevant ist, die sich vor Geheimdiensten schützen wollen. Was soll das? Auch diese Nachnamen-Panik ist doch irre. Damit wird genau der falsche Eindruck erweckt, dass Kryptografie nur etwas für die paar Leute sei, die vor der Polizei weglaufen, dabei braucht sie (in anderem Rahmen) jeder.

Ich glaube, dass es dem Verständnis dienlicher ist, erst mal in ein Thema mit relevanter Tiefe einzusteigen (sinnvollerweise E-Mail-Kryptografie). Das dort erworbene Wissen ist für die meisten anderen Anwendungen hilfreich, so dass man sich dann mit besseren Voraussetzungen weiterarbeiten kann.

Für alle, die sich das Wissen aneignen oder bei der Wissensvermittlung helfen möchten:

http://www.openpgp-schulungen.de/

Und natürlich bleibt die Frage: Was ist mit der taz? Ich wollte gerade schon eine Schulung vor Ort anbieten, aber nun sehe ich, dass es – schon seit Jahren – eine Menge Leute bei der taz gibt, die OpenPGP verwenden. Warum merkt man das auf der Webseite nicht?

Voll kreativ, einfallsreich und progressiv und elektronische "Musik" hält sich passend dazu auch schon genauso lange wie die überaus einfallsreiche und kreative Bartfrisur, genannt "Gesichtsfotze".

Als Begleitung empfiehlt sich ein schmales, eckiges Kassengestell und da Computer voll begeistert schon Kleinkindern die Augen zerstören, laufen bald alle ganz gleich rum, nur noch durch Tätowierungen am Arsch zu unterscheiden und damit diesen kreativen Mutanten das nicht auffällt, holt man 3-D aus der Mottenkiste.

Zu Windows: Das Problem ist nicht, dass Microsoft böse ist, das sind sie vielleicht- je nach Wahl des Kriteriums der Moralisierung. Schwerwiegender ist, dass Closed Source Software nicht vertrauenswürdig ist und dass bei Windows wirklich richtig üble Sicherheitsprobleme regelmäßig vorkommen. Das trojanische Pferd namens Flame hat sich z.B. über Windows-Update unter Nutzung einer MD5-Hash-Kollision verbreitet, das trojanische Pferd hatte damit ein gültiges MS-Zertifikat. Dem Technik-Laien sagt das natürlich nichts, aber niemand der Ahnung von der Materie hat würde MD5 für kryptographische Zwecke einsetzen, dass es dafür nicht geeignet ist, ist schon sehr lange bekannt. Mir scheint es unplausibel, dass dies ein Versehen von MS gewesen sein soll (was sie ja behaupten), so blöd sind auch die bestimmt nicht. Ich halte es für wahrscheinlicher dass ein US-Geheimdienst auf diesem Weg auf Bestellung seine Schadsoftware signiert bekommen hat. Aber selbst wenn es nur ein Versehen war, dann beweist das dennoch, dass auf Windows in Sachen Sicherheit kein Verlass ist, das hieße ja dann die zuständigen Leute dort sind wirklich extrem unfähig.

Zum Kästchen mit gut gemeinten Ratschlägen: Von TrueCrypt würde ich abraten. Das mag jetzt paranoid klingen, aber ich würde deshalb von TrueCrypt abraten, weil das BSI (immerhin ehemaliger Teil des BND) auch bei Linux zur Nutzung von TrueCrypt geraten hat, dort aber mit LUKS bereits ein sehr gutes Verschlüsselungssystem mit an Bord ist. Diese Diskrepanz ergibt für mich nur in 2 Szenarien Sinn (lasse mich aber auch gerne eines besseren belehren): Entweder ist das BSI ahnungslos (was ich nicht glaube) oder dem Staat sind bereits Methoden bekannt, TrueCrypt auszuhebeln (Passwort per Trojaner abgreifen oder so). Anzunehmen das Sicherheitsinteresse der Bürger stände tatsächlich im Mittelpunkt einer Behörde halte ich für naiv. Bei Windows brauchen wir nicht über Sicherheit reden, bei Linux, *BSD etc. gibt es bessere Optionen als TrueCrypt.