Saturday, January 7. 2006
Zurück vom Jukss
Nach 4 Tagen 22C3 und 8 Tagen Jukss dem Raumschiff Bielefeld entkommen. Das Straßenschild mit BI-Zentrum gibt's wirklich (ok, das war jetzt aber der letzte Bielefeld-Joke).
Ein Haufen Gedanken mitgenommen, der Stapel Bücher, die ich vorhabe zu lesen, wächst gerade in enorme Ausmaße (sowohl physisch als auch "muss ich mal irgendwo kaufen/bestellen"). Über den 22C3 hatte ich ja schon einiges geschrieben, auf dem Jukss habe ich drei Workshops gehalten (zu Arbeits- und Wertkritik, Technische Selbstverteidigung gegen den Überwachungsstaat, Freie Medien), sowie zwei quasi okkupiert, indem ich mehr als der jeweilige Referent gesprochen habe (zu Open Source und Atomkonsens). Schriftliches/Slides gibt's dazu leider nicht, bin aber prinzipiell auf die Themen ansprechbar.
Außerdem einen Haufen netter Leute kennengelernt, wiedergetroffen, näher kennengelernt etc. Hat sich gelohnt.
Als kurzes Jukss-Feedback: Ich war zuletzt vor drei Jahren dort, der Grad der Selbstorganisation hat sich enorm weiterentwickelt. Leider kamen für meinen Geschmack Inhalte zu kurz, wobei das wohl, wie man mir berichtet hat, die Tage, die ich noch nicht dort war, anders ablief.
Ein Haufen Gedanken mitgenommen, der Stapel Bücher, die ich vorhabe zu lesen, wächst gerade in enorme Ausmaße (sowohl physisch als auch "muss ich mal irgendwo kaufen/bestellen"). Über den 22C3 hatte ich ja schon einiges geschrieben, auf dem Jukss habe ich drei Workshops gehalten (zu Arbeits- und Wertkritik, Technische Selbstverteidigung gegen den Überwachungsstaat, Freie Medien), sowie zwei quasi okkupiert, indem ich mehr als der jeweilige Referent gesprochen habe (zu Open Source und Atomkonsens). Schriftliches/Slides gibt's dazu leider nicht, bin aber prinzipiell auf die Themen ansprechbar.
Außerdem einen Haufen netter Leute kennengelernt, wiedergetroffen, näher kennengelernt etc. Hat sich gelohnt.
Als kurzes Jukss-Feedback: Ich war zuletzt vor drei Jahren dort, der Grad der Selbstorganisation hat sich enorm weiterentwickelt. Leider kamen für meinen Geschmack Inhalte zu kurz, wobei das wohl, wie man mir berichtet hat, die Tage, die ich noch nicht dort war, anders ablief.
Tuesday, January 3. 2006
Make security more easy
Today I held a talk about »Technical defense against surveillance« on an event with rather non-technical visitors.
I noticed that we still really have a lot of problems when providing easy-to-use security.
Things like "yes, you can do gpg with jabber, but only with a few clients, there's also another thing called otr, that's better from a cryptographic point of view but it is not based on the gpg-key-infrastructure and it's also only supported by some (other) clients" are really horrible to say if you always fear that nobody understands you.
A short list of things that came me to mind:
- I found no easy way on encrypting partitions with linux. Maybe I missed something, but I googled for it, tried it in ubuntu, found nothing. Had to tell them "there are some console-apps, dm-crypt, cryptsetup, etc.".
- Apps should enable ssl by default. Servers should forbid login without ssl. No more pop3, smtp, imap, jabber, webmail, whatever-web-login without ssl-encryption.
- Jabber should have a standard for encryption, based on gpg, with the cryptographic features of otr.
- We need to get rid of all unsecure algorithms (MD5, SHA1, RSA/DSA/ElGamal with 1024 bit) by default (yes, I know I said this hundred times before). GPG still creates 1024bit DSA-keys.
- Things like tor could be integrated into distributions, to be enabled by a click or similar.
Just some random ideas. It is possible to create much more secure systems. We just need to do it.
(And to not only cry, I hope I'll find some time and motivation to push some of the things I suggested in the near future)
I noticed that we still really have a lot of problems when providing easy-to-use security.
Things like "yes, you can do gpg with jabber, but only with a few clients, there's also another thing called otr, that's better from a cryptographic point of view but it is not based on the gpg-key-infrastructure and it's also only supported by some (other) clients" are really horrible to say if you always fear that nobody understands you.
A short list of things that came me to mind:
- I found no easy way on encrypting partitions with linux. Maybe I missed something, but I googled for it, tried it in ubuntu, found nothing. Had to tell them "there are some console-apps, dm-crypt, cryptsetup, etc.".
- Apps should enable ssl by default. Servers should forbid login without ssl. No more pop3, smtp, imap, jabber, webmail, whatever-web-login without ssl-encryption.
- Jabber should have a standard for encryption, based on gpg, with the cryptographic features of otr.
- We need to get rid of all unsecure algorithms (MD5, SHA1, RSA/DSA/ElGamal with 1024 bit) by default (yes, I know I said this hundred times before). GPG still creates 1024bit DSA-keys.
- Things like tor could be integrated into distributions, to be enabled by a click or similar.
Just some random ideas. It is possible to create much more secure systems. We just need to do it.
(And to not only cry, I hope I'll find some time and motivation to push some of the things I suggested in the near future)
Posted by Hanno Böck
in Cryptography, English, Gentoo, Linux
at
23:48
| Comments (6)
| Trackbacks (0)
Sunday, January 1. 2006
22C3 Resumee
Kongress vorbei, ich bin gerade auf dem JUKSS in Bielefeld (ja, ich weiss, das gibt's garnicht).
Ein kleines Resumee von mir: Man merkt, der CCC wird politischer. Die Anzahl der Workshops, die sich mit den Schnittstellen von Hackerthemen und politischen Fragen beschäftigt, nimmt zu.
Das führt natürlich zu mancher Verstrahlung (We lost the war, Fnord Jahresrückblick), was eigentlich wenig überraschend ist, in einer Organisation, die sich in der Vergangenheit sehr häufig vor allem durch Technik definiert hat und in der solche Debatten natürlich erstmal auf niedrigem Level anfangen. Note: Mir ist durchaus bewußt, dass der CCC schon immer »irgendwie« politisch war, aber die Anzahl derer, die in jüngerer Zeit sich einen »unpolitischen« CCC wünschen (was imho übrigens völliger Unfug ist), nimmt doch stark ab.
Im großen und ganzen find ich die Entwicklung aber insofern positiv, als dass Dinge, die schon länger unter der Oberfläche brodeln, mal in einer offenen Debatte auf die Tagesordnung kommen.
Der Entschwörungstheorie-Vortrag war für mich in gewisser Weise erleichternd. Man bekommt mal mit, dass man nicht der einzige ist, dem bei »Heuschrecke Amerikana« das Lachen im Hals stecken bleibt. Daniel hat da sicher bei vielen offene Türen eingerannt.
Ein kleines Resumee von mir: Man merkt, der CCC wird politischer. Die Anzahl der Workshops, die sich mit den Schnittstellen von Hackerthemen und politischen Fragen beschäftigt, nimmt zu.
Das führt natürlich zu mancher Verstrahlung (We lost the war, Fnord Jahresrückblick), was eigentlich wenig überraschend ist, in einer Organisation, die sich in der Vergangenheit sehr häufig vor allem durch Technik definiert hat und in der solche Debatten natürlich erstmal auf niedrigem Level anfangen. Note: Mir ist durchaus bewußt, dass der CCC schon immer »irgendwie« politisch war, aber die Anzahl derer, die in jüngerer Zeit sich einen »unpolitischen« CCC wünschen (was imho übrigens völliger Unfug ist), nimmt doch stark ab.
Im großen und ganzen find ich die Entwicklung aber insofern positiv, als dass Dinge, die schon länger unter der Oberfläche brodeln, mal in einer offenen Debatte auf die Tagesordnung kommen.
Der Entschwörungstheorie-Vortrag war für mich in gewisser Weise erleichternd. Man bekommt mal mit, dass man nicht der einzige ist, dem bei »Heuschrecke Amerikana« das Lachen im Hals stecken bleibt. Daniel hat da sicher bei vielen offene Türen eingerannt.
« previous page
(Page 2 of 2, totaling 18 entries)