--------------------------------------------------------------------------------
 Diese Shownotes wurden automatisiert aus <https://pads.ccc.de/C3D2-Pentaradio>
 extrahiert, siehe <https://gitea.c3d2.de/xyrill/pentaradio-historic-shownotes>.
--------------------------------------------------------------------------------

## Juli 2016

News:

- Bulgaria macht Ernst mit Open Source
  \<<https://medium.com/@bozhobg/bulgaria-got-a-law-requiring-open-source-98bf626cf70a#.3fy85ehm6>\>

\#Musik
Intro: Klamm - Dragon Fire
<http://chipmusic.org/klamm/music/dragon-fire>

Klamm -Crusing
<http://chipmusic.org/Klamm/music/cruising>

Pornophonique - I want to be a robot
<https://www.jamendo.com/album/7505/8-bit-lagerfeuer>

Pornophonique - Space Invaders
<https://www.jamendo.com/track/81743/space-invaders>

Outro: Kraftfuttermischwerk - Am Wolkenberg (instrumental)
<http://www.kraftfuttermischwerk.de/wa/am_wolkenberg_instrumental.mp3>

Was heißt sicher kommunizieren?
- Ende zu Ende
- wichtigste keiner darf dazwischen mithören

**--\>** **Abhörsicherheit**
- Methode:
  - Crypto
  - Stasi Leitung sichern, Leitung in Rohren mit Unterdruck
--\> Bietet aber auch Whatapp
- Beispiel Tiefseekabel

**--\>** **Authentifizierung**
- rede ich wirklich mit dem anderen
- kein man in the middle
- kann Whatsapp nicht

**--\>** **Integrität**
- einzelne Nachrichten werden nicht gesendet
- einzelne Nachrichten werden hinzugefügt
- einzelne Nachrichten werden manipuliert

**Beispiele** anhand der Kriterien durchgehen
- Whatsapp
- Signal
  - Telefonbuchsyncfoo
<https://de.wikipedia.org/wiki/Liste_von_mobilen_Instant-Messengern>
- E-Mail made in Germany --\> Transportverschlüsselung
  - Ziel war: sicher, zuverlässig, vertraulicher Geschäftsverkehr, im
Internet, für jederman
  - Problem: jeder kann sich Mailadresse, Max Mustermann holen
  --\> DE-Mail: Ausweis vorzeigen
  - Problem: Empfangsbestätigung kann verweigert werden
  --\> Empfang automatisch bestätigt
  - Versand einer DE-Mail kostet 0,39 Cent
  - wenige Anbieter, wegen teurer Zertifizierung
  - Problem: nicht immer Transportverschlüsselung --\> DE-Mail immer
SSL
  - Problem: nicht jeder hat Verschlüsselung --\> DE-Mail: keine
Verschlüsselung :-)
  - Problem: Viren, Trojaner --\> Virenscan beim Anbieter
  - Wer schickt denn für 0,39€, auf seinen Namenregistriert
Malware?
  - andererseits wiegen sich Nutzer in flascher Sicherheit
--\> Indiv. Angriff möglich
  - Traum für Angreifer: sensible Daten, nur wenige Anbieter,
unverschlüsselt
  - Traum für Behörden: sensible Daten,nur wenige
Anbieter,unverschlüsselt,kein  Spam
  --\> Ziel: Wirtschaftsförderung und Abhörbarkeit --\> Statt kein
Interesse an Sicherheit
- OTR, Omemo
- PGP
Achtung Metadaten

**--\> Perfect Forward Secrecy**
- wenn ein Key bekannt wird, bedeutet nicht, dass komplette
Kommunikation offen liegt
  - in Vergangenheit als auch Zukunft

**--\> (plausible) Deniability**

**--\> Vertrauenswürdige Basis**
- Passwörter auf Rechner verschlüsseln
  - OS, z.B. Windows oder Programme - Gefahr Viren, Trojaner, und
Co.
  - wenn Open Source
  - auch möglich, aber durch Möglichkeit zu Audits
vertrauenswürdiger
  - Hardware (min. Geheimdienst nötig)
- kann ich meinem Handy vertrauen?
  - nein
  - warum nicht?
  - Hardware
  - OS / Provider
  - Hersteller (Verzögerung von Updates, eigene Apps)
  - Provider (Verzögerung von Updates, eigene Apps)
<http://heise.de/-1337858>
  - Bsp Telekom:
<http://blog.telekom.com/2014/02/05/so-kommt-das-update-auf-mein-smartphone/>
  - Apps
  - GSM /Baseband
- Passwortzettel nicht rumliegen lassen
- Trust no one- Ansatz