% - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -+ % | % (C)opyright A. Hilbig, mail@andrehilbig.de | % http://www.andrehilbig.de/Publications | % | % diese Datei: body.tex | % | % Das Dokument steht unter der Lizenz: Creative Commons by-nc-sa Version 4.0 | % http://creativecommons.org/licenses/by-nc-sa/4.0/deed.de | % | % Nach dieser Lizenz darf das Dokument beliebig kopiert und bearbeitet werden, | % sofern das Folgeprodukt wiederum unter gleichen Lizenzbedingungen vertrieben | % und auf die ursprünglichen Urheber verwiesen wird. | % Eine kommerzielle Nutzung ist ausdrücklich ausgeschlossen. | % | % - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -+ % | % HINWEISE/ERWEITERUNG | % Diese Pakete basieren auf den entsprechenden Paketen von Prof. Dr. Ludger Humbert | % (http://ddi.uni-wuppertal.de/ -- humbert@uni-wuppertal.de) und wurden zum Teil angepasst. Seine | % Pakete basieren wiederum auf Entwicklungen von Prof. Dr. Till Tantau | % (http://www.tcs.uni-luebeck.de/de/mitarbeiter/tantau/). Beiden gilt mein Dank hierfür. | % | % - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -+ % | \providecommand\hutAuf{André Hilbig, Stefan Schwinem, Thorsten Terjung} \lecturewithid{kryptoprojekt}{Wir gründen ein Spioncamp und machen das Internet sicher} {Beschreibung der Durchführung eines Projektes zur Vermittlung von Kompetenzen zur sicheren Kommunikation mit internetbasierten Angeboten für \SuS der Jahrgangsstufen 7 bis 9\newline \textcolor{blue!50}{\hutAuf}} \label{kryptoprojekt} \begin{body} \begin{frame} \maketitle % Titel \end{frame} \begin{lecture notes intro}[Worum es geht?] Dieses Dokument stellt die Beschreibung der Planung, Durchführung und Reflexion eines dreitägigen Projektes mit \SuSn der Jahrgangsstufen 7 bis 9 eines Gymnasiums zur Vermittlung von Kompetenzen zur sichern Kommunikation mit internetbasierten Angeboten dar. Dazu wird unterschiedliches Material, u.\,a. das Spioncamp der Uni Wuppertal, vorgestellt und erläutert. \end{lecture notes intro} \begin{learning targets}[b] \item Die \SuS erklären die Funktionsweise von netzwerkbasierter Datenübertragung indem sie die Nutzung und Bereitstellung von Daten in Netzwerken (und dem Internet) anhand von Planspielen und konkreten Angeboten untersuchen, \item definieren die zentralen Sicherheitsziele, erkennen deren Notwendigkeit innerhalb konkreter, alltäglicher Situationen und zeigen entsprechende verantwortungsbewusste Handlungsoptionen auf, \item nutzen unter Verwendung geeigneter, alltagsnaher Werkzeuge die bereitgestellten Dienste entfernter \ISe verantwortlich, sicher und selbstbestimmt, \item gestalten ihr soziales Miteinander durch die Verwendung von internetbasierten Angeboten zur Kommunikation indem sie sowohl die sozialen Voraussetzungen als auch die technischen Grundlagen für sich selbst als auch beteiligte Mitmenschen benennen und durch kritisches abwägen zu einer sinnvollen Wahl der Werkzeuge bzw. Angebote gelangen. \item[\RightArrow] Sichere, sinnvolle Kommunikation mit internetbasierten Angeboten für sich selbst und andere ermöglichen. \end{learning targets} \mode %\only
{ \section{Einleitung} \SuS nutzen täglich \ISe zur Kommunikation. Die Ziele, die die Kommunikation dabei verfolgt sind vielfältig. Vom Zugehörigkeitsgefühl zu bestimmten Gruppen über dem Einholen von Informationen und der \enquote{Selbstdarstellung} bis hin zur direkten \textit{Eins-zu-Eins}-Kommunikation mit Freunden. Genauso vielfältig wie der wichtige Nutzen sind jedoch auch die Risiken. Über das \enquote{Abfischen} von privaten und sensiblen Daten durch Dritte, wie Geheimdienste, Werbeindustrie, Internetkonzernen oder kriminellen Personen, bis hin zur böswilligen Veränderung der Kommunikation selbst, wie etwa bei \CM. Um den vernünftigen Umgang mit internetbasierter Kommunikation zu fördern, ist die Aufklärung über Risiken und die Auffindung zur Minimierung selbiger notwendig. Ohne ein Mindestmaß an Verständnis über die sozialen Zusammenhänge sowie die technischen Grundlagen ist ein sicherer Umgang nicht möglich. Das hier dokumentierte Projekt soll \SuS befähigen, Angebote im Internet bezüglich des Nutzens und der Sicherheit einzuschätzen und etwaige Werkzeuge und Mechanismen zu benutzen, um die Sicherheit zu erhöhen. % Dieses Dokument stellt die Planung einer dreitägigen Projektwoche mit dem Titel % \enquote{Spioncamp} dar. Folgender Text wurde zur Wahl an die \SuS herausgegeben. % \begin{quote} % \end{quote} \section{Planung} \subsection{Grobe inhaltliche Planung} Es handelt sich um drei Tage. Am letzten Tag ist eine Präsentation der Ergebnisse für Unbeteiligte vorgesehen. Dazu werden Plakate erstellt, die in Form eines Museumsrundgangs besichtigt werden können. Folgende Themengebiete erscheinen den Kompetenzen förderlich und insgesamt interessant: \begin{description} \item[Netzwerke und Internet(s)] Wie funktioniert Kommunikation in Netzwerken? Und was ist eigentlich dieses Internet? Hier könnten einfache Topologien und Protokolle besprochen werden, etwa mit dem Planspiel Netzwerkübertragung und Paketierung von \textsc{Hilbig} und \textsc{Salamon}. \item[Angebote] Nachdem einfache Protokolle und die generelle Übermittelung von Daten klar geworden sind, sollte auch kurz auf Dienste und Angebote im Internet eingegangen werde. Eventuell kann dies auch später erfolgen. Generell müssen soziale Netzwerkdienste, Chats und Instant-Messaging (\textit{kurz:} IM) in sozialer sowie technischer Funktion erklärt werden. Hier könnte auch auf die Problematiken der Klartextübertragung in Bezug auf Topologien eingegangen werden. \item[Kryptographie und Kryptologie] Wie könnte ich mich gegen die Klartextübertragung und das Abhören absichern? Einfache kryptographische Grundprinzipien müssen erklärt werden. Es bietet sich an hierfür das Spioncamp \autocite[vgl.][]{spioncamp2012} zu nutzen. Denkbar wäre auch Abfangszenarien durchzuspielen, z.\,B. Passwordfishing, Abgreifen von Daten aus RFID (Personalausweis) etc. Wichtig ist, dass klar wird, woran ich heute eine sichere Verschlüsselung (Sicherheitsziele) erkennen kann. \item[Anwendung] Die Welt der \SuS steckt voller Angebote zur Kommunikation. Wir wollen diese Welt untersuchen und mit dem kryptographischen Wissen absichern. Wenn eine Absicherung gegebener Angebote nicht möglich ist, wird nach Alternativen gesucht. Ziel wäre tatsächlich jede Kommunikationsmethode der \SuS abzusichern. \item[Mobbing Prävention] Die Aufklärung über Möglichkeiten zur sicheren Kommunikation ist Teil einer sinnvollen Prävention von Mobbing. Damit bietet dieser Workshop für die \SuS die Möglichkeit zum selbstbestimmten und bewussten Nutzen moderner Kommunikationswerkzeuge \autocite[vgl.][]{Hilbig2014,Hilbig2012}. \end{description} \subsection{Möglichkeiten zur Verschlüsselung aktueller Angebote} Die Anforderungen der \SuS an ein Werkzeug zur Kommunikation sind vielfältig. Hier sind einige mögliche Angebote bzw. Szenarien mit entsprechenden Möglichkeiten zur Verschlüsselung aufgeführt. %Wichtig sind folgende Punkte zur Auswahl eines Werkzeugs zur Verschlüsselung (neben angemessener %Sicherheit): \begin{itemize} \item Multi-Platform: Es müssen sowohl Win, Mac und Linux auf Desktopseite als auch mind. android mobil (optional sicherlich auch iOS wichtig) unterstützt werden. \item Sicherheitsmechanismus muss prüfbar sein: OpenSource \item Kostenlos verfügbar \end{itemize} \begin{table}[h] \centering \begin{tabular}{ll} \toprule \textbf{Angebot} & \textbf{Möglichkeiten zur Verschlüsselung}\\ \midrule E"~Mail & PGP bzw. gpg \\ IM & otr-plugins \\ SMS & ? \\ Mobile-IM & TextSecure \\ Bilder- und Videoaustausch & ? \\ Dateiaustausch & Bittorrent-sync, PGP, encFS \\ \bottomrule \end{tabular} \label{tab:angeboteSichern} \caption{Möglichkeiten gegebene Angebote zur Kommunikation abzusichern} \end{table} \subsection{Grobe zeitliche Planung} \begin{center} \tablefirsthead{% \toprule \textbf{Zeit} & \textbf{Thema} & \textbf{Hinweise/Beschreibung}\\ \midrule } \tablehead{% \toprule \textbf{Zeit} & \textbf{Thema} & \textbf{Hinweise/Beschreibung}\\ \midrule } \tabletail{% \bottomrule \multicolumn{3}{r}{\footnotesize{Fortsetzung auf der nächsten Seite\ldots}}\\ } \tablelasttail{\bottomrule} \bottomcaption{Grobe zeitliche Planung} % \newcommand{\wechsel}[1]{% \midrule \multicolumn{3}{c}{#1}\\ \midrule } \begin{supertabular}{L{2cm}L{3cm}p{6.5cm}} \multicolumn{3}{c}{Vorbesprechung}\\ \midrule 15 min & Vorstellungsrunde & \begin{compactitem} \item Vorstellung der Teamer \item Kennenlernrunde der \SuS mit \refexercise{ex:kennenlernen} \end{compactitem} \\ 10 min & Organisatorisches & \begin{compactitem} \item Vorstellung Spioncamp: Was werden wir hier gemeinsam machen? \item Zeiten: Jeden Tag 5 Zeitstunden, Aufteilung liegt bei uns, wo Pausen? \item Geräte: Welche Geräte habt ihr? Mitbringen! \end{compactitem} \\ & Erwartungen & % \begin{compactitem} \item Was ist mir in den nächsten Tagen wichtig? \item Was möchte ich lernen? \end{compactitem} \\ 20 min & Wir kommunizieren -- das ist wichtig & % \begin{compactitem} \item Was ist Kommunikation? $\rightarrow$ Begriffe sammeln\newline Gestik, Mimik, Sprache, \ldots \item Loriot-Sketch: Kommunikation kann schief laufen/problematisch sein.\newline Verständnisprobleme, Empathie, Streit, Sprache, Schwierigkeiten\newline $\Rightarrow$ Unterschied Information vs. Daten -- Verstehen vs. Hören\newline Mögliche Impulse: Worin besteht die Problematik im gezeigten Clip? Wie könnte die Situation aufgelöst werden? Nachrichten bestehen aus Daten, die (von Menschen) interpretiert zu Information werden. % \item Wie/womit kann kommuniziert werden? %\item Problematiken: \refexercise{ex:grenzen}, \refexercise{ex:bistToll} \end{compactitem} \\ % 40 min & % Werkzeuge erleichtern und ermöglichen uns die Kommunikation & % % \begin{compactitem} % \item Gibt es Werkzeuge/Methoden/Geräte, die für die Kommunikation benötigt werden? % \item Unterschiede zwischen Informatiksystemen und \enquote{analogen} Methoden als % Werkzeug im Gespräch ermitteln. % \item Welche Werkzeuge benutzt ihr? (\refexercise{ex:sharing}) $\rightarrow$ medial präsentierbar % festhalten! % \end{compactitem} \\ \wechsel{Tag 1} \textit{10 Minuten} & Regeln & \begin{compactitem} \item Mit \SuSn Verhaltensregeln entwickeln und auf zwei klebbaren Folien festhalten \item Gesprächs-/Arbeitsregeln \item Umgang mit Mobilgeräten \end{compactitem} \\ \textit{30 Minuten} & Kommunikation & \begin{compactitem} \item Anschluss an Plakat letzte Woche herstellen \item Bis hier hin und keinen Schritt weiter (vgl. \refexercise{ex:grenzen}) %\item Hey, du bist toll, so wie du bist (vgl. \refexercise{ex:bistToll}) \end{compactitem} %$\rightarrow$ Stärkung Gruppe, Unterschied reale vs. virtuelle Kommunikation \\ Teil 1 \newline\textit{1 Stunde} & Werkzeuge erleichtern und ermöglichen uns die Kommunikation & % \begin{compactitem} \item Gibt es Werkzeuge/Methoden/Geräte, die für die Kommunikation benötigt werden? \item Unterschiede zwischen Informatiksystemen und \enquote{analogen} Methoden als Werkzeug im Gespräch ermitteln. \item Überlegung: Welche Angebote benutzen wir konkret für die Kommunikation in bestimmten Situationen(vgl. \refexercise{ex:sharing})? \end{compactitem} \\ Teil 2 \newline\textit{2 Stunden} & Wie findet eine E"~Mail eigentlich den Weg zu ihrem Empfänger? & \begin{compactitem} \item Planspiel Routing (\refexercise{ex:routing}) \item[\RightArrow] Formulierung von Sicherheitszielen (vgl. \autocites[4f]{Anderson2008}[22f]{Hilbig2014}) \end{compactitem} \\ Teil 3 \newline\textit{1 Stunde} & Was ist eigentlich dieses \textit{Facebook}? & \begin{compactitem} \item Auseinandersetzung mit dem Freundschaftsbegriff von sozialen Netzwerken und den Risiken des \enquote{Teilens} von Daten in diesem Geflecht (vgl. \refexercise{ex:freundschaft}) \item Teilung der Großgruppe in vier oder drei Kleingruppen \end{compactitem} \\ & Abschlussrunde & \begin{compactitem} \item Was hat mir heute besonders gut gefallen? \item Orga für Tag 2 klären. \end{compactitem} \\ %Teil 3 \newline\textit{1 Stunde} & %Hilfe, schaltet dieses Internet ab! & %\ldots oder Möglichkeiten die Kommunikation zu sichern. Sammeln von Lösungsideen und %Möglichkeiten zur Absicherung (Fachinhalte, -sprache und Alltagserfahrungen ausnutzen) \\ \wechsel{Tag 2} Teil 1 \newline\textit{3 Stunden} & Wir gründen ein Spioncamp & \begin{compactitem} \item Bearbeiten geeigneter Stationen des Spioncamps + Knacken aus Materialsammlung? \item[\RightArrow] Code vs. Chiffre \item[\RightArrow] Verfahren allgemein: Substitution (monoalphabetisch: Caesar -- polyalphabetisch: Vigenère), Transposition (Skytale), Schlüsselaustausch (Diffie-Hellman) \item[\RightArrow] Symmetrisch, asymmetrisch, hybrid -- Schlüssel! \item[\RightArrow] Einschätzung der Verfahren hinsichtlich Sicherheit (Hinweis auf Kryptologie) \item Wichtig sind vor allem die richtigen Keywords aktueller Methoden, um selbstständig nach Verfahren/Werkzeugen suchen zu können \end{compactitem} \\ Teil 2 \newline\textit{1 Stunde} & Präsentation vorbereiten & \begin{compactitem} \item Erweiterte Sicherung (vgl. \refexercise{ex:spioncamp}) \item Fragestellungen werden in Gruppen bearbeitet \item Plakat \enquote{Spioncamp} erstellen \end{compactitem} \\ Teil 3 \newline\textit{1 Stunde} & Wir wollen Sicherheit -- Konkret! & \begin{compactitem} \item Was ist ein Schlüssel? \item PGP und TextSecure \end{compactitem} \\ \wechsel{Tag 3} Teil 1 \newline\textit{2 Stunden} & Wir wollen Sicherheit -- nur wie? & Fortsetzung vom Tag zuvor\ldots \\ Abschluss & Reflexion, Fragen & \begin{compactitem} \item Positive Pinnwand je nach verfügbarer Zeit ausweiten (vgl. \refexercise{ex:positivePinnwand}) \item \SuS reflektieren und bewerten das Projekt \end{compactitem} \\ & Cleaning & \begin{compactitem} \item Präsentationen für den Nachmittag aufbauen und vorbereiten \item Aufräumen \end{compactitem} \\ \end{supertabular} %\label{tab:zeitlichePlanung} \end{center} \section{Konkrete Ausgestaltung} \subsection{Planspiel Routing} Mit dem Planspiel soll sowohl die Topologie von Netzwerken als auch die Notwendigkeit von Verschlüsselung deutlich werden (vgl. \prettyref{ex:routing}). \subsubsection{Ziele}\label{sec:routing.ziele} Die \SuS können \ldots \begin{itemize} \item erklären in welchen Strukturen das Routing von Daten in Netzwerken stattfindet, \item die Problematiken von Netzwerktopologien für die Privatheit der eigenen Daten erläutern und \item entwickeln mögliche Ideen zur Verbesserung der Sicherheit. \end{itemize} \subsection{Spioncamp} Das Spioncamp der DdI an der Uni Wuppertal \autocite{spioncamp2012} soll verwendet werden, um den \SuSn die Methoden zur Verschlüsselung von Texten näher zu bringen (vgl. \refexercise{ex:spioncamp}). \subsubsection{Ziele}\label{sec:spioncamp.ziele} Die \SuS können \ldots \begin{itemize} \item den Unterschied zwischen \tb{Codierung} und \tb{Verschlüsselung} erläutern, \item grenzen die \tb{Verschlüsselungsverfahren} Subsitution und Transposition voneinander ab, \item \tb{entdecken konkrete Verfahren} zur mono- und polyalphabetischen Verschlüsselung und \item erläutern die Funktion und Bedeutung eines \tb{Schlüssels} für die Verschlüsselung. \end{itemize} \subsubsection{Aufbau und Stationen} Das Spioncamp soll als freies Stationenlernen eingesetzt werden. Zunächst erhalten die \SuS eine kurze Einleitung und Erklärung zur Verwendung und zum Ablauf. Danach können die \SuS frei zwischen den Stationen wählen. Sie entscheiden über die Reihenfolge und Präferenz der Stationen. Es gibt Pflicht- und Kürstationen. \begin{description} \item[Codierung] \enquote{Die Codierungen dienen zur Abgrenzung des Begriffs Kryptographie. Codierungen sind öffentlich und benötigen keinen Schlüssel. Falls nur eine der drei Codierung bearbeitet werden soll, können sie zu einer Station zusammengefasst werden} \autocite{spioncamp2012}. An dieser Station \tb{muss} eine der Kodierungen bearbeitet werden, es \tb{können} alle bearbeitet werden: \begin{itemize} \item Braille, \item Morse oder \item Winkeralphabet. \end{itemize} \item[Steganographie] \enquote{Steganographie bezeichnet lediglich das Verstecken von Information. Dies allein stellt keine Verschlüsselung dar} \autocite{spioncamp2012}. Diese Station ist \tb{nicht verpfichtend}. \item[Substitution (monoalphabetisch)] Buchstaben bleiben \tb{wo} sie sind, aber nicht \tb{was} sie sind. Jedem Buchstaben wird \textit{immer genau} ein anderer Buchstabe zugeordnet. \item[Substitution (polyalphabetisch)] Buchstaben bleiben \tb{wo} sie sind, aber nicht \tb{was} sie sind. Allerdings ist \tb{was} sie sind immer verschieden. \item[Transposition] Die Buchstaben bleiben \tb{was} sie sind, allerdings nicht \tb{wo} sie sind. An dieser Station \tb{muss} eines der Verfahren bearbeitet werden, es \tb{können} alle bearbeitet werden: \begin{itemize} \item Syktale, \item Schablone oder \item Pflügen. \end{itemize} \item[Schlüsseltausch] Der geheime Schlüssel stellt das Passwort dar, mit dem der verschlüsselte Text wieder entschlüsselt werden kann. Dies kann z.\,B. die Verschiebung einer Substitution sein. Der Schlüssel muss immer geheim bleiben, aber zugleich ausgetauscht werden, damit der Empfänger die Nachricht entschlüsseln kann. Auf dem Weg könnte jedoch bereits der Schlüssel abgefangen werden, so dass die gesamte Verschlüsselung wirkungslos wird. An dieser Station ist die Reihenfolge wichtig -- alles ist obligatorisch: \begin{enumerate} \item Modulo und \item Diffie-Hellmann. \end{enumerate} \end{description} Die \SuS erhalten eine gedruckte Übersicht über die Stationen, um alle Stationen bearbeiten zu können. \begin{figure}[h] \centering \smartdiagram[bubble diagram]{ \large{\textsc{Spioncamp}}, Codierung, Substitution\\\footnotesize{(monoalphabetisch)}, Substitution\\\footnotesize{(polyalphabetisch)}, Transposition, Schlüssel-\\austausch } \label{fig:spioncamp} \caption[Pflichtstationen des Spioncamps] {Die hier abgebildeten Stationen sind Pflichtstationen} \end{figure} \begin{figure}[h] \centering \smartdiagramset{set color list={green!60!lime,orange!50!red}} \smartdiagram[bubble diagram]{ \textsc{Spioncamp}\\(freiwillig), Steganographie, Substitution\\\footnotesize{(bigraphisch)} } \label{fig:spioncampFreiwillig} \caption[Freiwillige Stationen des Spioncamps] {Die hier abgebildeten Stationen sind freiwillige, ergänzende Stationen} \end{figure} \subsubsection{Erweiterte Sicherung} Am dritten Tag sollen die zentralen Inhalte der Stationen (vgl. \prettyref{sec:spioncamp.ziele}) am Nachmittag im Rahmen einer \enquote{Museumsausstellung} für Unbeteiligte verdeutlicht werden. Dafür sollten die \SuS ein Plakat erstellen, dass die Stationen zusammenfasst. Hierfür bietet es sich an, dass die \SuS sich aufteilen und jeweils einzelne Aspekte bearbeiten. Diese können dann am Ende auf dem großen Plakat aufgeklebt werden: \begin{itemize} \item Was ist eine Kodierung? \item Was ist eine Verschlüsselung? \item Was ist eine monoalphabetische Verschlüsselung? \item Was ist eine polyalphabetische Verschlüsselung? \item Was bedeutet die Verschlüsselung durch Transposition? \item Was ist ein (geheimer) Schlüssel und warum ist es wichtig einen Schlüssel \textit{sicher} auszutauschen? \end{itemize} \subsection{Wir werden echte Spione} Bisher wurde alles theoretisch behandelt. Die \SuS sollen nun die Möglichkeit erhalten, ihre eigenen realen Geräte verschlüsselt zu benutzen. Exemplarisch werden dazu zwei Implementationen vorgestellt: PGP (anhand von gpg) zur Verschlüsselung von E"~Mails und TextSecure zum sicheren mobilen Messaging. \begin{description} \item[PrettyGoodPrivacy] PGP ist ein Standard zur Verschlüsslung von zeichenbasierten Daten. In erster Linie wird es zur Verschlüsselung von E"~Mails benutzt. Prinzipiell können damit aber auch Dateien verschlüsselt werden. Hier wird allerdings die freie Variante GnuPrivacyGuard verwendet \autocite[vgl.][]{wikiGPG}. Konkret steht bei den \SuSn unter android die App \textit{APG} in Kombination mit \textit{K9-Mail} zur Verfügung. So können mehrere Keys und Mailkonten verwaltet werden. \begin{center} \app{K9-Mail}{https://play.google.com/store/apps/details?id=com.fsck.k9} \app{APG}{https://play.google.com/store/apps/details?id=org.thialfihar.android.apg} \end{center} Unter ios und android steht mit \textit{whiteout.io} eine App zur Verfügung, die eine Implementierung einer JavaScript-Version von gpg darstellt. Leider kann hiermit nur ein einziges Mailkonto verwaltet werden. \begin{center} \app{whiteout (android)}{https://play.google.com/store/apps/details?id=io.whiteout.WhiteoutMail} \app{whiteout (ios)}{https://itunes.apple.com/us/app/whiteout-mail/id934872032} \end{center} \textbf{Hinweis:} Momentan ist es nicht möglich mit whiteout verschlüsselte E-Mails in K9-Mail und APG zu entschlüsseln. Whiteout verwendet den pgp/mime-Standard, der von K9 (noch) nicht unterstützt wird. Daher sollte überlegt werden, ob in \refexercise{ex:spioncampReal} nur die Stationen mit whiteout angeboten werden. Hier gestaltet sich die Einrichtung auch etwas simpler. Mit anderen Anwendungen ist jedoch eine Entschlüsselung wie gewohnt möglich. Auch können Nachrichten, die den inline-Standard, wie ihn K9 und APG verwenden, benutzen, mit whiteout gelesen werden. \item[TextSecure] Open Whisper Systems hat einen mobilen Instant-Messanger entwickelt, der quelloffen und validiert ist. Damit kann eine sichere alternative zu WhatsApp auf ios (\textit{Signal}) und android (\textit{TextSecure}) angeboten werden. \begin{center} \app{TextSecure (android)}{https://play.google.com/store/apps/details?id=org.thoughtcrime.securesms} \app{Signal (ios)}{https://itunes.apple.com/us/app/signal-private-messenger/id874139669} \end{center} \end{description} \subsubsection{Ziele}\label{sec:spione.ziele} Die \SuS können \ldots \begin{itemize} \item unterscheiden zwischen öffentlichen und privaten Schlüsseln, \item beschreiben den Unterschied zwischen Signierung und Verschlüsselung, \item erklären die Funktion von (öffentlichen und privaten) Schlüsseln zur Verschlüsselung und \item installieren und verwenden Apps zur Verschlüsselung von E"~Mail und mobilem Instant-Messaging. \end{itemize} \section{Reflexion} \subsection[Schülererwartungen]{Erwartungen der \SuS} Die \SuS wurden aufgefordert ihre Erwartungen an das Projekt aufzuschreiben. Auffällig ist die oft genannte Forderung nach einer Möglichkeit Nachrichten zu verschlüsseln und geheim zu halten. Auch die Assoziation mit Informatik für diese Fragestellungen erscheint bei \SuSn präsent zu sein. Im Sinne einer Projektwoche zum Abschluss des Schuljahres wurde auch häufig die Forderung nach Spaß geäußert. \begin{figure}[h] \includegraphics[width=\textwidth,page=2]{reflexion/erwartungen.pdf} \label{fig:reflexion.erwartungensus} \caption{Formulierte Erwartungen der \SuS} \end{figure} \FloatBarrier \subsection{Tag 1} \begin{itemize} \item Die Übung \enquote{Sharing für Dummies} war für die \SuS nicht transparent. Offensichtlich war nicht klar warum diese Übung notwendig ist. Vor allem die starke Fokussierung auf die Verwendung von WhatsApp führte zu einem (erwartet) einseitigem Bild. Daraus konnten die \SuS jedoch nicht ableiten, dass dies ein erster Schritt für Sicherheit ist -- sie teilen eben nicht auf einer Webseite mit, dass sie verliebt sind. \begin{itemize} \item Einzelne \SuS sagten, dass die Verwendung von mobilem InstantMessaging, E"~Mail oder SMS aus Einfachheit halber wegen der Erreichbarkeit durchgeführt würde. \item Evtl. fehlt den \SuSn hier die Kompetenz ihr eigenes Handeln durch die Abstimmung zu reflektieren und in Bezug zur eigenen Person zu setzen. Dies müsste besser angeleitet werden. \item Auch wenn die Durchführung und das Ergebnis für die \SuS eher unsinnig und langweilig erschien, stellte es doch die Frage in den Raum, ist die Verwendung von WhatsApp anstelle einer Webseite tatsächlich sicherer. Somit wurde die Fragestellung für die kommenden Tage (neu) aufgeworfen. \end{itemize} \item Den \SuSn haben vor allem die Übungen zum Routing und Freundschaftsgeflecht gut gefallen. \begin{itemize} \item Das Routing benötigt eine verhältnismäßig lange Einführung. Obwohl die Rollenkarten vorbereitet waren und je ein Teamer für jede Rolle zur Verfügung stand, wurde mehr als eine Viertelstunde benötigt bis mit dem \enquote{Spielen} begonnen werden konnte. Dies sollte beim Benutzen der Übung bedacht werden. \item Auffällig ist, dass gerade zu Beginn die Knoten nahe der Wurzel wenig zu tun haben. Auch während des Spiels gibt es häufig Phasen, in denen einzelne Knoten kaum etwas zu tun haben. Wir haben hier durch das Versenden von Spam und das Hineinreichen von Zusatzaufgaben, etwa dem Verändern oder Hinzufügen von Inhalten der Nachricht, Leerlauf verhindert. \item Insgesamt schienen die \SuS viel Spaß am Nachspielen der Strukturen zu haben. Nach über einer Dreiviertelstunde stoppten wir die Übung -- unter Einwand der \SuS. \item Die Reflexion brachte sowohl die hierarchische Struktur als auch die Sicherheitsproblematiken deutlich hervor. Zu Überlegen wäre hier, ob es eine Art Kontrollmechanismus für das Verschicken von Nachrichten gibt. Denkbar wäre auch, dass einzelne Nutzer Aufgaben bekommen und am Ende geschaut wird, ob diese erfüllt werden konnten. So werden Fehler in der Übertragung deutlicher. \item Die Sicherheitsziele wurden schnell von \SuSn formuliert. Damit wurde auch eine Antwort auf die Frage, ob \textit{WhatsApp} sicherer als die Verwendung einer Webseite ist, geliefert. Es wird deutlich, dass Verschlüsselung benötigt wird. Problematisch ist teilweise die Assoziation mit der E"~Mail. Viele \SuS glaubten zunächst, dass diese Probleme nur bei E"~Mail auftreten, nicht dagegen beim Versenden einer WhatsApp. Dies muss vom Teamer deutlich herausgestellt und angesprochen werden. Hier könnte es sinnvoll sein, ein TCP-Paket auf dem Weg im Netz zu beobachten. \end{itemize} \begin{itemize} \item Die Diskussion darüber was Freundschaft ausmacht, schien manche \SuS mehr als andere zu packen. Einige Ergebnisse sind sehr ausführlich geworden -- andere haben sich nur schleppend damit auseinander gesetzt. Evtl. könnten hier Rollenbeispiele helfen, die sich mit Problemen von virtueller und realer Freundschaft auseinandersetzen, um den Kontext mehr zu motivieren. \item Mithilfe der Rollenkarten ist es schnell möglich ein Geflecht zu erstellen. Auch das Bereitstellen der Bilder und die Diskussion darüber, was passiert wenn jemand \enquote{liked} oder \enquote{weiterleitet} lieferte gute Ergebnisse. Für die \SuS wurde es sehr deutlich, dass über wenige Schritte die gesamte Welt das bereitgestellte Bild sehen kann -- auch wenn bewusst private Einstellungen festgelegt wurden. \item Für die \SuS erscheint der Zusammenhang und die Verbindungsdichte in virtuellen Kontexten sehr überraschend zu sein. Sie scheinen diesen Eindruck zunächst nicht \enquote{fassen} zu können. \item In der Nachbesprechung äußerten einige \SuS, dass sie die Verantwortung jedes einzelnen für die Privatsphäre des anderen nicht als notwendige Verhaltensregel erkannt haben. Insgesamt sind sinnvolle Regeln erarbeitet worden. \end{itemize} \item Vielen \SuSn erscheint der \textit{schulische} Gang etwas zu langweilen und nicht zu gefallen. Sie haben eher spielerische Arbeiten erwartet. \begin{itemize} \item Es gilt zu überlegen, ob das gesamte Projekt von vornherein als \enquote{Spioncamp} ausgewiesen werden sollte. Dadurch entsteht die Assoziation, es ginge vor allem um die spannende Auseinandersetzung mit Spionen und deren Methoden. Evtl. ist es besser den Titel des gesamten Projektes stärker auf sicherer Umgang mit internetbasierter Kommunikation zu legen. Allerdings erscheint dies für \SuS schwer greifbar. \item Eine weiter Alternative wäre eine Umstrukturierung des Ablaufs. Der Kontext Spione hat alle \SuS gepackt und motiviert das Projekt freiwillig zu wählen und mit einer gewissen Grundhaltung zu starten. Der erste Tag befasst sich aber zunächst damit, warum es nicht nur für Spione wichtig sein könnte zu verschlüsseln, sondern für jeden von uns. Die vorgestellten Übungen stellen für die \SuS zum Teil überraschende Erkenntnisse in diese Richtung heraus. Jedoch geht die Motivation und der Spaß an Spionage dabei verloren. Möglich wären praktischere Übungen, etwa das Vorziehen von einzelnen Stationen des Spioncamps oder konkreter Übungen mit mobilen Geräten. Beispielsweise könnten in abgesicherter Umgebung Angriffszenarien von den \SuSn durchgespielt werden. Bereitgestellte Scripte oder Umgebungen könnten hier Bruteforce Angriffe, Abhören von Daten in unverschlüsselten Funknetzen, Mitlesen von E"~Mails etc. darstellen. Hier würde sich der Kontext, wir spionieren die Gegner aus, anbieten. Ein entsprechendes Plan- bzw. Rollenspiel könnte entwickelt werden. \end{itemize} \end{itemize} \includepdf[ pages=1-8,nup=2x1, addtolist={1,figure,Plakate des ersten Tags,reflexion.tag1img} ]{reflexion/tag1.pdf} \includepdf[pages={9-11,13},landscape,nup=2x1]{reflexion/tag1.pdf} \includepdf[pages=12,scale=0.6]{reflexion/tag1.pdf} \subsection{Tag 2} \begin{itemize} \item Die \SuS hatten sehr viel Spaß daran, frei und ohne zu starke Vorgaben, Verschlüsselungs- und Codierungstechniken zu erarbeiten. Das Spioncamp scheint den \SuSn genügend Anleitung und Entdeckungsmöglichkeiten zu bieten. \begin{itemize} \item Teilweise sind die Anleitungen sehr komplex und schwierig, etwa beim Schlüsseltausch. Hier sollte man entsprechend der Gruppe reagieren. \item Ohne geeignete Sicherung finden die \SuS die zentralen Unterschiede nicht direkt heraus. Evtl. sollten zentrale Fragestellungen zur Sicherung als Beobachtungsaufträge mit gegeben werden. Im Rahmen einer Projektwoche ist es jedoch auch nicht notwendig, einen bestimmten Lehrplan etc. zu erfüllen. Hier ist vor allem kritisch zu sehen, dass durch die kurze Zeit die Sicherheit der Verfahren nicht genügend besprochen werden konnte. \item Spontan wurden einige Stationen, etwa Ceasar-Chiffre oder das Vigenère-Quadrat, um entsprechende Apps erweitert. Dies führte zu einer hohen Motivation bei den \SuSn. \begin{center} \app{Caesar Cipher (android)}{https://play.google.com/store/apps/details?id=ba.mk.caesarcipher} \app{Caesar Cipher (ios)}{https://itunes.apple.com/us/app/caesar-cipher/id310506729?mt=8}\\[1.5em] \app{Vigenère Cipher (android)}{https://play.google.com/store/apps/details?id=com.ndroidstudios.android.vigenerecipher} \app{Cipher Tools (android)}{https://play.google.com/store/apps/details?id=cz.yard.android.cipher} \app{Morse Code (android)}{https://play.google.com/store/apps/details?id=com.pacioanudavid.morse} \end{center} \item Insgesamt haben sich die \SuS etwa 3h mit den Materialien beschäftigt. \item Letztlich ist ein durchaus komplexes und gutes Plakat dabei entstanden. \end{itemize} \item Die Arbeit mit TextSecure und whiteout wurde zum Abschluss gleichzeitig gemacht. Die \SuS kamen super mit den Anleitungen zurecht und hatten Spaß daran konkrete Anwendungen ihres Alltags mit Verschlüsselung auszuprobieren. Nachfragen bei den \SuSn stellten aber auch das Grundproblem dar, denn so lange nicht alle wechseln, werden Verschlüsselungstechniken nicht in der Breite Einsatz finden. \item Es muss eine zuverlässige Wlan-Internetverbindung für alle \SuS bereitstehen. \end{itemize} \subsection{Tag 3} \begin{itemize} \item Der heutige Tag brachte vor allem einen sinnvollen Abschluss für die \SuS. Die \refexercise{ex:positivePinnwand} funktionierte trotz der altersgemischten Gruppe sehr gut. \item Offensichtlich hatten die \SuS auch mit dem ersten eher anstrengenderen Tag ein interessantes und spaßiges Projekt. Zum Abschluss sollte jede und jeder ein Wort aufschreiben, dass das Projekt beschreibt. Offensichtlich konnten die Erwartungen der \SuS erfüllt werden. \item Um die Präsentation des Projekts abzuschließen, durften die \SuS den Raum vorbereiten und bauten einzelne Stationen des Spioncamps erneut auf. Dabei wurde deutlich, wie viel erarbeitet wurde. Ihre Produkte fanden so auch noch einmal externe Wertschätzung. \end{itemize} \includepdf[% pages=-,landscape, addtolist={% 1,figure,Hashtagsammlung der \SuS zum Projekt,reflexion.abschlussimg1, 2,figure,Plakat zu Verschlüsselungsmethoden,reflexion.abschlussimg2, 3,figure,Vorstellung einiger Apps,reflexion.abschlussimg3 } ]{reflexion/abschluss.pdf} \subsection{Fazit} \begin{itemize} \item Insgesamt wurde viel Inhalt von und mit den \SuSn produziert. \item Die \SuS sind für die Verschlüsselung von Kommunikation in ihrem Alltag sensibilisiert worden und setzten in den letzten beiden Tagen zumindest kursintern entsprechende Apps ein. \item Der Kontext \enquote{Spione} sollte weiter ausgebaut und besser in die Übungen am ersten Tag integriert werden. \item Datenschautzaspekte und Schülerorientierung sollten stärker in den Mittelpunkt gerückt werden. Evtl auch durch die Verlängerung der Einheit. \SuSn erscheint zwar klar, dass mit dem Internet verteilte Inhalte leicht \enquote{abzufangen} sind, aber haben zum Teil falsche Vorstellungen über die tatsächlichen Gefahren und können mögliche Schutzmechanismen nicht selbstständig finden. \enquote{Beim Abschicken meiner E"~Mail muss ich doch mein Passwort eingeben\ldots Es kann so doch niemand anders in meinem Namen senden!} \end{itemize} %} %\section{Beginn} % \begin{frame} % \begin{center} % Dies ist die erste Folie unter der Sektion Beginn! % \end{center} % \begin{lecture notes only}[Regie] % \only
{ % Hier könnte eine Regieanweisung nur für das Skriptum stehen! % } % \end{lecture notes only} % \end{frame} %\section{Mittelteil} % \subsection{Unterpunkt} % \begin{frame}{Weitere Folien} % \begin{itemize} % \item Hier ist eine weitere Folie mit...\pause % \item Schrittweiser Aufdeckung\pause % \item Im Skriptum entsteht eine Folie! % \end{itemize} % \end{frame} \end{body}