Deutschsprachige CAcert Support Liste

[Bernhard Fröhlich <bernhard AT cacert.org>]

Hi Etienne,

ich habe mir gerade auf einem Spaziergang überlegt wie man eine Unterichtseinheit für mittlere Klassenstufen zum Thema Computersicherheit aufbauen müsste. Dabei ist mir mal eine etwas andere Idee gekommen, die ich hier mal einfach so in den Raum stellen wollte um zu sehen ob das nur eine Schnapsidee ist oder ob mir da jemand folgen kann...

Das eigentliche Thema der Computersicherheit ist m.E. Vertrauen. Darauf basiert nämlich die komplette Computersicherheit. Wem kann ich vertrauen wenn er behauptet dass seine Methode sicher ist? Warum kann man jemandem vertrauen? Wie weit kann man jemandem vertrauen, und was sind Anzeichen dafür mistrauisch zu werden?

Wenn man mit SHA1, RSA und Elliptical Curves auf 10-15 Jährige losgeht dann wird das zu 99% schiefgehen, da bin ich ganz der Meinung von Viktor. Aber wenn man sich im Unterricht gemeinsam überlegt was denn Vertrauen eigentlich ist dann kommt man ganz leicht dazu wie und warum man einer E-Mail trauen kann oder nicht.

D.h. die Einführung in das Thema ist, dass man einige Beispiele bringt:

• Deine Mutter ruft dich an und sagt dass sie einen Bekannten schickt um Dich von der Schule abzuholen
• Du bekommst einen einen Zettel auf dem ein Freund dich bittet ihm 5 Euro in euer Geheimversteck zu legen, weil er seinen Geldbeutel verloren hat und jetzt nicht heimfahren kann. Einmal als Computerausdruck, einmal als handgeschriebenen Zettel.
• Ein Polizist in Uniform schickt dich auf dem Schulweg auf einen Umweg durch eine Nebenstraße, weil der normale Weg gesperrt ist. Und dasselbe Szenario mit einem Zivilpolizisten, einmal mit und einmal ohne Ausweis.
  
• Ein Fremder schenkt Dir auf der Straße einen USB-Stick und behauptet dass da ein tolles Spiel drauf ist wenn man die Setup.exe startet

Anhand dieser Beispiele können die Schüler diskutieren was sie denn tun würden und worauf sie achten würden. Worauf man als Lehrer etwas hinsteuern sollte wären die Punkte

• Hat sich der Kommunikationspartner authentisiert? Also

• Hast Du die Stimme der Mutter am Telefon erkannt?
• Kennst Du die Handschrift deines Freundes?
• Weißt Du wie eine Polizei-Uniform oder ein Polizeiausweis ausschaut?
  

Ist das Umfeld plausibel? Also

• Hat die Mutter vorher schon angekündigt dass sowas eventuell passieren könnte? Kennst Du den Bekannten?
  
• Habt ihr das Geheimversteck schon früher benutzt?
• Ist zu erkennen dass auf dem normalen Schulweg ein kaputtes Auto, eine Menschenmenge oder eine Feuerwehrleiter steht?
  

Was kann denn passieren? Also z.B.

• Die 5 Euro sind weg
• Ein paar ältere Schläger zocken Dir das Handy ab, weil das Geheimversteck oder die Nebenstraße in einer üblen Gegend liegt
  
• Auf dem USB-Stick ist kein Spiel sondern ein Erpressungs-Trojaner, und alle Daten auf deinem Computer sind futsch

Jetzt kann man überleiten auf E-Mails, und durchspielen was denn bei einer E-Mail wegfällt.

• Der Absender der Mail kann jederzeit gefälscht werden. Am Besten kommt das natürlich rüber wenn man eine unsignierte Mail mit dem Absender direktor AT deine-schule.de (oder einer anderen bekannten Respektsperson) an einen Schüler auf sein Handy schicken kann. Muss man natürlich vorher ausprobieren, DKIM oder SPF können einem da schon das Leben schwer machen, aber wenn es geht ist es vermutlich doch recht eindrucksvoll. :-)
  
• Das bedeutet natürlich nicht unbedingt dass jede unsignierte Mail gleich gefälscht ist. Wenn die Mutter das mit dem Abholen schon zu Hause erwähnt hat, oder man den Bekannten selbst gut kennt spricht nichts dagegen das zu glauben. Wie das bei den Beispielen mit den 5 Euros im Geheimversteck, der Umleitung der Polizei oder der Mail mit dem angehängten Spiel ist sollen sich die Schüler selbst überlegen.

Das sollte relativ frei zu der Frage führen was man denn tun kann damit ein Mail-Absender sich authentifizieren kann. Hier muss man vermutlich zum Frontalunterricht wechseln und ein bischen dozieren, über Zertifikate und CAs. Auch hier besteht natürlich genau dasselbe Problem, warum kann ich denn einem Zertifikat trauen? Warum kann ich dem Lehrer trauen wenn er mir erzählt dass Mails mit Zertifikaten sicher sind? Vermutlich ist es produktiver wenn man dieses Thema auf das Ende der Unterrichtseinheit verlegen kann, weil man hier leicht sehr viel Zeit verlieren kann.

Im Idealfall hat die Schule jetzt bei CAcert eine Organisation Assurance mitgemacht und der Lehrer ist ein Org Admin. Dann kann er jedem Schüler/jeder Schülerin ein E-Mail-Zertifikat der Schule mit "OU=Schüler" ausstellen, sofern er/sie einen Schülerausweis dabei hat oder persönlich bekannt ist. Dann ist die Hausaufgabe/der Arbeitsauftrag das CAcert-Zertifikat auf dem Handy oder dem heimischen Rechner zu installieren und eine signierte Mail an den Lehrer zu schicken. Dafür sollte man sich natürlich ggf. eine Ausnahmegenehmigung holen dass die Handys während des Unterrichts genutzt werden dürfen... :-)

Alternativ kann man sich selbst eine CA bauen, die eine Woche nach dem Vortrag abläuft. Das ist natürlich ein bischen mehr Arbeit...

Übrigens: Das Verschlüsseln an dieser Stelle eigentlich nur das Zuckerl, das man mit Zertifikaten als "kostenlose Dreingabe" bekommt. Verschlüssen alleine ist (zumindest in diesem Kontext) völlig sinnlos wenn man nicht weiß wer der Verschlüsselnde war. Das muss natürlich nicht unbedingt mittels Zertifikaten passieren, aber wenn man eine verschlüsselte aber unsignierte Mail erhält dann ist die in diesem Vertrauens-Kontext exakt genauso zu behandeln wie wenn es eine unverschlüsselte Mail wäre. D.h. auf die "Ich habe ja nichts zu verbergen"-Diskussion muss man sich hier nicht einlassen. Das ist ein komplett eigenes Thema. Ein sehr sinnvolles Thema, aber eines das meiner Erfahrung nach schwieriger zu behandeln ist...

So, hat es irgendjemand bis hierher geschafft?

Wenn ja, hilft das weiter? Kann das jemand in eine konkrete Form bringen oder das einmal mit einer Schulklasse ausprobieren? Kriegt das jemand hin dass er/sie mit einem CAcert Org-Account auf die Schnelle 20-30 Schülern ein Zertifikat ausstellen kann?

Ich wäre echt neugierig ob das klappt. Ich habe schonmal einen ähnlichen Vortrag vor einer Schulklasse gehalten, aber ich fürchte ich war damals zu technisch...

MfG
Ted

Am 25.12.2017 um 22:15 schrieb eruedin AT cacert.org:

Diese Nachricht wendet sich an alle, die ausser zu CAcert auch irgend einen
Bezug zu Kindern im Alter von ca. 4-18 Jahren haben.

Die deutschsprachigen Kantone der Schweiz führen zur Zeit neue Lehrpläne an
der Volksschule ein, welche untereinander stark koordiniert sind (sogenannter
Lehrplan 21). Ich habe die CAcert evtl. betreffenden Stellen herausgesucht auf
der Seite https://wiki.cacert.org/Lehrplan21 eingestellt.

Nun suche ich alle möglichen neuen Ideen und Bezüge zu bereits bestehendem,
wie man diese Vorgaben mit Hilfe von CAcert oder einem Dienst von CAcert in
den Unterricht einbauen könnte.

Ich werde diese bei den jeweiligen "Kompetenzen" einbauen, aber auch auf der
Seite https://wiki.cacert.org/CAcertAtSchool/DE, wo sie unabhängig vom Land
allen Schulen zur Verfügung stehen.

Ich denke, das ist eine grosse Chance für uns, denn das Fach "Medien und
Informatik" ist neu und da kann noch niemand auf Bestehendes zurückgreifen.
Ich freue mich auf alle Antworten, von einigen Stichworten hin bis zu fertigen
Unterrichtsreihen ;-) -- sei es hier oder an mich direkt.

Freundliche Grüsse
Etienne Ruedin

Attachment: smime.p7s
Description: S/MIME Cryptographic Signature