Schema till cryptoparty 18/4

Posted on by
Reply

Schemat på Cryptopartyt imorgon (18/4) är som följer, med tider som säkert kan diffa
ett par minuter hit och dit:

  • 18:00 öppnar vi dörrarna och folk kan komma
  • ~18:30 låter vi Codemill presentera sig som värdar
  • 18:30 presenterar Umeå Hackerspace generella begrepp kring säkerhet
  • ~18:45 berättar Thomas Kvist om Umeå kommuns öppna data (vilket öppnar för grävande datajournalistik!)
  • 19:00 Umeås lokaltrafik – “Är de nya busskorten faktiskt säkrare?”

C:a 19:30 sprider vi ut oss på stationer:

  • GPG (kryptering och signering av mail, data, kommunikation)
  • Tails (starta datorn till säker miljö utan att någon märker!)
  • Hackerspacestuff (här kan man prata med oss om allt från internet till bitcoins, aluminiumgjutning, busskort och budgetmekano)

Små variationer kan säkert uppstå – men sådant är livet. Vi ska göra
vårt bästa för att hålla tiderna och hoppas att vi kan erbjuda ny
kunskap och information som alla kan ha nytta av i ett övervakat samhälle.

Solceller, byggande, UMesh

Posted on by
Reply

En aktiv kväll i vår hackerspace, med mycket nytt material att leka med:

Fem kilo likadana träspjälor ledde till diverse byggen med och utan fästmaterial, samt initierade svällexperiment (resultat lär hittas senare).

Vidare har hackerspacets laddning av solceller nu anlänt, vilka diskuterades och testades på olika mer eller mindre destruktiva sätt. Enligt preliminära resultat verkar de uppfylla de krav vi har, men exakt hur vi ska lyckas få tillräckligt hög spänning över en liten yta är fortfarande lite oklart. Det är inte omöjligt att dela upp cellena på mindre bitar, vilka sedan kan kopplas i serie, men att få till fina och exakta brott är svårare. Inte omöjligt, men svårt. Vidare experiment kommer följa.

Meshprojektet rör sig framåt också, med några DIR-300 som distribuerats till andra medlemmar. Lödning och omflashning lär följa. Vidare kommer vi att ha ett möte med Föreningen Allt åt Alla inom kort, för eventuellt samarbete om Ålidhemsmesh.

I mekrummet har det slaktats hårddiskar, gjutits aluminium och experimenterats med gammal elektroterapeutisk teknik.

Cryptoparty nu på torsdag 18 april 2013

Posted on by
Reply

Nu blir det Cryptoparty i Umeå igen! Vi håller till hos det lokala IT-företaget Codemill AB på Riddaregatan 8 (Haga) och välkomnar varmt samtliga intresserade av IT-säkerhet, kryptologi och digitalt dataskydd. Vi öppnar dörrarna 18:00 och planerar hålla på till åtminstone 21:00.

De som vill komma får gärna anmäla sitt intresse, om än ej obligatoriskt. Det kan även vara en idé att läsa förra årets inlägg “Cryptoparty-upptakt” av pettter som uppvärmning för säkerhetstänk.

Pressmeddelande 2013-04-12 [GPG-signerad .txt]

Umeå Hackerspace, en ideell förening med bas i Umeå, arrangerar på torsdag 18/4 2013 ett “Cryptoparty” för journalister, privatpersoner och övriga intresserade av digital säkerhet och trygghet. Det börjar 18:00 och håller på åtminstone ett par timmar. Vi bjuder på tilltugg och det är gratis inträde! Fotografering undanbedes utan att fråga de inblandade i förväg.

Mer info nedan och länk till frivillig (men önskad) anmälan är här: https://cryptoparty.umeahackerspace.se/

Detta blir det andra cryptopartyt som arrangeras – denna gång är huvudföreläsningen:

  • Umeås lokaltrafik – är de nya busskorten faktiskt säkrare?

Övriga ämnen som kan/kommer tas upp är:

  • Bitcoin – en decentraliserad valuta
  • Kryptering för aktivister, journalister och privatpersoner
  • Surfa anonymt med TOR
  • Decentraliserade trådlösa nätverk (projektet “Umesh”)

Som alltid har vi även stationer för att signera varandras GPG-nycklar och man kan fråga andra, kunniga deltagare hur man surfar säkert, anonymt och t.ex. hur man bäst skyddar sina källor och sin privata data.

Cryptopartyt arrangeras i samarbete med det lokala IT-företaget Codemill AB, vars lokaler cryptopartyt håller till i på Riddaregatan 8 (Haga).

I samband med arrangemanget delar vi även ut tryckta skrifter från Stiftelsen för Internetinfrastruktur (.SE) som nyligen släppte sin bok “Digitalt källskydd”, med inriktning mot journalistisk verksamhet och redaktioner, som tar upp viktig information i hur man kan garantera trygghet för sina källor i en digital värld.

En uppdatering på det nya busskortsystemet i Umeå

Posted on by
Reply

Umeå kommuns lokala kollektivtrafik körs av det notoriskt lagbrytande övervakningsbolaget Nobina. Trafiken koordineras dock av kommun- och landstingsägda Länstrafiken i Västerbotten, kända för såväl sina exceptionellt osäkra betalsystem (numera uppgraderat) som att de öppet står för en olaglig upphandling, som direkt konsekvens av att de inte väljer att upphandla fri mjukvara (en lösning som hade varit öppen för konkurrens, billig och inte minst flexibel).

Så hur bra har det gått med uppgraderingen av systemet sedan den 11 mars, knappt en månad sedan, då betalsystemet i Umeås lokaltrafik byttes ut? Tekniken är mycket densamma, men de kontaktlösa kort som används numera fylls alltså med annan data än tidigare. Kortfattat bygger deras nya system på Resekortsföreningens standard (RKF-specifikationen), som är tänkt att täcka kollektivtrafik i hela Norden. Hur det ser ut på annat håll i landet med detta system rapporterade Dagens Nyheter om idag från Stockholm.

Först och främst äldre kort osäkra på grund av användandet av dålig slumpgenerator i Mifare-korten (numera heter de Mifare Classic). Problemet var främst att slumptalen var likadana varje gång man startade chipet, vilket gjorde att en matematisk kryptoanalys kan nyttja en okänd konstant istället för slumpmässighet. Denna sårbarhet minskade den nödvändiga “samplingsmängden” av kortkommunikation med en enorm faktor och innebar dessutom att den enda utrustning som behövdes var ens egen Mifare-läsare och det kort man önskade attackera (darkside-attacken genom mfcuk).

Vidare innebär detta att givet hur länge chippet varit igång (antal klock-ticks), med kunskap om algoritmen Crypto1 som publicerades 2008, kan man även förutsäga hur nya slumpsiffror kommer att se ut. Känner man då t.ex. till en nyckel som inhämtats med mfcuk ovan så kan man applicera “nested authentication”-attacken för att etablera en krypterad session, varpå man redan är halvvägs in och slipper gissningsleken.

De moderna korten är fortfarande “Mifare Classic”-kompatibla, som t.ex. “Mifare Plus” i kompatibilitetsläge. Sårbarheten med slumpgeneratorn är lagad, så det är inte lika snabbt och smidigt att återskapa nycklarna utan mer sofistikerade metoder. Eftersom krypteringen dock fortfarande görs med Crypto1 är algoritmen i sig fortfarande dålig, i kombination med en kort nyckel (48 bits). Denna kommunikation kan avlyssnas pålitligt inom 2 meter från källan och sedan knäckas inom rimlig tid med en vanlig persondator. RKF-specifikationen kräver specifikt dessa kryptologiska verktyg eftersom alla operatörer måste kunna tyda index-data i varandras kort.

Väldigt många kortoperatörer använder alltså samma krypteringsnycklar och protokoll över hela Norden. Det är dock inte riktigt så dumt som det låter, eftersom detta bara gäller ett korts “produktindex” – operatörerna har utöver detta egna sektorer på kortet med eget systemspecifikt data och krypteringsnycklar. Alltså kan inte t.ex. Västtrafik radera Västerbotten-data. Och exempelvis kan någon som knäckt Luleå lokaltrafiks resekort inte helt radera eller manipulera data från Umeå lokaltrafiks resekort.

Ovannämnda egenskaper har dock konsekvensen att säkerheten på korten inte uppfyller en säkerhet för resenärer att deras kortanvändning och -historik är konfidentiell. Dessutom hotas integriteten av datat på korten när krypteringsnycklarna för systemkritiska sektorer är identiska inom samtliga resesystem.

Kryptering är inte enkelt och det finns inga spontana, smidiga lösningar för hur heltäckande resekortsystem skulle kunna fungera utan att många behöver dela hemligheter med varandra. Ibland kan förstås symtomen lösas genom att avskaffa problemkällan – exempelvis införa nolltaxa eller helt enkelt bara inte använda kontaktlösa kort. Att lösa de kryptologiska bekymren som RKF-specifikationen innebär och som drabbar samtliga implementatörer kommer att diskuteras mer framöver på bloggen efter djupare analyser.

Bus Pirate saves the day! (proxmark3 jtag flashing)

Posted on by
1
Proxmark 3 from top

Proxmark3, generally used for wireless snooping of NFC/Mifare communication

After clumsily bricking the Proxmark3 bootrom (i.e. the device’s bootloader for the AT91SAM7S256 ARM cpu), I was looking for a way to recover the device. The documented procedure in the firmware compilation guide assumed the user to have a Segger J-link and their J-Flash ARM utilities (which in total cost about 10,000 SEK – or 1,500 USD).

That’s two months of rent for the hackerspace – I figured I can do better than that. So I made a trip to the internets and researched JTAG programmers, of which there are loads that can handle faster or slower communication with the protocol. In some cases maybe speed is good, such as when debugging or doing things more frequently – but this was a one-time flash occasion – and proprietary JTAG programmer felt far too restricted and expensive.

Sure, there are cheap, hackable alternatives that connect to the parallell port, but that interface is unfortunately of a pretty bygone era. So given that I did not have access to a true parallell port at the time, I had to keep looking for alternatives. Essentially anything that worked with the flashing and debugging utility OpenOCD would be good, and something I could find nearby would be even better! And the OpenOCD list of  supported interfaces contained among many others the Bus Pirate, a handy open hardware design that helps hackers with serial communication of just about any kind.

20130320-bus_pirate_connected

So I managed to find a Bus Pirate in a large pile of electronics. This neat tool has a USB interface and gives you a pin header that can be connected to whatever interface you want, be it UART, SPI, I²C/SMBUS, 1-wire, bit banging… you name it! This includes of course JTAG – and it all basically runs out of the box.

Well, kind of out of the box. I did have to do some research on how to properly communicate specifically with the proxmark3, but essentially all was covered in the OpenOCD at91sam7s512-buspirate.cfg from the proxmark3-lcd project. They have also documented the proper command sequence in OpenOCD telnet control, which can be neat to have in handy:
> halt
> flash erase_sector 0 0 15
> flash erase_sector 1 0 15
> flash write_image ../armsrc/obj/fullimage.elf
> flash write_image ../bootrom/obj/bootrom.elf

20130320-proxmark3_connected

All of this works great together, of course assuming one has built OpenOCD with buspirate support and successfully compiled your proxmark3 code (together with an ARM toolchain) to get the ELF binaries. Nevertheless, those are no real issues as it’s all quality, open source software. The only downside in this mix is that the Bus Pirate isn’t quite as quick as, say the Segger J-link, but when we’re talking about flashing a couple of hundred kibibytes at the most… Who cares? Just wait a second more – and voilà, a working Proxmark3 again!

If you’re not sure how to connect the Bus Pirate to the proxmark3 JTAG interface, have no fear. That was a piece of cake as well. The following image shows the 20-pin JTAG header of the Proxmark3. Pin number 1 is in the corner of the circuit board (pin 20 being closest to the center):

Proxmark ARM JTAG 20 pin header

The following is the Bus Pirate pinout together with which JTAG pin you should connect to. I connected GND and the 4 labeled connections on the top: TDO, TMS, TDI, TCK (leaving out VCC, as I powered the Proxmark3 from USB):

Bus Pirate serial interface connections pinout

With these connections made, starting up OpenOCD -f at91sam7s512-buspirate.cfg and running telnet localhost 4444 will get you an OpenOCD prompt where you can perform the erase and flash commands listed previously in this post. If something doesn’t go as it should, look either to the respective software support channels for help, or perhaps (though it’s not as likely) we can help you in the comments below.

Umeå hackerspace är meshpeppade

Quote

Posted on by
Reply

Men för att bygga meshnätverk behövs hårdvara. Den är ganska dyr.
Men det finns billigare/ alternativ! Dock utan linuxstöd.

1

Så fram med lödstationen och en raspberry pi. Via serieportel erhålls root-access. Och efter lite detektivarbete om vad som finns i den och vad som behöver ordnas lyckas jag boota openwrt från ram.

2

Ett litet felsteg med offset och så rycker bootloadern. Fram med löstationen igen och koppla fler kablar till raspberry pi. Flashen är en spi flash på 4 MB.

 

 

3

Cyberdo trixade ut en komplett flashdump och sedan löddes den tillbaka. Och bootade igen! Tyvärr var lödkompetensen inte hög nog och efter lite trixande så föll ett ben bort.

Fram med en ny router och ny serierport och efter ett tag så är openwrt permanent i flashen. Här står den på display i hackerspacet.

tada

Mot meshen!

 

2013-03-16 09.24.08

 

Openwrt patch: https://dev.openwrt.org/ticket/13213

http://wiki.umeahackerspace.se/w/index.php?title=Meshn%C3%A4tverk

Ny busskortteknik i Västerbotten

Posted on by
1
"Nu införs ett nytt och säkrare betalsystem på våra bussar."

“Nu införs ett nytt och säkrare betalsystem på våra bussar.”

Umeå kommun och andra kommuner i Västerbotten har i dagarna (sedan 11 mars 2013) ett nytt tekniskt system för busskort och betalningar inom kollektivtrafiken. Detta system lovar Länstrafiken i Västerbotten att det ska vara säkrare än det tidigare. I tisdags under vår vanliga öppet hus-kväll, 12 mars 2013, så spekulerade vi i hur säkert kortsystemet var. Här är vår rapport.

Umeå Hackerspace arrangerade 2012 sitt första cryptoparty, inför vilket det sammanfattades ett kort svar på frågan “vad är säkerhet?”. Så om det nya kortsystemet är säkrare än det tidigare behöver vi läsa det i kontexten av vad säkerhet är. Bland annat ska resenären känna sig säker att kortets integritet är bevarad (förlorad data kan vara förlorad resa), samt att autenticiteten i systemet är pålitlig så att tredjepart inte kan manipulera busskortens innehåll.

Den lösning Länstrafiken i Västerbotten har försökt sig på med sitt nya kortsystem har så gott som till 100% baserats på förtroende till externa leverantörer. Från protokollet för resekortets kommunikation med bussens läsare, till hårdvara och mjukvara som används för att integrera allt till samma betalsystem. De tekniker som används i betalsystemet är i stor utsträckning baserade på slutenhet och hemlighet, en generellt sett dålig strategi för god säkerhet. Detta gör att inte ens beställaren själv har möjlighet att granska och korrigera funktionalitet och säkerhet, vilket skapar ett ohälsosamt – och dyrt – leverantörsberoende.

Strukturmässigt är det nya betalsystemet alltså mycket likt det tidigare. Lite eller ingen insyn, dåliga affärsförhållanden och tekniska lösningar som man saknar kontroll över. Så hur ser det ut på den tekniska fronten? Är funktionen säkrare idag än tidigare och kan resenärerna lita på integriteten och autenticiteten? Med ett par busskort tillhands så slog vi våra kloka huvuden ihop och började analysera den tekniska karaktären:

  • Det används fortfarande kontaktlösa kort (publik utsändning av transaktioner).
  • Plingkort är vad det verkar fortfarande av typen Mifare Classic eller mer sannolikt Mifare Plus. (det senare stöder AES-128bit istället för Crypto1)
  • Plingkort är ej direkt sårbara för “dark side”-attacken med mfcuk. Troligen pga bättre slumpgenerator, samt kombinerat med mindre avslöjande paritetskontroll.
  • Periodkort är ännu oanalyserade, men de är nog identiska med plingkorten.
  • Enkelkort är Mifare Ultralight (verkar vara EV1?). Ingen krypteringsnyckel används i alla fall. Kortets lagringsyta för “OTP-bytes” (one-time-programmable bytes) nyttjas ej märkbart. Lockbytes för viktiga data-pages aktiveras ej vid resande.
  • Det verkar inte finnas en central kontrollinstans för transaktioner, vilket gör att klonade kort kan användas (detta behöver i dagsläget verifieras).

Så. TL;DR?

  • Plingkorten är en snäppet svårare nöt att knäcka än föregående generations. Viss konfidentialitet och autenticitet verkar finnas.
  • Enkelkorten är läs- och skrivbara helt utan krypteringsnycklar, vilket gör tredjeparts-manipulering (autenticiteten) löjligt ickeexisterande.
  • Avsaknaden av både kryptering och någon slags central auktoritet för transaktioner gör ett betalsystem mycket opålitligt – särskilt när de två egenskaperna kombineras.
  • Vi rekommenderar att systemdesignern ser över okrypterade kort samt biljettens verifiering vid resande för resenärernas bästa.

Umeå Hackerspace är fortfarande intresserat av att hjälpa till att skapa ett pålitligt, integritetssäkert och Bra™ system för kollektivtrafiken i Västerbottens län. Så all säkerhetsrelaterad information vi klurar ut eller på annat sätt tar del av analyserar vi gärna för att fundera på hur man bäst motverkar.

Det är mycket viktigt att resenärerna kan ha förtroende i sin interaktion med betalsystemet utan risk för att ex. förlora resor eller riskera att identifieras/spåras som resultat av låg säkerhet.

StatusNet hackevening nu på måndag

Posted on by
Reply

Nu är det dags för pizza och StatusNet-hackande i spacet igen! Kvällen måndag 17 december 19.00 bjuder vi in till att testa, använda, debugga och utveckla StatusNet/GNU Social samt förgreningen Freesocial. Det är en del av projektet StatusNet Sverige, som har stöd av Internetfonden.

Vi bjuder på pizza till varje deltagare som redan använder eller under kvällen börjar använda en federerad social plattform (eller flera)! Buggrapporter samlas in och en lista skapas över funktionalitet som bör fixas inför framtida versioner.

Välkommen! Vi kör alltså nu på måndag, 17 december, klockan 19.00 och håller på åtminstone ett par timmar (en hack-eftermiddag). Eventuell uppföljning sker på tisdagen 18 december och detaljer kring detta bestäms under kvällen.

Cryptoparty – efteråt

Posted on by
Reply

Tack alla som gjorde kvällens cryptoparty till en lyckad tillställning!

(Anonymiserade) bilder/ljud/media dyker upp lite senare, men i korthet: Runt 30 deltagare, prat av mig, stationer om hårddiskkryptering, GPG och Tails/TOR, mycket prat om allt möjligt, och flera nya gpg-användare och signeringar.

Och chips och dricka.

Tack igen!

/En trött men nöjd Petter

Cryptoparty: Förmöte

Posted on by
Reply

På tisdag under vårt vanliga öppet hus kommer vi att passa in ett litet förmöte för torsdagens cryptoparty. Vill du hålla i en station, hjälpa till, eller bara allmänt se vårt hackerspace, så dyk gärna upp på Fabriksgatan 8B, källarvåningen, nånstans efter kl. 18:30. Mötet drar igång framåt sjutiden, och borde inte ta så lång tid.

Cryptoparty-upptakt: Vad är säkerhet?

Posted on by
2

Två veckor kvar tills Cryptoparty i Umeå!

Innan vi kan fundera över hur vi ska skydda vår kommunikation så behöver vi bli lite klarare över på vilka olika sätt man kan skydda sig, och vad de olika bitarna innebär. Säkerhet har ett antal komponenter, vilka inte alltid är uppenbara hur de skiljer sig. Jag ska försöka förklara:

  • Konfidentialitet innebär att ingen utomstående kan läsa ett visst meddelande
  • Autenticitet innebär att man kan avgöra att ett visst meddelande kommer från en viss person
  • Anonymitet innebär att man inte kan avgöra källan för ett visst meddelande
  • Integritet betyder att ett visst meddelande inte har förändrats på vägen

Om vi dyker lite djupare kan vi se vad som inte garanteras av de olika formerna av säkerhet:

  • Konfidentialitet garanterar att ingen utomstående kan läsa ett visst meddelande, men säger ingenting om huruvida någon utomstående känner till att ett meddelande utbytts, vem som sänt det, vid vilken tid, och exempelvis ett paket som skickats eller en artikel som skrivits när meddelandet mottagits.
  • Autenticitet garanterar att meddelandet kommer från en viss källa, men skyddar inte någon utomstående från att läsa innehållet.
  • Anonymitet skyddar källinformation runt själva meddelandet, men hindrar dels inte utomstående att läsa innehållet, dels själva innehållet från att innehålla något som kan användas för att identifiera avsändaren.
  • Integritet garanterar inte heller konfidentialitet, och heller inte att avsändaren är den du tror.

Under tiden som kvarstår fram till själva Cryptopartyt kommer jag skriva lite om de olika teknologierna som finns, vad de garanterar och inte garanterar, och lite om hur de fungerar och hur man kan använda dem på bästa sätt.

Cryptoparty!

Posted on by
1

[English summary below]

Den första november är det dags för Sveriges första dedikerade Cryptoparty!

  • När? kl. 18 och framåt, torsdagkväll den 1:a november
  • Var? Codemill AB, Riddaregatan 8, 903 36 Umeå
  • Vem? Alla som av en eller anledning är intresserad av att hålla sin kommunikation borta från avlyssning. Planen är att alla som kommer ska ha nytta av det, oavsett om det är genom att få sig en tankeställare om vad elektronisk kommunikation innebär, ett sätt att faktiskt komma till skott (och få hjälp med) att installera TOR Browser Bundle och OTR-kryptering, eller ett sätt att få sin GPG-nyckel signerad av några till, äta lite chips, och diskutera för- och nackdelar med specifika kryptoalgoritmer.
  • Vad?
Ett cryptoparty är en tillställning för folk som kan hantera olika former av kryptografi att faktiskt lära ut denna kunskap till folk som av olika anledningar behöver den. Ett tydligt exempel är journalister, som av källlskyddsskäl kan vilja ha sin kommunikation för sig själv. Självklart gäller detta även själva källorna, som ju har det mesta att förlora på att bli avslöjade. Även politiker och aktivister kan ha skäl att oroa sig över inriktad avlyssning, och bör därför ta till kryptografi för att hålla sitt privatliv just privat.
Sedan 2008 har dock varenda medborgare ett intresse av att skydda sin kommunikation mot avlyssning, och den enda anledning till att detta inte sker är att verktygen inte är uppenbart tillgängliga och automatiskt igångsatta överallt. En av målen med ett cryptoparty är att råda bot på detta.

Kvällen kommer vara organiserad runt ett antal stationer, där varje station är inriktad på ett specifikt kryptografiskt verktyg, som löser ett visst problem. Den enda hållpunkten i övrigt är att undertecknad kommer hålla i en introduktion till säkerhetstänk och kryptografi runt 1830. Jag planerar att hålla låda i en dryg halvtimme, med tid för frågor efteråt. Därefter återgår kvällen till att vara centrerad runt stationerna (exakt vilka och vad de innebär kommer presenteras i senare blogginlägg).

Hoppas vi ses!

 

In English:

  • What? Cryptoparty! Bring your friends, your laptop and your burning desire to avoid unwanted surveillance!
  • When? November 1st, at 6 PM
  • Where? At Codemill AB, Riddaregatan 8, 903 37 Umeå
  • Who? Whoever is tired of getting his every e-mail, web visit and IM message scanned, tallied, counted, pattern matched and analysed.

Cryptoparties, danger, and why you (the hacker) should help.

Posted on by
4

Recently, cryptoparties have “gone viral” the world over. In short, they are gatherings where people with knowledge of crypto take the opportunity to spread that knowledge to others who has a need and/or interest, such as journalists, activists etc.

However, I hear from one of the originators, Asher Wolf, that the wiki has been changed by “experts”, who claim that “crypto is dangerous” in various ways. I will attempt to address these concerns quickly:

  • Crypto, done wrong, leads to a false sense of security

This is definitely a concern, which is why these cryptoparties are good. They should teach not only what crypto can hide, but also what they cannot, and what you gain and lose from various kinds of crypto. Further, crypto done wrong is usually either strictly better than the alternative (plain text) or quickly discovered (through attackers or bungled demonstrations due to broken crypto).

  • Teaching, and learning crypto is a political statement

This is a very dangerous mindset. In some sense, yes, crypto is political, because it posits that there are things that ought to remain private (such as communication between two individuals), but much more important is the blatant rise of authoritarianism that very few people openly welcomes. Crypto, like the ideas of a free press and independent judiciary, is something that few people can find fault with existing, as long as it’s ‘their’ side that is the persecuted one that benefits from it.

In other words, while crypto might be political, it is always political in favour of the current underdog. And unless you are sitting pretty atop a billion in gold bullion and a private army, chances are you or your descendants are going to be there at some point.

  • Even showing up for a cryptoparty will put you on a government watchlist of some sort

This is probably the easiest argument to refute in theory, but the hardest in practice, as this is a simple matter of fear. Fear that your government will react badly to an independent person, making his own decisions and living her own life away from the prying eyes of the “state”. However, if your government has reached the point where even the simple act of learning about crypto would put you on a watchlist, then two things have happened: (1) Your government is acting against the best interests of the people, and (2) far too few people are using and learning about crypto. Solution: more cryptoparties! Tell your friends! Spread the knowledge and use of crypto at work, at school, everywhere you can reach! Supersaturate the surveillance net with crypto users, so that they actually have to use intelligent ways to find criminals instead.

  • Everything is already compromised, so any crypto use will only give a false sense of security.

There are a large amount of mathematical proofs about trapdoor functions, information theory and general cryptographic findings that refute this directly and indirectly. Yes, keeping the government entirely in the dark is going to be hard. It might even be impossible, if you are planning things like large demonstrations or have been infiltrated somehow. Still, that is not a reason to deny the use of personal crypto, to prevent eavesdropping of your own conversations (through the use of OTR) or the use of GPG to keep things authenticated, or the use of TOR as an anonymising proxy for that matter.

Why you (the hacker) should help

So, you have received a request from some local journalist, activist or what-have-you to come to a cryptoparty and talk about crypto for a bit. Why should you care? Why bother interacting with noobs who use Windows and think they are going to be secure using that? Why indeed?

Because you can, and because, most likely, there are few others. As hackers, technologists, engineers and tinkerers, we have been blessed (or cursed) with brains that have already ingested quite a volume of technical know-how. More than likely, you know at least a little about how cryptography works and what is and is not implied by various security measures. Perhaps you have sniffed plaintext passwords off open wireless networks. Perhaps you have implemented a simple hashing of user passwords. Regardless, you are in a significantly better position to learn more about crypto than almost anyone, and you are definitely a good person to have on hand at a cryptoparty.

Finally, though you are most likely in a rather affluent position, or at least unlikely to go jobless for an extended period of time, and though your political beliefs might align with the current government enough that your position is probably safe from political shufflings, consider that (a) other people may not be so lucky, and (b) you may gain an enemy (or friend) in the future who would require you to use encrypted communications. If use of encryption is endemic, then such a thing would be natural, easy and uncontroversial, for both you and those you would communicate with.

In sum (or TL;DR if you prefer that notation):

Use crypto, teach crypto and spread crypto. It will be a good thing for you, for your friends, and for society.