Hi,
nach Absprache in der Telegram-Gruppe, moechte ich gerne mal ein Projekt vorstellen. Der eine oder andere kennt es vllt. auch schon.
Das Projekt heisst "PwOSS - Privacy with Open Source Software" und wurde vor ca. einem Jahr angefangen.
Die Idee hinter dem Projekt sind, *einfache Installationen fuer "nicht-professionelle" zur Verfuegung zu stellen, die hauptsaechlich auf Open Source Software basieren. Und das, wie die meisten Open Source Projekte, selbstverstaendlich frei verfuegbar.
Dabei sollen die meisten Daten, die man Tagtaeglich produziert, vor allem aber seine wichtigsten, in einem Service verpackt werden, die eben nicht in eine Cloud gespeichert werden. Wobei die Cloud dabei seine eigene ist, sprich zu Hause.
Drei Schwerpunkte sind bei dem Projekt sehr wichtig, die im Tagtaeglichen - digitalen Leben benutzt werden:
- Server
-
Desktop PC
Smartphone
1. Der Server spielt hier eine grosse Rolle.
Jeder benutzt sie. Sei es Google, Dropbox und Co. Die ihr Service mittlerweile auf fast jedem Geraet platzieren. Leider sind die Services nicht sonderlich Kontrollierbar. Und man weiss letzten Endes nicht, wer sich an deine Daten alles vergnuegt. Darueber gibt‘s ja immer wieder genug in den News zu lesen.
Wir haben also beschlossen, ein Image fuer den Raspberry Pi zu erstellen, um dieses Problem anzugehen.
Ebenso gibt es eine Guideline, um die Installation der Geraetschaften zu vereinfachen, die allerdings noch immer in Bearbeitung ist. Wobei die Guideline wahrscheinlich immer in Bearbeitung bleibt, da sich permanent in der Computer - Welt was aendert.
Auch soll es mehr Loesungen als "nur" unsere mit eingefuegt werden koennen. Deswegen ist die Guideline auch bei GitHub und GitLab zu finden. Sprich, du kannst mithelfen, wenn du einen anderen weg gehen moechtest oder andere Vorschlaege hast.
Es gibt natuerlich zu genuege Anlaufstellen, um dies zu bewerkstaelligen. DietPi waere da nur ein Beispiel. Wobei wir den Schwerpunkt auf Privatsphaere legen moechten.
Das Image ist zur Zeit nur auf unsere Webseite zu finden (git.pwoss.org). Ich hatte schon mal kurz mit ThomasL ueber Email darueber gesprochen und jeder, der ihn hier aus dem Forum kennt, weiss das er immer kritisch dem gegenueber steht und dementsprechend ein paar gute fragen hinterlassen hat.
-
Wer packt wie und womit dieses Image?
-
Wie transparent ist der Vorgang?
-
Gibt es ein Audit?
-
Durch wen?
-
Wer hat Zugang zu der Hardware, mit der Images erstellt werden?
-
Wie ist die Hardware gegen Fremdzugriff und Manipulation gesichert?
-
Wer vergibt welche Berechtigungen?
-
Wer ist Real-Namentlich verantwortlich?
-
Wo ist der Sitz des Unternehmens?
-
Mit welcher Gesellschaftsform ist das Projekt eingetragen?
-
Welche Unternehmensziele bestehen?
-
Wie ist das Vorhaben zertifiziert?
-
Gibt es ein Compliance-Regel-Werk?
-
Wie sind die verantwortlichen beteiligten Personen dazu verpflichtet?
-
Wo ist der Sourcecode zum Projekt?
-
Kann man den runterladen?
Das sind sehr nuetzliche fragen gewesen, die ich mittlerweile zum groessten Teil abdecken kann.
Wir versuchen allerdings zurzeit zwei grosse Ziele zu bewerkstellige, damit es u.a. Transparenter wird.
Zum ersten, das Image irgendwie offen zu legen zB es bei GitHub/GitLab zu integrieren. Leider haben wir noch kein guten weg finden koennen. Perfekte Loesung waere per chroot die Daten zu aendern, die gleichzeitig einsehbar bei GitHub/GitLab waeren. Leider funktioniert das noch nicht so, wie wir uns das vorstellen.
*Ebenso, ist das "*einfache Installationen fuer "nicht-professionelle"" noch weit entfernt davon, es einfach zu Installieren. Im Moment gibt es nur eine "copy & paste" Loesung. Was mit einem Script wesentlich einfacher waere. Auch daran Arbeiten wir noch.
Da die Moeglichkeit, das Image bei GitHub einzupflegen, noch nicht erreicht ist Haben wir ebenso eine "copy & paste" Loesung auf GitHub/GitLab, die das Installieren aller Software von Anfang an ermoeglicht. Sprich es gibt zwei Dateien, die eine ist fuer das Image (die das Verfahren verkuerzt) und die andere Datei sind fuer die Leute, die von Anfang an anfangen moechten.
Das Image basiert auf Arch Linux | ARM.
Das stutzt vllt. den einen oder anderen. Da Arch nicht unbedingt als Server geeignet ist. Aber genau Arch kann auch wiederum das Updaten des Servers erheblich vereinfachen. Besonders fuer die nicht Computer - Spezialisten. Die einfach nicht die Geduld haben, irgendwelche Probleme, Versions spruenge etc. zu beheben. Wir geben dementsprechend einem Update Intervall fuer den Server vor, der jeden Monat am 20ten stattfinden soll.
So kann jeder die noetigen „downgrades“ und Updates zusammen mit uns/Community vollziehen, um seinen Server immer auf dem neuesten Stand zu halten. Somit sind keine grossen versions-spruenge von noeten. Wie zB sehr bald auf Debian - Buster.
Aber trotz alledem, moechten wir auch Debian bzw Raspbian irgendwann in naher Zukunft mit integrieren. Debian gehoert zum Server – Bereich einfach dazu.
Andere ARM single-board computer:
Falls jemand hier einen anderen ARM – Device sein eigen nennt (zB Banana Pi), der kann sehr gerne mal die „(Scratch Docu).md“ Datei benutzen, um es auf seinem System auszuprobieren. Natuerlich muss dafuer das ArchLinux | ARM Image dementsprechend fuer das Geraet heruntergeladen werden. Eine Auflistung ist bei archlinuxarm.org verfuegbar.
Um aber mal auf die oben genannten Fragen mehr darauf einzugehen, …
-
Wer packt wie und womit dieses Image?
-
Wie transparent ist der Vorgang?
-
Gibt es ein Audit?
-
Durch wen?
Ich (dan/DanSman) bearbeite dieses Image immer an dem Raspberry Pi selber. Und halte es somit auf dem Laufenden. Erstelle davon ein Image und packe es dann per tar. Ebenso erstelle ich eine sha512sum Datei, die wiederum Signiert wird.
Wie schon eben oben erwaehnt, versuchen wir den weg aber ueber chroot zu vollziehen bzw es irgendwie anders offen zu legen, um es dann letztenendes bei GitHub/GitLab einzupflegen. Falls jemand da eine Loesung hat, wir waeren euch sehr dankbar.
Und nochmal an der stelle der Hinweis: Die Moeglichkeit nicht das Image zu benutzen besteht ebenfalls. Einfach die (Scratch Docu).md file laden und es alles von Anfang an zu installieren.
-
Wer hat Zugang zu der Hardware, mit der Images erstellt werden?
-
Wie ist die Hardware gegen Fremdzugriff und Manipulation gesichert?
-
Wer vergibt welche Berechtigungen?
-
Wer ist Real-Namentlich verantwortlich?
Kein anderer hat Zugang zu meiner Hardware. Ich wohne mit meinem Partner zusammen und die hat absolut keine Ahnung von Computern. Ich arbeite nur am Laptop und der Laptop ist mit LUKS komplett verschluesselt.
Berechtigung? Falls die frage sich um das Image handelt, dann kann man sehr gut in der "(Scratch Docu).md" file erkennen, was alles vollzogen wurde.
Meinen Realen Namen moechte ich jetzt hier direkt nicht auflisten. Aber wer danach ein bissel sucht, wird es schon von alleine heraus finden.
-
Wo ist der Sitz des Unternehmens?
-
Mit welcher Gesellschaftsform ist das Projekt eingetragen?
-
Welche Unternehmensziele bestehen?
-
Wie ist das Vorhaben zertifiziert?
-
Gibt es ein Compliance-Regel-Werk?
Es ist zwar ein Unternehmen gegruendet worden, der hat aber eigentlich nichts mit dem Projekt zu tun. Ich habe den Namen nur gesichert, damit mir da keiner in die "Quere" kommt. Das Unternehmen ist in Neusseland registriert und sollte vllt. irgendwann mal, als Service zur Einrichtung hier dienen. Wobei ich nicht glaube, das hier der richtige Markt dafuer ist.
Das Projekt soll ein reines Community - Projekt werden.
-
Wie sind die verantwortlichen beteiligten Personen dazu verpflichtet?
-
Wo ist der Sourcecode zum Projekt?
-
Kann man den runterladen?
Das Image wurde ja jetzt schon oefter erklaert, warum es zurzeit keinen Source Code in dem Sinne gibt.
Das ganze Projekt selber ist bei ...
U.a. sind "Goals (Ziele)" dort aufgelistet. Die beiden erwaehnten Dateien und die Guideline. Sowie das Script, was bei weitem noch nicht fertig ist.
Ebenso findet man eine Beschreibung der integrierten Software auf wiki.pwoss.org (im Moment leider nur in english). Und was in Zukunft weiter eingepflegt werden soll, findet man ganz unten in der Liste.
2. Desktop PC
Dazu gibt es nur eine Erklaeung, wie man ein Linux System installiert. Da gibt es Anleitungen auch zu genuege im Netz. Vollstaendigkeitshalber haben wir es aber mit reingenommen.
Aber auch hier benutzen wir als Erklaeung nur zwei Systeme. Als Erstes ist das Manjaro. Was unseres Erachtens super pflege leicht ist (auch wenn sie zurzeit ein bissel beim Update was verbockt haben) und sehr benutzerfreundlich.
Als Zweites, ist das Linux Mint. Wobei wir ueberlegen das evtl. wieder herauszunehmen.
Dazu sollen aber auch noch Scripte erstellt werden, damit das Verbinden zu den Server – Services vereinfacht werden soll.
3. Smartphone
Das Smartphone ist ein Riesen Brocken und auch die groesste daten-drecks-schleuder ueberhaupt.
Um das vernuenftig in den Griff zu bekommen, ist der weg mit dem Android eigentlich ein absolutes muss. D.H. aber nicht, das ein Apple User hier nicht willkommen ist.
Mit Pi-Hole, in Verbindung von VPN, gibt es zumindest eine Moeglichkeit, das Daten Problem zu minimieren. Wir kennen uns aber auch nicht so gut mit Apple Produkten aus, um andere Vorschlaege zu machen. Deswegen koennen auch hier die Apple Freunde ihre Loesung auch gerne mit integrieren.
Eins steht auf jeden Fall fest, mit einem Android Telefon ist das Ziel (Privatsphaere) wesentlich einfacher zu erreichen.
Ein Android Telefon kann man super ohne Google benutzen. Komplett auf Open Source umzuswitchen, ist letztendlich aber nur mit einem Android Telefon moeglich. Da das Betriebssystem an und fuer sich schon Open Source ist.
Die Leute, die da zur Zeit daran rumwerkeln
Im moment Arbeiten 3 Leute and dem Projekt.
Mein Bruder, der sich Hauptsaechlich um das Englische kuemmert.
Saber, von XDA.
Dem einen oder anderen evtl. ein gelaeufiger Name. Er befasst sich gerne mit dem Kernel des Android Telefons. Zur Zeit arbeitet er u.a. auch an einer App die sich "Privacy Helper" nennt und sich bei F-Droid herunterladen laesst und auch beim Google Play Store.
Ja, und meine Wenigkeit.
Ich bin schon seit Jahren an Privatsphaere im Digitalen Bereich interessiert. Doch fiel es zumindest mir sehr schwer, die Loesungen dafuer zu finden. Alles sich zusammen zu suchen, um das bestmoegliche zu erreichen. Ob alles erreicht ist, ich denke nicht. Permanent aendert sich irgendwas und immer wieder uebersieht man etwas. Deswegen dieses Projekt. Um vllt. mal eine Anlaufstelle zu erschaffen, um den Wahnsinn wenigstens auf gleicher hoehe zu begegnen...
privacytools.io oder auch kuketz-blog.de etc. sind natuerlich auch super Anlaufstellen.
Wenn man das ganze jetzt aber mal vereinen koennte und evtl eines tages Distros fuer Server, Desktop und Smartphone Bereich (die aufeinander abgestimmt sind) zu erstellen, koennte man viele manuelle Einstellungen umgehen.
Die Leute haetten wenigstens die Chance ein bissel schneller an ihr Ziel zu kommen. Man kann ja auch nicht verlangen, dass die das alles Lesen muessen. Jeder der sich damit Beschaeftigt weiss, dass das nicht in einem Monat getan ist. Dafuer haben die alle einfach nicht genuegend Zeit. Eigentlich sollte das selbstverstaendlich von Google und co. erledigt werden. Problem ist, machen sie nicht ...
Noch ein paar Infos:
Die Webseite steht auch schon auf Deutsch zur Verfuegung. Jedoch gab es Probleme mit gewissen Strings, die mit dem Theme irgendwie nicht harmonieren wollen. Wir haben die "Baustelle" erst einmal nach hinten angestellt und es bei Englisch belassen.
Bitte seht das Projekt einer Art "Alpha Release" an. Viele Fehler, vor allem bei den englischen Texten, sind noch vorhanden.
Auch sind andere Moeglichkeiten ... moeglich. Wie zB bei dem Image. Generell, andere Software. Kein sudo (ThomasL ;)) usw usf. Wir haben uns jedoch fuer die jetzige vorhandene Loesung entschieden. Da es aber ein Community - Projekt ist, koennen natuerlich eure/andere Vorschlaege mit integriert werden.
Vllt. behaltet ihr auch noch im Hinterkopf, das dieses Projekt nicht an die IT – Profis ausgerichtet ist. Es soll fuer die Interessenten sein, die nicht so viel Ahnung haben, wie man das ganze Problem beseitigt. Somit muessen Erklaerungen ziemlich detailliert wie moeglich beschrieben werden aber gleichzeitig so kurz wie moeglich. Was sich nicht immer so ganz einfach herausstellt.
Wenn du gerne mitmachen moechtest, ist es vollkommen egal, ob du Erfahrungen hast oder nicht. Alles ist erlernbar. Jede Idee kann gut sein oder eine weiter Idee hervorrufen. Kurz gesagt, es sind alle willkommen.
Falls sonst noch irgendwas unklar sein sollte, einfach in den Kommentaren Bereich schreiben. Selbstverstaendlich wuerde ich mich freuen, wenn der Umgang einen normalen Austausch bekommt.
Edit:
Ich habe vergessen die Hauptwebseite zu erwaehnen Das ist https://pwoss.org.
Gruss,
Dan