Archiv für EDV

Gedanken zum Vorschlag „Web Key Service“ für die vereinfachte Schlüsselverteilung bei PGP

Der derzeitige GnuPG-Entwickler Werner Koch hat auf der OpenPGP.conf ein neuartiges Verfahren namens Web Key Service für die Verteilung der öffentlichen PGP-Schlüssel zur Diskussion vorgestellt. Hierbei sollen die Schlüssel vom Mailprovider über eine eindeutige URL, die den Hashwert der e-Mailaddresse enthält, über https direkt an das Mailprogramm ausgeliefert werden. Die Schlüsselverteilung erfolgt somit automatisiert ohne Eingriff des Nutzers (Golem, heise).

Das Problem des Auffindens des richtigen Schlüssels des Kommunikationspartners ist durchaus real, auch weil prinzipbedingt aus kryptografischer Sicht eine Interaktion beider Kommunikationspartner zwingend erforderlich ist. Die Übermittlung vom Fingerabdruck des Schlüssels und der Abgleich mit dem des aufgefundenen Schlüssels lässt sich nicht ohne Eingriff des Benutzers vollziehen. Dennoch, abseits der rein technischen Spezifikationen, scheint mir die reine Schlüsselverteilung nicht das Problem zu sein, welches die Ursache für den fehlenden Einsatz von Verschlüsselung in der e-Mailkommunikation darstellt, auch wenn die vorgeschlagene Spezifikation in die richtige Richtung zielt. Weiterlesen

Edward Snowden sagte ffdae96f8dd…

Die Welt und Andere rätseln über einen scheinbar kryptischen, nach kurzer Zeit gelöschten Tweet von Edward Snowden. Weiterlesen

Keylogger-Affäre in der taz

Anfang 2015 kam heraus, daß mehrere Computer in der taz mehr als ein Jahr lang von einem Mitarbeiter mittels Keylogger (Gerät zum Mitschreiben aller Tastaturanschläge) ausgespäht wurden. Jetzt hat die taz in einem längeren Artikel den rekonstruierten Ablauf der Geschehnisse in chronologischer Folge veröffentlicht. Hier nun ein paar Anmerkungen zu dem dort Gesagten. Weiterlesen

Bitkom-Ergebnisse zum Stand der Verschlüsselung

Der Bitkom e.V. hat mal wieder Ergebnisse zu einer neuen Umfrage zum Thema Verschlüsselung veröffentlicht:

Der Einsatz von Verschlüsselungsverfahren für den Schutz von privaten Daten kommt nur langsam voran. Das hat eine repräsentative Umfrage im Auftrag des Digitalverbands Bitkom ergeben. Demnach verschlüsselten im vergangenen Jahr 15 Prozent der deutschen Internetnutzer E-Mails. Zum Vergleich: Im Jahr davor waren es mit 14 Prozent ähnlich viele.

Weiterlesen

Alleinstellungsmerkmal: Offizielle Hintertür

Eine Arbeitsgruppe unter Federführung des amerikanischen Kryptologen und Gründer der International Association for Cryptologic Research (IARC), David Chaum, hat ein neues Verschlüsselungssystem unter dem Namen PrivaTegrity vorgestellt (Die Zeit, Wired), welches sicherer und schneller als bisherige Syteme wie Tor sein soll. Einerseits soll die Anonymität aller Kommunikationspartner gewährleistet sein, resourcenschonend genug, um auch auf Mobiltelefonen ohne relevanten Zeitverlust verwendbar zu sein, aber gleichzeitig staatlichen Stellen grundsätzlich die Möglichkeit der Identifikation einzelner Teilnehmer bieten, ohne jedoch eine Massenbespitzelung zu ermöglichen. Das dahinter stehende neue Netzwerkprotokoll erhielt den Namen cMix [1] (erinnert nicht zufällig an alte Mixmaster-Systeme). Um einen Mißbrauch der Hintertür auszuschließen schlägt er eine Aufteilung der Verantwortlichkeit auf mehrere räumlich und vor allen Dingen juristisch voneinander getrennte Administratoren vor. Konkret will er neun Server in verschiendenen Ländern, genannt werden beispielhaft Island, Kanada und die Schweiz, positionieren. Jeder dieser Server soll seiner Auffassung nach eine Richtlinie publizieren unter welchen Bedingungen eine Kooperation mit den anderen Stellen zur Aufhebung der Anonymität eingegangen wird. Nur wenn alle neun Serveradmins kooperieren soll diese aufhebbar sein und eine Nachricht zum Sender zurückverfolgbar sein, so die Vorstellung. Im Grunde handelt es sich also um eine Schlüsselhinterlegung (key escrow) nach dem Mehraugenprinzip. Ein Prototyp wurde in der Programmiersprache Python erstellt und läuft bereits auf Amazons Clouddienst. Weiterlesen

Lasst SHA-1 endlich sterben

Ein Jahresanfang ist immer eine gute Gelegenheit alte Zöpfe abzuschneiden und etwas Neues zu beginnen. Auch bei der Verwendung von OpenPGP/GnuPG ist dies nicht vollkommen anders. Schon vor geraumer Zeit wurde der häufig verwendete Prüfsummenalgorithmus SHA-1 auf langfristige Sicht hin als zu unsicher erkannt und deshalb nach einem Ersatz gesucht. Dieser fand sich in SHA-2 (RFC 4634), einer ganzen Familie von neuen Prüfsummenalgrorithmen, bestehend aus SHA224, SHA256, SHA384 und SHA512. Da es jedoch seine Zeit dauert bis Software ergänzt, Arbeitsabläufe umgestellt und die neuen Versionen von einer überwiegenden Anzahl der Benutzer neue Versionen aufgespielt wurden konnte nicht sofort von SHA-1 abgerückt werden. Weiterlesen

Ada Lovelace

Nun hat sich kurz vor Jahresende auch Golem vom Ada-Lovelace-Fieber anstecken lassen, denn dieses Jahr war in feministischen Kreisen eindeutig das Ada-Lovelace-Jahr. Auf etlichen Veranstaltungen musste geradezu zwanghaft ihr Name erwähnt werden, auch wenn sich die Veranstaltung in keiner Weise mit IT beschäftigte und natürlich durften auch Buchempfehlungen weiblicher Autoren zum Thema nicht fehlen (Ada Lovelace. Die Pionierin der Computertechnik und ihre Nachfolgerinnen). Es ging/geht dabei nicht um die Leistung von Ada Lovelace an und für sich, sondern um den Versuch, getreu des ideologischen Feindbildes männlich, weiß, heterosexuell, die gesamte IT als eine letztendlich weibliche Erfindung darzustellen und die Geschichte in diesem Sinne umzuschreiben. Ein, wie ich finde höchst lächerliches Unterfangen, was aber nicht auf die fehlende Leistung von Ada Lovelace zurückgeht, sondern aus einem anderen Grund. Weiterlesen

Internetseitensperren im Bundestag

Die IT im Bundestag weiß sich nicht mehr anders zu helfen, als mit Zugangssperren für Angehörige des Bundestages (Spiegel):

Als Reaktion auf die jüngste Cyberattacke hat der Bundestag den Zugang zu mehr als 100.000 Websites sperren lassen. So soll verhindert werden, dass sich weitere Parlamentscomputer mit sogenannten Trojanern infizieren.

Wer hätte das gedacht, Zensursulas Traum von Zugangspserren wird zuerst bei den Abgeordneten und ihren Mitarbeitern eingeführt. Mal abgesehen von dem Umstand, daß ich gerne mal einen Blick auch auf diese Liste werfen würde, frage ich mich unwilkürlich wie das weitergehen soll. Wer soll diese Liste warten? Das Internet besteht inzwischen aus Millionen von Servern und Milliarden von Webseiten. Es müssten praktisch permanent neue Einträge hinzukommen und alte gelöscht werden. Dies lässt sich nur bedingt automatisieren und für die manuelle Kontrolle dürfte aber wohl nicht genügend (vertrauenswürdiges) Personal vorhanden sein. Vermutlich läuft es daher darauf hinaus, daß die Liste immer weiter anwächst. Erfahrungsgemäß funktionieren schwarze Listen nur ganz am Anfang, weil ihre Wartung zu zeitintensiv und die Fehlerquote hoch ist. Das Ganze erinnert stark an die Zensurlisten der BPjM, mit ihren fehlerhaften und nicht regelmäßig geprüften Einträgen, wie der BPjM-Leak gezeigt hat. Weiterlesen

Facebook integriert PGP/GPG

Seit Anfang des Monats besteht bei Facebook die Möglichkeit einen PGP-Schlüssel in das eigene Profil hochzuladen. Gleichzeitig veröffentlicht Facebook seinen Schlüssel 0xDEE958CF:

Fingerabdrücke von Facebook, Inc.
Schlüssel:
	31A7 0953 D8D5 90BA 1FAB 3776 2F38 98CE DEE9 58CF
Unterschlüssel:
	D8B1 153C 9BE9 C7FD B62F 7861 DBF4 E8A2 96FD E3D7

Ausgerechnet die Datenkrake Facebook, Geheimdienste mal außen vor gelassen, wird nun zum Vorreiter in Sachen PGP? An der ungehemmten Datensammelei bei Facebook wird dies nicht das Geringste ändern, dies, wie der Verkauf der Daten, ist schließlich sein Geschäftsmodell. Facebook wird daher niemals Funktionen implementieren, welche die Aktivitäten des Nutzers vor Facebook verbergen könnten. Was sich zunächst paradox anhört scheint mir dennoch der richtige Weg zu sein. Weiterlesen

Minutenmanipulation von Computern

Bereits vor knapp zwei Jahren hatte ich darauf hingewiesen, daß einmal beschlagnahmte Hardware nach der Rückgabe durch die Sicherheitsbehörden selbst dann als Elektroschrott anzusehen ist, wenn sie unbeschädigt und einwandfrei funktionsfähig ist, da nicht ausgeschlossen werden kann, ob und welche Manipulationen an den Innereien das Geräts vorgenommen worden sind.

Nach einem Forbes-Artikel konnten nun Corey Kallenberg und Xeno Kovah mit einem speziellen Gerät zeigen, daß eine Manipulation des BIOS über dessen verwundbare Stellen tatsächlich innerhalb weniger Minuten per Knopfdruck möglich ist, sofern der Angreifer Zugang zum Gerät hat. Weiterlesen