Die Welt und Andere rätseln über einen scheinbar kryptischen, nach kurzer Zeit gelöschten Tweet von Edward Snowden. Weiterlesen
Archiv für EDV
Edward Snowden sagte ffdae96f8dd…
Keylogger-Affäre in der taz
Anfang 2015 kam heraus, daß mehrere Computer in der taz mehr als ein Jahr lang von einem Mitarbeiter mittels Keylogger (Gerät zum Mitschreiben aller Tastaturanschläge) ausgespäht wurden. Jetzt hat die taz in einem längeren Artikel den rekonstruierten Ablauf der Geschehnisse in chronologischer Folge veröffentlicht. Hier nun ein paar Anmerkungen zu dem dort Gesagten. Weiterlesen
Bitkom-Ergebnisse zum Stand der Verschlüsselung
Der Bitkom e.V. hat mal wieder Ergebnisse zu einer neuen Umfrage zum Thema Verschlüsselung veröffentlicht:
Der Einsatz von Verschlüsselungsverfahren für den Schutz von privaten Daten kommt nur langsam voran. Das hat eine repräsentative Umfrage im Auftrag des Digitalverbands Bitkom ergeben. Demnach verschlüsselten im vergangenen Jahr 15 Prozent der deutschen Internetnutzer E-Mails. Zum Vergleich: Im Jahr davor waren es mit 14 Prozent ähnlich viele.
Kategorie: Deutschland, EDV |
Tags:Bitkom, GnuPG, Kryptografie, OpenPGP, PGP, Umfrage, Verschlüsselung
Alleinstellungsmerkmal: Offizielle Hintertür
Eine Arbeitsgruppe unter Federführung des amerikanischen Kryptologen und Gründer der International Association for Cryptologic Research (IARC), David Chaum, hat ein neues Verschlüsselungssystem unter dem Namen PrivaTegrity vorgestellt (Die Zeit, Wired), welches sicherer und schneller als bisherige Syteme wie Tor sein soll. Einerseits soll die Anonymität aller Kommunikationspartner gewährleistet sein, resourcenschonend genug, um auch auf Mobiltelefonen ohne relevanten Zeitverlust verwendbar zu sein, aber gleichzeitig staatlichen Stellen grundsätzlich die Möglichkeit der Identifikation einzelner Teilnehmer bieten, ohne jedoch eine Massenbespitzelung zu ermöglichen. Das dahinter stehende neue Netzwerkprotokoll erhielt den Namen cMix [1] (erinnert nicht zufällig an alte Mixmaster-Systeme). Um einen Mißbrauch der Hintertür auszuschließen schlägt er eine Aufteilung der Verantwortlichkeit auf mehrere räumlich und vor allen Dingen juristisch voneinander getrennte Administratoren vor. Konkret will er neun Server in verschiendenen Ländern, genannt werden beispielhaft Island, Kanada und die Schweiz, positionieren. Jeder dieser Server soll seiner Auffassung nach eine Richtlinie publizieren unter welchen Bedingungen eine Kooperation mit den anderen Stellen zur Aufhebung der Anonymität eingegangen wird. Nur wenn alle neun Serveradmins kooperieren soll diese aufhebbar sein und eine Nachricht zum Sender zurückverfolgbar sein, so die Vorstellung. Im Grunde handelt es sich also um eine Schlüsselhinterlegung (key escrow) nach dem Mehraugenprinzip. Ein Prototyp wurde in der Programmiersprache Python erstellt und läuft bereits auf Amazons Clouddienst. Weiterlesen
Kategorie: EDV |
Tags:Anonymität, cMix, David Chaum, IARC, key escrow, Kryptologie, PrivaTegrity, Schlüsselhinterlegung, Sozialnetzwerke, Verschlüsselung
Lasst SHA-1 endlich sterben
Ein Jahresanfang ist immer eine gute Gelegenheit alte Zöpfe abzuschneiden und etwas Neues zu beginnen. Auch bei der Verwendung von OpenPGP/GnuPG ist dies nicht vollkommen anders. Schon vor geraumer Zeit wurde der häufig verwendete Prüfsummenalgorithmus SHA-1 auf langfristige Sicht hin als zu unsicher erkannt und deshalb nach einem Ersatz gesucht. Dieser fand sich in SHA-2 (RFC 4634), einer ganzen Familie von neuen Prüfsummenalgrorithmen, bestehend aus SHA224, SHA256, SHA384 und SHA512. Da es jedoch seine Zeit dauert bis Software ergänzt, Arbeitsabläufe umgestellt und die neuen Versionen von einer überwiegenden Anzahl der Benutzer neue Versionen aufgespielt wurden konnte nicht sofort von SHA-1 abgerückt werden. Weiterlesen
Kategorie: EDV |
Tags:GnuPG, Hash, Hashalgorithmus, Hashwert, Kryptografie, OpenPGP, PGP, Prüfsumme, Prüfsummenalgorithmus, SHA-1, SHA-2, SHA256, SHA512, Verschlüsselung
Ada Lovelace
Nun hat sich kurz vor Jahresende auch Golem vom Ada-Lovelace-Fieber anstecken lassen, denn dieses Jahr war in feministischen Kreisen eindeutig das Ada-Lovelace-Jahr. Auf etlichen Veranstaltungen musste geradezu zwanghaft ihr Name erwähnt werden, auch wenn sich die Veranstaltung in keiner Weise mit IT beschäftigte und natürlich durften auch Buchempfehlungen weiblicher Autoren zum Thema nicht fehlen (Ada Lovelace. Die Pionierin der Computertechnik und ihre Nachfolgerinnen). Es ging/geht dabei nicht um die Leistung von Ada Lovelace an und für sich, sondern um den Versuch, getreu des ideologischen Feindbildes männlich, weiß, heterosexuell, die gesamte IT als eine letztendlich weibliche Erfindung darzustellen und die Geschichte in diesem Sinne umzuschreiben. Ein, wie ich finde höchst lächerliches Unterfangen, was aber nicht auf die fehlende Leistung von Ada Lovelace zurückgeht, sondern aus einem anderen Grund. Weiterlesen
Kategorie: EDV, Gesellschaft, Wissenschaft |
Tags:Ada Lovelace, Feminismus, Gender, Programmablaufschema, Programmierfehler, Programmiersprachen
Internetseitensperren im Bundestag
Die IT im Bundestag weiß sich nicht mehr anders zu helfen, als mit Zugangssperren für Angehörige des Bundestages (Spiegel):
Als Reaktion auf die jüngste Cyberattacke hat der Bundestag den Zugang zu mehr als 100.000 Websites sperren lassen. So soll verhindert werden, dass sich weitere Parlamentscomputer mit sogenannten Trojanern infizieren.
Wer hätte das gedacht, Zensursulas Traum von Zugangspserren wird zuerst bei den Abgeordneten und ihren Mitarbeitern eingeführt. Mal abgesehen von dem Umstand, daß ich gerne mal einen Blick auch auf diese Liste werfen würde, frage ich mich unwilkürlich wie das weitergehen soll. Wer soll diese Liste warten? Das Internet besteht inzwischen aus Millionen von Servern und Milliarden von Webseiten. Es müssten praktisch permanent neue Einträge hinzukommen und alte gelöscht werden. Dies lässt sich nur bedingt automatisieren und für die manuelle Kontrolle dürfte aber wohl nicht genügend (vertrauenswürdiges) Personal vorhanden sein. Vermutlich läuft es daher darauf hinaus, daß die Liste immer weiter anwächst. Erfahrungsgemäß funktionieren schwarze Listen nur ganz am Anfang, weil ihre Wartung zu zeitintensiv und die Fehlerquote hoch ist. Das Ganze erinnert stark an die Zensurlisten der BPjM, mit ihren fehlerhaften und nicht regelmäßig geprüften Einträgen, wie der BPjM-Leak gezeigt hat. Weiterlesen
Kategorie: Deutschland, EDV |
Tags:BSI, Cyberangriff, Geheimdienste, Hackerangriff, Internetsperren, Lars Klingbeil, Netzsperren, Ursula von der Leyen, VDS, Vorratsdatenspeicherung, Zensursula
Facebook integriert PGP/GPG
Seit Anfang des Monats besteht bei Facebook die Möglichkeit einen PGP-Schlüssel in das eigene Profil hochzuladen. Gleichzeitig veröffentlicht Facebook seinen Schlüssel 0xDEE958CF:
Fingerabdrücke von Facebook, Inc. Schlüssel: 31A7 0953 D8D5 90BA 1FAB 3776 2F38 98CE DEE9 58CF Unterschlüssel: D8B1 153C 9BE9 C7FD B62F 7861 DBF4 E8A2 96FD E3D7
Ausgerechnet die Datenkrake Facebook, Geheimdienste mal außen vor gelassen, wird nun zum Vorreiter in Sachen PGP? An der ungehemmten Datensammelei bei Facebook wird dies nicht das Geringste ändern, dies, wie der Verkauf der Daten, ist schließlich sein Geschäftsmodell. Facebook wird daher niemals Funktionen implementieren, welche die Aktivitäten des Nutzers vor Facebook verbergen könnten. Was sich zunächst paradox anhört scheint mir dennoch der richtige Weg zu sein. Weiterlesen
Minutenmanipulation von Computern
Bereits vor knapp zwei Jahren hatte ich darauf hingewiesen, daß einmal beschlagnahmte Hardware nach der Rückgabe durch die Sicherheitsbehörden selbst dann als Elektroschrott anzusehen ist, wenn sie unbeschädigt und einwandfrei funktionsfähig ist, da nicht ausgeschlossen werden kann, ob und welche Manipulationen an den Innereien das Geräts vorgenommen worden sind.
Nach einem Forbes-Artikel konnten nun Corey Kallenberg und Xeno Kovah mit einem speziellen Gerät zeigen, daß eine Manipulation des BIOS über dessen verwundbare Stellen tatsächlich innerhalb weniger Minuten per Knopfdruck möglich ist, sofern der Angreifer Zugang zum Gerät hat. Weiterlesen
Kategorie: EDV, Technik |
Tags:Beschlagnahme, BIOS, Corey Kallenberg, Geheimdienste, Manipulation, Überwachung, UEFI, Xeno Kovah
Unterschiede und Merkmale von DKIM, PGP und S/MIME
Ab 20. Februar will die Deutsche Telekom ihre Rechnungs-e-Mails mit weiteren Sicherheitsmerkmalen ausstatten, um das Erkennen von Fälschungen zu erleichtern (via heise). Kernbestandteil der neuen Merkmale ist eine kryptografische Signatur. Endlich muss man sagen, denn die Technik hierfür steht schon seit längerem zur Verfügung und wird bereits vielfältig verwendet. Allerdings verwendet die Telekom weder PGP (bzw. GnuPG) oder S/MIME, sondern das allgemein weniger bekannte DKIM. Die meisten Anwender bekommen schon lange DKIM-signierte Mails, wissen es jedoch noch nicht. Das ebenfalls neu eingeführte „E-Mail-Siegel“ (vor dem Absender ein blaues @-Zeichen mit Haken) ist nur eine optische Darstellung einiger am Verbund beteiligter Webmailer (GMX, WEB.DE, freenet und 1&1) und bei Anwendungen der Telekom selbst. Alle anderen, insbesondere diejenigen, die mit einem e-Mailprogramm, arbeiten haben nichts davon, sie könnten die Herkunft einer e-Mail nur anhand der zunächst unsichtbaren DKIM-Signatur verifizieren. Weiterlesen