- Kaminsky interview: DNSSEC addresses cross-organizational trust and security
Dan Kaminsky erzählt ein bißchen über DNSSEC und was sich im letzten Jahr so getan hat, nachdem er drauf und dran war, das Internet kaputtzumachen. - Neues aus der Anstalt
Georg Schramm über die Arbeitsplatz-Entwicklung und die Fed. - Halt and Catch Fire
Halt and Catch Fire, known by the mnemonic HCF, was originally a fictitious computer machine code instruction claimed to be under development at IBM for use in their System/360 computers, along with many other amusing instructions such as "Execute Operator".
- Titanic vs CDU
Ein Bekannter hat diese Perle im Titanic-Archiv ausgegraben. Großartige Aktion damals.
Artikel mit Tag kryptographie
datenschutz blog ccc foto fun gesellschaft internet links medien politik rant security software video überwachung drm grafik hardware programmierung alltag angst backup c chat communication irc kochen konzert kunst kurioses linux lobby musik natur os psyc religion satire sonstiges spd wetter youtube zensur korruption medizin science transparenz gpg i2p vds anonymität flash free software gnash fail arbeit embedded google homerecording netzneutralität realtime bertos code perl dio rip
Saturday, 27. June 2009
Links 0x09
Thursday, 18. June 2009
Links 0x08
- Liebe ist Bundestag zu politisch
"Ein Schüler will den Bundestag besuchen - und muss sein T-Shirt ausziehen, weil "Make love not war" darauf steht." - Datenbank lüftet Geheimnis der EU-Agrarsubventionen
Hier kann man selber die Datenbank durchsuchen. Lustiges Detail, daß selbst Golfclubs Agrarsubventionen abgegriffen haben. - Url Shorteners: Destroying the Web Since 2002
Das ist eines der Punkte, die mich an diesen Kurznachricht-Diensten schon immer etwas gestört haben.
Einfach ein separates Eingabefeld für einen Link, egal wie lang er ist, oder das Erlauben des a-HTML Tags, würde die Benutzbarkeit IMHO deutlich verbessern. - Ever Better Cryptanalytic Results Against SHA-1
Kollisionen kommen auch bei SHA-1 in greifbare Nähe mit mittlerweile 252 Hash-Operationen - Quarter of men in South Africa admit rape, survey finds
Mal ein kleiner Zahlenabgleich als Gegenstück zu dem hier. Aber Hauptsache wir kriegen eine Zensur-Infrastruktur wie sie nur die besten Diktaturen haben. Wen interessieren denn schon Menschen außerhalb des nationalen Tellerrands?
Tuesday, 15. April 2008
Links 0x04 - To boldly link where no man has linked before
- Die sorglose Masse Schöner Rant über Soziale Netzwerke und deren Nutzer.
- Und keiner nennt es Korruption Telepolis-Artikel über die "Leihbeamten". Wieso wußte ich vorher schon, daß dort u.a. Bertelsmann erwähnt wird?
- Lohnnebenkosten Volker Pispers ganz grandios über die nicht existierenden Lohnnebenkosten. (via)
- Winter Soldaten Bericht der Netzeitung über die Aktion Winter Soldaten, in der Veteranen des Irak-Kriegs mal aus erster Hand der Öffentlichkeit berichten. Im Netz finden sich noch einige weitere Vorträge und Videos.
- Off-the-Record Messaging Offizielle OTR-Webseite. OTR dient der verschlüsselten Kommunikation über Instant Messenger.
Und wieso sind das insgesamt nur 300? Unabhängig davon, daß das zu ganz vielen schlechten Sparta-Witzen animiert, ich hätte mit einer deutlich größeren Zahl gerechnet. Aber das ist dann vermutlich der Faktor Dunkelziffer.
Friday, 7. March 2008
Kontakt via I2P
Ich habe das Blog um eine Kontakt-Seite ergänzt. Anhand des tollen Artikels im Ravenhorst über I2PMail, habe ich mir jetzt endlich mal einen I2P internen eMail-Account eingerichtet. Dieser ist zwar auch über das normale Netz erreichbar, aber wird über diverse MXe in das I2P-Netz geroutet.
Das ist allerdings nur die halbe Miete. Innerhalb des I2P-Netzes ist man zwar anonym, aber da ich hier diese Adresse bekanntgebe, und man auch so etwas wie ein Impressum hat, ist die Anonymität der eMail Adresse natürlich nicht gegeben.
Wo ist dann der Sinn dieser Aktion? Der Vorteil ist einfach die vorratsdatenspeicherungsunabhängige Speicherung.
Zumindest von meiner Hälfte der Verbindung aus. Natürlich ist man wieder halb im Raster, wenn man nach "außen" hin Mails verschickt. Und natürlich sollte man auch nicht dem I2P Mailserver unbedingt vertrauen, weshalb GPG-Verwendung einfach mal zur Pflicht wird. (Das sollte es eigentlich generell werden, unabhängig ob I2P verwendet wird, oder nicht.)
Diesen Absatz möchte ich noch zitieren:
Ich denke mittelfristig wird es genau darauf hinauslaufen. Der Überwachungsdruck wird mit einer Geschwindigkeit wachsen, daß einem schlecht wird. Die normalen Kommunikationsmittel werden mehr und mehr totreguliert und mißbraucht, sei es durch Spammer, Scammer oder sammelwütige Überwacher. Anonyme Netze im Netz wie I2P sind da eine vorübergehende technische Alternative, um wenigstens so seine Grundrechte zu wahren. Zumindest solange, bis auch diese Tools verboten werden.
Wie heißt es doch so schön?
"If privacy is outlawed, only outlaws will have privacy."
-- Phil Zimmermann
Ich muß da auch immer an Stallmans Dystopie The Right to Read denken. Bis jetzt hat einen die Realität teilweise ja schon schneller eingeholt, als man sich solche Gruselgeschichten ausdenken kann.
Aber um nochmal kurz auf I2P zurückzukommen. Das ist im Prinzip genau das, wonach ich seit Jahren suche. Leider habe ich mich erst viel zu spät damit auseinandergesetzt. Ich habe mir schon so einige P2P Sachen angeschaut, sei es Freenet, Gnunet und wie sie alle heißen. Aber bis jetzt bietet eigentlich nur I2P eine Infrastruktur, die es einem ermöglicht die bisher verwendeten Kommunikationsmittel fast 1:1 über das I2P Netz zu tunneln.
Gut, die I2P Software ist immer noch in der Entwicklung und hat auch ihre Probleme (unabhängig davon, daß sie in Java programmiert ist ). Und wenn es nur um's anonyme Surfen geht, wäre Tor wahrscheinlich die bessere Alternative, aber auch im I2P-Netz gibt es In- und Out-Proxys.
Mal schauen, vielleicht gibt es zu I2P hier in Zukunft auch noch ein paar Beiträge.
- Offizielle I2P Webseite, ein Handbuch gibt es hier
- GnuPG Webseite, Anleitung auf deutsch hier
Das ist allerdings nur die halbe Miete. Innerhalb des I2P-Netzes ist man zwar anonym, aber da ich hier diese Adresse bekanntgebe, und man auch so etwas wie ein Impressum hat, ist die Anonymität der eMail Adresse natürlich nicht gegeben.
Wo ist dann der Sinn dieser Aktion? Der Vorteil ist einfach die vorratsdatenspeicherungsunabhängige Speicherung.
Zumindest von meiner Hälfte der Verbindung aus. Natürlich ist man wieder halb im Raster, wenn man nach "außen" hin Mails verschickt. Und natürlich sollte man auch nicht dem I2P Mailserver unbedingt vertrauen, weshalb GPG-Verwendung einfach mal zur Pflicht wird. (Das sollte es eigentlich generell werden, unabhängig ob I2P verwendet wird, oder nicht.)
Diesen Absatz möchte ich noch zitieren:
Der Idealfall würde so aussehen, dass jeder Internetnutzer I2P (oder eine entspechende Anon-Plattform mit den nötigen Funktionalitäten) installiert hat und darüber Sites hostet und ansurft, Mails versendet, chattet und Daten austauscht. Aber so groß ist der Wille, das Bewußtsein und der Überwachungsdruck noch nicht. Aber gut, einige Leute haben erst jetzt damit begonnen aufzuwachen und eigentlich, ja eigentlich, sollten wir Europäer in Rechtsstaaten leben, in denen wir es überhaupt nicht nötig haben, derartige Maßnahmen ergreifen zu müssen.
Ich denke mittelfristig wird es genau darauf hinauslaufen. Der Überwachungsdruck wird mit einer Geschwindigkeit wachsen, daß einem schlecht wird. Die normalen Kommunikationsmittel werden mehr und mehr totreguliert und mißbraucht, sei es durch Spammer, Scammer oder sammelwütige Überwacher. Anonyme Netze im Netz wie I2P sind da eine vorübergehende technische Alternative, um wenigstens so seine Grundrechte zu wahren. Zumindest solange, bis auch diese Tools verboten werden.
Wie heißt es doch so schön?
"If privacy is outlawed, only outlaws will have privacy."
-- Phil Zimmermann
Ich muß da auch immer an Stallmans Dystopie The Right to Read denken. Bis jetzt hat einen die Realität teilweise ja schon schneller eingeholt, als man sich solche Gruselgeschichten ausdenken kann.
Aber um nochmal kurz auf I2P zurückzukommen. Das ist im Prinzip genau das, wonach ich seit Jahren suche. Leider habe ich mich erst viel zu spät damit auseinandergesetzt. Ich habe mir schon so einige P2P Sachen angeschaut, sei es Freenet, Gnunet und wie sie alle heißen. Aber bis jetzt bietet eigentlich nur I2P eine Infrastruktur, die es einem ermöglicht die bisher verwendeten Kommunikationsmittel fast 1:1 über das I2P Netz zu tunneln.
Gut, die I2P Software ist immer noch in der Entwicklung und hat auch ihre Probleme (unabhängig davon, daß sie in Java programmiert ist
). Und wenn es nur um's anonyme Surfen geht, wäre Tor wahrscheinlich die bessere Alternative, aber auch im I2P-Netz gibt es In- und Out-Proxys.Mal schauen, vielleicht gibt es zu I2P hier in Zukunft auch noch ein paar Beiträge.
- Offizielle I2P Webseite, ein Handbuch gibt es hier
- GnuPG Webseite, Anleitung auf deutsch hier
Friday, 29. February 2008
Kerckhoffs who?
Ich wollte mal schauen, welche Alternativen und sonstige Möglichkeiten es so zu Truecrypt gibt. Das soll jetzt nicht heißen, daß Truecrypt schlecht ist, im Gegenteil, aber man ist ja neugierig.
(Zu Truecrypt gibt es auf f!xmbr übrigens ein paar nette Anleitungen, gerade für Anfänger leicht verständlich und mit vielen Bildern.)
Man sucht also zum Thema Festplattenverschlüsselung im Netz herum und findet auch direkt ein Forum, wo sich jemand nach verschiedenen Programmen diesbezüglich erkundigt.
Die darauf folgende Diskussion läßt einem die Haare zu Berge stehen. Da sind doch tatsächlich mehrere Leute der Meinung, daß Freie Software in der Kryptographie nicht zu gebrauchen sei, weil man damit ja anhand des Quellcodes rauskriegen könne, wie die Verschlüsselung funktioniere und sie folglich auch knacken könne.
Das ist so falsch, daß es weh tut.
Immerhin wurde in der weiteren Diskussion von anderen Nutzern diese Auffassung widerlegt, aber ich möchte dennoch mal kurz die wichtigsten kryptographischen Grundsätze hier archivieren.
1. Kerckhoffs' Maxime:
Zu gut deutsch, kryptographischen Verfahren darf man nur vertrauen, wenn sie bekannt sind, sich über Jahre hinweg bewährt haben und zahlreichen kryptanalytischen (und erfolglosen) Angriffen ausgesetzt waren.
Jeder, der einem eine Kryptosoftware andrehen will, ohne das Verfahren offenzulegen, handelt mit nichts anderem als Schlangenöl und hat per definitionem kein Vertrauen verdient.
Man erfindet nicht mal eben so einen Verschlüsselungsalgorithmus, und denkt der sei sicher, nur weil man das Verfahren unter Verschluß hält.
Es kommt darauf an, daß die Anzahl der möglichen Schlüssel, also der verwendete Schlüsselraum, groß genug ist, um ein Durchprobieren aller Schlüssel unmöglich zu machen. Bei symmetrischen Verfahren ist das üblicherweise mit einer Schlüssellänge von 128 bis 256 Bit gewährleistet (noch länger ist aus physikalischen Gründen sinnlos ).
Das ist allerdings nur eine notwendige, und keine hinreichende Bedingung.
Der verwendete Algorithmus darf es natürlich nicht durch kryptanalytische Angriffe ermöglichen, daß der Schlüsselraum in irgendeiner Form eingeschränkt wird. Einfaches Beispiel wäre hier die Häufigkeitsanalyse bei monoalphabetischer Verschlüsselung.
2. Shannons Maxime:
(Zu Truecrypt gibt es auf f!xmbr übrigens ein paar nette Anleitungen, gerade für Anfänger leicht verständlich und mit vielen Bildern.)
Man sucht also zum Thema Festplattenverschlüsselung im Netz herum und findet auch direkt ein Forum, wo sich jemand nach verschiedenen Programmen diesbezüglich erkundigt.
Die darauf folgende Diskussion läßt einem die Haare zu Berge stehen. Da sind doch tatsächlich mehrere Leute der Meinung, daß Freie Software in der Kryptographie nicht zu gebrauchen sei, weil man damit ja anhand des Quellcodes rauskriegen könne, wie die Verschlüsselung funktioniere und sie folglich auch knacken könne.
Das ist so falsch, daß es weh tut.
Immerhin wurde in der weiteren Diskussion von anderen Nutzern diese Auffassung widerlegt, aber ich möchte dennoch mal kurz die wichtigsten kryptographischen Grundsätze hier archivieren.
1. Kerckhoffs' Maxime:
"Die Sicherheit eines Kryptosystems darf nicht von der Geheimhaltung des Algorithmus abhängen. Die Sicherheit gründet sich nur auf die Geheimhaltung des Schlüssels."Bitte ausdrucken und einrahmen.
Zu gut deutsch, kryptographischen Verfahren darf man nur vertrauen, wenn sie bekannt sind, sich über Jahre hinweg bewährt haben und zahlreichen kryptanalytischen (und erfolglosen) Angriffen ausgesetzt waren.
Jeder, der einem eine Kryptosoftware andrehen will, ohne das Verfahren offenzulegen, handelt mit nichts anderem als Schlangenöl und hat per definitionem kein Vertrauen verdient.
Man erfindet nicht mal eben so einen Verschlüsselungsalgorithmus, und denkt der sei sicher, nur weil man das Verfahren unter Verschluß hält.
Es kommt darauf an, daß die Anzahl der möglichen Schlüssel, also der verwendete Schlüsselraum, groß genug ist, um ein Durchprobieren aller Schlüssel unmöglich zu machen. Bei symmetrischen Verfahren ist das üblicherweise mit einer Schlüssellänge von 128 bis 256 Bit gewährleistet (noch länger ist aus physikalischen Gründen sinnlos
).Das ist allerdings nur eine notwendige, und keine hinreichende Bedingung.
Der verwendete Algorithmus darf es natürlich nicht durch kryptanalytische Angriffe ermöglichen, daß der Schlüsselraum in irgendeiner Form eingeschränkt wird. Einfaches Beispiel wäre hier die Häufigkeitsanalyse bei monoalphabetischer Verschlüsselung.
2. Shannons Maxime:
"Der Feind kennt das benutzte Verfahren."ist eine weitere Variante dieser Aussage, die es nochmal auf den Punkt bringt, daß security through obscurity keine Option ist.
Tuesday, 26. February 2008
Links 0x02 - everytime a link is censored, god kills a kitten
- Verschusselt statt verschlüsselt Beitrag auf heise security, der zeigt wie angeblich mit AES verschlüsselte Festplatten in Wirklichkeit ganz einfach auszulesen sind, weil die Verpackung nicht hält, was sie verspricht.
- Adobe Pushes DRM for Flash Adobe will laut EFF zukünftige Flash Versionen um DRM Maßnahmen erweitern. Die Musikindustrie ist ja so langsam dabei, auf schmerzhafte Art und Weise zu begreifen, daß DRM keine gute Idee war. Adobe braucht wohl noch ein bißchen.
- Graphics Programming Black Book Obwohl das Buch schon einige Jährchen auf dem Buckel hat, finden sich dort so manche Kapitel, die heutzutage noch aktuell sind. Und die anderen Kapitel sind auch interessant zu lesen.
