Fragen? Antworten! Siehe auch: Alternativlos
Das Szenario der Übung «Duplex Barbara» sah folgendermassen aus: Die anhaltende Wirtschaftskrise hat Europa an den Rand des Chaos gebracht. Frankreich ist in mehrere Kleinstaaten zerbrochen. Einer davon, das fiktive Saonia auf dem Gebiet des französischen Juras, macht die Schweiz für seine prekäre finanzielle Situation verantwortlich. Die paramilitärische «Brigade de Dijon» will mit Attentaten in der Schweiz den Schuldenerlass erzwingen.Wenig überraschend sind die Franzosen von diesem Szenario wenig begeistert. (Danke, Kai)
Ein junger Mann verbrennt Mitte September bei Stuttgart in seinem Auto. Die Polizei geht von einem Suizid aus.Und jetzt der Teil, wieso das in diese Liste gehört:
Auch hatten Zeugen eine Explosion beobachtet, kurz nachdem der Mann nahe dem Cannstatter Wasen in Stuttgart in sein Auto eingestiegen war. Erst danach habe das Fahrzeug Feuer gefangen und sei ausgebrannt, sagen diese Zeugen.Der setzt sich vor Zeugen in ein Auto, und das Auto explodiert. Und er hat keinen Abschiedsbrief hinterlassen.
Die Richter [des obersten Gerichts Indiens] wiesen die Wahlkommission an, dass bei den elektronischen Wahlmaschinen und auf den Stimmzetteln das negative Wahlrecht verankert wird. Konkret soll unterhalb der Kandidatenliste vermerkt sein, "keiner der oben genannten Möglichkeiten" zuzustimmen.Wie cool ist DAS denn! Das will ich hier auch haben!! Natürlich müsste man dann dafür sorgen, dass entsprechend viele unbesetzte Sitze im Parlament sind. Wenn weniger als 50% der Bevölkerung für jemanden stimmen, dann wäre eine Mehrheitsfindung eben unmöglich. Was glaubt ihr, wie sich die Politik plötzlich um die Belange der Wähler kümmern würde, wenn sie nicht nur bloß besser als die andere Versager sein müssten.
Asked by Udall whether it was the NSA's aim to collect the records of all Americans, Alexander replied: "I believe it is in the nation's best interest to put all the phone records into a lockbox – yes."
Das mit Nairobi ist aber ein Eigentor, wenn man sich die Lage genauer anguckt. Die Amerikaner und Israel hatten nämlich dem Präsidenten von Kenia versprochen, ihn vor Anschlägen zu warnen. Mit anderen Worten: Die NSA hat genau das versprochen und nicht halten können, was sie jetzt für Amerika versprechen, als ob sie es dort halten könnten. Dass Schnüffelprogramme Terroranschläge verhindern können.
Dabei wissen wir ja schon seit dem Anschlag auf den Bostoner Marathon, dass das Bullshit ist. Aber dass der NSA-Boss da ausgerechnet Nairobi zitiert, das ist schon bizarr.
Update: Es geht anscheinend um die Erstaktivierung. Wenn man das einmal aktiviert hat, gehen danach auch andere SIM-Karten.
Oh und die NSA wusste auch vorher vom Mauerbau aber hat niemanden informiert. Warum auch. Das ist ein Geheimdienst! Natürlich sind deren Erkenntnisse dann geheim, wo kämen wir da hin, wenn die das einfach so rumerzählen würden!
Begründung: 1. Elops Vertrag hat ganz klare Anreize dafür, Nokia in den Boden zu rammen und Sparten zu verkloppen. Weil das jetzt ein bisschen anrüchig klingt, hat Nokia Elop angebettelt, den Bonus nicht komplett auszahlen zu lassen. Und was sagt Elop? Elop sagt, er braucht die Kohle für die Scheidung von seiner Frau.
Also, die Fed hat um 2 Uhr am Nachmittag in Washington eine wichtige Entscheidung verkündet. Gemessen haben sie den präzisen Zeitpunkt mit der nationalen Atomuhr der USA. Es dauert 7 ms, bis diese verkündete Information bis nach Chicago propagiert im Netz. Aber schon 2-3 Millisekunden danach gab es mehrere gigantische Orders an der Börse von Chicago. Zu dem Zeitpunkt war das Paket noch auf den Leitungen unterwegs. Es konnte also an sich noch keiner wissen in Chicago, geschweige denn darauf basierende Orders abgeben.
Es gibt mehrere Erklärungsversuche. Entweder jemand hat ne Zeitmaschine, oder jemand hat sich einen effizienteren Kanal zwischen Washington und Chicago gebaut, oder es handelt sich um Insiderhandel. Bei den Orders ging es um 800 Millionen Dollar. Die CBNC-Berichterstattung dazu. (Danke, Bolko)
Täglich würden derartig viele Taschen und Koffer, die einfach vergessen worden waren, bei den Fundbüros der U-Bahn abgeben, dass es völlig sinnlos sei, dies als Alarmsituation für ein automatisiertes System zu definieren.Ja und warum machen wir es dann?
Die Frage, wer angesichts solcher Faktoren denn die Überwachungsspirale immer weiterdrehe, beantwortete Kreissl eindeutig: "Es sind die Hersteller des Equipments. Die Überwachungsindustrie hält die Politiker hier in Geiselhaft."Geiselhaft finde ich jetzt zu hart formuliert, denn die haben ja nichts, womit sie die Politiker erpressen können. Die nutzen halt den perfekten Sturm aus Inkompetenz, Ignoranz und kurzfristigem PR-Moment-Erheischen in der Politik aus.
Und als weiteren Höhepunkt zitieren sie einen Ex-Microsoft-Datenschutzfuzzy, der folgendes zu Protokoll gibt:
Die für schwere Datenschutzverstöße momentan im Entwurf vorgesehenen Höchststrafe von zwei Prozent des Umsatzes eines Großkonzerns müssten verzehnfacht werden, sagte Bowden. Die während seiner Zeit bei Microsoft von der EU verhängten Kartellstrafen im unteren Milliardenbereich habe man nämlich aus der Portokasse bezahlt. Die jahrelange Beibehaltung dieser inkriminierten Geschäftspraktiken sei einfach profitabler gewesen, weil sie das Strafmaß weit übertrafen, so der Experte abschließend.
The Treasury Department has released few details about what happened, saying only that it suffered "a technical issue" in its web-based portal that "resulted in one bidder being unable to access the 3-month auction," according to a statement on its Web site last week."web-based"!?!? OH NEEEEIIIIIINNNNNNN!
Update: Oh und Air France sind kürzlich auch Goldbarren im Wert von 1,5 Millionen auf einem Flug von Paris nach Zürich verlorengegangen.
The theft comes as suspicions mount that Air France staff were complicit in a recent €200 million cocaine smuggling operation.
A near-final draft of the curriculum shows that it comes in different flavors for every grade from kindergarten through sixth, to keep pace with your developing child’s ability to understand that copying is theft, period.
Bisher habe ich keinen Grund für die Annahme, dass das hier geschehen ist.
Ich für meinen Teil mache mir eher darüber Sorgen, wie wir noch vier Jahre Merkel überstehen sollen.
So werden wir alle Nachteile der CDU ohne den einen Vorteil der FDP kriegen — Sabine Leutheusser-Schnarrenberger. Viel gerissen hat die zwar nicht, aber ohne sie wären einige Dinge glaube ich noch schlechter gelaufen.
It has been discouraging to see how our Agency frequently has been portrayed in the news as more of a rogue element than a national treasure.National Treasure! Na dann ist ja jetzt geklärt, wo das Realitätsverzerrungsfeld von Steve Jobs jetzt hin ist.
Aber jetzt wird die Story gerade spannend, denn der Vupen-Chef fühlt sich unfair herausgepickt und liefert die Namen seiner möglicherweise weniger bekannten Konkurrenten, mit der Aufforderungen, doch auch mal über die FOIA-Anfragen zu stellen. *Händereib* Da können wir nur alle bei gewinnen, wenn da mal ein bisschen Licht ins Dunkel kommt :-)
Ich bin immer irritiert, wie die Leute in so einem klaren Fall die Schuld von sich wegzumanövrieren versuchen danach. Das ist wie wenn ein Prügelcop argumentiert, sein gefesseltes Opfer hat sich nicht gewehrt, also steht der bestimmt auf sowas und das war kein Verbrechen.
Daher gibt es jetzt auch eine Online-Version von Gabys Film zu dem Thema. Gaby hat dazu auch was auf ihrer Homepage, inklusive Spendenbutton. Wir als Gesellschaft brauchen echt mal ein ordentliches Modell dafür, wie wir dafür sorgen, dass ordentlicher Journalismus auch finanziert wird.
Soweit ich das sehen kann, ist die Industrie mit ihren Kraftwerken und Großgeräten in Sachen Security ungefähr 20-30 Jahre zurück. Stuxnet hat in der Branche dafür gesorgt, dass die Leute gesehen haben, dass ihre Anlagen angreifbar sind, auch wenn sie nicht am Internet hängen. Aber bei den meisten Leuten hat sich Konsternierung eingestellt, weil sie nicht verstehen konnten, woher die Amerikaner die ganzen Details kannten. Denn die "Sicherheit" dieser Anlagen basiert im Wesentlichen darauf, dass der Aufbau nicht publiziert wird, und das es keinen Internetzugang gibt (wenn man Glück hat). Und da die Firmen den Angriffsvektor nicht verstanden haben, haben sie nichts getan. Jetzt, dank Snowden, dämmert den Leuten langsam, dass die Amerikaner auch für alle unsere Anlagen alle Details abgeschnorchelt haben können, weil sie unsere Emails lesen und unsere Firmen ihre Daten in der Cloud speichern. Und es sieht fast so aus, als gerieten da gerade ein paar Hirnwindungen in Bewegung. Ich finde das prima. An der Zeit war das ja schon lange. (Danke, Arndt)
"Ich kann das gar nicht glauben. Deutschland hat jahrelang insgesamt über 111 Tonnen Chemikalien an Syrien geliefert, mit denen man Sarin produzieren kann und das in ein Land, von dem man wusste, dass es ein Chemiewaffenprogramm hat", so van Aken gegenüber dem ARD-Hauptstadtstudio.Und falls sich jetzt jemand denkt, hey, das ist halt die Merkel, dann wähl ich halt SPD oder Grüne:
dass sowohl die von SPD und Grünen geführte Regierung in den Jahren 2002 und 2003 sowie die Große Koalition 2005 und 2006 Ausfuhrgenehmigungen für Chemikalien erteilt habenAlle in den Knast packen.
Das Internet sei «durch und durch amerikanisch», meint der ehemalige CIA- und NSA-Chef Michael Hayden. Deshalb habe das Land auch das Recht, sich eine Kopie zu ziehen.Na dann ist ja alles klar. (Danke, Martin)
Und unabhängig von der Frage, ob und wo Apple oder euer Gerät euren Fingerabdruck speichert: Euer Fingerabdruck ist Teil eurer Passdaten und wird u.a. bei der Einreise in viele Länder abgenommen.
Update: Erklärung. (Danke, Christian)
With government certifications this broken, the NSA may not need backdoorsHihi (Danke, Jens)
Nach Angaben des Betreibers EDF sei der Zwischenfall von keiner Bedeutung für die Sicherheit des Reaktors gewesen.
Laut Behörden soll keine Gefahr durch Torpedos und Atomreaktor bestanden habenNatürlich nicht! (Danke, Martin)
Die schlechte: RSA BSAFE benutzt das als Default-RNG. Und nicht nur die, NIST hat eine Liste. Cisco, Apple, Juniper, McAfee, Blackberry, … bei den meisten wird das allerdings nicht Default sein.
Die gute Nachricht: BSAFE wird von keiner freien Software eingesetzt. Wenn ihr also Firefox unter Linux einsetzt, seid ihr sicher.
Ich bin mir gerade nicht sicher, wie das unter Windows ist. Da gibt es ein TLS vom System namens "SChannel". Das wird meines Wissens u.a. von IE und Chrome verwendet. Benutzt der BSAFE? Vermutlich. Es gab mal eine Zeit, da konnte man RSA und co gar nicht ohne BSAFE legal einsetzen in den USA, aus Patentgründen. Das müsste mal jemand herausfinden, wie das ist, und ob Windows den NSA-RNG einsetzt.
OpenSSL ist auch auf der Liste, aber die haben schon angesagt, dass sie das nur implementiert haben, weil ihnen jemand dafür Geld gegeben hat, und das ist nur an, wenn man den FIPS-Modus aktiviert, von dem sie im Übrigen dringend abraten und was nicht der Default ist.
"Epsilon" ist der erste neuartige Raketentyp Japans seit 12 Jahren und Branchenbeobachter halten es für möglich, dass damit künftig auch weltweit neue Maßstäbe in Bezug auf Raketen gesetzt werden.Das fürchte ich auch!
Sollte das Programm in den Regelbetrieb gehen, hat sich das BfV den Unterlagen zufolge verpflichtet, alle Erkenntnisse mit der NSA zu teilen. Das hatte der Präsident des Bundesamtes, Hans-Georg Maaßen, seinen US-Kollegen bei zwei Besuchen im Januar und Mai diesen Jahres zugesichert.Auflösen. Jetzt.
Man muss ihm das nachsehen. Oder erweckt der Mann auf irgendjemanden den Eindruck, er bewege sich sicher in dem Zahlenraum über 100?
Die Grundthese ist, dass Ingenieuere und Erfinder nur bauen können, was sie sich vorstellen können, und Star Trek als einzige halbwegs realistische und positive Zukunftsvision in der Kindheit der aktuell das Szepter in der Hand habenden Generation im Silicon Valley in deren Kindheit im Fernsehen lief und die alle geprägt hat.
Wenn man verstehen will, warum Leute Dinge tun, ist der beste Weg immer, deren Selbstbild zu verstehen. Im Allgemeinen tun Leute schlechte Dinge ja nicht, weil sie schon immer mal ein Supervillain aus dem Comic sein wollen, sondern weil sie sich in ihrer Selbstwahrnehmung als Helden sehen, die tun, was getan werden muss, oder gar was aus ihrer Sicht das Richtige ist, und der Rest der Welt weiß es nur noch nicht. Der Widerspruch zwischen "wir sammeln alle Daten" und "don't be evil" ist einer der erstaunlichsten Widersprüche dieser Art, wie ich finde, und der lässt sich mit der Star-Trek-Theorie erklären.
Update: Ich muss mich hier gerade von meinen Freunden beschimpfen lassen, dass ich da zu wenig Meinung drin hatte und zu viel Gedankengänge dem Publikum überlassen habe. Insbesondere hätte ich sagen sollen, dass die Welt nicht wie bei Star Trek ist, und es keinen Captain Picard gibt, sondern nur so Leute wie General Alexander und Sergei Brin. Dass wir jetzt die schlechteste aller Welten haben, indem wir die Star Trek Tech gebaut haben, ohne den Captain Picard an der Konsole sitzen zu haben.
Ich schrieb das nicht explizit in den Artikel, weil ich es a) für offensichtliche Schlussfolgerungen hielt, die besser wirken, wenn das Publikum selber drauf kommt, und b) ich den Artikel so neutral wie möglich halten wollte, für Bashing einzelner Personen oder Personengruppen ist mein Blog zuständig. Es hat mich aber gefreut, dass jemand die Referenz auf Section 31 erkannt hat.
Ein bisschen unglücklich ist gelaufen, dass die Captain Kirk in den Titel getan haben statt Captain Picard, wie es gemeint war. Ich schiebe das mal auf den Generationsunterschied zwischen mir und den Redakteuren bei der FAZ :-)
Und der Hammer daran: Das war gar nicht die Polizei, die das angekündigt hat, sondern der Innenminister. Von der SPD, die hiermit nochmal einen Antrag auf nicht gewählt werden bei uns stellt.
Als Tests für ihre Methode haben sich die Forscher genau die Hardware genommen, bei der das maximal weh tut, wenn jemand manipuliert, nämlich a) einen Zufallszahlengenerator und b) S-Boxen aus einem Krypto-Verfahren, die eigentlich seitenkanalfrei sein sollten.
Update: Neue URL des Papers!
Update: Reason ist übrigens ein radikales Freimarkt-Libertären-Schmierblatt, und die Oathkeeper sind keine linke Gutmenschen-Truppe.
Bemerkenswert ist, dass er den Amis offen ihren False Flag Giftwaffenangriff vorhält und bereits den nächsten ankündigt: Einen Giftgasanschlag der Rebellen gegen Israel.
Der Punkt ist jedenfalls, dass es nicht nur eine solche Kurve gibt, sondern sehr viele. Um Kryptographie zu machen, einigt man sich daher vorher auf eine davon. Und hier kommt das Problem. Das wichtigste Standardisierungsgremium für diese Kurven ist NIST, und die sagen offen an, dass ihre Kurven von der NSA kommen. Überhaupt empfiehlt die NSA seit vielen Jahren offen elliptische Kurven. Alleine deshalb trauen viele elliptischen Kurven nicht.
Wenn man Krypto-Verfahren designed, und da tauchen Konstanten auf, wie z.B. bei den S-Boxen (einem internen Substitutionsschritt), dann kann man da entweder irgendwelche Zahlen reinschreiben, und behaupten, die seien zufällig gewählt, oder man kann absichtlich unzufällige Zahlen nehmen, wie z.B. die ersten Ziffern von Pi oder von der Wurzel von 2 oder sowas. Üblicherweise macht man letzteres. Das Konzept nennt sich Nothing up my sleeve number :-) Die NSA-Kurven machen ersteres. Daher liegt die Vermutung nahe, dass die NSA da solange Kurven ausprobiert hat, bis sie eine gefunden hat, die "leichter knackbar ist", nach einem Verfahren, das außer ihnen niemand kennt. Und genau diese Vermutung macht jetzt die Runde.
Der Vollständigkeit halber sei gesagt, dass die Kryptographen natürlich schon länger gemerkt haben, dass da möglicherweise was schlecht riecht. Man kann das z.B. in diesen Folien hier sehen, die sind von vor Snowden.
Sind elliptische Kurven jetzt vergiftet? Ich kenne mich da nicht genug aus, um das tatsächlich selbst beurteilen zu können. Daher vertraue ich da im Zweifelsfall Dan Bernstein, der hält die Verfahren selbst für gut, und traut nur den Kurven der Dienste nicht.
Update: Ein bisschen Kontext gibt es bei diesem Thread.
Incredibly, intelligence officials said today that no one at the NSA fully understood how its own surveillance system worked at the time so they could not adequately explain it to the court.Zufall? Aber nicht doch! "Intelligent" Design!the NSA's surveillance apparatus, for years, was so complex and compartmentalized that no single person could comprehend it.Die trauen sich ja auch innerhalb der NSA gegenseitig nicht über den Weg. Dementsprechend sind dann natürlich auch Anforderungen von außen nicht oder nur partiell erfüllbar. Z.B. die Anforderung, dass man für das Abhören von Amerikanern in der Lage sein muss, ein paar Verdachtsmomente angemessen artikulieren zu können. Das fand jedenfalls das Geheimgericht. Offensichtlich hatten die Richter da doch noch sowas wie Selbstwertgefühl übrig.The court had told the NSA they were only allowed to query numbers that had "reasonable articulable suspicion (RAS)" of being involved in terrorism.Und wie viele Verdachtsmomente konnte die NSA artikulieren?Apparently, out of the more than 17,000 numbers on this list in 2009, the NSA only had RAS for 1,800 of them.So um die 10%.
Now, just more specifically, then, on Brazil and Mexico. I said that I would look into the allegations. I mean, part of the problem here is we get these through the press and then I've got to go back and find out what’s going on with respect to these particular allegations — I don’t subscribe to all these newspapers, although I think the NSA does — now at least.Der arme Pressesprecher Obama wird immer auf dem falschen Fuß erwischt mit irgendwelchen Veröffentlichungen, die der bis dahin vertretenen Parteilinie widersprechen, und dann muss er zum Herrchen laufen und fragen, mit welchen Soundbites er darauf reagieren soll.
Die zweifache Mutter ließ ihre Kunden auf ihrem Bauernhof in der Nähe von St. Pölten mit Gummimaske Rasen mähen, nackt Holz stapeln, eine neue Heizung ein- und den Dachstuhl ausbauen.Das Jugendamt nahm der Frau dann ihre beiden Kinder weg, und die Frau wurde wegen illegaler Prostitution angezeigt.
Update: Übrigens, falls jemand die Referenz nicht kennt: Casablanca.
We collect this information for many important reasons: for one, it could provide the United States and our allies early warning of international financial crises which could negatively impact the global economy. It also could provide insight into other countries' economic policy or behavior which could affect global markets.Und wie das so ist, da braucht man doch offensichtlich einen gutmütigen allwissenden Diktator! Jemanden wie, … die NSA! (Danke, Mathias)
Dass man nun einen internationalen Standard entwickeln will, um Steuerdaten über Ländergrenzen hinweg automatisiert auszutauschen, ist zwar zu begrüßen.
Dieses Problem betrifft die ganzen MIPS-Linux-basierten Plastikrouter da draußen. SSL oder VPN oder so besser lieber nicht damit machen.
Update: Und die WLAN-APs natürlich, das fasste ich mal unter Plastikrouter zusammen.
The Obama administration secretly won permission from a surveillance court in 2011 to reverse restrictions on the National Security Agency’s use of intercepted phone calls and e-mails[…]
In addition, the court extended the length of time that the NSA is allowed to retain intercepted U.S. communications from five years to six years — and more under special circumstances
Weitergehen, hier gibt es nichts zu sehen!
Jedenfalls sind die Amerikaner schockiert und entsetzt, dass jemand sie beschnüffeln würde und hat eine scharfe Protestnote geschickt :-)
Übrigens, cooles Projekt dazu: Fotos von Botschaftsantennen, aus Streeview extrahiert.
Ich frage mich ja, ob die eigentlich merken, wie sehr sie den Wirtschaftsstandort USA in Verruf gebracht haben mit ihrem Geschnüffel.
Er gibt mir keine Daten her. Er muss mir die Daten geben. Geh’ hol mir einen Funkwagen her bitte. Mein Handy ist leer, und das Funkgerät ist auch vor zwei Minuten leer geworden.
Erstens: "Known Plaintext" heißt die Angriffsart, bei der der Angreifer sowohl den Klartext als auch die verschlüsselten Daten hat und daraus den Schlüssel errechnen will. Intuitiv würde man denken, dass das total einfach sein muss, dann den Schlüssel zu errechnen. Bei antiken Verfahren ist das auch so, bei modernen nicht. Die von Truecrypt verwendeten Verfahren haben allesamt die Eigenschaft, dass bei ihrem Design darauf geachtet wurde, dass das nicht signifikant leichter geht, als mögliche Schlüssel durchzuprobieren.
Dann: Durchprobieren. Die Kryptographie geht schon immer davon aus, dass der Gegenüber über unbegrenzte Geld- und Material-Möglichkeiten verfügt und über das beste Know-How, das es auf der Welt gibt. Überspitzt gesagt, ist das Modell des Gegenübers, vor dem wir uns mit Kryptographie schützen wollen, die NSA. Schon immer. Unter der Annahme, dass sie Roswell-Technologie reverse engineered und im Einsatz haben. Verfahren werden grundsätzlich mit so großen Sicherheits-Margen versehen, dass selbst unter pessimistischsten Annahmen (und Kryptographien sind ausgesprochen pessimistisch, wenn es um die NSA geht) noch genug Raum für ein paar Jahrzehnte stetig schneller werdende Hardware drin ist. Die NSA hat über die Jahre mehrere Anläufe genommen, um Krypto-Standards mitzudefinieren. Weil allen anderen Beteiligten völlig klar ist, was die Kernaufgabe der NSA ist, traut denen grundsätzlich genau niemand über den Weg. Man lässt die dann ihren Standard machen, aber niemand benutzt ihn. Die Angriffe, über die man beim Diskutieren von Verfahren redet, sind daher nicht in der Liga "das wäre aber sehr teuer" sondern in der Liga "das würde so lange dauern, dass die Erde vorher in die Sonne stürzen wird". Hier rechnet das mal jemand für 256-Bit-Schlüssel aus.
Es hat sich daher aus meiner Sicht nichts geändert bei der Kryptographie. Wo sich etwas geändert hat, ist bei der Frage, wo man seine Krypto-Software eigentlich her hat, und ob man dem trauen kann. Aus meiner Sicht ist es jetzt an der Zeit, dass sich mal die Hacker der Welt zusammen tun, und in aller Ruhe und mit größter Sorgfalt die ganze Krypto-Software da draußen auditieren. Eine wirklich gute Hintertür sieht man bei einem Audit auch nicht notwendigerweise, aber wann soll man sowas denn bitte in Angriff nehmen wenn nicht jetzt? Ich für meinen Teil habe mir ja seit einigen Jahren vorgenommen, mal eine SSL-Library zu schreiben. Einen X.509-Parser habe ich schon, aber die ganzen Cipher und so noch nicht. So viel Arbeit ist das nicht, aber ich bin halt Hacker und kein professioneller Kryptograph und mache mir da natürlich Sorgen, einen subtilen Fehler zu machen, der dann meine Benutzer kompromittieren würde. Das (und die Komplexität der Sache) hat mich bisher davon abgehalten, das mal "einfach zu machen".
Übrigens, falls jemand mal sehen will, wie so NSA-Einflussnahme in der Praxis ausschaut: Dieser Thread hier scheint in der Hinsicht zu liefern. Die Sache mit IPsec ist seit Jahren bekannt, das Paper von Bruce Schneier ist von 2003.
Übrigens, der von der NSA unterwanderte Krypto-Standard, der in der New York Times erwähnt wird, ist wohl Dual EC DRBG.
Update: Übrigens forschen auch seit Jahren schon Leute daran, wie man weiter Daten verschlüsseln kann, wenn Quantencomputing eine Realität wird.
In her witness statement submitted to the British court on Friday, Detective Superintendent Caroline Goode, who said she was in charge of Scotland Yard's Snowden-related investigation, said that among materials officials had seized from Miranda while detaining him was an "external hard drive" containing data encrypted by a system called "True Crypt," which Goode said "renders the material extremely difficult to access."Goode said the hard drive contained around 60 gigabytes of data, "of which only 20 have been accessed to date." She said that she had been advised that the hard drive contains "approximately 58,000 UK documents which are highly classified in nature, to the highest level."
Goode said the process to decode the material was complex and that "so far only 75 documents have been reconstructed since the property was initially received."
Dazu gibt es ein paar Dinge zu sagen. Erstens: Der Weg, wie man Truecrypt angreift, ist dass man Passphrases durchprobiert. Die Komplexität eines Schlüssels ist viel höher als die typische Komplexität einer Passphrase, selbst wenn sich jemand Mühe gibt. Wir reden hier von mehreren Größenordnungen Unterschied. Das ist also schonmal ein Widerspruch zwischen deren Aussage und der Realität. Man greift da nicht einzelne Dateien an.Zweitens: In einem Truecrypt-Volume ist ein Abbild eines Dateisystems. Das ist eine komplexe Datenstruktur. Verschlüsselt wird pro Sektor innerhalb des Images. Der Schlüssel pro Sektor wird aus einem Masterschlüssel errechnet, der sich aus der Passphrase ergibt. Das Verfahren, wie man zu dem Schlüssel für einen Sektor kommt, wenn man den Masterschlüssel hat, ist bekannt, weil der Quellcode von Truecrypt ja offen ist. Die behaupten jetzt also, dass sie die Dateien zählen können. Das ist völlig unglaubwürdig. Wenn sie das könnten, hätten sie den Masterschlüssel, und mit dem könnten sie auch alle Dateien entschlüsseln. Die Frau hat da mit hoher Wahrscheinlichkeit keine Ahnung, wovon sie redet, und hat ein paar Dinge durcheinandergeworfen.
Die NSA hat Supercomputer, die genau mit dem Ziel gebaut wurden, möglichst effizient Passphrases für Truecrypt durchzuprobieren. Das dauert ewig und drei Tage, selbst mit Spezialhardware. Kurz: ich glaube nicht, dass die da überhaupt etwas entschlüsselt haben können in der Zwischenzeit. Wenn, dann nur weil sie die Passphrase raten konnten. Und wenn das der Fall wäre, hätten sie damit alles entschlüsseln können.
Ich bin jetzt kein Experte darin, wie Truecrypt intern funktioniert. Vielleicht ist es ja besonders schwierig, von einem Sektor-Schlüssel zum Masterschlüssel zurückzurechnen. Müsste mal jemand nachgucken, wie die das intern machen. Aber das ist normalerweise nicht der Angriffsweg bei sowas, wieso würde man da also besondere Schritte unternehmen, um das schwierig zu machen. Der Punkt ist, dass schon der Schlüssel für den Sektor so groß ist, dass man den nicht realistisch durch Durchprobieren erraten kann.
Ich habe mir in den letzten Tagen angefangen, Sorgen zu machen, dass die NSA dieses ganze Bruhaha für PSYOP nutzt. Wenn sie nur genügend häufig Truecrypt erwähnen und dass sie da Spezialhardware haben, dann kriegen die Leute vielleicht Angst und wechseln zu einem anderen, weniger sicheren System. Solange da nicht noch weitere, krasse Details rauskommen, würde ich Truecrypt weiterhin für so sicher halten, wie eure Passphrase halt ist. Wenn die kurz oder ratbar ist, dann bringt natürlich die tollste Verschlüsselung nichts.
"We believe NSA has not lost any credibility as a neutral arbiter and technical capability adviser. We continue to partner with federal organizations, private industry and academia," NSA spokeswoman Vanee Vines said.Gut, welche Glaubwürdigkeit, könnte man da jetzt fragen. So meinten die das aber nicht, glaube ich.
"Ich kümmere mich nicht mehr um die Briten, das ist verloren", sagte sie […](Danke, Kai)Die Briten agierten nur noch mit den Amerikanern zusammen und wollten keine europäischen Gesetze, sagte die Kommissarin.
Since I started working with Snowden's documents, I have been using GPG, Silent Circle, Tails, OTR, TrueCrypt, BleachBit, and a few other things I'm not going to write about. There's an undocumented encryption feature in my Password Safe program from the command line); I've been using that as well.PAAAAAANIK!
The document reveals that the agency has capabilities against widely used online protocols, such as HTTPS, voice-over-IP and Secure Sockets Layer (SSL), used to protect online shopping and banking.Und auch eine andere Verschwörungstheorie wird endlich bestätigt.A more general NSA classification guide reveals more detail on the agency's deep partnerships with industry, and its ability to modify products. It cautions analysts that two facts must remain top secret: that NSA makes modifications to commercial encryption software and devices "to make them exploitable", and that NSA "obtains cryptographic details of commercial cryptographic information security systems through industry relationships".
As the sun is about to set here in #Tehran I wish all Jews, especially Iranian Jews, a blessed Rosh Hashanah.
Obama sieht keine Kontroverse zwischen seinem Friedensnobelpreis und geplantem Schlag gegen SyrienHarr Harr
“The problem is not that we’re defending Snowden. We’re not. The problem is that we don’t have a mutual extradition treaty with the United States,” Putin said in an interview according to a transcript of his interview with The Associated Press and Russia’s Channel One television.“The United States refused to sign such a treaty with us. And they do not extradite our criminals… who have tortured people, trafficked people, whose hands are covered in blood,” Putin said, giving no further detail.
Eine zweite Anfrage beantwortet der Ausschuss nun so, dass man "der Übersichtlichkeit der Website nicht schaden" wolle.Ja warum machen wir nicht gleich den ganzen Inhalt weg? Das wäre doch erst richtige Übersichtlichkeit! Die haben wahrscheinlich in einem fernöstlichen Meditationsratgeber gelesen, man müsse erstmal seinen Kopf leeren, und das zu wörtlich genommen…
Auf der anderen Seite haben sie das so getimed, dass noch Ballmer Schuld ist, nicht der Nachfolger. Das könnte man so deuten, dass sie selber nicht an den Erfolg des Deals glauben.
Und zuletzt saß Nokia auf dem einzigen Mobilfunk-Ökosystem außerhalb des NSA-Zugriffs. Wobei das natürlich auch nicht wirklich sicher ist. Nokia hat ja auch eine Handelspräsenz in den USA, insofern hätten die Amis da einen Hebel gehabt.
- Currently available for major encryption software — Microsoft Bitlocker, FileVault, BestCrypt, TrueCrypt, etc.
- Currently implemented by major cloud storage provider to comply with NCMEC requirements
Und ein besonderes Schmankerl dann auf Seite 17, über den Zugriff auf Hintertüren im Auftrag von ausländischen Strafverfolgungsbehörden:
If a foreign LEA colleague requests backdoor access via your department, please ensure it is only for illegal pornography content, not:- content that has political or commercial interest
- content that are of personal interest
- content that can be used to prosecure a US citizen
Was die da genau für Hintertüren haben wollen, wird zu klären sein. Da die da diverse Themen zusammenwerfen, bin ich nicht überzeugt, dass die wissen, wovon sie reden. Das hat irgendein Sherriff-Office geschrieben, den Foliensatz.
Nun, Thomas Oppermann, der für die SPD im Geheimdienstkontrollgremium sitzt, hat mal ein Foto getweetet. Keine weiteren Fragen, Euer Ehren. (Danke, Sven)
"Das mussten wir den Stadträten dringend einmal präsentieren", sagt der Bauhof-Leiter Gerhard, "damit sie wissen, was sie kaufen." Er scheint nicht traurig darüber zu sein, dass die Stadträte dann gar nicht vorbeischauten.Dieser Gerhard erklärte dann auch noch, der Schneepflug habe den Bürgern zeigen sollen, dass man für einen spontanen Wintereinbruch gerüstet sei. :-)
Später dann: Die Raketen sind angeblich im Meer gelandet. Lolwut?
Ich hatte ja bisher immer Nokia-Telefone und trauere daher der Zeit ein bisschen hinterher, als Nokia noch für Qualität und Zuverlässigkeit stand.
Die Folien dazu sind auch sehr spannend, besonders Folie 5, "Unique Project Features". Bei Folie 6 geht die Furcht vor dem Projekt dann ein bisschen zurück, als sie beschreiben, dass sie da Word-Attachments herummailen :-)
Na endlich.