Fragen? Antworten! Siehe auch: Alternativlos
Executives at the National Eating Disorders Association (NEDA) decided to replace hotline workers with a chatbot named Tessa four days after the workers unionized.Ich finde das einen hervorragenden Indikator dafür, ob es bei dieser Organisation darum geht, Kohle von Förderprogrammen abzugreifen oder Menschen zu helfen. (Danke, Harald)
Wer z.B. Netscape Communicator nutzen wollte, und in Europa saß, musste die "Export-Version" davon benutzen, die bei ihrem https maximal 40 Bit RC4 aushandelte. Absichtlich kastrierte Schlüssellängen, damit die NSA das in Echtzeit entschlüsseln kann.
Irgendwann war das dann weg. Wer sich nicht erinnert oder es nicht miterlebt hat: Daniel J Bernstein hat damals gegen die US-Regierung geklagt, und zwar mit ziemlich durchschlagendem Erfolg.
Heute kennt man ihn eher für qmail, djbdns, NaCL, curve25519, ed25519, Salsa20 oder sein Engagement für Post-Quantum Crypto, also kryptologische Verfahren, die resistent gegen Angriffe mit einem hypothetischen Quantencomputer sind. Er war so früh dran mit seiner Quantencomputer-Arbeit, dass er den Namen des ganzen Forschungsgebietes setzen konnte.
Dan hat auch ein paar andere Male Alarm geschlagen, als viele andere ihn für paranoid hielten. Zum Beispiel zu der Frage, ob man elliptischen Kurven der US-Regierung (in Form von NIST) trauen kann, weil nicht nachvollziehbar ist, ob die NSA da nicht zahlentheoretische Hintertüren eingebaut hat durch geschickte Wahl der Konstanten, aus denen die Kurven konstruiert sind.
Warum erwähne ich das? Er klagt gerade ein zweites Mal gegen die US-Regierung. Er hat mehrere Informationsfreiheitsanfragen gestellt, um die Kommunikation zwischen NIST und der NSA offengelegt zu kriegen, aber nie haben sie ihm die nötigen Unterlagen geschickt. Jetzt hat er ihnen genug Gelegenheit gegeben, sich gesetzeskonform zu verhalten, und wird eben den Klageweg einschlagen.
Ich persönlich haben mehrere Fälle beobachtet, bei denen Dan ein Problem benannt hat, und Monate bis Jahre später haben ihm dann alle zugestimmt, oder Fakten kamen zum Vorschein, die das bestätigt haben. Privat und intern setze ich daher jetzt schon überall wo ich kann auf Bernstein-Krypto.
Grund für diese Klage von ihm ist, dass er annimmt, dass die NSA den gerade laufenden Post-Quantum-Wettbewerb der NIST sabotiert, und daran arbeitet, einen für sich brechbaren Post-Quantum-Standard zu etablieren, wie sie es in der Vergangenheit schon mehrfach getan haben (DES, DSA, DualEC-RNG). Lest euch seine Argumente selber durch. Ich finde das alles mehr als einleuchtend und wünsche gutes Gelingen.
Ich glaube, man kann das hier gerade kaum wichtig genug einschätzen. Das ist einer für die Geschichtsbücher.
Und nur dass das klar ist: Der kämpft da für uns alle. Für mich und für jeden von euch.
Nein. Tut es nicht. Nehmen wir mal kurz an, das Paper ist echt. Es hat mit Bitcoin so gut wie nichts zu tun.
Es geht dort um Offline-Verfahren, Bitcoin ist online. Die verwenden da RSA Blinding, Bitcoin verwendet eine Blockchain und reguläre digitale Signaturen mit elliptischen Kurven.
Das erinnert inhaltlich viel eher an David Chaums eCash.
Schon das Inhaltsverzeichnis hat kaum Überlappungen mit Bitcoin. Wer euch das zeigt und Bitcoin in den Mund nimmt, der will euch verarschen.
An Bitcoin gibt es wahrlich mehr als genug Kritikpunkte. Dieses Paper ist keiner davon.
Bei der KI-Forschung gibt es eine Disziplin, die sich mit ethischer KI befasst, aber die ist hauptsächlich Wokeness-Feigenblatt. Eine andere Unterdisziplin geht da düsterer heran und sagt: Nehmen wir mal an, eines Tages baut jemand eine echte künstliche Intelligenz. Nicht nur eine glorifizierte Datenbank mit Gewichten an ihren Records. Eine echte künstliche Intelligenz, die dann ihre Intelligenz darauf anwenden kann, sich selbst zu verbessern, und die uns dann uneinholbar überlegen ist.
Die Experten sind sich nach Lektüre der einschlägigen Scifi-Literatur einig, dass so ein KI Overlord uns alle umbringen wird, weil wir ohne Not den Planeten kaputtmachen und uns sinnlos mit Atomwaffen aufgerüstet haben.
Bei dem wie immer großartigen Scott Alexander gab es jetzt eine Zusammenfassung einer Debatte aus dem Gebiet. Ich fasse mal die Zusammenfassung zusammen.
Der erste vorgeschlagene Lösungsansatz ist: Na dann bauen wir halt keine echte KI. Das funktioniert offensichtlich nicht, denn wir können ja nicht mal die Entwicklung von Landminen und Biowaffen verhindern.
Der nächste Ansatz war: OK, dann bauen wir halt nur "limitierte" KIs. Ein Schachcomputer kann nur über Probleme überhaupt nachdenken, die wie ein Schachproblem aussehen. Schachcomputer haben aber gezeigt, dass die "KI" (keine echte KI!) bei ihnen eine Superintelligenz werden kann, also schlauer als Menschen sein kann, ohne dass unsere Spezies dadurch in Gefahr ist.
Wenn man sich also auf solche "KIs" beschränken würde, dann hätte man das Problem vielleicht gar nicht. Der Ansatz sieht erstmal ganz gut aus, aber so richtig überzeugend ist das halt nicht. Denn wenn du über Superintelligenzen spekulierst, bist du halt schnell bei "Gottes Wege sind unergründlich", denn du musst davon ausgehen, dass die Superintelligenz Dinge tut, die du nicht verstehst, die aber schlauer sind als was du getan hättest. Daraus folgt im Grunde auch, dass du eine Superintelligenz nicht von einer doofen Intelligenz unterscheiden kannst, denn was sie tut erscheint nicht schlau für dich, denn du verstehst es nicht. Du könntest abwarten und beobachten, aber zu dem Zeitpunkt, an dem du erkennst, dass das eine Superintelligenz war, die uns alle umbringen will, ist es dann halt zu spät.
Also war der nächste Lösungsansatz, dass man eine limitierte Superintelligenz-KI damit beauftragt, eine Lösung zu finden. Man könnte die Lösung auch schon vorgeben. Das diskutierte Szenario aus Anschaulichkeitsgründen war, dass die selbstreplizierende KI Nanoroboter bauen soll, die auf einen Schlag alle GPUs auf der Welt zerstören. Grund: Die KI-Berechnungen finden größtenteils auf GPUs statt. Es geht dabei nicht um die Frage, ob das schlau ist, alle GPUs kaputtzumachen, sondern das ist bloß ein Beispiel für eine "pivotal action", also eine Art Abschreckungs-Superwaffe.
OK, soweit zur Vorgeschichte.
Am Rande in dem Artikel ist dann folgende Formulierung:
since then, we've only doubled down on our decision to gate trillions of dollars in untraceable assets behind a security system of "bet you can't solve this really hard math problem".Meine Interpretation von dem Satz war: Er redet von Kryptographie. RSA und Elliptische Kurven sind harte mathematische Probleme, auf die viel Geld geworfen wird, und die unsere Assets schützen.Aber jemand anderes interpretierte das als eine Anspielung auf Bitcoin.
Und das löst in meinem Kopf diese Idee aus, die mich aufgeregt herumhüpfen lässt, so schön finde ich sie als Scifi-Plot:
Jemand hat genau das gemacht. Hat eine KI damit beauftragt, eine Lösung zu finden, die Singularität hinauszuzögern bzw. zu verhindern. Möglichst ohne dabei die Weltwirtschaft zu vernichten.
Die KI heißt Satoshi und ihre Lösung war Bitcoin-Mining. Wenn man den Leuten wirtschaftliche Anreize gibt, ihre GPUs nicht für KI sondern für sinnloses Mining zu verbrennen, dann hat man die Singularität verzögert.
Bitcoin-Mining macht schon länger niemand mehr mit GPUs, aber es sind lauter andere Scam-Coins nachgezogen, die immer noch GPU-Zeit verbrennen.
Was, wenn Cryptocurrencies gar nicht bloß Scam sind, sondern das Überleben der Menschheit sichern? Klar machen sie auf dem Weg den Planet kaputt, aber da kann sich die Spezies raus-techen durch die Entwicklung eines Fusionskraftwerkes oder sowas!1!!
Das erklärt auch, wieso Satoshis Identität geheim bleiben musste. Und so konnte auch Rokos Basilisk abgewehrt werden! (Wenn ihr das nicht kennt, wartet mit dem Googeln mal bis zum Freitag abend, das wird euch ein paar Tage beschäftigen)
Update: Vergesst Roku's Basilisk. Guckt das lieber nicht nach. Ich hätte das nicht erwähnen sollen.
Mich nervt ja langsam dieses Gefasel von "Impfdurchbrüchen".
Das ist für mich dasselbe wie "Ransomware-Angriff". Da hat jemand Muffensausen und will die Schuld auf jemand anderen umlenken. Das böse Virus hat die Impfung durchbrochen!!1!
Leute, die Impfung war nie ein 100%-Ding. Und: Als ob es hier um Schuld ginge!
Die Impfung funktioniert und sie hat jetzt schon viele viele Leben gerettet. Einige werden trotzdem erkranken. Das war von vorneherein klar. Dass das jetzt passiert ist kein Versagen der Impfung oder der Politik oder der Ärzte oder der Impfbefürworter oder von irgendwem. Das war die ganze Zeit klar und da müssen wir jetzt halt durch.
Tut euch mal einen Gefallen und denkt nicht die ganze Zeit über die Leute nach, die trotz Impfung krank werden. Denkt über die Leute nach, die noch am Leben sind, weil wir Lockdown und Impfung hatten und die Kurve erfolgreich flachgehalten haben, so dass die ganze Zeit noch Krankenhausbetten zur Verfügung standen. Das ist eine geradezu unglaubliche Leistung. Denkt mal zurück an die Panik und die Horrorszenarien, die wir erfolgreich verhindern konnten.
Ich für meinen Teil hab auch keinen Bock mehr über Impfgegner nachzudenken. Die hatten alle mehr als genug Gelegenheiten und was ihnen jetzt passiert, dass passiert ihnen dann eben. Die anderen sind nach Stand der Technik geschützt. Das muss dann halt reichen.
Es gab schon immer Deppen, die begründete Warnungen in den Wind geschlagen haben, und sich dann aus dem Genpool entfernt haben. Ich finde das auch nicht schlecht. Die hinterlassen ja was. Geschichten, die man nachfolgenden Generationen erzählen kann. So gesehen sind das edle Spender, die sich selbst geopfert haben, damit zukünftige Generationen besser gewarnt sind.
Ohne solch edle Helden hätten wir keine Sicherheitsgurte in Autos, keine Geschwindigkeitsbegrenzungen in Städten. Wenn sich nur noch ein paar edle BMW-Fahrer für den Rest von uns um Leitplanken wickeln, werden wir auch eine Geschwindigkeitsbegrenzung auf Autobahnen kriegen. Unsere Türme hätten keine Gitter, die versehentlich runterfallen verhindern. Unsere Treppenhäuser hätten keine Geländer. Unsere Bergstraßen keine Leitplanken. Unterm Strich sind diese Leute Teil des Prozesses. Die wird es immer geben, und sie sind unter dem Strich gut für die anderen.
Ich hab bloß keinen Bock mehr, von denen mit Telegram- und Facebook-Bullshittheorien geflutet zu werden. Wenn die sich doch bloß jemand anderen zum Missionieren suchen könnten! Es gibt ja nun echt genug Auswahl.
Sind das eigentlich die gleichen Idioten wie die Cryptocurrency- und Gold-Scammer? Die auch praktisch wöchentlich Termine für den Weltuntergang und den Faschismus und die Abschaffung des Bargelds und Trumps Einmarsch in Europa hatten, und nie ist irgendwas davon eingetreten. Nicht mal die fucking Wahlen hat der Tiefe Staat verschoben gekriegt! Was ist das denn bitte für eine jämmerliche Verschwörung, wenn die nicht mal die Wahlen verschoben kriegen?!
Kommt, helft mir mal. Bei den Crypto- und Gold-Scammern sehe ich zumindest das Geschäftsmodell im Hintergrund, wieso die so hartnäckig Scheiße verbreiten. Aber bei den Impfgegnern? Haben die einen Schwarzmarkt für Ivermectin, Hydroxychloroquin und Vitamin D oder was ist da das Scam-Geschäftsmodell?
Blockchain wäre ja schlimm genug. Aber das ist keine Blockchain. Das ist Ethereum und Iota. Das sind keine Chains, das sind DAGs.
Ethereum ist ja schon ganz doll schlecht, aber Iota?! Iota ist selbst unter den ganzen Kryptowährungen nochmal als besonders unseriös aufgefallen — mit Ansage! Und da muss man sich schon echt für anstrengen, um neben Satire-Kryptowährungen als noch viel schlechter aufzufallen.
Die Blockchain von Bitcoin hat ja immerhin noch seriöse Krypto dahinter. Sie eignet sich trotzdem für nichts außer das Abzocken von unterinformierten Anlegern, aber das ist ja eine andere Frage. Iota hingegen hat sich erstmal ne eigene Hashfunktion ausgedacht, die dann natürlich Mist war. Oh und dieser Angriff da in 2020? Das war weder das einzige noch das erste Mal. Das ist alles so unfassbar schlecht, dass ich jeden sofort auslache, der mir irgendwas mit Iota vorschlägt.
Wenn mir jemand Iota verkaufen will, den sehe ich nur einen Straßenhändler, der "LUIS VUITTON"- und "GOUCCI"-Handtaschen verkauft, vor meinem geistigen Auge. Ethereum halte ich auch für unseriösen Scheiß, aber Iota? Wenn Ethereum der Anleger-Abzocker im Anzug ist, ist Iota der angetrunkene "Hold my beer"-Typ, der hörte, dass jemand mit dem Verkauf von Krypto-Tokens reich geworden ist, und sich auch schnell ein paar Bullshit-Floskeln aus dem Arsch zieht und irgendwelchen Passanten "Krypto"-"Tokens" anzudrehen versucht.
Dass der Spahn also jetzt ausgerechnet auf sowas reinfällt, das kreuzt alle Checkboxen auf meiner Apokalypse-Liste an. Das passt wie Arsch auf Eimer. Da hätte man vorher Geld drauf setzen können.
Oder nehmen wir mal statt RSA elliptische Kurven, dann wäre man immer noch bei so um die 50 Zeichen. Immer noch sehr viel mehr.
Die Amis haben das freundlicherweise gerade für uns durchgetestet.
Die haben Thanksgiving ohne Lockdown gemacht.
Thanksgiving ist bei denen sowas wie bei uns Weihnachten. Man trifft sich mit der ganzen Familie und isst gemeinsam Truthahn.
Genau wie bei uns haben in den USA vorher die Experten gewarnt.
Aber mal unter uns: Man muss kein Experte sein, um intuitiv zu verstehen, dass das eine ganz doll schlechte Idee ist.
Na und jetzt? Guckt euch die Statistiken selber an, wie sich die Infektions- und Todeszahlen in den USA entwickelt haben.
Und jetzt? Jetzt fragt das ehemalige Nachrichtenmagazin in schöner Tradition, ob der Irakkrieg vielleicht doch eine schlechte … oh nein, sorry, bedauerliches Missverständnis. Ob Thanksgiving vielleicht ein Superspreading-Event war.
Tja, ich glaube ja, das werden wir nie herausfinden. Die Kurve ging ja eh die ganze Zeit nach oben. Das ist dann halt Schicksal. Kann man nichts machen.
Money Quote des aktuellen Rants:
Wo bleiben Antworten auf die Frage, wo sich die Leute trotz Lockdown noch immer anstecken? Wie können wir über Lockerungen [reden], wenn wir offenbar keine Ahnung haben, was die Hauptinfektionssituationen sind?Gute Fragen, Pavel!Wie wollen wir die Lockerungen managen, wenn wir nach wie vor kein zeitnahes Berichtswesen haben? Statt über Apps zu fabulieren und zu streiten, hätte man längst die Datenerhebung und -verarbeitung der Gesundheitsämter verbessern können.
Update: Leserbrief dazu:
Tja, da ich in der "glücklichen" Situation bin, für unser zuständiges Gesundheitsamt genau eine solche Lösung als DB bzw Workflow abzubilden, kann ich dir nur mitteilen, das es KEINE Lösungen von Bund und Ländern gibt.
Die sind alle, wie wir, auf sich alleine gestellt.Was im übrigen sehr viel Spass macht, da in den ersten Wochen andauernd im Tagestakt Änderungen durch das RKI kamen,
Verbessern an der Situation kann nur die jeweilige lokale IT und da sieht es flächendeckend überwiegend eher mau aus.
Aus eigener Erfahrung kann ich dir mitteilen, das überwiegend Excellisten zum Einsatz kommen, Software zur Erfassung und Verwaltung der Fälle ist eher rar gesät und immer Eigeninitiative.
Da willste doch losgehen und die CDU wählen, die für diese Zustände verantwortlich ist!!1!
Der Punkt bei Social Distancing ist ja, dass man die Kurve flachhält. Man nimmt an, dass am Ende eh alle infiziert sein werden, und man will den Weg dahin so verzögern, dass die ganze Zeit über genug Krankenhausplätze frei sind, um die Notfälle zu versorgen.
Das heißt aber auch, dass wir hier nicht von ein paar Wochen reden, oder auch ein paar Monaten.
Ausgerechnet die Briten sind da jetzt ehrlich mit.
Angesichts der Zahlen würde ich von noch länger ausgehen. Außer wir finden irgendwann eine Impfung oder supereffektive Behandlung, die die Intensivstationen freimacht. Dann könnten wir auch früher aufhören. Aber angesichts der Zeiträume, bis sowas eine Zulassung kriegt, sind wir da auch bei sowas wie 18 Monaten.
Es gibt mehrere interessante Aspekte an der ganzen Sache.
Erstens: Der Code sah sauber aus. Das war ein Logik-Bug. Der Code sah richtig aus. Man musste wirklich die Materie verstanden haben, um zu verstehen, dass es da ein Problem gibt. Kudos an die NSA, dass sie das überhaupt gesehen haben.
Zweitens: Es hieß initial, der Bug ginge 20 Jahre oder so zurück. Das stimmt wohl doch nicht. Der Bug wurde 2015 eingebaut. Das finde ich ja nun wieder hochinteressant. Denn wir reden hier von ECDSA. ECDSA war damals schon angeschossen, weil es so fragil ist, und es so einfach ist, damit einen Totalschaden zu produzieren. Die Playstation war über ihr DSA gehackt worden. djb hatte bereits mit explizitem Hinweis auf die Fragilität von ECDSA und den NIST-Kurven seinen Gegenvorschlag Ed25519 publiziert. Und unter diesen Umständen haben die den Code nochmal angefasst und ihn schlimmer gemacht. Dazu muss man wissen, dass Krypto-Code so der am wenigsten volatile Code überhaupt ist. Alle sind sich bewusst, wie kritisch da jedes Bit und jeder CPU-Zyklus ist, und keiner will da irgendwas anfassen. Das ist auch bei Microsoft so. Insofern wollte ich das alles erstmal gar nicht glauben. Allerdings gibt es einen Grund, doch den Krypto-Code anzufassen, nämlich wenn sich die Spec ändert, oder man noch einen Aspekt aus der Spec implementieren muss, den man vorher nicht supported hat.
In diesem Fall war das das Feature, dass im Handshake die Kurvenparameter übertragen werden, und nicht bloß die paar hart eingebrannten NIST-Kurven verwendet werden können.
So und jetzt kommt der echt peinliche Teil. Hier ist die Spec. Die sagt ausdrücklich:
implicitCurve and specifiedCurve MUST NOT be used in PKIXundspecifiedCurve, which is of type SpecifiedECDomain type (defined in [X9.62]), allows all of the elliptic curve domain parameters to be explicitly specified. This choice MUST NOT be used.Verschwörungstheoretiker wären jetzt vielleicht geneigt, hier von einer Bugdoor zu sprechen, also eine Backdoor, die wie ein Versehen aussieht.Bleibt die Frage, wieso die NSA das publik macht. Den einen Grund dafür kann man gerade gut beobachten. Die lassen sich als Helden feiern. Zum ersten Mal in ihrer Geschichte haben sie etwas Positives gemacht. Und einige Deppen glauben ihnen jetzt vielleicht sogar ihr Blablah, dass sie eine neue Seite aufschlagen wollen und ab jetzt wichtige Lücken nicht ausnutzen sondern melden wollen. Das ist natürlich absurd.
Ich glaube ja, die NSA hat das gemeldet, weil ihr eigener Arsch gefährdet war. Die NSA hat nämlich in den USA eine Doppelrolle und erledigt auch den Teil mit, den bei uns das BSI separat macht. Die schreiben die Anforderungsdefinitionen für Militär und Behörden. Und da haben sie reingeschrieben, dass Elliptische Kurven total geil und sicher sind, als bei uns noch Rüdi auf dem Congress gewettert hat, was das für eine unbewiesene spekulative Voodoo-Technologie sei, und dass man lieber bei RSA bleiben soll. Die haben sich damals ziemlich fett auf elliptische Kurven committed, und das Militär ist ihren Empfehlungen gefolgt. Microsoft hat Support für elliptische Kurven überhaupt nur eingebaut, soweit ich weiß, weil die NSA das den Behörden in die Anforderungen geschrieben hatte, und Microsoft gerne weiter Behörden beliefern können wollte.
Wenn jetzt also rauskommt, dass es einen Bug gibt, in einem von der NSA empfohlenen "sicheren" System, das der inhärenten Fragilität des Systems geschuldet ist, dann beschädigt das den Ruf der NSA.
Übrigens, bei solchen Bugs müsst ihr immer einen Spruch im Hinterkopf behalten: Wenn schon das A-Team solche Fehler hat, wie sieht dann erst der Code des B-Teams aus?
Ich behaupte daher: Das Verhalten der NSA ist ohne plötzlich aufkeimenden Altruismus zu erklären.
Update: Die Details sind jetzt draußen. Offenbar prüft Windows X.509-Zertifikatsketten nicht ordentlich, wenn die Elliptische Kurven verwenden. Elliptische Kurven sind bei X.509 schon recht lange spezifiziert, aber werden m.W. bisher noch eher wenig tatsächlich verwendet. Das liegt vor allem daran, dass die CAs für ihre Root-Zertifikate relativ lange Lebensdauern vergeben. Die NSA, die diesen Bug gefunden hat, ist allerdings fast von Anfang an ein Proponent von ECC, insofern verwundert es nicht, dass sie diesen Bug gemeldet haben. Ob dieser Bug jetzt auch greift, wenn nur ein Teil der Zertifikatskette ECC ist, weiß ich nicht. Das ist für Krypto ein ziemlicher Totalschaden, insofern spielt alle schnell den Fix ein. Konkrete Auswirkungen wären übernehmbare TLS-Verbindungen und fälschlich als signiert erkannte Malware.
Und dass sie dabei in den meisten Fällen erstmal alles kaputt machen?
Das ist heute so, denn man implementiert nicht mehr mit Planen und Qualitätssicherung sondern mit "move fast and break everything". Betonung auf break everything.
Aktueller Fall: Firefox hat Diffie Hellman über Galoiskörpern für WebCrypto verkackt. Bonus: Das war gar nicht im Standard gefordert. Webcrypto sieht Diffie Hellman über elliptischen Kurven vor, nicht über Galoiskörpern.
Gut, da kann man jetzt sagen, wenn wir schon dabei sind, implementieren wir auch die Legacy-Version von Diffie Hellman über die Integer modulo einer Primzahl, was genau das ist, was Firefox getan hat. Allerdings halt ohne sich vorher mal einzulesen, was für Angriffe es da gibt, die man dann abwehren müsste.
Warum auch. Geht ja nur um Krypto.
die Bauern werden als menschlicher Schutzschild für die Agrarindustrie missbraucht.OK, aber dann muss ich doch mal fragen: Wer ist denn diese ominöse Agrarindustrie. Ich dachte, das sind die Bauern?Tatsächlich müssen schon seit Jahrzehnten bäuerliche Familienbetriebe - völlig unabhängig von Umweltauflagen - nach dem Motto „wachse oder weiche“ ihren Betrieb aufgeben.
Die bayerische Landesanstalt für Landwirtschaft prognostizierte schon 2017 - lange vor dem Volksbegehren - eine weitere Halbierung der Zahl der Betriebe bis 2030.
Die Kurven für Biodiversität und Artenvielfalt zeigen nahezu deckungsgleich mit der Statistik der landwirtschaftlichen Betriebe nach unten.
D.h. in dem Agrarsystem sind auch die Landwirte eine bedrohte Spezies.
Eigentlich müssten sie mit den Umweltverbänden für einen Systemwechsel demonstrieren und sich nicht vor den Karren der Agrarindustrie spannen lassen, die den Status Quo verteidigen.
Update: Ein anderer Leser klärt auf:
Agrarindustrie ist ein Kampfbegriff unter dem jeder was anderes versteht. Die meisten nicht Bauern bezeichnen damit alle Landwirte+Vermarkter+Verarbeiter+Bauernverband.
Kleine Bauern meinen damit große Landwirte+Vermarkter+Verarbeiter+Bauernverband
Große Bauern meinen damit Großbetriebe +Vermarkter+Verarbeiter
Und selbst manche Angestellte von Großbetrieben können gegen die Agrarindustrie wettern und meinen damit dann vermarkter und Verarbeiter.
OK, das ist also wie Spartakus. Wir sind alle Spartakus. :-)
Wie testet man so eine Theorie? Nun, erstmal fallen nur Sunniten unter diese Steuer, und zweitens fällt die nur im Ramadan an. Wenn man sich jetzt also die Terror-Kurven im Ramadan anguckt, und Schiiten und Sunniten vergleicht, dann müsste man einen signifikanten Unterschied sehen.
Spoiler: Den sieht man auch. (via)
Ist zwar richtig, dass Krypto selten angegriffen wird, aber gerade bei TPMs und Smartcards hatten wir echt ernsthafte Fälle von ranziger Krypto:Das ist nur ein Beispiel des Fehlers, da waren nicht nur TPMs, sondern auch SmartCards, Yubikeys und ähnliches betroffen. Gerade weil diese Chips so klein sind, und da irgendwie nur ein kleines Team von Leuten ohne besonders große Expertise dran rumbastelt, und es da keine sauber geauditete freie Software gibt, die das erledigt, ist das alles noch mal um ein paar Größenordnungen ranziger als sonst.
FIDO2 hat wohl auch deshalb auch auf RSA verzichtet, aber eine elliptische Kurve gewählt, die bei DJB definitiv als nicht trivial sicher implementierbar aufgelistet ist. Warum macht man sowas? Die NIST-Kurven mit ihrer NSA-Vergangenheit sind eh nicht besonders zu empfehlen. Nicht nur deshalb, sondern, weil da viele Details unnötig komplex sind.
Als jemand, der in der Donna-Implementierung von ed25519 erst mal zwei Löcher beseitigen musste (1. kein Constant-Time Diffie-Hellman-Exchange — das war in der Referenz-Anwendung nicht verlangt, aber ist ein sinnvolles Primitive, 2. Secret Keys werden auf dem Stack zurückgelassen und nicht gelöscht — das ist ein Standard-Faux-Pas, den man fast überall findet) kann ich nur sagen, dass Krypto halt doch schwer ist.
Mein Pet Peeve an FIDO2 ist, dass sie sich gar keine Gedanken über Recovery gemacht haben. Wenn das Token weg ist, ist der Zugang weg. Ich denke, die haben sich deshalb keine Gedanken gemacht, weil es ja diese herrliche Passwort-Zurücksetzen-Funktion über E-Mail gibt. Solange es das gibt, ist der Verlust des Tokens natürlich beherrschbar.
Aber dafür ist dann der Verlust des E-Mail-Accounts wieder die gleiche Katastrophe wie bisher auch schon. Ne, Leute! Und dass der E-Mail-Account natürlich auch mit dem Token abgesichert sein sollte, das hat sich von den Hirnwichsern keiner gedacht, oder?
Am Grundprinzip Pubkey-Authentication finde ich jetzt übrigens alles richtig.
Das ist ok so.
Der Hauptbahnhof ist offenbar eh nach BER-Qualitätssicherungsstandards gebaut worden. Er hat zwei Bahn-Ebenen, die sich kreuzen, und die oben liegt in einer großen Kurve. Da sollten jetzt Konstruktionen eingebaut werden, die die entstehenden Kräfte der Züge auffangen und ableiten, um die Schienen zu entlasten. Das hat man dann aus Zeitgründen schlicht … weggelassen. Der Bahnhof sollte zur WM fertig werden und so.
Und jetzt wollen sie das fixen. Aber stellt sich raus: Ist alles gar nicht so einfach, dass man das mal eben reinflutscht und fertig ist die Laube.
Aus Zeitmangel wurde damals keine "Fük" entwickelt, die für Kurven tauglich ist. Es wurden die Standard-Fugen für gerade Gleise eingebaut - die gingen schnell kaputt.Ja super! Und jetzt haben sie immer noch keine geeigneten Fugen sondern wollen wieder nur ein Provisorium reinpfriemeln. Das wird dann "wissenschaftlich beobachtet" und dann baut man aufgrund der so gewonnenen Erkenntnisse die richtigen Fugen. Oder so.
Das sind aber jedesmal Großumbauten, die den Bahnverkehr monatelang zum Erliegen bringen werden.
Ganz großes Kino!
Ich muss spontan an die Meldung vor einer Weile denken, dass die Bahn die Infrastruktur-Reparaturkosten zahlen muss — außer das ist alles so krass im Arsch, dass man praktisch nur noch abreißen und neumachen kann. Dann springt der Bund ein. Und völlig überraschend kam dann heraus, dass die Bahn halt die Reparaturen solange hinauszögert, bis der Bund einspringt. Das merken die NIE!!1!
Dasselbe wie ich?
To be clear, the issue is not with the ethereum code used as a basis for the platform. The encryption used in the Moscow system, the researcher said, is a variant of ElGamal and uses keys that are “less than 256 bits long.”Zum Vergleich: In den 90ern, als man GnuPG mit ElGamal machte, weil elliptische Kurven noch als Teufelszeug der NSA galten, da war das untere Limit 768 Bits. Weniger hat einen GnuPG gar nicht eingeben lassen.Die Moskauer Gruppe hinter dem Protokoll sagt jetzt, das sei bloß die Testphase gewesen und in der echten Wahl wollen sie 1024 Bit machen. Finde ich wenig überzeugend.
Es gab da z.B. einen Talk zu Owasp und deren Top 10, und der verbrachte gefühlt die erste halbe Stunde damit, dass die Top 10 ja völlig überbewertet und von der Werbung irgendwelcher Unternehmen missbraucht werden, dass das keine Pentest-Checkliste sei und nicht für Compliance gebraucht werden dürfe — und dann berichtete er darüber, wie sie da Streitereien haben zu den neuen Top 10, wie es da einen Entwurf gab, wo ein Punkt "du sollst Schlangenöl kaufen" eingefügt wurde. Anscheinend auf Betreiben von jemandem, der "privat" diese Liste maintaint und dann beruflich das geforderte Schlangenöl vertreibt. Das war mir alles neu, aber ich stalke jetzt auch nicht Owasp hinterher, die interessieren mich ehrlich gesagt nicht so stark. Aber jetzt zeigt er den neuen Entwurf, und da ist CSRF nicht mehr drin (nach wie vor eines der größten echten Probleme für Webapps, aus meiner Sicht, das viele viele Leute nicht verstanden haben, die Webapps bauen). Dafür ist da "du sollst Schlanenöl zum Monitoring und Alerting kaufen" drin. Tja, Owasp, ein Wort mit X. Das war wohl nix.
Was hab ich noch gesehen? Oh ja, "Sichere Softwareentwicklung - Anforderungen und Vorgehensweisen". Das war erst eine ewig lange Liste von "ALLE WURDEN GEHACKT! ALLE!!!", eine halbe Stunde "Wir werden alle störben" pur. Und als sie dann ein paar Maßnahmen empfahlen, machten wir ein Trinkspiel daraus und mein Kumpel Daniel drehte dann eine Siegerrunde, als er korrekt "gleich pluggen sie die SDL" vorhersagte.
Ich muss dazu sagen, dass ich relativ hohe Ansprüche habe bei Vorträgen, wenn es darum geht, was man da jetzt konkret mitnehmen kann. Und das fehlte hier bei vielen Talks. Ein paar Links auf Dinge (ich erinnere mich an drei Talks, die auf die Owasp Top 10 verwiesen, die der Owasp-Talk gerade dafür gedisst hatte). Ja, äh, wenn ich Links hinterherlaufen wollte, hätte ich mir den Vortrag nicht angucken müssen. Das Problem hatten viele Talks. Gut, die Materie ist ja auch komplex, aber das Argument kann ich nicht gelten lassen, wenn die erste Hälfte des Talks mit Platitüden und Einführungs-Blablah verplempert wird.
"Security im Entwicklerteam" habe ich auch geguckt, aber da fehlten mir auch so ein bisschen die "was machen wir denn jetzt"-Folien. Konkrete Dinge, die man jetzt tun kann, den Schritt geht irgendwie kaum jemand. Und ich meine jetzt nicht "hier ist ein Wiki, klick da mal rum". Besonders krass fand ich einen Talk am 2. Tag, bei dem es um Automatische Code-Scanner ging, und "was die Hersteller Ihnen nicht sagen werden". Da hätte ich konkrete Beispiele erwartet, mindestens aber ein paar lustige Anekdoten. Stattdessen kam unkonkretes "die versprechen viel und halten das dann nicht" (NEIN! Hold the presses!!) und "wenn Sie das genauer wissen wollen, dann holen sie sich mal die Eval-Versionen, nehmen Sie sich jeweils ein paar Tage Zeit, und testen Sie die gegeneinander". Äh, das wollte ich gerade nicht machen sondern mir hier die Ergebnisse abholen!
Am 2. Tag morgens gab es einen Vortrag, der mir vergleichsweise wichtig war. Da erzählten nämlich zwei Leute von Rohde & Schwarz von dem Projekt "Analyse und Auswahl einer allgemeinen Kryptobibliothek". Der Talk war mir wichtig, weil das Projekt für das BSI ist. Das BSI hat ja ein paar Glaubwürdigkeitsprobleme bei Kryptofragen, seit sie sich in die Bundestrojaner-Begutachtung haben verwickeln lassen. Insofern gut und richtig, das an eine externe Organisation rauszugeben. Aber Rohde & Schwarz ist an der Stelle eine zumindest aus meiner Sicht nicht viel glaubwürdiger aufgestellte Firma, die mir unter anderem als Lieferant von IMSI-Catchern für "Bedarfsträger" untergekommen ist bisher. Das ist keine gute Basis für das Erarbeiten einer unabhängigen Empfehlung für Krypto-Libraries. So und das Ergebnis von diesem Projekt war jetzt, dass sie Botan gewählt haben — eine Library mit einem Marktanteil von vielleicht 1% im TLS-Segment, von der kaum jemand überhaupt gehört hat. Ich habe mir bei Botan mal den Code angeguckt und der war jetzt nicht schlecht oder so, aber das ist ein krasser Außenseiter, und in Benchmarks ist deren Code schonmal nur halb so schnell wie der von OpenSSL. Meine Erfahrung ist, dass schon 5% Performanceunterschied reichen, um jemanden doch zu OpenSSL greifen zu lassen, wenn der bloß eine Ausrede suchte, wieso er bei OpenSSL bleiben soll. Das ist also alles schon mal nicht so gut, sowohl aus technischer als auch aus politischer Sicht. Ich hätte erwartet, dass die die Zeit nutzen, um mal so richtig knallhart inhaltlich zu zeigen, welche Kriterien ihnen wichtig waren und warum sie so entschieden haben, um jeden Geruch von Foul Play auszuschließen. Stattdessen kam ein Halbsatz dazu. Sie haben intern ein Punktesystem erarbeitet und nach dem sind sie gegangen. Ja, äh, das hilft mir jetzt nicht weiter. Das riecht jetzt nicht besser als vorher. Eines der Argumente gegen OpenSSL war, dass das API so schlimm ist. Ungefähr 20 Minuten lang haben sie dann Beispiele gezeigt, wie man in Botan Dinge tut, aber nicht Dinge wie "TLS-Verbindung aufmachen, Certificate Pinning anschalten" — nein, Dinge wie "SHA256 von diesen drei Bytes hier machen. Ja, äh, das geht auch in OpenSSL mit nur ein paar Zeilen Code. Das große Argument für Botan ist, dass es vergleichsweise wenig Code ist (im Vergleich zu OpenSSL). Allerdings kommt der viele Code in OpenSSL u.a. davon, dass sie für performancekritische Primitiven Assembler-Implementationen für ein Dutzend Plattformen haben. Und nicht nur für Performance ist Assembler wichtig, auch für das Vermeiden von Seitenkanälen. Wie da die Situation bei Botan ist, haben sie zwar gesagt, dass sie das getestet haben und was in einem Padding-Verfahren gefunden haben, aber was ist mit den anderen Verfahren? Die elliptischen Kurven, das RSA?
Zur Ehrenrettung der Vortragenden muss man aber sagen, dass die a) für eine Tochter von Rohde & Schwarz arbeiten, die die dazugekauft haben, und b) nicht den Eindruck erweckten, sie seien jetzt fiese Geheimdienstler, die unser Krypto schwächen wollen. Aber ausgeräumt haben sie den Verdacht halt auch nicht.
Mir tun die Leute beim BSI und bei dieser R&S-Tochter durchaus leid, versteht mich nicht falsch. Viele wenn nicht alle von denen meinen das sicher alles total gut, und werden jetzt völlig zu Unrecht verdächtigt.
Ich habe so ein bisschen den Eindruck gewonnen, dass ich mal einen Vortrag über Threat Modeling halten muss. Das ist gerade voll im Trend, und die meisten, die das machen, haben gar nicht verstanden, warum man das macht.
Das war dann für mich auch schon die Veranstaltung, danach kam meine Keynote und nach der bin ich ziemlich direkt in den Zug gestiegen, damit ich auf der Fahrt nach Berlin nicht komplett im Dunkeln fahren muss.
Update: Dirk, der den Owasp-Talk gemacht hatte, schreibt mir gerade, dass das nicht als Schlangenöl-Kaufen-Paragraph gemeint ist, auch wenn ich das so deute. Sie hätten extra auch Open Source erwähnt. Nun, mit Schlangenöl meine ich "verspricht Dinge, die es nicht halten kann", nicht "kostet Geld". Schlangenöl kostet natürlich im Allgemeinen auch Geld, ja, aber es gibt auch Open Source Schlangenöl. Ich finde es halt anstößig, erst die Formulierung von "wichtigste Angriffe" auf "wichtigste Risiken" zu ändern, um dann in der nächsten Runde "Reaktives Security-Produkt $XY nicht installiert" als Risiko hinzuschreiben. Das geht aus meiner Sicht gar nicht. Na mal gucken, ist ja bisher noch ein Release Candidate, vielleicht fliegt das ja auch noch raus.
Ich musste gerade an diese Szene denken, als Austin Powers in dem Tunnel mit diesem Cart zu wenden versucht.
Das wäre doch eigentlich mal eine richtig geile Actionfilm-Kulisse, so ein Golfplatz. So eine Golf Cart Chase Scene. Ich stelle mir dazu die Musik von Benny Hill vor. Man sieht in Großaufnahme ein Golf Cart Gas geben, kaum messbare Beschleunigung. Dann sieht man die Kamera an ein Golf Cart voller Secret Service Spezialagenten heranzoomen, das eine enge Kurve nimmt, und es kippt um.
Das wär doch mal was!
Update: Jackass liefert!
Update: RocketJump (Youtube-Kanal) hatte auch mal eine Golf-Cart-Episode.
Asymmetrisch ist, wenn links und rechts (oder oben und unten oder entlang einer beliebigen Spiegelachse) unterschiedliche Muster sind. Dem Einsender ging es um DSL, daher sollte ich vielleicht erstmal erklären, was DSL ist. DSL steht für Digital Subscriber Line, und meint die digitale Übertragung von Daten über eine gammelige alte schlecht isolierte abgeschirmte Kupferleitung (hier als "Subscriber Line" bezeichnet). Über die hat man früher Signale analog übertragen (grob: man legt links eine Kurve an und rechts kommt eine mehr oder weniger ähnliche Kurve raus). Das Problem mit analogen Signalen ist, dass die Übertragungsqualität von Signalen von Faktoren wie der Reinheit des Materials und der Kabellänge abhängt, und von der Isolierung, bei Lichtwellenleitern sogar von der Krümmung des Kabels. Daher die Idee, das Signal sehr regelmäßig zu machen (es gibt nur "hoch" und "tief", und auch wenn das Signal stark verzerrt wird, kann man die immer noch gut unterscheiden).
Das ergibt aber das nächste Problem, nämlich das der Taktung. Man muss sich auf eine gemeinsame Taktung einigen, sowas wie 300 Hertz. 300 Mal pro Sekunde guckt man, was gerade für ein Signal ankommt, und ob das gerade "hoch" oder "tief" ist. Dann hat man eine Übertragungsrate von 300 Baud, und das war eine übliche Übertragungsrate bei Akustikkopplern und frühen Modems. Mein erstes Modem konnte 2400 Baud.
Seit dem hat sich natürlich viel getan. Statt nur zwei Zuständen machte man mehr, man drehte den Takt hoch, und man benutzte Datenkompression und Prüfsummen. Wer sich fragt, wie man den Takt synchronisiert zwischen zwei Geräten: Da gibt es faszinierende Tricks.
Der Punkt war aber: DSL ist Digital. Nun hat man einen bestimmten Frequenzbereich auf so einem Kupfelkabel, bei dem man sich darauf verlassen kann, dass grob das gleiche ankommt, das abgeschickt wurde. Den kann man jetzt brüderlich aufteilen in "für Senden" und "für Empfangen". Das nennt sich dann SDSL (für symmetrisches DSL). Es stellt sich aber raus, dass typische Web-Klick-Endanwender viel mehr empfangen als sie senden. Alles, was die so senden, sind ein paar Bytes für HTTP-Anfragen und ein paar Bytes für TCP-Bestätigungen (das kann ich ja ein anderes Mal erklären). Wenn man das 50-50 aufteilt, dann verschwendet man den Großteil der Bandbreite. Also hat man sich bei DSL für Konsumenten überlegt, dass man einfach 90% der Bandbreite für Empfangen und 10% für Senden nimmt. Das ist nicht symmetrisch, daher heißt es asymmetrisch — ADSL.
Synchron kommt aus dem griechischen und heißt "gemeinsame Zeit". Das hat viele Bedeutungen, je nach Fachbereich. Bei Servern und Protokollen kann es heißen, dass die Uhrzeit der Teilnehmer gleich ist. In der Physik kann es heißen, dass beide Seiten mit der gleichen Frequenz schwingen. In der Softwareentwicklung kann es heißen, dass ein API wartet, bis das Ergebnis da ist. Jemanden auf dem Telefon anrufen ist synchron. Es klingelt, und man wartet, bis jemand dran geht oder man abbricht. Eine SMS ist asynchron. Man schickt sie ab, und irgendwann später erhält man eine Versandbestätigung und/oder Antwort oder auch nicht. Im Umgang mit Hardware ist asynchrone Programmierung immer viel effizienter als synchrone. Einer Festplatte zum Beispiel sagt man: Hier sind die Daten, da will ich die hingeschrieben haben, und dann tut man andere Dinge, die gerade anliegen. Später kriegt man dann mitgeteilt, dass die Platte das geschrieben hat (oder ein Fehler auftrat). Netzwerkkarten funktionieren genau so. Das ist sogar so wichtig für die Effizienz, dass auch das Übertragen des Kommandos schon asynchron gemacht wird. Das Betriebssystem sagt der Festplatte nicht die Daten, sondern wo die Daten im RAM liegen, und die Festplatte (ich vereinfache jetzt unzulässig) holt sich die Daten dann von dort, während das System andere Dinge tut. Der Mechanismus dafür heißt DMA (Direct Memory Access).
Asymptotisch ist ein Begriff aus der Mathematik, der heißt, dass sich eine Funktion langfristig ("im Unendlichen") einer anderen Funktion annähert. In der Informatik spielt das eine Rolle, wenn man über die Performance von Verfahren redet. Dann versucht man, Algorithmen in Klassen einzuteilen, aus denen man grob erkennen kann, ob sie sich nur für kleine Datenmengen eignen oder auch für große. Dafür guckt man sich an, wie sich die Laufzeit des Verfahrens verändert, je größer die Eingabe ist. Die Kategorien gehen dann von "konstante Laufzeit, egal wie viel Input kommt" über "doppelt so viel Input — doppelt so lange Laufzeit" bis hin zu exponentiell wachsenden Laufzeiten (oder gar Verfahren, die möglicherweise nie fertig werden). Die Laufzeit, die man hier betrachtet, ist die asymptotische Laufzeit. Ein Beispiel für ein Verfahren konstanter Laufzeit wäre "in die Tüte greifen und ein Stück rausholen". Ein Beispiel für ein Verfahren linearer Laufzeit wäre "das kleinste Element aus einer Liste raussuchen". Wenn die Liste sortiert ist, kann man es in konstanter Zeit machen (einfach das erste greifen).
Update: Übrigens gab es früher bei Modems einen Trick, denn man auch mal bei DSL einführen sollte: Die konnten umschalten. Wenn man gerade mehr senden als empfangen wollte, hat das Modem umgeschaltet und 90% der Bandbreite für das Senden genommen. Wenn man gerade mehr empfangen als senden wollte, hat das Modem umgeschaltet und 90% der Bandbreite für das Empfangen genommen. Das hieß damals HST Modus und war der Grund, wieso jahrelang fast alle in der Mailboxszene Modems von US Robotics gekauft haben.
Update: DSL hat natürlich noch mehr Tricks als Modems, um so hohe Übertragungsraten zu erreichen. Beispielsweise haben ADSL2+ und VDSL mehr als einen Träger.
Update: Ob mein Modem wirklich 2400 Baud hatte, oder nur (viel wahrscheinlicher) 1200 oder gar 300 Baud aber 2400 bps, das lässt sich leider nicht mehr prüfen, denn ich habe es nicht mehr. bps ist die Anzahl der Bits pro Sekunde, Baud ist die Anzahl der Symbole pro Sekunde; Man kann pro Symbol auch mehr als ein Bit übertragen, und das taten so ab der Zeit an sich alle.
Update: Ein Einsender korinthenkackt:
Die mathematische Erklärung zur Symmetrie ist ein wenig unvollständig denn sie lässt Rotationssymmetrien aus, für die Übertragungstechnik meines Wissens nicht relevant aber trotzdem erwähnenswert wenn es um den Begriff geht.
Zu asymptotisch noch den Hinweis das es darum geht das sich die Funktion beliebig nah einseitig annähert diese aber nicht (oder nur in abzählbar vielen Punkten) berührt.
Daher möchte ich jetzt hier mal ein Gedankenexperiment machen. Habt ihr alle verpennt, was man heutzutage alles im Internet machen kann? Lasst uns mal den ultimativen fiesen Virus brainstormen. Ich fange mal an.
Ist ja schön, dass du ein Backup hast, aber das hilft dir nicht gegen das SWAT-Team, das deine Tür eintritt. Selbst wenn du den ganzen Ärger der Reihe nach aufräumst, bist du Jahre beschäftigt. Und je nach Qualität der Arbeit der Malware den Großteil davon aus der U-Haft heraus. Oh und willkommen auf der No-Fly-List, und hier ist der Lageplan von Guantamo Bay, den wirst du möglicherweise brauchen.
Ihr müsst mal aufhören, Malware nach dem zu beurteilen, was bisher schiefgelaufen ist. Das war Glück, dass der Schaden bisher gering war. Eine (!) durchgekommene Malware ist Totalschaden.
Ihr würdet ja auch im Auto den Sitzgurt anlegen. Da muss man keinen lebensbedrohlichen Unfall erlebt zu haben, um zu verstehen, dass man sich hier ordentlich schützen muss..
Update: Und einen Punkt noch, den ich glaube ich im Blog noch nicht hatte, nur live beim Podium. Ich sage: Antiviren helfen nicht, ich setze keinen ein. Das Publikum sagt: Ja aber da kann man sich ja einen Virus einfangen.
Wir spulen eine Minute vor. Ich sage: Antiviren funktionieren nicht, weil Viren durchrutschen könnten. Das Publikum sagt: Tja 100% Sicherheit gibt es halt nicht.
Jetzt treten wir gemeinsam mal einen Meter zurück und schauen uns das an. Wieso ist das bei mir plötzlich ein Totschlag-Gegenargument, dass da vereinzelt mal was durchrutschen könnte (was ich im Übrigen auch so sehe und daher weitere Schutzmaßnahmen vorschlage), aber bei Antiviren ist das OK, wenn was durchrutscht? Anders formuliert: Wir ziehen mal auf beiden Seiten den Antivirus ab. Übrig bleibt bei beiden: Man muss sorgfältig sein, und gelegentlich könnte was was durchrutschen. Nur dass ihr für dieses Sicherheitsniveau Geld an die Schlangenölindustrie überweist und ich nicht. Oh und gucke mal: Das war genau meine These. Antiviren kosten Geld aber schaffen kein besseres Sicherheitsniveau.
Update: Einen noch. Die Antwort der Schlangenölbranche ist bisher, was ich relativ unterhaltsam finde, relativ klar: Ja, stimmt ja, hast ja Recht, signaturbasiertes Schlangenöl ist nicht gut. Daher solltet ihr auch alle dieses andere, cloudbasierte Schlangenöl kaufen! Wenn das nicht greift, dann hätten sie auch noch Verhaltens-Heuristik-Schlangenöl. Leute, nichts davon hat die Ransomware-Epidemie aufgehalten, die im Vortrag des BKA in Form einer Exponential-Wachstums-Kurven-Folie Niederschlag fand. Die Leute da draußen haben alle Schlangenöl, und zwar nicht in allen verfügbaren Geschmacksrichtungen. Nichts davon hilft. Kann man sich ja auch selber überlegen. Wie sieht denn ein "schiebe mal das Verzeichnis hier in ein ZIP" vom Verhalten her aus? Gar nicht so viel anders wie ein Ransomware-Trojaner, gell? Tsja. Hätte uns doch nur jemand gewarnt!!1!
Dan Bernstein ist auf dem Gebiet ein Vorreiter, der die elliptische Kurve Curve25519 so definiert hat, dass eine Implementation mit konstanter Laufzeit möglich und realistisch ist. Diese Kurve hat es inzwischen in TLS geschafft, das ist ein Big Deal, wie man so schön sagt.
Und jetzt kommt raus: Visual Studio verkackt das Kompilat über eine implizite Laufzeitroutine zum Multiplizieren.
Das heißt jetzt nicht, dass Software mit Curve25519 unsicher ist, aber das Ergebnis ist trotzdem eine echte Katastrophe. Noch eine Front mehr, die man klären muss. Am besten nur noch als Assembler ausliefern, alles!1!! :-)
Update: OK, also bei näherer Betrachtung stellt sich die Lage anders dar. Es geht um curve25519_donna, ein 64-bit-Port von curve25519 von djb. Das 32-bit curve25519 von djb hat das Problem nicht. curve25519_donna ist für 64-bit und hat dort das Problem auch nicht. Man muss also absichtlich und vorsätzlich das falsche curve25519 auf der falschen Plattform kompilieren. Dann fügt Visual Studio eine Routine ein, die die Multiplikation macht. Das macht gcc übrigens genau so unter diesen Umständen. Ich ziehe daher meine Anschuldigung zurück, dass VS hier was verkackt. Verkackt hat alleine der Typ, der das Advisory geschrieben hat. Ich vermute, der wollte nur mal seine 15 Minutes of Fame abholen. Scheiß Publicity-Scheiß immer.
Und als djb dann kam und spezielle elliptische Kurven vorschlug, damit Entwickler weniger Mist machen können, hielt Rüdi dagegen: Wer SO DOOF ist, dass er mit DEN SIEBEN TRIVIALEN Fällen bei Weierstraß-Kurven nicht klar kommt, der soll halt keinen Krypto-Code schreiben! Das könne doch nicht sein, und da guckte er mich hilfesuchend an, dass die Coder da draußen dermaßen inkompetent sein?!
Und ich hab ihm dann von strcpy erzählt und bestätigt, dass es im Allgemeinen eine gute Idee ist, wenn man Algorithmen so wählt, und API so auslegt, dass man nichts falsch machen kann.
Das fiel mir gerade ein, als ich diesen Bug in mbedTLS (früher PolarSSL) sah.
If a malicious peer supplies a certificate with a specially crafted secp224k1 public key, then an attacker can cause the server or client to attempt to free block of memory held on stack.Wait, what?!
Update: Ein Mathematiker erklärt:
die auf dem von Dir verlinkten blog gefuehrte Diskussion bzgl. Sicherheit von Elliptische-Kurven-Krypto ist rein spekulativ und weder aus Krypto- noch aus Mathematiker-Sicht fundiert.
Das von Richard Taylor angekuendigte Resultat ist mathematisch spektakulaer, aber kryptographisch (sehr wahrscheinlich nach aktuellem Kenntnisstand) irrelevant.
Ich gehoere vermutlich zu den wenigen Menschen, die sich frueher mal ernsthaft mit (mathelastiger) Kryptographie beschaeftigt haben und heute als Mathematiker mit Richard Taylors mein Forschungsfeld gemein haben. D.h. dass ich nicht nur die dort angegebene Aussage, sondern auch deren mathematische Beweise nachvollziehen kann, und sowohl die Konsequenzen fuer die Krypto wirklich ausschliessen kann.
Mehrere der fuer dieses Resultat verantwortliche Mathematiker kenne ich persoenlich.Dies ist eine Art von Mathematik, mit der selbst djb und Tanja Lange wohl relativ wenig anfangen koennen, aber das koennen sie sich leisten. Es handelt sich hier bei Taylors Resultat um Grundlagenforschung, die von Anwendungen noch sehr weit entfernt ist (mindestens Jahrzehnte —- wobei zu bedenken ist, dass Vorhersagen immer schwierig sind, insbesondere wenn sie die Zukunft betreffen...).
Und selbst bei den Anwendungen, die sich damit in Zukunft auftun koennten, sehe ich trotzdem keine Gefahr fuer Elliptische-Kurven-basierte Krypto, eher Potential fuer neue Verfahren.
Hier ist ein plausibles Argument, warum Taylors Resultat fuer ECC irrelevant ist: 1993 haben Wiles und Taylor gezeigt, dass jede elliptische Kurve ueber Q (=rationale Zahlen) mit semistabiler Reduktion modular ist. Das wurde bis ~2000 auf alle elliptische Kurven ueber Q verallgemeinert. Das hat der Krypto weder geschadet, noch geholfen.
Ueber reell-quadratischen Koerpern kennt man die analoge Aussage seit 2015.
Das hat der Krypto weder geschadet, noch geholfen.Ueber allgemeineren total reellen Zahlkoerpern hat man partielle Resultate.
Insbesondere weiss man, dass jede elliptische Kurve ueber einem total reellen Zahlkoerper potentiell modular ist.
Auch das: hat weder der Krpto geschadet, noch geholfen.Das Resultat von Taylor ist die Analoge Aussage der letzten Aussagefuer elliptische Kurven ueber Q(i).
Auch hier gilt, was vorher galt: das hat der Krypto weder geschadet, noch geholfen —- nach aktuellem Kenntnisstand wohlgemerkt, aber das wird sehr wahrscheinlich noch lange Zeit so bleiben und sich moeglicherweise niemals aendern.
Hoffe, das hilft Dir bei der Einordnung.
(Danke, Lutz)
Der Unterschied zwischen uns und anderen besteht vor allem darin, dass wir in unserer Community keine Kunden sehen, sondern Menschen, die auf der Suche nach Antworten sind, die ihnen helfen, die Ohnmacht, die sie gegenüber dem System erkennen, zu überwinden.Der Teil geht noch. Aber jetzt:
Das geht nur durch Bildung. Wer KenFM ansurft, will Wissen. Er will Zeit investieren, um sich schlau zu machen. Er will die andere Seite der Medaille sehen und hat längst begriffen, dass die Wahrheit komplex ist.Donald Trump, bist du das? Nun, von Selbstzweifeln zerfressen wirkt er jedenfalls nicht.
Mein inhaltliches Problem an dieser Stelle ist, dass ich KenFM eher gegenteilig wahrnehme. Da geht es häufig nicht darum, Argumente auszurollen und den Zuschauer entscheiden zu lassen, sondern Jebsen knüllt seine Weltsicht und seine Bewertungen geradezu beiläufig direkt vor die nächste Frage, damit der Gegenüber das nicht groß hinterfragen kann, weil er auf die Frage antworten muss. Das ist für mich aber kein Bildungs-Ansatz, sondern genau die "hier ist meine Meinung und sie ist richtig"-Masche, die er den Mainstream-Medien vorwirft.
Im Übrigen teile ich auch seine These nicht, dass die Mainstream-Medien Dinge verschweigen. Das ist meiner Erfahrung nach nicht so. Die Fakten sind so gut wie alle da. Was seltener kommt sind Deutungs- und Meinungsartikel, die von der Mainstream-Position abweichen. Aber wenn man sich seine Meinung selber bildet und dabei die Fakten nur von den Mainstreammedien bezieht, dann hat man vielleicht nicht 100% Abdeckung, aber 95% oder so werden es sein. Auch unbequeme Fakten werden berichtet, aber halt häufig mit einer Deutung, die das dann für unwichtig erklärt oder als Feindpropaganda zu brandmarken versucht. Ein echter Bildungsansatz muss daher meiner Meinung nach so orientiert sein, dass er die Menschen in die Lage verletzt, die Fakten von den Meinungen trennen zu können.
Und das tut Jebsen gerade nicht. Ich mache das schon an so trivialen Dingen fest wie dass er seine Behauptungen nicht als Hypothese kennzeichnet, sondern einfach raushaut, als sei das die Wahrheit.
Damit kann man umgehen, wenn man ordentlich geschult ist. Aber diese Schulung ist ja genau, was KenFM als Eigenleistung hochhält. Das kann ich so nicht erkennen.
Die Art, wie wir Inhalte präsentieren, ist deutlich frischer als bei ARD und ZDF oder FAZ und SPIEGEL. KenFM hat keine Kunden. Wir haben Fans, Menschen, die hinter uns stehen, wie man das von Bayern-München-Freunden kennt. Diese Haltung kommt nicht von ungefähr, sondern hat mit Fair-Play zu tun. Propaganda, wie sie andere betreiben, ist nicht Fair-Play, sondern ein klares journalistisches Foul.Was ist das denn bitte für ein PR-Bullshit-Bingo-Scheiß?! WTF? Sorry, ab hier ist es bei mir vorbei mit dem Wohlwollen. Wenn ich mit PR-Hohlphrasen bombardiert werden wollte, kann ich mir eine Dauerwerbesendung reinziehen. Dieser Absatz und die nächsten lesen sich, als seien sie von einer Werbeagentur zusammengekokst worden. Mich stößt das ab. Was hat sich Ken bloß dabei gedacht?! Und dann sowas hier:
Presse hat Besitzer und vertritt private Interessen. Kein Intendant kommt auf den Chefsessel, wenn er politisch nicht embedded ist."embedded" ist bei Ken Jebsen so eine Art Kampfbegriff. Wer ihn häufiger hört oder liest, der kennt das schon. Ein In-Joke, bei dem sein Stammpublikum gähnt und den neues Publikum nicht versteht. Was für ein Griff ins Klo. Aber geht noch weiter:
Wir bekommen daher einen extrem starken KundenWie jetzt, direkt davor schreibt er noch, dass er keine Kunden hat, nur Fans. Da sind wohl die Hohlphrasen leicht verrutscht beim ablesen?
und haben es mit einem Aufschaukelungsprozess zu tun, der nicht berechenbar ist. Warum nicht? Weil wir nicht mit einer linearen Entwicklung zu tun haben, sondern die exponentielle Kurve die Entwicklung eher beschreibt. Dieser Prozess ist unumkehrbar. KenFM ist Teil und Ausdruck eines digitalen Aufwachzimmers in einer global vernetzten Welt.Hier ist für mich das Bullshit-Maß voll. Mehr Bullshit bin ich nicht zu tolerieren bereit und breche die Lektüre ab.
Warum machen Leute sowas? Steigt ihm der Erfolg in seiner Echokammer zu Kopf?
Was mich besonders irritiert: Normalerweise kann man sowas ja abtun mit "naja, die werden ihm halt das Wort im Mund umgedreht haben, ihn vielleicht fehlzitiert haben, wichtige Dinge ausgelassen oder so", aber ich habe ja neulich dem selben Interviewer bei den Nachdenkseiten auch ein Interview gegeben und glaube das daher ausschließen zu können.
Eine Sache möchte ich trotzdem hier ganz explizit ansagen: Selbst wenn man Ken Jebsen für einen Schaumschläger oder einen Idioten hält, ist das trotzdem kein Grund, nicht seine Interviews mit anderen Leuten zu rezipieren und auf sie zu linken. Ich werde weiterhin auf ihn linken, und das heißt nicht, dass ich mir das zueigen mache. KenFM ist genau so eine Quelle wie andere Quellen. Man muss sich die Fakten selber rauspopeln, man darf die Bewertung der Dinge nicht anderen überlassen, und man prüft wilde Behauptungen nach. Dann ist KenFM nicht schlechter als andere Quellen, eher besser (weil eben auch Leuten eine Stimme gegeben wird, die in der ARD nicht zu Wort kommen würden).
Update: Einen noch. Was mich bei dieser Sache echt kaputt macht, ist dass ich bei Ken genau so wie bei ARD-Journalisten nicht glaube, dass die irgendwas davon böse meinen. In deren Weltsicht sind die alle die Guten. Die ARD-Journalisten in der Atlantikbrücke genau wie Ken Jebsen. Alle glauben von sich selbst, dass sie die letzten wahren Verfechter der güldenen Ideale sind, dass sie die letzten sind, die sich noch wirklich um die Menschen da draußen kümmern, und ohne mich wäre ja alles total verloren! Und dann verprellen sie ihre Zuschauer, Hörer und Zuschauer mit solchen öffentlichen Zuschaustellungen ihrer Arroganz. Das ist in jeder Hinsicht tragisch. Wie so eine griechische Tragödie, wo du von Anfang an sehen kannst, dass das alles nicht gut enden wird, aber du bist machtlos, was am Ausgang zu ändern. Sehr traurig.
Aber es gibt ja immer Hoffnung. Nie die Hoffnung verlieren.
Update: Weil das bei ein paar Leuten so ankam: Nein, ich bin jetzt nicht „verfeindet“ mit Ken, ich halte ihn auch nicht für doof oder gar bösartig. Aber dieses Interview hat er verkackt, sorry. Was seid ihr denn für „Freunde“ von ihm, wenn ihr Feedback von ihm fernhalten wollt? Wie soll der denn besser werden, wenn ihm das niemand sagt?! Ich erwarte von meinen Freunden ganz sicher, dass sie mir sagen, wenn ich mich gerade verrenne oder einen Fehler gemacht habe. Ich bin mir sicher, Ken sieht das auch so.
Ich befinde mich in den letzten Zügen meines Ingenieurs-Masterstudiums an einer FH. Der Bachelor (an der gleichen FH) war "interdisziplinär" ausgelegt und kratzte an 3 Fachbereichen (hauptsächlich Informatik). Was mir dabei auffiel war zunächst, dass ich bereits in den ersten Semestern Prüfungen bestand, die ich eigentlich nicht hätte bestehen können. Studenten wurden immer irgendwie durchgezogen. Das geht soweit, dass einer unserer Professoren schon von vornherein sagte:"Keine Angst. Der Notenspiegel in dieser Veranstaltung ergibt immer eine perfekte Gauß-Kurve zwischen 1.0 und 4.0."
Und das zog sich dann durch sämtliche Bachelor-Semester. Hätte ich meine Thesis selbst bewerten müssen wäre sie mit Sicherheit schlechter bewertet worden.
Zum Beginn des Masterstudiums dachte ich noch, dass das Niveau deutlich ansteigt. Das Gegenteil war der Fall. Wenn die Hochschule nur 5 Studenten im Master-Studiengang hat, wollen die natürlich alle durchbekommen. Also wird das Niveau soweit gesenkt, das alle bestehen und vor allem auch gute Noten haben.
Das merken die Studenten (mich eingeschlossen) logischerweise auch und strengen sich weniger an, werden faul. Die Durchschnittsnoten werden wieder schlechter und … na ja, ich denke man weiß wo das hin führt.
Letztenendes fühle ich mich nach keinem meiner Abschlüsse (Schule, Bachelor, kommender Master) dazu bereit, auf dem, im Arbeitsmarkt für den jeweiligen Abschluss, geforderten Niveau zu arbeiten. Auf dem Papier habe ich tolle Abschlüsse, aber ich habe nicht das Gefühl irgendwas davon wirklich gut zu können (selbst wenn auf dem Papier 1,0 steht).
Das einzige wo ich selbstbewusst in den Arbeitsmarkt einsteigen wollen würde wäre mein Ausbildungsberuf und das auch nur aufgrund der praktischen Erfahrung. Aus Schule und Hochschule habe ich meinem persönlichen Gefühl nach keine fundierten Kenntnisse mitgenommen.
Update: Und noch ein Nachschub:
Ich hatte Interdisziplinarität erwähnt, aber nicht erläutert warum ich das für wichtig halte.
Durch allgemein sinkendes Niveau in fast allen Veranstaltungen und die Interdisziplinarität bleibt in der Regelstudienzeit keine Zeit für irgendeinen Tiefgang. Alles wird mal angeschnitten, aber für Details fehlt die Zeit. Dadurch auch das Gefühl, nicht das geforderte Niveau des Arbeitsmarktes zu erreichen.
Under the Obama administration, for example, we've said we're not going to torture people. You know, we could, at the far extreme to make the FBI's job easier, put ankle bracelets on everybody so that we'd know where everybody was all the time. That's a ridiculous example, but my point is encryption and privacy are larger issues than fighting terrorism.Clarke war der Counter-Terrorismus-Experte unter Clinton und Bush Junior, und wir hatten nach dem in der Fnord-Show den Cyber-Bullshitting-Award benannt, weil der immer so viel Cyber-Cyber-Cyber von sich gegeben hat. Da hat er ja echt noch mal gewaltig die Kurve gekriegt!
Ansonsten habe ich gerade den VW-Emissions-Vortrag gesehen, und der war in der Tat echt krass. Gemeinsam gehalten von einem Autobranchen-Insider, der mal erklärt hat, wie die Branche so intern funktioniert, und Felix Domke, der sich mal eben auf Ebay eine ECU geklickt hat (das ist der Motor-Regulator-Computer, der u.a. den Katalysator regelt und auch die NOx-Entfernung). Dann hat er da über einen Hardware-0day die Firmware extrahiert und in IDA reingeladen und mal ein bisschen reverse engineered.
Die Haupt-Botschaft ist die: Die ECU-Software lizensiert man für viel Geld von Bosch, die tun da ihre proprietäre Software drauf, aber da kommen keine Konstanten vor. Alle Konstanten liegen in einem vom OEM (VW in diesem Fall) manipulierbaren Datenbereich. Bosch hat da mit massivem Forschungs-Investment ein Motormodell entwickelt, bei dem man nur noch die Parameter einstellt, und dann rechnet der genau aus, wieviel "AdBlue" eingespritzt werden soll, um das NOx wegzumachen. Und was Felix jetzt herausgefunden hat, ist dass dieses Modell überhaupt nur für den Fall verwendet wurde, wenn das Auto erkennt, dass es gerade im Abgastestmodus läuft. Er hat sogar die Parameter im Datensegment gefunden, die die Kurve für die Erkennung der Abgastestreihe beschreibt, und gegen die gemessene Kennreihe geplottet. Da bleiben keine Fragen offen.
Ansonsten fährt das Auto in einem "alternativen" Modell, das offenbar überhaupt keine NOx-Unterdrückung macht. Mir war daran erst nicht das Geschäftsmodell klar, weil das Auto ja nicht besser oder schneller fährt oder männlicher klingt, wenn man das NOx nicht aus dem Abgas filtert. Hier die aktuelle Theorie (von Frank): Aber die Kenngröße für einen Katalysator ist die benötigte Fläche, und die ist mit Platin beschichtet. Wenn man also den Katalysator ansonsten nicht braucht, dann braucht man weniger Platin und kann billiger fertigen. Der Vortrag lohnt sich aber auf jeden Fall.
Update: Leute, die sich damit besser als ich auskennen, erklären mir gerade, dass es nicht Platin ist bei Diesel, sondern eine Titanverbindung.
Update: Meine Zusammenfassung war falsch. Im alternativen Modell wird nicht gar kein AdBlue gespritzt, sondern nur viel zu wenig. Felix Domke vermutet, dass sie den AdBlue-Tank zu klein dimensioniert haben, und dann den Verbrauch davon runtergeregelt haben, damit das Auto nicht ständig zum Nachfüllen in die Werkstatt muss. Vielleicht ist das ja zu spät im Testzyklus aufgefallen.
Update: Der Gadi-Vortrag war weit weniger schadenfroh als ich dachte. Im Wesentlichen haben sie da diagnostiziert, dass APT-Reports im Moment reine PR-Geschichten sind, und nicht nur mir als potentiellem APT-Opfer nicht helfen (tolle IDA-Screenshots, wenig bis gar kein was die wollten, wie sie reinkamen, etc. Dann zeigten sie, dass diese den Opfern nicht helfenden Reports aber den Tätern helfen, ihren Scheiß besser auf die Reihe zu kriegen. Am Ende blieb der Aufruf, bessere APT-Reports zu machen, aber wie das konkret aussehen soll, da kam eigentlich nur "give us a heads up, don't wait until they are analyzed and removed from your systems".
Und für die NOx-Geschichte ist mir auch noch eine Erklärung reingekommen, nämlich dass es anscheinend in den USA rechtlich unzulässig ist, wenn der Kunde zwischen zwei Wartungsintervallen irgendwas außer Benzin nachkippen muss am Auto, und weil die da längere Entfernungen zurücklegen, reicht dann der AdBlue-Tank halt nicht.
Indeed, it quickly came to light that Juniper have a page where they say that the VPN devices in question here “do utilize Dual_EC_DRBG, but do not use the pre-defined points cited by NIST”.Das war genau der Zufallszahlengenerator, der von der NSA kam, und den NIST nach Snowden zurückziehen musste. Mit anderen Worten: Der Eigengeruch dieser Backdoor erinnert relativ deutlich an die NSA.Reports indicate a backdoor designed by NSA has been repurposed by America's adversaries and used against us:-)Oh und noch ein wichtiges Statement hat er geäußert, zur Deppen-Entgegnung "na wer ist schon so doof und kauft Juniper":
This thinking misses the point. Juniper just *closed* backdoors in their product. Cisco's still wide open.Ich würde mich ja jetzt nicht so weit aus dem Fenster lehnen wollen, dass das die einzigen Backdoors bei Juniper waren. Das meinte Snowden auch nicht, aber zur Sicherheit, falls jemand auf die Idee kommt, das so zu lesen.
Jedenfalls gab es da Kritik. Wie so häufig, wir hatten ja bei C ähnliche Vorschläge. "Hey, wenn wir dieses API hier besser machen, dann werden wir weniger Bugs haben". Und da kommen dann so Old Farts aus dem Unterholz und sagen "ihr infantilisiert C-Entwickler, die sind nicht so doof wie ihr sie hier darstellt". Aber am Ende des Tages geben die Nummern dem eben Recht, lieber die Umgebung schon so zu machen, dass es leichter ist, alles richtig zu machen.
Ich erwähne das hier alles, weil sich rausstellt, dass djb natürlich mal wieder völlig Recht hatte. Natürlich gibt es Leute, die bei komplizierter Materie das falsch machen. Ich zitiere mal:
We evaluated 8 crypto libraries and their vulnerabilities to invalid curve attacks. We found out that the Bouncy Castle library and the Oracle JCE provider were vulnerable and we could extract private keys from the TLS servers running these libraries. The attacks are quite powerful. For Bouncy Castle, we needed about 3300 real server queries. For Oracle JCE, we needed about 17000 real server queries. We tested with the NIST-256 curve. The high number of requests needed for the Java servers results from a strange behaviour (bug?) in the Java EC computation.Ich könnte jetzt ein paar Worte fallen lassen über Java und die ganzen Java-Apologeten, die mir seit Jahren Mails schreiben, dass mit Java alles besser ist als mit C. Aber ich lehne mich glaube ich lieber zurück und sage: Told you so. :-)Dass wir uns da richtig verstehen: Wer mit Java ECC-Krypto gemacht hat, der muss jetzt neue Keys generieren. Und natürlich gucken, dass er eine gefixte Library irgendwo her kriegt. Aber hey, Oracle fixt ja schn… never mind.
In Alternativlos 35 redet ihr über die Strategie des Ausgrenzens. Ich teile einen Großteil Eurer Ansichten, möchte das aber um eine Punkt erweitern.Das ist in der Tat eine rückblickend so offensichtliche Parallele, zwischen dem Umgang mit Straftätern und Rechtsextremen, dass ich mich ärgere, dem nicht in der Sendung noch mehr Raum gegeben zu haben. Danke an Daniel für den Kommentar!Ich habe vor Jahren in einem Job mit einem Sozialarbeiter zusammengearbeitet, der auch für die Jungendgerichtshilfe gearbeitet hat. Seine These war, jeder Mensch begeht im seinem Leben mindestens ein Verbrechen, für das er in den Knast gehen könnte (sicherlich überspitzt ausgedrückt). Ob er einfährt oder nicht hängt einzig davon ab, ob er erwischt wird (offensichtlich) und vor allem, wie mit ihm umgegangen wird, wenn er erwischt wird.
Der Umgang hängt seiner Erfahrung nach sehr stark vom sozialen Status ab (auch das sicher nichts neues). Sozial schwache bekommen eine wesentlich schlechtere Prognose als Personen aus der Mittel- und Oberschicht.
Seiner These nach macht eine Verurteilung alles in der Regel noch schlimmer. Erst dann kommen viele Täter mit den "harten" Jungs in Berührung und auf die schiefe Bahn. Die Kurve bekommen meist die Täter, die sozial von einer Frau/einem Freund eingebunden werden oder Kinder bekommen oder ähnliches.
Warum erzähle ich das, ist ja ein alter Hut.
Schön damals (vor ca. 12 Jahren) beobachtete der Sozialarbeiter eine wesentliche Verschlimmerung der Strafen. Wurden Jahrzehnte lang kleine Diebstähle, die viele Jungendliche begehen mit einer Verwarnung des Bestohlenen und vielleicht einer Sanktionieren durch das Elternhaus (gut, das muss nicht immer Lustig sein) geahndet, werden nun immer mehr auch Kleinstdelikte zur Anzeige gebracht. Damit werden die Täter sozial geächtet und ausgegrenzt. Die Chancen dieser Täter auf ein gesellschaftlich akzeptiertes Leben sinken damit stark.
Als ich Euren Podcast hörte, erinnerte mich dieses Vorgehen der Justiz und Gesellschaft stark an das Ausgrenzen, das ihr im Podcast thematisiert. Lösen tut dieses Vorgehen die Probleme nicht, es verschärft sie in der Regel. Aber man hat ja was getan!
Ich habe ja mein SSH schon vor einer Weile auf djb-Krypto umgestellt (hier hatte ich das beschrieben). Es ist leider auffallend schwierig, mit regulären Browsern djb-Krypto im TLS hinzukriegen. Firefox supported das noch nicht (warum eigentlich nicht?), Chrome supported es angeblich, aber ich kriege das nicht negotiated. OpenSSL kann es nicht (es gibt einen alten Patch, der aber nicht auf aktuelle Versionen passt), PolarSSL kann es nicht, BoringSSL kann es zwar, aber die Knalltüten haben das Buildsystem auf cmake umgestellt, und da krieg ich die dietlibc nicht reingepfriemelt. Das muss mir auch noch mal jemand erklären, wieso heutzutage jedes gammelige Hipsterprojekt sein eigenes Buildsystem braucht. Bei autoconf ist wenigstens dokumentiert, wie man da von außen eingreifen kann. Aber dieses cmake ist in der Beziehung nur für den Arsch, ich komm aus dem Fluchen gar nicht raus.
Und so bleibt mir im Moment nur LibreSSL, das kommt in der portablen Version mit autoconf und funktioniert mit dietlibc, und da taucht das auch in der Cipherliste auf, und wenn ich mit openssl s_client die Verbindung aufmache, kriege ich auch ECDHE-ECDSA-CHACHA20-POLY1305, aber mit Chrome? Kein Glück.
Und, mal unter uns, solange man da nicht von Hand noch eine ordentliche Kurve konfiguriert, ist das auch Mist. Von den Kurven, die OpenSSL unterstützt, scheint nur secp256k1 akzeptabel.
Sehr geehrter Herr von Leitner,(Ein faszinierender Gastbeitrag von Prof. Dr. rer. nat. Dipl.-Math. Rüdiger Weis)vielen Dank fuer Ihre freundliche Anfrage. Ich überlege in der Tat, Ihr Angebot annehmen, zum Anlass des 10 jährigen Jubiläums für Ihren in der Bloggerszene ja recht bekannten Onlinedienst einen Kurzbeitrag zu schreiben.
Dies umsomehr, da ich es als wichtig halte, dass bei allem Respekt für Ihre Beiträge im Bereich der praktischen Analyse von Angriffsmöglichkeiten auf sogenannte Internetanwendungen, auch wissenschaftlich etwas anspruchsvollere Fragestellungen in Ihrem (bisweilen etwas multimedialastigen (s.a. /logo-gross.jpg)) Blog, einmal eine angemessene Würdigung finden sollten.
Hören Sie in Ihrem Blog vielleicht ein bisschen weniger auf diese Hackeszene, die Sie für Ihre Arbeiten im Bereich von in C geschriebenen Betriebssystemen nicht zu Unrecht hochschätzt. Sie vergeuden Ihr Talent ein wenig für eine Sprache, die selbst von Ihren Entwicklern inzwischen auch offen als einer der nicht immer gelungenen Hackerscherze (wie TCP/IP, THC, HTTP, SSL, SSH, OTR, gpg, git, GPL, ACID, WWW usw) aufgedeckt wurde. Da hilft es auch nicht viel, lustige Sonderzeichen wie ++ und # anzuhängen. Ich schreibe Ihnen gerade auf einem Emacs-LISP Betriebssystem, welches trotz des oftmals zurecht kritisierten Editierprogrammes bisher recht selten aus diesem Internet attackiert wurde.
Nicht zu Unrecht fragen sich sicherlich zahlreiche Ihrer Leserinnen und Leser, insbesondere angesichts Ihrer in Ihren Blogbeiträgen oftmals durchschimmernden positiven Haltung zu Elliptischen-Kurven-Kryptosystemen, beispielsweise, wieso das Diskreter-Logarithmus-Problem auf der durch Punktaddition gebildeten zyklischen Gruppe eines Generatorpunktes auf einer elliptischen Kurve über einem endlichen Körper, wegen der bisher nicht gelungene Anpassungen der subexponetiellen Index-Calculus Angriffsmethode auf derartige Gruppen, wirklich nur generisch, beispielsweise durch superpolynominale Pollard-Rho-artige Methoden, angreifbar ist, welche ich in meinem Vortrag auf dem 31C3 vielleicht etwas zuspitzend, wenn auch sicherlich nicht ganz ungerechtfertigt, als Geburtstagsparadoxonfolklore bezeichnet habe, und Sie bisweilen selbst für aufmerksame Leserinnen und Leser, insbesondere wegen ihre Länge, schwer lesbare Sätze bilden, in denen Sie bisweilen sogar ein Komma vergessen oder falsch setzen.
(Anm.d.Red.: Es ist dieser Absatz, den ich als "von Krypto hat der ja keine Ahnung" interpretiert habe)
Lassen Sie mich diesen Gedanken aufgreifen und vielleicht etwas polemisch kurz schliessen:
"Was das Geburtstagsparadox für ECC ist, ist Fefe für in C geschriebene Software."
Mit freundlichen Grüßen
Update: Boah ich Depp hab in der Eile das PS nicht mit kopiert, dabei war das doch das Highlight der ganzen Einsendung! Hier ist es:
PS
Ihr SSL Zertifikat wird nicht mal von CNNIC anerkannt.
Ich habe schon ein paar Mal erzählt, dass das Blog entstanden ist, um die Materialliste für den Fnord-Jahresrückblick an einer zentralen Stelle zu sammeln. Das ist die Wahrheit, aber es ist nur die halbe Wahrheit. Die andere Hälfte wird heute gelüftet werden.
In diesen 10 Jahren hat sich im Netz und in der Politik viel geändert. Damals war Schröder Kanzler, der erste Versuch nach Kohl, mal etwas anders zu machen. Schröder war kurz vor Ende seiner Amtszeit, aber das war damals noch nicht so klar. Ich erinnere mich noch an die Scherzchen gegen Ende der Kohl-Ära, als wir meinten, über die Politikverdrossenheite dürfe man sich nicht wundern, immerhin gäbe es demnächst frisch Wahlberechtigte, die nie einen anderen Kanzler als Kohl im Amt erlebt haben. Heute könnten wir das gleiche über die Merkel sagen.
Damals wie heute galt die Politik als verlogen, korrupt und inkompetent. Schäubles Schwarzgeldskandal war noch frisch, die Ausrede mit den "jüdischen Vermächtnissen" prägte den Blick meiner Generation auf die CDU, die ich damals noch als Schwarze Pest bezeichnet habe. Später bin ich zu CDU zurück gegangen, weil ich mir dachte, dass möglicherweise ein Teil meiner Leserschaft sonst nicht versteht, wer da gemeint ist.
Was hat Schröder am Ende des Tages anders gemacht als Kohl? Er hat die Dinge durchgesetzt, die Kohl nie hätte durchkriegen können, solange die SPD in der Opposition war. Hartz IV. Agenda 2010. Die Zerschlagung des Sozialstaates. Das hat mein Bild der SPD geprägt, die da live vor meinen Augen ihre Prinzipien und Wähler der Reihe nach verraten hat, und die dann dank einer Oderflut wiedergewählt wurde. Das hat mein Bild der Wähler geprägt.
Und so bin ich heute, was ich schon damals war. Ein zynischer alter Mann. Naja, vielleicht nicht alt, aber 10 Jahre älter als damals jedenfalls.
Die Grünen galten damals als Hoffnungsträger. Endlich mal eine Partei, die sich konsequent gegen Kriegseinsätze ausspricht. Und was taten die, sobald sie an der Macht waren? Führten zum ersten Mal nach dem 2. Weltkrieg einen Angriffskrieg gegen ein anderes Land, gegen Jugoslawien. Das war klar verfassungswidrig, und passiert ist: Nichts. Das hat mein Bild der Grünen geprägt, und dessen, was unser Grundgesetz im Zweifelsfall wert ist.
Aber genug von der Politik. Bei den Medien erging es mir nicht viel besser. Es gibt da einen Effekt, den ihr sicher alle schon mal an euch habt beobachten können. Man liest Zeitung, und auf Seite 5 ist ein Bericht über etwas, womit man sich auskennt. Und der ist grottenschlecht. Abgrundtief schlecht. Da stimmt gar nichts. Keine Fakten, alles Andeutungen und missverstandene Aussagen anderer, die sich womöglich auch nicht auskennen. Furchtbar. Man runzelt die Stirn, blättert um, findet dort einen Artikel über etwas, mit dem man sich gar nicht auskennt, und glaubt dem sofort wieder. Die werden schon wissen, wovon sie da schreiben.
Seit ich auf diesen Effekt aufmerksam gemacht wurde, achte ich da ein bisschen drauf. Und ich achte generell auf Vertrauen. Wem vertraue ich eigentlich? Warum vertraue ich dem? Wem vertrauen die Leute da draußen? Und je länger ich das beobachte, desto klarer wird mir, dass wir heute viel weniger Vertrauen als früher haben, allgemein gesprochen.
In meiner Kindheit haben wir der Polizei bedingungslos vertraut. Den Zeitungen. Dem Fernsehen. Ärzten. Sogar Taxifahrern. Der Post. Sogar Geheimdiensten!
Damals war völlig klar: Wenn du Post in den Osten schickst, wird die von der Stasi abgefangen. Heute ist klar: Die Post wurde von den Westaliierten abgefangen.
Damals war völlig klar: Zeitungen sind Institutionen, die seriöse Berichterstattung machen, wo hervorragend geschulte Experten dafür zuständig sind, uns mit der Wahrheit gegen Lügengeschichten zu immunisieren. Heute ist klar: Die Zeitungen versagen bei so gut wie allen Themen, bei denen wir mal bis zu Ende dran bleiben. Beim Irakkrieg, bei 9/11, bei Mollath, bei Terrorismus-Meldungen, bei der Ukraine-Krise, you name it. Am Ende kriegen sie häufig die Kurve, dann gibt es eine Woche lang Medienschelte in den Medien. Wie konnten wir nur so daneben liegen? Am Ende des Tages kann sich keine Redaktion mehr eine richtige Redaktion leisten, so mit Korrespondenten aus dem Ausland und so. Entsprechend weniger Leute sehen dann ein, dafür auch noch Geld auszugeben. Und so spiralt das System in den Abgrund.
In meiner Kindheit war klar: Das mit dem Geld ist einfach. Du musst einfach mehr einnehmen als du ausgibst, dann wird alles gut. Heute erscheint mir das Geldsystem weniger als Garant der Stabilität und Flexibilität, und der Markt wird schon richten, dass am Ende alle reich sind, sondern im Gegenteil ist das Geld- und Kreditsystem die Methode, über die wir westlichen Reichen aufrecht erhalten, dass wir reich sind und die anderen nicht. Ausnahmen bestätigen die Regel.
Mein Freund Frank hat "Knowledge brings fear" als Motto seines Blogs gewählt. Ich hatte nie ein Blog-Motto und fand sein Motto anfangs prätenziös. Aber wo er Recht hat, hat er Recht. Wäre es vielleicht einfacher, wenn ich mich mit dem ganzen Scheiß nie beschäftigt hätte? Eine Konstante über die 10 Jahre sind die Zuschriften geblieben, die wissen wollen, wie ich es eigentlich schaffe, mich durch diesen ganzen Klärschlamm zu wühlen, ohne dabei den Willen zum Leben zu verlieren. Eine gute Antwort habe ich darauf nie gehabt.
Am Ende des Tages muss man da durch, glaube ich. Augen Schließen hilft auch nicht.
Eine andere Konstante über die Jahre sind Zuschriften gewesen, die mir schreiben, ich soll mal bei meinen Leisten bleiben. Von Computern verstünde ich ja möglicherweise was, aber von Politik, Kernphysik, Pharmakologie, Impfen, Chemtrails, den Illuminaten hätte ich ja mal sowas von gar keine Ahnung! Dass ich nicht merke, wie ich da gerade meine Glaubwürdigkeit verspiele!
Ich bin ein Freund der Datensparsamkeit, daher habe ich kein Archiv der Zuschriften über die Jahre. Aber zum Jubiläum habe ich das ein bisschen bereut, und ich dachte mir, ich könnte ja mal ein paar Leute anschreiben, die sowas wirklich beurteilen können, und um Kommentare bitten.
Und ich hatte ja auch generell um Zuschriften gebeten. Viel Spaß!
Update: Ich schreibe die Namen nur in den Fällen dran, bei denen ich den Kommentar explizit eingeworben habe, und vorher angesagt habe, dass der Name dran stehen würde, und derjenige das gutgeheißen hat.
Sorry, aber so läuft das nicht. Richard Stallman hat auch sein Leben der guten Sache gewidmet. Linus Torvalds auch. Was ist mit den OpenBSD-Leuten? Den OpenSSL-Leuten?
Wer sein Produkt kostenlos verteilt, der kann nicht nachher herumheulen, dass sich nicht aus magischen Quellen Geld auf seinem Tisch manifestiert hat. Das muss man vorher durchfinanziert haben, dass man die Entwicklung durchführen kann. Sonst sucht man sich einen Mäzen oder einen Sponsor oder macht Crowdfunding, vielleicht ein Regierungsprojekt. Man kann gucken, ob man eine Gemeinnützigkeit anerkannt kriegt. Ist das mit Aufwand verbunden? Klar! Wer das nicht macht, hat mein Mitleid nicht verdient, sorry.
Ich schreibe auch seit 20 Jahren freie Software. Sieht mich jemand herumheulen, dass ich mir kein Abendbrot leisten kann? Nein. So läuft das nicht.
Werner Koch ist im Übrigen in der ausgesprochen privilegierten Position, dass er sogar mehrfach von der Bundesregierung Förderkohle eingesackt hat. Und dann hat er auch noch ein erfolgreiches Crowdfunding durchgezogen. Was sollen denn bitte die ganzen anderen Leute sagen?! Die, denen die Regierung keine Kohle nachwirft? Die, deren Crowdfunding in der Obskurität verlischt?
Sorry, Werner. Du schläfst in dem Bett, das du dir gebettet hast. Wenn du da jahrzehntelang dein Lebens-Management verkackst, dann stelle dich bitte nicht am Ende hin und winsel herum, dass dir die Welt ein bedingungsloses Grundeinkommen schuldet. Sowas kriegt man nicht durch geduldig Warten.
Ich persönlich bin ein Freund des bedingungslosen Grundeinkommens, unter anderem gerade damit auch Leute wie Werner Koch Software wie gnupg schreiben können, ohne sich Sorgen um ihre Abendbrot machen zu müssen. Aber soweit sind wir noch nicht. Die Realität geht nicht weg, wenn wir sie lange genug leugnen.
Im Übrigen, aber das ist nicht mein Hauptpunkt hier, finde ich die Wartung von gnupg auch keinen Vollzeitjob. Sorry, nein, ist es nicht. Seit wann macht er das jetzt? 20 Jahre? Gelegentlich kommt mal ein Feature dazu, das will ich nicht leugnen. Features, die 90% der gnupg-Benutzer nicht betrifft, sowas wie Smartcards. Aktuell wohl auch elliptische Kurven, das betrifft schon eher jemanden. Aber elliptische Kurven haben die finanziell noch schlechter aufgestellten OpenSSL-Leute ganz ohne murren mal eben nachgerüstet.
Liebe Geeks. Wir haben hier ein strukturelles Problem. Freie Software finanziert sich nicht von selbst. Auf göttliche Intervention warten ist keine Lösung. Sucht euch einen Job, der euch Spaß macht. Am besten nichts, was mit Softwareentwicklung zu tun hat. Sonst habt ihr nämlich abends nach der Arbeit auch keinen Bock mehr auf Softwareentwicklung.
Und dann entwickelt ihr in eurer Freizeit freie Software. Und dann geht ihr in eurem Bett schlafen, unter dem Dach, das ihr euch mit dem anderen Job finanziert habt. So wird ein Schuh draus.
Noch was: Geschenken wirft man keinen Guilt Trip hinterher. Entweder es ist ein Geschenk, dann erwartet man nichts dafür, oder es ist kein Geschenk. Freie Software ist ein Geschenk. Klar darf man sich über Spenden freuen. Aber meckern, wenn sie ausbleiben, darf man nicht.
Update: Oh und einen Punkt möchte ich noch machen. Es wird häufig geheult, dass so viel Open Source Software angeblich in so einem schlechten Zustand ist, angeblich weil die Leute das nicht als Vollzeitjob machen. Das stimmt so nicht. Ich zum Beispiel schreibe Software nicht als Selbstzweck, sondern weil ich was lernen will. Aspekte, bei denen ich nichts lerne, oder die mich nicht interessieren, mache ich dann auch nicht. Die Ausgabe von Fließkommazahlen im printf der dietlibc ist seit Tag 1 kaputt. Dass das nicht gefixt wird, liegt nicht daran, dass ich nen Job habe, der mich ablenkt. Sondern das liegt daran, dass mir andere Sachen wichtiger sind. Das ist eine Frage der Prioritäten, nicht der Ressourcen. Jeder von uns hat genug Freizeit um alles zu schaffen, was er wirklich schaffen will.
Update: Oder aber natürlich man macht das zum Beruf. Gründet eine Firma, die Open Source macht. In einigen Fällen hat das sogar funktioniert. Wenn das gelingt, ist es natürlich der heilige Gral. Aber ich habe zwei Befürchtungen. Erstens ist es nicht mehr das Gleiche, wenn man dafür bezahlt wird. Es macht irgendwann weniger Spaß, wenn es ein Beruf ist und nicht etwas, das man aus freien Stücken tut. Zweitens muss man ja trotzdem irgendwoher Einnahmen generieren. Support für das Produkt ist hier eine populäre Option, aber das kann man nur bringen, wenn das Open-Source-Produkt soweit fertig und stabil ist und eine wichtige Sache löst und breit eingesetzt wird. Das ist eine verschwindende Minderheit der Projekte. Und dann ist die Arbeit, die man tut, auch eher Wartung als Entwicklung. Die Frage also, wie man die Entwicklung von freier Software finanziert kriegt, ist damit weiterhin nicht geklärt.
Als letzte Option bezahlen auch manche große Firmen wie IBM oder Oracle oder Linux-Distributoren ein paar Leute für ihre Arbeit an Open Source-Projekten. Das halte ich für nicht realistisch genug, um das generell als Lebensmodell zu empfehlen. Ein paar Leute können sich das so drehen. Der Rest — fast alle! — nicht.
Update: Es haben sich $50k/Jahr-Sponsoren gefunden. Und genau die Art von Leuten, von denen man Geld annehmen möchte!1!! Na seht ihr, ist doch noch alles gut ausgegangen. Wenn ihr Werner Koch wäret, wäret ihr jetzt zufrieden?
Update: Oh und die Linux Foundation wirft auch nochmal $60k hinterher.
Update: Ich mache mir Sorgen, dass jetzt lauter Kids glauben, das könnte für sie auch funktionieren. Leute, niemand von euch hat den Hauch einer Chance, das als Finanzierungsmodell für das Leben zu replizieren. Das ist wie auf einen Lottogewinn zu hoffen. Holt euch lieber einen richtigen Job und entwickelt nebenher freie Software. Das ist das realistische Modell. Ich finde nach wie vor, dass man Leute, die sich wie Werner ohne Fallschirm aus dem Flugzeug stürzen, nicht auffangen sollte. Sonst validiert man damit das Modell, dass man so seinen Lebensunterhalt verdienen kann. Und dann machen lauter Andere das nach.
Aber irgendwie macht sowas für den War on Terror kaum jemand. Die Anstalt hat dafür mal eine tolle Grafik ausgegraben, aus diesem PDF hier. Seite 15 im PDF (13 nach Seitennummerierung im PDF). Die Grafik ist so krass, dass ich die mal rauskopiert habe und separat verlinkbar mache. Das ist alles, was man zum Thema Terrorismus sagen muss. Beachtet auch mal, wo die Kurve für Irak, Afghanistan, Pakistan, Nigeria und Syrien vor 2002 war. Kaum messbar!
Highlights, die sich anzugucken lohnen, sind (völlig subjektiv, versteht sich):
Mit der Fnord-Show war ich dieses Jahr selber nicht so zufrieden. Wir hatten zu viele Folien. Das wussten wir auch vorher, aber wir hatten schon einen gehoben zweistelligen Prozentsatz an potentiellen Folien vorher weggeschmissen. Das werden wir nächstes Jahr anders machen. Dem Publikum hat es anscheinend trotzdem ganz gut gefallen, insofern will ich da jetzt mal nicht zu schlecht gelaunt sein. Aber zufrieden war ich nicht. Bin ich aber so gut wie nie nach meinen Vorträgen, wäre ja auch langweilig.
Den heutigen dritten Tag nutze ich hauptsächlich für Socializen und vielleicht das eine oder andere Interview. Für Erich Möchls Vortrag heute morgen konnte ich mich leider nicht rechtzeitig aus dem Bett quälen. Das will man sicher auf Video gesehen haben, er sprach über NSA-Niederlassungen in Österreich.
Meiner Einschätzung nach sollte man heute um 17:15 den DP5-Vortrag nicht verpassen, aber der leider parallel liegende Vortrag "What Ever Happened to Nuclear Weapons" ist mindestens genau so wichtig. Ich schau mal, wo ich einen guten Sitzplatz finde, und den anderen gucke ich dann auf Video. Um 18:30 würde ich den Thunderstrike-Vortrag gucken.
Um 21:15 gibt es in Saal 2 einen Vortrag über Nordkorea, der wird bestimmt voll :-)
Um 22:00 verspricht der Perl-Vortrag hochkarätig zu werden.
Heute morgen bin ich direkt von einem FAZ-Reporter zu Regin befragt worden, und habe das ein bisschen auf eine generelle Malware-Schiene umzubiegen versucht. Mal gucken, wie das wird. Danach wurde ich direkt von Tilo Jung abgefangen, der hier auf dem Congress herumrennt und Interviews führt. Wir haben uns vorher ein bisschen darüber unterhalten, was wir für ein gutes Interview halten, und ob der Interviewer da Positionen bekleiden sollte oder nur den Interviewpartner reden lassen sollte. Ich finde ja letzteres. Das optimale Interview ist eines, bei dem der Interviewer dem Interviewgast ein paar Stichworte hinlegt und ihm dann nicht dabei im Wege steht, wenn er sich um Kopf und Kragen redet. Tilo war kürzlich in Israel und Paälstina und hat dort mit allen Seiten Interviews geführt, und erzählte, dass er dann erst dafür kritisiert wurde, er würde ja nur die eine Seite zu Wort kommen lassen, und als er dann mit den anderen redete, wurde er dafür kritisiert, denen nicht ins Wort gefallen zu sein, als die da krude Parolen äußerten und sich zum Klops machten. Dieses Muster (jetzt nicht mit Israel und Palästina) habe ich schon häufiger beobachten können und finde es ausgesprochen deprimierend. Ich hatte da vor ein paar Wochen schonmal was zu gebloggt, und so fragte mich dann Tilo auch zu Ken Jebsen. Ich hoffe, ich habe mich da jetzt nicht zu sehr um Kopf und Kragen geredet *hust*. Soviel ist jedenfalls klar: Je weniger Struktur der Interviewer vorgibt, desto mehr Gelegenheiten zum Verplappern hat der Interviewpartner. Vorsicht bei Interviews mit Tilo! :-)
Die schlechte Nachricht: Sie haben immer noch nicht gelernt, dass embrace+extend Scheiße ist und an der Kurve herumgetweaked.
Das Happy End: djb reißt ihnen auf der zuständigen IETF-Mailingliste ein paar neue Körperöffnungen. :-)
Jetzt stellt sich natürlich sofort die offensichtliche Frage, ob da die NSA ihre Finger im Spiel hatte. Denkbar wäre das. Der erste Cipher auf der Liste sollte am besten etwas starkes sein, z.B. AES256, einen ordentlichen Hash verwenden, z.B. SHA256, und Perfect Forward Secrecy erlauben. Ob man jetzt außenrum RSA oder elliptische Kurven spricht, das ist im Moment im Wesentlichen eine Glaubensfrage. Leider spricht Firefox immer noch nicht TLS 1.2 (obwohl ihre Krypto-Library NSS das inzwischen partiell unterstützt), und kann immer noch nichts stärkeres als SHA-1. :-(
Der Punkt ist jedenfalls, dass es nicht nur eine solche Kurve gibt, sondern sehr viele. Um Kryptographie zu machen, einigt man sich daher vorher auf eine davon. Und hier kommt das Problem. Das wichtigste Standardisierungsgremium für diese Kurven ist NIST, und die sagen offen an, dass ihre Kurven von der NSA kommen. Überhaupt empfiehlt die NSA seit vielen Jahren offen elliptische Kurven. Alleine deshalb trauen viele elliptischen Kurven nicht.
Wenn man Krypto-Verfahren designed, und da tauchen Konstanten auf, wie z.B. bei den S-Boxen (einem internen Substitutionsschritt), dann kann man da entweder irgendwelche Zahlen reinschreiben, und behaupten, die seien zufällig gewählt, oder man kann absichtlich unzufällige Zahlen nehmen, wie z.B. die ersten Ziffern von Pi oder von der Wurzel von 2 oder sowas. Üblicherweise macht man letzteres. Das Konzept nennt sich Nothing up my sleeve number :-) Die NSA-Kurven machen ersteres. Daher liegt die Vermutung nahe, dass die NSA da solange Kurven ausprobiert hat, bis sie eine gefunden hat, die "leichter knackbar ist", nach einem Verfahren, das außer ihnen niemand kennt. Und genau diese Vermutung macht jetzt die Runde.
Der Vollständigkeit halber sei gesagt, dass die Kryptographen natürlich schon länger gemerkt haben, dass da möglicherweise was schlecht riecht. Man kann das z.B. in diesen Folien hier sehen, die sind von vor Snowden.
Sind elliptische Kurven jetzt vergiftet? Ich kenne mich da nicht genug aus, um das tatsächlich selbst beurteilen zu können. Daher vertraue ich da im Zweifelsfall Dan Bernstein, der hält die Verfahren selbst für gut, und traut nur den Kurven der Dienste nicht.
Update: Ein bisschen Kontext gibt es bei diesem Thread.
Stellt sich raus, dass Sony statt Zufallszahlen eine Konstante verwendet haben in ihren elliptischen Kurven und damit kann man dann den Rest des Private Key berechnen.
Update: Mhh, mich sprach hier auf dem Gang jemand an, das sei gar kein Master-Key sondern der Pro-Console-Key, den sie da reversen können. Das hab ich anders verstanden, aber ich mag nicht ausschließen, dass ich das falsch verstanden habe. Ich guck mir das nochmal auf Video an, sobald es das zu downloaden gibt.
Update: Angeblich hängt der Key jetzt im Hackcenter aus, hab ich selber noch nicht gesehen, guck ich morgen mal. Damit wäre bestätigt, dass es "der" Key ist, nicht "ein" Key.
"Where is that ugly thing?", fragte der Minister dabeiDaneben eine Merkel mit Gollum-Gesichtsausdruck, oder von mir aus auch irgendein anderer unser ganzen gutaussehenden Poliker ("Politik macht schön").
Ich bin da nicht so drinnen, aber der Absatz in dem Update kommt mir im Moment nicht glaubwürdig vor. Mein Stand ist, dass die "Ende-zu-Ende"-Verschlüsselung eben nicht von Ende zu Ende ist, sondern von (per Trojaner fernsteuerbarem) "Bürgerclient", äh, der "Ausweis-App", und dem Webseiten-Anbieter. Angesichts dessen erscheint mir diese Aussage gerade nicht nachvollziehbar:
Auch muss bei Verwendung des Basislesers kein zusätzliches Sicherheitsprotokoll wie U-Prove verwendet werden, um eine Absicherung der übertragenen personenbezogenen Daten zu erreichen, da der neue Personalausweis grundsätzlich eine Ende-zu-Ende Sitzungsverschlüsselung und Integritätssicherung erzwingt.Bei einem einfachen Kartenleser gibt es kurz gesagt keine Möglichkeit, wie der Ausweis irgendwas erzwingen kann. Selbst wenn man den die Daten kryptographisch signieren lässt, dann kann der Trojaner ja immer noch die zu signierenden Daten ändern, bevor sie den Ausweis erreichen. Wenig erbaulich ist auch das Name Dropping, mit dem sie da zu punkten versuchen:
Derzeit kommen 256-Bit Schlüssel für Elliptische Kurven und AES-128 zum Einsatz.Denn für Integritätssicherung verwendet man eine Hashfunktion. Elliptische Kurven sind ein Public-Key-Verfahren und AES-128 ist ein symmetrischer Blockcipher. Ich vermute daher, dass es sich hier um eine PR-Nebelkerze handelt. Wer sich selbst ein Bild über die Technik machen will, der findet bei den Aufzeichungen vom 26C3 das nötige Bildungsmaterial.
Update: In dem Video erklärt Henryk, dass es tatsächlich ein Protokoll von Dienstanbieter PC/Lesegerät bis Karte gibt, das heißt PACE, aber dafür braucht man ein PACE-fähiges Lesegerät, und die gibt es noch nicht. Bzw. gab es sie noch nicht, als Henryk den Vortrag hielt, zum Jahreswechsel. Er meint, sowas kostet dann so 200 € und er rechnet daher nicht damit, dass das irgendjemand einsetzen wird.
Update: So, Henryk erklärt mir das gerade. PACE ist zwischen Karte und Leser (wenn man einen PACE-fähigen Leser hat), ansonsten zwischen Karte und PC. Nach PACE kommt noch eine Terminal Authentication, bei der sich der Web-Dienst gegenüber der Karte authentisiert, und eine Chip Authentication, bei der sich der Personalausweis gegenüber der Gegenstelle authentisiert, und wenn das durch ist, gibt es in der Tat einen Ende-zu-Ende-Kanal vom Perso bis zum Webanbieter. Da hat das BSI also Recht und ich ziehe mein Gemecker zurück. Hätte ich mich mal vorher informieren sollen :-)
Übrigens, Hashfunktionen sind SHA-1, SHA-224 und SHA-256, je nach Protokoll-Einsatzort.
Investigators should presuppose the existence of a fully functional quantum computer and consider what algorithmic tasks are particularly well suited to such a machine.Kryptographie, RSA oder elliptische Kurven erwähnen sie nicht ausdrücklich, aber hey, worum soll das sonst gehen.