Qbi's Weblog - Krypto

ACM Turing Award für Goldwasser und Micali

jens@kubieziel.de (Jens Kubieziel) — Wed, 13 Mar 2013 16:38:00 +0100

Die beiden Kryptografen Shafrira »Shafi« Goldwasser und Silvio Micali erhalten den ACM Turing Award. Das ist so eine Art Nobelpreis in der Informatik. Goldwasser und Micali sind vermutlich nur Insidern bekannt. Sie lieferten allerdings wesentliche Beiträge zur Kryptografie. Die Begriffe der Semantic Security und Ununterscheidbarkeit eines Algorithmus’ vom Zufall gehen auf die Forscher zurück. Sie legten damit die Grundlagen für eine Formalisierung des Wissenschaftszweiges. Ich gratuliere beiden Wissenschaftlern für die Auszeichnung!

Pressemitteilung der ACM

Artikelserie "Mein digitaler Schutzschild" in der ZEIT

jens@kubieziel.de (Jens Kubieziel) — Mon, 04 Feb 2013 14:57:13 +0100

Patrick Beuth hat für die ZEIT ein Experiment gemacht. Er stellte sich die Frage, wie schwierig es für Laien ist, sich anonym und sicher zu bewegen. Diese Erfahrungen schrieb Beutch in der Serie »Mein digitaler Schutzschild« nieder. Für das Experiment kaufte er sich einen neuen Rechner und installierte Ubuntu. Später machte er sich Gedanken zu sicheren Verbindungen über VPN und Tor, nutzte E-Mail-Verschlüsselung mit OpenPGP und verschlüsselte die Festplatte. Die Artikel sind aus der Sicht eines neuen Benutzers geschrieben und sehr interessant zu lesen.

ZEIT Online macht sogar den Sprung vom Artikel in die Praxis und organisiert am 26. Februar eine CryptoParty. Dort zeigen Patrick Beuth und die Organisatoren der CryptoPartys in Berlin, wie die verschiedenen Werkzeuge zu benutzen sind. So wird die anfängliche Hürde, derartige Werkzeuge zu benutzen sicher kleiner.

Zweite CryptoParty in Jena

jens@kubieziel.de (Jens Kubieziel) — Sat, 19 Jan 2013 00:51:07 +0100

Die nächste Woche bietet zwei spannende Termine:

Der Datenkanal geht wieder auf Sendung. In der ersten Sendung im neuen Jahr wollen wir uns über den 29C3 unterhalten.
Es gibt wieder eine CryptoParty im Krautspace. Beim letzten Mal haben wir nur theoretisch diverse kryptologische Aspekte angesprochen. Dies schien Tim Thaler nicht ganz zu gefallen. Diesmal geht es mehr um die praktischen Aspekte. Im Wiki stehen schon einige Ideen drin. Wenn euch was interessiert, kommt einfach mit vielen Fragen vorbei. Wenn ihr keine Fragen habt, so wäre es schön, wenn ihr ein paar Kleinigkeiten zum Knabbern mitbringt.

This machine kills secrets von Andy Greenberg

jens@kubieziel.de (Jens Kubieziel) — Thu, 10 Jan 2013 23:24:00 +0100

Woody Guthrie mit Gitarre (Quelle: Wikipedia bzw. Library of Congress)

Der Titel des Buches klingt spektakulär: »Die Maschine, die Geheimnisse vernichtet«. Der Journalist Andy Greenberg berichtet im gleichnamigen Buch von dieser Maschine und hat an vielen Stellen spektakuläres zu berichten. Greenberg kam durch die Gitarre von Woody Guthrie auf den Titel. Die Gitarre trug den Aufkleber: »This machine kills fascists« (siehe Bild).

Die Maschine, die Geheimnisse vernichtet, beginnt mit den Pentagon-Papers ihr Werk. Daniel Ellsberg veröffentlichte die geheimen Dokumente damals mit Hilfe der NY Times. Julian Assange und neuere Entwicklungen sind noch lange nicht das Ende der Maschine. Vielmehr wird sie wohl lange weiterleben. Das Buch zeichnet den Weg der Maschine nach.

Im Prolog wird ein Treffen mit Julian Assange beschrieben. Julian kündigt dort die MegaLeaks an und verspricht einen Leak über eine US-Bank. Der erste Teil startet mit einer Gegenüberstellung von Ellsberg und Bradley Manning. Greenberg vergleicht im Kapitel »The Whistleblowers« ihre Herkunft und ihr Vorgehen. Ellsberg hatte seinerzeit die Berechtigung sehr geheime Dokumente zu lesen. Ein Privileg, was nur wenige mit ihm teilten. Manning auf der anderen Seite war einer von 2,5 Millionen Amerikanern, die aufgrund lascher Voreinstellungen auf viele geheime Dokumente Zugriff hatten. Beide waren der Meinung, dass »ihre« Dokumente an die Öffentlickeit müssen. Ellsberg war sich sicher, dass er für die Veröffentlichung der Pentagon-Papiere für den Rest seines Lebens im Gefängnis landen würde. Manning, auf der anderen Seite, schien Hoffnung zu hegen, dass er unerkannt davon kommt. Zumindest arbeitet Greenberg diesen Punkt im Buch heraus. Die realen Entwicklungen waren jedoch genau gegenteilig. Ellsberg wurde nicht bestraft und Manning wird aller Voraussicht nach lange Zeit im Gefängnis bleiben.

Das erste Kapitel ist sehr schön geschrieben. Man merkt hier schon, wie gut Greenberg seine Geschichte recherchiert hat. Mit der Gegenüberstellung der beiden Protagonisten gelingt ihm ein schöner Spannungsaufbau.

Cover des Buches

Die folgenden drei Kapitel widmen sich der »Evolution of Leaking«. Greenberg erzählt die Geschichte der Cypherpunks detailliert nach. Den Startpunkt bilden dabei die Lebensläufe von Tim May und Phil Zimmerman, der Erfinder von PGP. Mit Geschichten zu Julian Assange und John Young, dem Gründer von Cryptome geht es weiter. Schließlich spielen die Diskussionen auf der Mailingliste und der Artikel »Assassination Politics« von Jim Bell eine Rolle. Der Keynote-Sprecher des 29C3, Jacob Appelbaum, mit dem Tor-Projekt bilden den Abschluss.

Der dritte Teil hat die Zukunft (»The Future of Leaking«) zum Gegenstand. Dort geht es um »Plumbers«, »Globalizers« und »Engineers«. Das Kapitel beginnt mit Peiter Zatko. Mudge, wie er sich nannte, war einer der Köpfe der Hacker-Gruppe Cult of the Dead Cow und hatte engere Kontakte zu Assange. Mittlerweile arbeitet er bei der DARPA und soll Gegentaktikten zum Leaking entwickeln. Das langfristige Ziel des Projektes ist, Leaking komplett zu unterbinden. Greenberg beschreibt im Kapitel HBGary und den Anonymous-Hack sehr lebendig. Der Autor nutzt IRC-Logs und persönliche Gespräche und kann dadurch eine sehr detaillierte Sicht auf die Dinge bieten. Die Isländische Initiative zu modernen Medien (IMMI) und BalkanLeaks sind die Vorboten der Zukunft. Schließlich traf Greenberg zufällig den Architekten. Derjenige, der nur unter dem Namen »Der Architekt« agiert, war für die sichere Neugestaltung von WikiLeaks zuständig und arbeitet jetzt bei OpenLeaks. Greenberg traf ihn zufälligerweise beim Chaos Communication Camp.

Am Ende des Buches steht ein kurzer Abschnitt zur »Machine«. Greenberg macht klar, dass heute jeder zum Leaker werden kann. Mobiltelefone und andere elektronische Gegenstände erlauben es, Reportagen von Ereignissen anzufertigen oder eine Vielzahl elektronischer Dokumente zu kopieren. GlobaLeaks wird kurz beleuchtet. Das Projekt baut an einer Lösung für eine Leakingplattform mit Freier Software. Greenberg schließt mit den Worten:

We don’t yet know the names of the architects who will build the next upgrade to the secret-killing machine. But we’ll know them by their work.

Ich habe es sehr genossen, das Buch zu lesen. Zum einen hat Greenberg einen schönen, lebendigen Schreibstil. Obwohl ich viele Aspekte der Geschichten kannte, hatte das Buch einiges Neues zu bieten. Faktisch auf jeder Seite ist die gute Recherchearbeit des Autors zu spüren. Es war spannend für mich den Handlungssträngen zu folgen. »This machine kills secrets« war eines der Bücher, was ich nur schwer aus der Hand legen konnte und am liebsten am Stück durchgelesen hätte. Leseempfehlung!

Wer von euch einen Verlag kennt, der das Buch ins Deutsche übersetzen will, kann sich gern an mich oder an Andy Greenberg wenden.

CryptoParty in Jena

jens@kubieziel.de (Jens Kubieziel) — Mon, 19 Nov 2012 10:32:00 +0100

In aller Welt finden momentan so genannte CryptoPartys statt. Diese sollen in einer entspannten Atmosphäre Nutzer über verschiedene Aspekte von Kryptografie bzw. Anwendungen aufklären. Die erste CryptoParty in Jena steht vor der Tür. Am kommenden Freitag, dem 23. November 2012, startet im Krautspace eine CryptoParty. Ich werde dort ein paar Worte zu Kryptografie im Allgemeinen verlieren und später tiefer in Richtung OTR eintauchen. Vermutlich werde ich nur die theoretische Seite erklären können, da es im Krautspace immer noch kein Internet gibt. Weitere Vorschläge sind im Wiki unter dem Punkt Inhalte aufgelistet. Die Veranstaltung findet nach dem Prinzip der Barcamps statt. Das heißt, wer will, kann einen Vortrag oder Workshop halten.

Ich würde mich freuen, wenn recht viele zu der Veranstaltung kommen und sich von den Vorteilen der Kryptografie überzeugen lassen. Vermutlich sind auch Reporter von Dradio Kultur anwesend. Also seid darauf gefasst, interviewt zu werden.

Update: Kleinen Fehler beseitigt. Vielen Dank an fpunktk

Der Security-Geek beschwert sich im Restaurant

jens@kubieziel.de (Jens Kubieziel) — Sun, 18 Nov 2012 12:56:59 +0100

Geek and Poke beschreibt sehr schön, wie sich ein Security-Geek in einem Restaurant beschweren kann:

Keccak -- der neue SHA-3-Algorithmus

jens@kubieziel.de (Jens Kubieziel) — Tue, 02 Oct 2012 23:01:08 +0200

Das National Institute of Standards and Technology (NIST) gab heute bekannt, wer den SHA-3-Wettbewerb gewonnen hat: Keccak. Der Algorithmus wird nun die neue Empfehlung für einen kryptografischen Hash. Er stammt von den Forschern Guido Bertoni, Joan Daemen, Michaël Peeters und Gilles Van Assch. Besonders erwähnenswert ist Daemen. Denn er war schon für den Verschlüsselungsalgorithmus AES zuständig, der vor mehr als zehn Jahren standardisiert wurde.

Die bisher oft genutzten Algorithmen benutzen das so genannte Merkle-Damgård-Verfahren. Keccak geht einen neuen Weg (cryptographic sponge). Das erinnert mich ein wenig an AES. Denn auch damals kamen die Standardisierer von dem Feisteldesign ab.

Daniel Bernstein hat Benchmarks für verschiedene Algorithmen auf verschiedenen Plattformen gemacht. Nach der Seite ist beispielsweise BLAKE wesentlich schneller als Keccak. Im Allgemeinen scheint SHA-3 in Hardware gegossen schneller als SHA-2 zu sein. Aber die Softwarevariante ist wesentlich langsamer. Mal sehen, was die nächsten Tage ergeben. Aber momentan kann man wohl Bruce Schneier recht geben, der mal sagte, dass niemand SHA-3 nutzen wird. Nichtsdestotrotz: Alles Gute zur Wahl.

Dritte Auflage von »Anonym im Netz«

jens@kubieziel.de (Jens Kubieziel) — Wed, 23 May 2012 17:34:36 +0200

Der Verlag Open Source Press twitterte soeben: »Neuauflage mit #JonDo-Live-CD für anonymes surfen, mailen, chatten! “Anonym im Netz” (J.Kubieziel) jetzt lieferbar.« Damit ist nun die dritte Auflage meines Buches »Anonym im Netz« draußen. Ich habe die Inhalte wieder aufpoliert, die Struktur einiger Kapitel angepasst. Aber die größte Neuerung ist eine beigelegte CD. Die JonDo Live-CD hat alle wichtigen Anonymisierungsdienste vorinstalliert. Der Leser legt die einfach in das CD-Fach und kann sofort ausprobieren. Ich hoffe, das Buch findet wieder großen Anklang. Solltet ihr Fehler finden, schreibt mir eine E-Mail oder hinterlasst hier einen Kommentar. Die Fehler werden dann in der folgenden Ausgabe ausgebessert.

Das Kryptosystem von John Nash

jens@kubieziel.de (Jens Kubieziel) — Mon, 26 Mar 2012 16:46:14 +0200

Der Mathematiker John Nash wird einigen aus dem Spielfilm A beautiful mind bekannt sein. Dort wird sein Leben (zum Teil etwas ungenau) nachgezeichnet. Noch heute ist der Begriff des Nashgleichwichts in der BWL und der Informatik wichtiger Lehrstoff. Vor kurzem veröffentlichte die NSA einen Brief von Nash, den er 1955 an den Geheimdienst schrieb.

In dem Brief beschreibt Nash ein Kryptosystem, oder Ver-/Entschlüsselungsmaschine. Es ist unklar, inwieweit die NSA hierauf reagiert hat. Dennoch äußert Nash einige grundlegende Ideen. Ron Rivest hat für seinen Krypto-Kurs eine Implementation in Python geschrieben. Wer es mag, kann ja eine Kryptoanalyse versuchen. :-)

via Turing’s Invisible Hand: John Nash’s Letter to the NSA

CAcert-Training in Jena

jens@kubieziel.de (Jens Kubieziel) — Mon, 26 Mar 2012 12:03:36 +0200

Assurer aufgepasst! CAcert veranstaltet diese Woche in Jena ein Training. Jeder, der sich gern bei der freien, community-basierten Zertifizierungsinstanz engagieren, möchte ist dazu herzlich eingeladen. Das Training startet am 29. März 2012 um 19 Uhr. Wir treffen uns im Raum E006 des Universitätsrechenzentrums der Universität Jena (Am Johannisfriedhof 2). Viel Spass bei der Teilnahme!

Fingerprints von SSL-Seiten prüfen

jens@kubieziel.de (Jens Kubieziel) — Wed, 07 Sep 2011 21:35:37 +0200

Das Desaster um die niederländische Zertifizierungsstelle DigiNotar zieht derzeit immer noch seine Kreise. Mir scheint es noch zu früh, um hier etwas dazu zu schreiben. Vielmehr will ich ein paar Worte verlieren, wie ich „meine eigene CA betreibe“. Denn schon seit längerem vertraue ich nicht, den von den Browsern mitgelieferten Zertifizierungsstellen (CA). Zumeist lösche ich alle und gebe dann einzeln Vertrauen.

Der beste Weg, um einem SSL-Zertifikat zu vertrauen, wäre, sich bei dem Betreiber zu melden und über einen sicheren Kanal den Fingerprint des Zertifikats zu klären. Mein Browser zeigt mit für die Seite Wikipedia-SSL-Seite den Fingerprint (SHA-1) BA:8A:BE:34:B1:34:3B:AF:06:05:4B:48:A9:27:AA:D9:B4:75:45:6E an. Wenn ich bei der Wikipedia anrufe und diese mir denselben nennen, so habe ich das korrekte Zertifikat. Dabei nehme ich natürlich an, dass das Telefon ein sicherer Weg zum Austausch der Informationen ist. Aber beispielsweise druckt die lokale Sparkasse eben diesen Fingerprint auf ihre Dokumente. Damit kann ich das als Kunde leicht verifizieren.

Wie das Beispiel Wikipedia aber schon zeigt, ergibt sich da ein Problem.Woher bekomme ich den Fingerprint? Muss ich bei Jimmy Wales direkt anrufen oder gar nach ~~Florida~~Kalifornien¹ reisen? Hier kam nun meine Idee ins Spiel.

Ich habe auf diversen Servern einen Zugang, d.h. ich kann mich von der Ferne einloggen und dann dort arbeiten. Die Rechner stehen in verschiedenen Netzen und zum Teil auf verschiedenen Kontinenten. Nun logge ich mich auf den Servern ein, lade das Zertifikat herunter und lasse mir den Fingerprint anzeigen. Wenn dieser auf allen Rechner gleich ist, dann gehe ich davon aus, dass ich das korrekte Zertifikat angezeigt bekomme. In dem Fall akzeptiere ich das und vertraue dem. Sollten die Fingerprints abweichen, dann akzeptiere ich das nicht und recherchiere dem in der Regel ein wenig hinterher.

Jörg Sommer hat das nun ein wenig automatisiert und ein Skript geschrieben. Das wird folgendermaßen aufgerufen:

ssl-fp-check [-l] sslsi.te[:port] ssh1 [ssh2] [ssh3] ...

Dabei ist sslsi.te die Webseite, die geprüft werden soll. Ohne die Angabe eines Ports verwendet das Skript standardmäßig 443. Danach wird eine oder mehrere SSH-Verbindungen angegeben. Das Skript wird nun versuchen, sich überall einzuloggen und gibt dann den Fingerprint aus. Für den Fall, dass es auf dem Zielsystem kein OpenSSL gibt, existiert die Option -l. Dabei wird dann ein Tunnel gebaut und das lokale installierte OpenSSL verwendet.

Also für Wikimedia habe ich folgendes eingeben:

ssl-fp-check secure.wikimedia.org a b c d
a: SHA1 Fingerprint=BA:8A:BE:34:B1:34:3B:AF:06:05:4B:48:A9:27:AA:D9:B4:75:45:6E
b: SHA1 Fingerprint=BA:8A:BE:34:B1:34:3B:AF:06:05:4B:48:A9:27:AA:D9:B4:75:45:6E
c: SHA1 Fingerprint=BA:8A:BE:34:B1:34:3B:AF:06:05:4B:48:A9:27:AA:D9:B4:75:45:6E
d: SHA1 Fingerprint=BA:8A:BE:34:B1:34:3B:AF:06:05:4B:48:A9:27:AA:D9:B4:75:45:6E

Die SSH-Server a, b, c und d gaben also denselben Fingerprint aus. Also würde ich dem ganzen doch vertrauen.

Ich werde das Skript jetzt wahrscheinlich immer verwenden. Es macht das Leben doch deutlich einfacher.

Lebe wohl Len Sassaman

jens@kubieziel.de (Jens Kubieziel) — Mon, 04 Jul 2011 21:34:10 +0200

Als ich das Buch zur Anonymität im Internet schrieb, gab es eine Person, die mir immer wieder „über den Weg“ lief. Len Sassaman hatte sehr früh Probleme beim Cypherpunk-Remailer gefunden und daraufhin Mixmaster mit entwickelt. The Pynchon Gate war eines der Ideen aus jüngerer Zeit, welches Len zusammen mit Nick Matthewson vom Tor Project und Bram Cohen von BitTorrent entwickelte. Len bat mich damals, eine Beschreibung mit in das Buch aufzunehmen. Die Zeit war jedoch zu kurz, um eine ordentliche Beschreibung einzubauen.

Im Laufe der Zeit sah ich Len Sassaman immer mal wieder auf Konferenzen. Wir unterhielten uns und ich lernte ihn sehr zu schätzen. Denn neben der Tatsache, dass er wirklich ein Fachmann auf seinem Gebiet war, war er ein unheimlich, hilfsbereiter Mensch.

Umso schockierter war ich, als ich gestern eine Twitter-Nachricht seiner Frau Meredith las. Sie schrieb, dass sie gerade mit der Polizei wegen seines Selbstmordes telefoniert hatte. Was zuerst noch wie ein schlechter Scherz klang, hat sich bestätigt. Len Sassaman ist aus dem Leben geschieden. Lebe wohl!

Bild von Wikipedia (Benutzer:AlexanderKlink)

Die inoffizielle TEMPEST-Seite geht vom Netz

jens@kubieziel.de (Jens Kubieziel) — Wed, 29 Jun 2011 00:25:00 +0200

Wer nach Informationen zu TEMPEST bzw. van-Eck-Abstrahlung suchte, landete lange Zeit auf der Complete, Unofficial TEMPEST Information Page. Der Betreiber gab nun bekannt, dass die Seite zum Oktober 2011 vom Netz geht. Er hat alle Informationen in ein PDF gepackt und bittet darum, dieses weiter zu verbreiten. Eine Kopie findet ihr auch hier. Ansonsten bleibt die Promotionsarbeit Compromising emanations: eavesdropping risks of computer displays von Markus Kuhn eine hervorragende Informationsquelle zum Thema.

Rückblick zum 27C3

jens@kubieziel.de (Jens Kubieziel) — Wed, 05 Jan 2011 10:50:57 +0100

Neben Weihnachten ist für mich vor allem das Jahrestreffen des CCC eine feste Tradition. So fuhr ich auch dieses Jahr wieder zum 27C3.

In den letzten Jahren zeichnete sich der Kongress durch eine stete Überfüllung aus. Insbesondere schlecht erwischte es letztes Jahr viele, die „erst“ zum Starttag anreisten. Ich traf damals morgens gegen 11 Uhr mit Frank ein und da hieß es bereits, dass keinerlei Karten mehr verfügbar seien. Damals musste ich mir glücklicherweise keine Gedanken darum machen, da ich einen Vortrag hatte. Jedoch mussten viele wieder die Segel streichen. Diese Situation sollte im Jahr 2010 nicht wieder auftreten. Daher gab es drei Runden mit Vorverkäufen. Wer hier zum Zug kommen wollte, musste einigermaßen flink handeln. Denn die Tickets waren in kurzer Zeit (weniger Minuten bis Stunden) ausverkauft. Viele Menschen waren hinterher verärgert, dass sie keine Tickets erhielten. Ich halte das aber immerhin für besser, als mehrere Stunden nach Berlin anzureisen und dann vor verschlossenen Toren zu stehen. Ein Trost sei, dass laut der aktuellen Ausgabe von /dev/radio auch „Schwergewichte“ wie Steffen Wernéry ohne Ticket da standen. Für die Tage zwei bis vier wurden Tagestickets an der Kasse angeboten. Solange der Chaos Communication Congress im bcc bleibt, wird wohl die Situation mit den Tickets unverändert bleiben. Kris ist der Meinung, dass die Veranstaltung als By Invitation Only bezeichnet werden solle. Ein Umzug an einen anderen Ort scheint schwierig zu sein, Laut Fefe gibt es in Berlin schlicht keinen besseren Ort.

Ich hatte nun glücklicherweise meine Karte. Allerdings habe ich es weitgehend verpeilt, mich um Anreise und Übernachtung zu kümmern. Der CCC hatte ein schönes Angebot bei der Bahn organisiert. So bin ich letztlich mit einem normalen Ticket gefahren und habe wiedermal eine kleine Verspätung mitgenommen. Glücklicherweise musste ich nicht wieder im ICE übernachten, wie im Dezember.

Pünktlich zur ersten Pause war ich dann im bcc und hatte Zeit, mir die Aufbauten genauer anzuschauen. Eine überraschende Entdeckung war ein Stand des Deutschlandfunk. Er berichtete alle vier Tage vom Congress. Danach schaute ich mir einige Vorträge an und als ich dann den Saal wieder verließ, traf ich einige Bekannte. So verbrachte ich die Zeit bis 23 Uhr mit Gesprächen. Dann kam ein Vortrag zu Stuxnet und den wollte ich mir gern anhören. Gute Entscheidung. Denn aus meiner Sicht war das einer der besten Vorträge, den ich auf dem gesamten Congress hörte. Bruce Dang erzählte etwas, wie sie die diversen Lücken gefunden haben. Sein Vortrag wirkte auf mich natürlich und eher nicht wie eine Marketingshow. Schließlich gab es die Pentanews Game Show und für mich wurde es Zeit, mich um eine Übernachtung zu kümmern. Da es bereits nach eins war, schaute ich, ob es noch Tickets zur Turnhalle gab. Das war der Fall und dieses Jahr war die Turnhalle nicht die Turnhalle, sondern das Cafe Moskau. Dort fand ich dann sogar ein Zimmer mit wenigen Leuten und schlief ruhig ein.

Am nächsten Tag wollte ich früh in Saal 3 sein. Der Vortragende war jedoch nicht aufgetaucht und so hielt Guido Strack vom Whistleblower-Netzwerk e.V. einen Vortrag zu WikiLeaks. Das Ganze schien relativ spontan entstanden zu sein und er kündigte das als Diskussion an. Leider wurde es dann doch ein Vortrag. Ich hatte das Gefühl, dass seine Inhalte für die meisten bereits bekannt waren und es so keinen wirklichen Mehrwert gab. Aus meiner Sicht wäre es besser gewesen, einige Aspekte von WikiLeaks mal zu diskutieren. Bis zum Nachmittag nahm ich mir dann erstmal ein wenig Zeit, redete und schaute mich um. Der Vortrag von Peter Eckersley erschien mir dann wieder interessant. Er hat alle IP-Adressen auf Port 443 nach einem SSL-Zertifikat befragt und dieses dann heruntergeladen. Einige Ergebnisse finden sich auf der SSL-Observatory-Seite. Darin enthalten sind Zertifikate mit schwachen Schlüsseln, mit Namen wie mail oder localhost und viele andere Merkwürdigkeiten. Wer mag, kann sich den Datensatz selbst herunterladen und analysieren. Nach dem Vortrag verlor ich mich wieder in Gesprächen und so verpasste ich unter anderem The Concert. Einige Künstler hatten sich wohl an den CCC gewendet und den Vorschlag gemacht, ein kleines Konzert mit Klavier (Steinway) und Geige (Stradivari) zu spielen. So kamen einige Hacker dann in den Genuss eines großartigen Konzerts. Immerhin die Zugabe erfreute noch meine Ohren. Denn ich wollte mir den Vortrag zu High-Speed Crypto von Daniel J. Bernstein anhören. Daniel begann mit einem Rant gegen DNSSEC. Seiner Meinung nach, ist es ein großartiges DDoS-Tool. Denn eine Anfrage generiert eine Antwort, die 30-50 mal so groß ist. Dann hielt er sich lange bei Grundlagen auf, um dann schließlich zu seiner Lösung CurveCP zu kommen. Diese soll alle Pakete verschlüsseln und über UDP versenden. Der öffentliche Schlüssel steckt in der URL, z.B. wäre die Seite dann über http://72538ab3e4.kubieziel.de zu erreichen. Damit hat der Client den öffentlichen Schlüssel und kann loslegen. Angeblich ist das Verschlüsseln und Senden genauso schnell wie HTTP. Aber hier hätte ich gern Belege in Form von Messungen gesehen. Bernstein sagte, es sei alles ganz einfach und schnell, blieb aber den konkreten Nachweis schuldig. Insgesamt fand ich den Vortrag eher enttäuschend, da ich zu Beginn mehr erwartet hatte. Im Anschluss blieb ich beim Stand des AK Vorrat kleben und verpasste den zweiten interessanten Teil des Abends, Erst durch den Twitterstream von Anne Roth wurde ich darauf aufmerksam. Nick Merrill erzählte von seiner Tätigkeit als ISP und wie er vom FBI eine Gag Order (Redeverbot) erhielt. Er sollte die Daten eines seiner Kunden herausgeben und durfte mit niemandem darüber sprechen. Er tat es trotzdem, nämlich mit Anwälten, und klagte dagegen und erzielte einen Teilerfolg. Den Vortrag muss ich mir auf jeden Fall nochmal anhören. Als ich mich dann von dannen machen wollte, traf ich Sven Guckes. Wir schwatzten und plötzlich waren auch die Künstler vom Konzert an unserem Tisch. So hatten wir noch eine nette Plauderei über Musik, Mathematik und Programmierung.

Die zweite Nacht über schnarchte jemand in mein Ohr hinein und so war ich recht zeitig wieder auf den Beinen. Ich setzt mich in eine Ecke des bc, lud den Akku und genoß das WLAN. Denn ausnahmsweise tat es mal seine Dienste. An meinem Tisch nahm ein junger Hacker Platz und wir kamen ins Gespräch. Er hatte von den gehackten Seiten gelesen und war der Meinung, hier seine H4x0r-Ski||z aufpolieren zu können. Dummerweise war er dabei bei mir an den Falschen geraten. Denn ich halte das stupide Aufmachen irgendwelcher Foren oder Webseiten nicht für Hacken. Stattdessen versuchte ich ihn ein wenig im Sinne des Hacker-Howto (Original) zu prägen. Andererseits lernte ich durch ihn ein wenig mehr über die diversen Hackerboards und die Kriege zwischen diesen. Der erste Vortrag des Tages wurde dann der zur Navigation mit offenen Karten. Ich fand es sehr spannend mal eine Einführung in das Thema zu bekommen. Denn bislang hatte ich nur eine vage Idee und nun lernte ich, dass es noch komplexer als angenommen ist. Bernhard hat eine abgeschlossene Gemeinschaft von Editoren im Sinn, die eine perfekte Karte erstellen. Nach meiner Ansicht wäre ein offenes Projekt mit einigen Restriktionen jedoch besser. Ich bin gespannt, wie sich das weiter entwickelt. Der weitere Tagesablauf bedurfte dann einiger Planung. Ich versorgte mich zeitig mit Essen. Denn am Abend kamen mit dem Fnord-Jahresrückblick und dem Hacker Jeopardy zwei Publikumslieblinge. Ich kam kurz vor halb acht zurück vom Essen und nahm Kurs Richtung Saal 1. Zu dem Zeitpunkt war der letzte Vortrag gerade zu Ende und schon da stand eine Riesentraube vor den Eingangstüren. Ich machte mich dann auch gleich auf und ergatterte einen guten Platz. Also nochmal in Klartext: Gegen 19:30 Uhr war der Saal voller Leute, die den um 21:45 Uhr beginnenden Vortrag sehen wollten … Nick Farr unterhielt die Massen bis zum Beginn des nächsten Vortrages. Nick ist wirklich ein guter Entertainer und es machte Spass, seinen Ausführungen zu lauschen. Um 20:30 Uhr führte Steven Murdoch wieder vor, dass das Chip-und-PIN-System kaputt ist. Sein Vortrag ist aus mehreren Gründen sehr sehenswert. Zum einen zeigt er, dass die Industrie bei fehlendem öffentlichen Druck nicht auf Schwachstellen reagiert. Stattdessen wird die Schuld auf die Kunden abgewälzt. Selbst wenn dann Öffentlichkeit da ist, gibt es Ausreden und in dem Falle versuchten sie sogar, die Dokumente zu zensieren. Prof. Ron Anderson verschickte eine entsprechend gewürzte Antwort. Zum zweiten hatte Steven eine wirklich sehr gute Präsentation gebaut. Sehr sehenswert! Danach kamen dann Frank und Fefe auf die Bühne. Beide präsentierten mit Hingabe die Show. Das hat einfach einen hoher Unterhaltungswert. Genauso wie die folgende Spielshow. Beide muss man eigentlich live erleben. Hinterher betrachtet, geht wahrscheinlich die Stimmung verloren. Danach endete der offizielle Congresstag.

Der letzte Tag stand für mich schon ganz im Zeichen der Abreise. Dieses Jahr waren wir Veranstalter der Silvesterparty und ich musste diverses besorgen. Daher organisierte ich die Rückfahrt und traf noch einige Bekannte. Gerade als ich mich auf den Weg machen wollte, sprach mich Peter Welchering vom Deutschlandfunk an, ob ich nicht Lust auf ein Interview hätte. Wer lässt sich denn die Chance entgehen? Also verzögerte sich die Abreise noch etwas. Das Interview steht schon online. Jedoch ist die Tonspur kaputt. Mal sehen, wann ich endlich hören kann, was ich da erzählte. Das Gespräch war dann der Schlusspunkt und ich machte mich auf den Heimweg.

Der 27C3 war für mich wieder einmal einer der Höhepunkte des Jahres. Es tut gut, Gleichgesinnte zu treffen, Ideen auszutauschen und wirklich guten Vorträgen zu lauschen. Ich werde nun noch einige verpasste Vorträge nachhören, Ideen aufarbeiten und von dem positiven Gefühl leben.

Update: Ein S9Y-Plugin hat vorhin den Rest des Beitrages gefressen. Ich habe den daher nochmal neu formuliert.

Finalisten im Hash-Wettbewerb

jens@kubieziel.de (Jens Kubieziel) — Sat, 11 Dec 2010 21:00:43 +0100

Jetzt ist es endlich soweit. Die letzte Runde im Wettbewerb um einen neuen Hash-Standard wurde eingeläutet. Fünf Kandidaten gehen in die letzte Runde:

Bis zum Januar nächsten Jahres besteht nochmals die Möglichkeit, die Hashes zu verbessern. Dann gibt es wieder Konferenzen und schließlich steht dann bald die Wahl einer neuen Hashfunktion vor der Tür.