Blah-Archiv » Kryptografie http://localhost/blah-dev Kurz und knapp und blah... Thu, 01 Aug 2013 18:58:27 +0000 de-DE hourly 1 http://wordpress.org/?v=3.6 Kryptographie ist das neue Stricken? m( http://localhost/blah-dev/2013/07/12/kryptographie-ist-das-neue-stricken-m/ http://localhost/blah-dev/2013/07/12/kryptographie-ist-das-neue-stricken-m/#comments Fri, 12 Jul 2013 12:28:33 +0000 Nachtwächter http://localhost/blah-dev/2013/07/12/kryptographie-ist-das-neue-stricken-m/ Kryptographie ist das neue Stricken? m(

]]>
http://localhost/blah-dev/2013/07/12/kryptographie-ist-das-neue-stricken-m/feed/ 0
Großbritannien: Knast, wenn man etwas nicht entschlüsseln kann http://localhost/blah-dev/2013/07/03/17303/ http://localhost/blah-dev/2013/07/03/17303/#comments Wed, 03 Jul 2013 19:56:56 +0000 Nachtwächter http://localhost/blah-dev/?p=17303 Da drüben auf der Insel, die wegen einer gnadenvollen geografischen Vorsehung durch den Ärmelkanal vom Rest Europas getrennt ist, kann man übrigens ins Gefängnis kommen, wenn man Daten erzeugt, die verschlüsselt aussehen und die man auf Anforderung nicht entschlüsseln kann. So etwas wie Rauschen von Radioteleskopen zum Beispiel…

Und jemanden wie mich nennt man paranoid! Mit diesem Vorwand kann man natürlich jeden für beinahe alles so richtig sauber rechtsstaatlich in den Knast bringen, indem man einfach mutmaßt, da sei steganografisch Information drin versteckt. Es ist nämlich nicht möglich, zu beweisen, dass irgendwo keine verschlüsselte Information versteckt ist. Sogar in diesem Posting könnten bequem ein paar Byte zusätzlicher Information versteckt werden, etwa in der Folge der Wortlängen. Von Fotos ganz zu schweigen.

Das folgende, von mir angefertigte und etwas nachbearbeitete Foto zum Beispiel…

Sessel

…enthält einen steganografisch in der Datei versteckten und zusätzlich PGP-verschlüsselten Text. Für die meisten Menschen gibt es keine Möglichkeit, das zu bemerken. Es ist eine ganz normale Bilddatei. Ohne jede Auffälligkeit. Wenn man dieses Bild jetzt von hier mitnimmt und beim Fratzenbuch, bei Tumblr oder auf einem sonstigen Webklo postet, könnte man drüben in Großbritannien in den Knast gehen, wenn man nicht gerade meinen private key zur Verfügung hat. Und wenn man sagt, dass man es von diesem Blogpost hat: Den kann ich morgen löschen. Und natürlich kann einem so ein Bild selbst untergejubelt werden, etwa übers Fratzenbuch, über Tumblr, übers Zwitscherchen – und wer kann da noch ein halbes Jahr später die Quelle angeben, wenns nur ein lustiges Katzenfoto war. Die Kriminalisierung von Kryptografie ist absurd und führt zu reiner Willkür.

(Wer sehen will, wie groß diese Willkür ist, versuche einmal, den PGP-verschlüsselten Text aus dem Bild zu extrahieren. Tipp: Ich habe das hier vorsätzlich sehr einfach gemacht und weder etwas Selbstgeproggtes dafür genommen noch ein frei und quelloffen verfügbares Programm verändert, um es zu erschweren. Der für die Steganografie verwendete Schlüssel ist leicht zu erraten. Die anschließende Entschlüsselung des PGP-Textes ist zugegebenermaßen etwas zu knifflig, aber die Steganografie sollte sich mit etwas Mühe und der richtigen Idee brechen lassen…)

]]>
http://localhost/blah-dev/2013/07/03/17303/feed/ 5
Die Wischofone sind nun einmal die Security-Blau… http://localhost/blah-dev/2012/10/19/die-wischofone-sind-nun-einmal-die-security-blau/ http://localhost/blah-dev/2012/10/19/die-wischofone-sind-nun-einmal-die-security-blau/#comments Fri, 19 Oct 2012 19:21:13 +0000 Nachtwächter http://localhost/blah-dev/2012/10/19/die-wischofone-sind-nun-einmal-die-security-blau/ Die Wischofone sind nun einmal die Security-Blauäugigkeit der Neunziger Jahre im Zeitalter der gut entwickelten Internet-Kriminalität der Zehner Jahre, da achtet auch keiner auf leidlich sichere Kryptografie: […] fielen den Forschern außer Bank- und Kreditkartendaten auch Zugangs-Tokens für Facebook, E-Mail-Konten und Messaging-Services in die Hände

]]>
http://localhost/blah-dev/2012/10/19/die-wischofone-sind-nun-einmal-die-security-blau/feed/ 0
Das Security-Spezialprodukt des Tages ist die ex… http://localhost/blah-dev/2012/07/14/das-security-spezialprodukt-des-tages-ist-die-ex/ http://localhost/blah-dev/2012/07/14/das-security-spezialprodukt-des-tages-ist-die-ex/#comments Sat, 14 Jul 2012 11:07:53 +0000 Nachtwächter http://localhost/blah-dev/2012/07/14/das-security-spezialprodukt-des-tages-ist-die-ex/ Das Security-Spezialprodukt des Tages ist die externe, über USB 2 angeschlossene Festplatte mit total sicherer Verschlüsselung. Werber so: »Hier sind ihre Daten sicher«. Wirklichkeit so: Es wird einfach immer wieder der gleiche Block von 512 Bytes mit den Inhalten XOR-verknüpft, so dass man nur ein bekanntes Stück Dateiausschnitt benötigt, um die ganze Platte flutsch flutsch zu dechiffrieren. Und bekannte Bytefolgen finden sich auf jeder Festplatte zuhauf. Wer sich auf die Zusicherung der Werber verlassen hat und diesen Schrott anstelle richtiger Kryptografie eingesetzt hat; wer meinte, dass da schon kein Dritter an die Daten kommen könne, hat schnell den Schaden und braucht für den Spott nicht zu sorgen. TrueCrypt ist übrigens kostenlos.

]]>
http://localhost/blah-dev/2012/07/14/das-security-spezialprodukt-des-tages-ist-die-ex/feed/ 0
Soso, BRD-Geheimdienste können also angeblich P… http://localhost/blah-dev/2012/05/24/soso-brd-geheimdienste-koennen-also-angeblich-p/ http://localhost/blah-dev/2012/05/24/soso-brd-geheimdienste-koennen-also-angeblich-p/#comments Thu, 24 May 2012 10:04:21 +0000 Nachtwächter http://localhost/blah-dev/2012/05/24/soso-brd-geheimdienste-koennen-also-angeblich-p/ Soso, BRD-Geheimdienste können also angeblich PGP entschlüsseln: Ja, die eingesetzte Technik ist grundsätzlich hierzu in der Lage, je nach Art und Qualität der Verschlüsselung – noch allgemeiner und nichtssagender konnten die das nicht ausdrücken. Na ja, ist halt ein Geheimdienst, da ist man halt geheimtuend. »Grundsätzlich zu etwas in der Lage sein« ist so gut wie nichts, ich bin zum Beispiel auch »grundsätzlich dazu in der Lage«, eine thermonukleare Bombe zu bauen. Diese Antwort klingt doch sehr nach der Ausbreitung von Furcht, Unsicherheit und Angst. Eine verschlüsselte E-Mail kann wohl weiterhin als ziemlich private Kommunikation betrachtet werden, wenn die privaten Schlüssel sicher abgelegt sind und eine Schlüssellänge von mindestens 1024 Bit verwendet wird.

]]>
http://localhost/blah-dev/2012/05/24/soso-brd-geheimdienste-koennen-also-angeblich-p/feed/ 1
PayPal Deutschland! Wenn du es nicht schaffst … http://localhost/blah-dev/2012/02/02/paypal-deutschlandwenn-du-es-nicht-schaffst/ http://localhost/blah-dev/2012/02/02/paypal-deutschlandwenn-du-es-nicht-schaffst/#comments Thu, 02 Feb 2012 17:32:49 +0000 Nachtwächter http://localhost/blah-dev/2012/02/02/paypal-deutschlandwenn-du-es-nicht-schaffst/ PayPal Deutschland!

Wenn du es nicht schaffst, in deinen (übrigens generell mies gemachten) HTML-formatierten Reklamemails für deine tollen PayPal-Einkaufswelten deine Kunden mit Umlauten im Namen so anzusprechen, dass die Umlaute im Namen auch erscheinen, denn darfst du dich nicht wundern, wenn deine Kunden deine Reklamemails für einen Phishingversuch halten und deswegen besorgt bei mir nachfragen, weil ich mich ja »so intensiv mit Spam beschäftige«. Wenn du wissen willst, PayPal Deutschland, wie man diese lustigen Umlaute in eine HTML-formatierte Mail reinbekommt, frag doch mal einen achtjährigen Nachwuchswebdesigner, was es mit diesen entities auf sich hat. Das ist wirklich kein schwieriges Thema. Das ist keine Raketentechnologie. Das ist eine Kleinigkeit.

Und wo ich schon bei deinen Mails und dem Thema Phishing bin: Warum zum Henker, PayPal, du reines Internetunternehmen, bist du eigentlich nicht dazu imstande, deine gewerblichen Mails, bei denen es immerhin um so eine unwichtige Sache wie Geld geht, digital zu signieren? Auch das ist keine Raketentechnologie. Wenn du, PayPal Deutschland, deine Mails nicht digital signierst, bist du die andere Seite des Phishings, denn du gewöhnst deine Nutzer daran, dass sie die Authentizität und inhaltliche Integrität von Mails, die so ein unwichtiges Thema wie Geld betreffen, nicht überprüfen können. Kein Wunder, dass da so viele aufs Phishing reinfallen, wenn sie von dir, PayPal, du reines Internetunternehmen, mit jeder deiner Mails in blindem Vertrauen geschult werden. Vielleicht müsstest du dann auch keine Bullshit-Allianzen gegen das Phishing mehr pressevermelden, die schließlich eh nichts nützen. PayPal, du reines Internetunternehmen, du mit deinen unsignierten und für »normale« Nutzer – für die Mailheader einfach nur böhmische Dörfer sind – völlig unüberprüfbaren Mails, du bist das Phishing, weil du mit deiner Security-Passivität die Grundlagen schaffst, auf denen ein solcher Betrug überhaupt erst möglich ist.

Ach, was rege ich mich schon wieder auf! Warum solltest du es auch besser machen als diese ganzen anderen Banken, die nicht so sehr auf Internet machen?!

]]>
http://localhost/blah-dev/2012/02/02/paypal-deutschlandwenn-du-es-nicht-schaffst/feed/ 10
Tolle Idee des Tages: Eine Browser-Erweiterung, … http://localhost/blah-dev/2011/11/20/tolle-idee-des-tages-eine-browser-erweiterung/ http://localhost/blah-dev/2011/11/20/tolle-idee-des-tages-eine-browser-erweiterung/#comments Sun, 20 Nov 2011 02:42:07 +0000 Nachtwächter http://localhost/blah-dev/2011/11/20/tolle-idee-des-tages-eine-browser-erweiterung/ Tolle Idee des Tages: Eine Browser-Erweiterung, damit auch Nutzer von Webmailern endlich PGP-signierte und -verschlüsselte E-Mail schreiben können. Ganz großartig! Unter den existierenden Anwendungen, denen ich niemals meinen private key anvertrauen würde, nimmt ein wegen seiner Komplexität sicherheitstechnisch fragiles und zudem ständig angegriffenes Ding wie ein Webbrowser die Spitzenposition ein.

Ach, was red ich! Wer mit einem Webmailer mailt, hat sie eh nicht mehr alle… :(

]]>
http://localhost/blah-dev/2011/11/20/tolle-idee-des-tages-eine-browser-erweiterung/feed/ 3
Wer sich bei der Verschlüsselung seiner Kommuni … http://localhost/blah-dev/2011/08/09/wer-sich-bei-der-verschluesselung-seiner-kommuni/ http://localhost/blah-dev/2011/08/09/wer-sich-bei-der-verschluesselung-seiner-kommuni/#comments Tue, 09 Aug 2011 00:26:02 +0000 Nachtwächter http://localhost/blah-dev/2011/08/09/wer-sich-bei-der-verschluesselung-seiner-kommuni/ Wer sich bei der Verschlüsselung seiner Kommunikation auf allzu bequeme Angebote irgendwelcher Dienstleister verlässt und sie nicht selbst in die Hand nimmt, kann zumindest bei Blackberry erleben, dass dann schon einmal in vorauseilendem Gehorsam vertraulich gemeinte Inhalte an Behörden gegeben werden. Alles andere als Ende-zu-Ende-Verschlüsselung ist Schlangenöl!

Der letzte Satz gilt natürlich auch für De-Mail und vergleichbaren Nonsens.

]]>
http://localhost/blah-dev/2011/08/09/wer-sich-bei-der-verschluesselung-seiner-kommuni/feed/ 0
Woran man in der BRD die ganz schweren Kriminellen erkennt… http://localhost/blah-dev/2010/08/20/woran-man-in-der-brd-die-ganz-schweren-kriminellen-erkennt/ http://localhost/blah-dev/2010/08/20/woran-man-in-der-brd-die-ganz-schweren-kriminellen-erkennt/#comments Fri, 20 Aug 2010 12:28:28 +0000 Nachtwächter http://localhost/blah-dev/2010/08/20/woran-man-in-der-brd-die-ganz-schweren-kriminellen-erkennt/ Woran erkennt man in der BRD eigentlich die ganz schweren Jungs unter den Kriminellen? Na, ist doch klar: Die wenden Software für die Verschlüsselung an, lassen sich die Festplatten ihres Computers automatisch aufräumen und haben zu allem Überfluss auch noch die Möglichkeit, auf ihrem Rechner TOR zu nutzen. Das reicht. Da geht man mit »erhöhter krimineller Energie« und »extrem konspirativ« vor. Also ein ganz Harter! So sieht es zumindest der Staatsanwalt, und der muss es ja wissen…

]]>
http://localhost/blah-dev/2010/08/20/woran-man-in-der-brd-die-ganz-schweren-kriminellen-erkennt/feed/ 0
Victorinox macht zugegebenermaßen gute Messer – … http://localhost/blah-dev/2010/05/28/victorinox-macht-zugegebenermassen-gute-messer/ http://localhost/blah-dev/2010/05/28/victorinox-macht-zugegebenermassen-gute-messer/#comments Fri, 28 May 2010 13:57:42 +0000 Nachtwächter http://localhost/blah-dev/2010/05/28/victorinox-macht-zugegebenermassen-gute-messer/ Victorinox macht zugegebenermaßen gute Messer – ich habe selbst seit vielen Jahren so eines in der Tasche und kann die nur empfehlen. Aber ob die für ihren tollen, im Taschenmesser verbastelten, total sicher verschlüsselten USB-Stick auch gute Kryptografie hinkriegen, das ist eine ganz andere Frage. Und wenn man da ein bisschen hinschaut, sieht man, dass das wohl eher nicht der Fall sein wird – da hilft auch kein »Professor«, der niemals irgendwo ein wissenscaftliches Papier veröffentlicht zu haben scheint. Vielleicht ist das Papier und sein Name darauf ja verschlüsselt… :mrgreen:

]]>
http://localhost/blah-dev/2010/05/28/victorinox-macht-zugegebenermassen-gute-messer/feed/ 1
Die TPM-Kryptografie, die zurzeit für verschied … http://localhost/blah-dev/2010/02/09/die-tpm-kryptografie-die-zurzeit-fuer-verschied/ http://localhost/blah-dev/2010/02/09/die-tpm-kryptografie-die-zurzeit-fuer-verschied/#comments Tue, 09 Feb 2010 20:29:49 +0000 Nachtwächter http://localhost/blah-dev/2010/02/09/die-tpm-kryptografie-die-zurzeit-fuer-verschied/ Die TPM-Kryptografie, die zurzeit für verschiedene Zwecke eingesetzt wird, scheint gecrackt zu sein.

]]>
http://localhost/blah-dev/2010/02/09/die-tpm-kryptografie-die-zurzeit-fuer-verschied/feed/ 0