William Burr, der Manager der Security Technology Group des
NIST, berichtete, dass man plant, die Unterstützung für SHA-1 bis 2010 auslaufen zu lassen. Als Ersatz solle SHA256 bzw. SHA512 zum Einsatz kommen.
Bei einem internen Meeting hatten sich nach seinen Worten einige Kritiker gemeldet. Zuvor hatten bereits andere Kryptographen Bedenken angemeldet. Auch von der Benutzung von MD5 (siehe auch
MD5 To Be Considered Harmful Someday) wird abgeraten.
Quelle:
FCW.com
Nach dem
Geekcode gibt es jetzt auch einen
Bloggercode. Mein Code sieht so aus:
B1 d++ t+ k+ s+ u f i o+ x- e l c-
Ein
Artikel im Handelsblatt machte mich heute auf
PolyIC aufmerksam. Nachdem der vergleichsweise hohe Preis immer noch ein Hinderungsgrund für RFID-Tags ist, hat es
PolyIC geschafft, die Produktion zu verbilligen. Die Firma druckt die Chips mittels Polymeren und hat nach eigenen Angaben eine integrierte Schaltung mit 600 kHz geschafft. Aufgrund dieser Entwicklung gehen die Entwickler davon aus, dass die Kosten für einen Chip auf unter einem Cent pro Stück sinken.
Der öffentliche Einsatz von derartigen Chips wird wegen der massiven Auswirkungen auf die Privatsphäre von Vereinen, wie dem
Foebud, immer wieder kritisiert.
Google wird hier wohl zum Dauerthema.
Golem und auch einige andere Quellen berichten, dass besagte Suchmaschine einen neuen Service testet. Google Maps ist ein Dienst, mit dem man Reiserouten berechnen kann und einfach mal “mit dem Finger über die Landkarte” gehen kann. Momentan gibt es das nur für die USA. Aber sicher wird der Service bald ausgebaut.
In
Hugos House of Weblog Horror fand ich den Hinweis, dass
GeoURL wieder da ist. Geht einfach mal dort vorbei und meldet eure Seite an. Mit einer kleinen Suche könnt ihr dann feststellen, wer
in der Nähe ist.
In den letzten Tagen tauchten einige Veröffentlichungen bei Bugtraq bzw. Full-Disclosure zum Mozilla Firefox auf. Diese betrafen zum Teil auch andere Browser:
- Probleme bei internationalisierten Domainnamen
Seit Anfang 2004 können URLs auch Sonderzeichen enthalten. Neben den deutschen Umlauten ist es auch möglich, griechische, arabische oder russische Buchstaben zu verwenden. Die Studenten Evgeniy Gabrilovich and Alex Gontmakher zeigten in ihrer Veröffentlichung “The homograph attack” bereits im Mai 2002, dass man mit kyrillischen Buchstaben URLs fälschen kann. Damals diente die URL von Microsoft zur Demonstration. In dieser Woche kam nun die Shmoo Group mit einem Advisory (siehe Demo auf http://www.shmoo.com/idn/, das auf Paypal abzielt.
Als Workaround für diese Schwachstelle kann man im Firefox in der Adressleiste about:config eingeben und dann nach network.enableIDN suchen. Ein Doppelklick darauf deaktiviert die Funktion. Allerdings muss dies bei jedem neuen Öffnen wieder gemacht werden. Die Entwickler von Mozilla arbeiten daran, eine ordentliche Lösung zu schaffen. Wie auch schon Kai Raven in “Firefox - IDN - 0 Info - 0 Transparenz” bemerkt, gibt es keinerlei Hinweise der Entwickler über die bestehende Schwachstelle. Gerade ein Projekt wie Mozilla muss Transparenz gegenüber seinen Nutzern bieten, sonst ist das anfängliche Vertrauen in den Browser schnell wieder verspielt.
- Firetabbing, -dragging und -flashing
- Michael Krax veröffentlichte gleich drei Schwachstellen. Bei der ersten geht es um das Anfassen und Verschieben von Objekten (Drag & Drop). Wenn man ein speziell präpariertes Bild auf den Desktop bewegt, wird auf einmal eine Batchdatei daraus. Diese kann dann vom Nutzer durch einen Doppelklick ausgeführt werden.
Die weiteren Lücken betreffen den JavaScriptManager und die Veränderung von Werten in der Konfiguration. Ich hoffe, diese werden ebenfalls in den nächsten Tagen gefixt.
Bei den
Fundsachen fand ich ein nettes Feature für Google. Auf der Seite
http://www.google.com/webhp?complete=1&hl=en kann man einen Suchbegriff eingeben. Während der Eingabe wird der Suchbegriff autmagisch ergänzt. Nette Spielerei!
Tja, da fällt einem doch wirklich nichts mehr ein:
Ein US-General war kürzlich der Meinung, dass es unheimlichen Spass macht die Leute zu erschiessen. Warum? Weil diese (Afghanis) ihre Frauen verprügeln und keine richtigen Männer mehr sind. Quelle:
Netzzeitung
Ich hatte meinen Mitstudenten schon seit längerer Zeit mal angekündigt, dass ich Ihnen eine Einführung in das Textsatzsystem LaTeX geben wollte. Gestern nun fand ich die Zeit, das Vorhaben auch umzusetzen.
Ich versuchte den Kurs stark an meinem
Tutorial zu orientieren. Denn im Gegensatz zum Text bekomme ich hier direkt Feedback und sehe, ob das Ganze verständlich ist. Nach einigen einführenden Worten mussten die Teilnehmer einen ersten kleinen Text setzen, der dann im Laufe des Kurses im weiter strukturiert und damit auch komplizierter wurde. Anfänglich hatte ich doch Bedenken, ob LaTeX für den gemeinen Word- oder
Openoffice-Nutzer nicht zu kompliziert ist. (Ich fand damals die Einstiegshürde für mich ziemlich hoch.) Doch die Leute kamen sehr schnell mit LaTeX zurecht und schon sehr schnell kamen Fragen auf, die ich eigentlich für zu komplex für einen Einsteigerkurs hielt.
Als wir dann letztlich zum Thema “mathematischer Satz” kamen, war schiere Begeisterung zu spüren. Nachdem ich einige grundlegende Sachen erklärt hatte, konnten es die Teilnehmer kaum erwarten, wieder zum Rechner zurück zu kommen und selbst ein paar Formeln einzugeben.
Viele waren deutlich begeistert und haben einen ersten Eindruck bekommen. Gleichzeitig wurde ich schon gefragt, ob ich sowas nicht nochmal für die fehlenden Leute machen könnte bzw. auch den Kurs weiter fortsetzen könnte. Ich denke, im nächsten Semester werde ich wieder einen derartiges Tutorial anbieten.
Wenn der Schluss zulässig ist, scheint somit auch mein Tutorial im Netz den Leuten weiterzuhelfen. Ich müsste nur genügend Zeit finden, um das noch weiter auszubauen ...
Das
Kerckhoff-Prinzip, nachdem die Sicherheit eines kryptografischen System nur auf der Geheimhaltung des Schlüssels und
nicht auf der Geheimhaltung ders Algorithmus beruhen soll, scheint sich immer noch nicht überall herumgesprochen zu haben. Nun hat es die RFID-Entwickler von Texas Instruments erwischt.
Ein Team von Studenten und Wissenschaftlern hat den DST-Chip von TI einer Kryptoanalyse unterzogen. Dabei stellte sich heraus, dass TI einen nichtpublizierten Algorithmus mit einem 40-bit-Schlüssel nutzte. Schon die Länge des Schlüssels ist für derzeitige Verhältnisse viel zu kurz und kann durch einen Brute-Force-Angriff gebrochen werden. Weiterhin gab es noch systematische Schwächen, was die Kryptoanalyse mehr erleichterte. Die Forscher arbeiteten mit 16 FPGAs, die parallel 32 Schlüssel bei 100 MHz errechneten. Für insgesamt fünf Chips brauchte das System weniger als zwei Stunden, um die Schlüssel zu errechnen.
Die Chips von Texas Instruments werden hauptsächlich in Autos als Diebstahlschutz und für Exxons SpeedPass-System genutzt.
Das gesamte Forschungspapier ist auf
rfidanalysis.org zu finden. Eine
Pressemitteilung wurde ebenfalls veröffentlicht.
In einer
Pressemitteilung gab das
BSI heute bekannt, dass die Benutzerführung von
KMail deutlich verbessert wurde. Diese Verbesserungen passierten im Rahmen des Projektes
Ägypten2. Wenn ich wieder etwas Zeit habe, werde ich mir KMail mal anschauen und den Bericht zu den
GPG-Frontends hinzufügen.
Bereits gestern am 2005-01-31 gab es einen Ausfall von mind. einer halben Stunde bei den Seiten des
Heise-Verlages. Seit heute morgen nun sind die Seiten nicht mehr erreichbar. Zuerst tauchten Spekulationen auf, dass das etwas mit den
Klagen der Musikindustrie (siehe auch
Schockwellenreiter) zu tun hat.
Doch einem
Bericht von Golem zufolge heisst es, dass der Loadbalancer ausgefallen wäre. Dieser Ausfall rührt von einem
DoS-Angriff gegen die Heiseserver her. Mittlerweile seien wohl vier Angriffe verzeichnet worden. Der Angreifer passt seine Attacken wohl den Anpassungen der Techniker an. (Ist das ein Hinweis auf einen Insider?)
Heise hat eine Belohnung von 10.000 Euro für Hinweise ausgesetzt, die zur Ergreifung der Schuldigen führen.
Nachtrag: Seit dem späten Nachmittag scheinen die Heiseseiten wieder stabil zu funktionieren.